Apple Business Manager (ABM)

Das Apple Business Manager Portal ist die zentrale Voraussetzung für die professionelle Verwaltung aller Apple-Geräte (iPhone, iPad, Mac) über Microsoft Intune. Es ermöglicht die automatische Geräteregistrierung (ADE, ehemals DEP), die lizenzfreie App-Verteilung (VPP) und das APNs-Zertifikat für die MDM-Kommunikation.

Important

Ohne ABM kein Enterprise Apple Management. Ohne die drei Token (APNs, ADE, VPP) können Apple-Geräte nicht supervised verwaltet, Apps nicht silent installiert und Geräte nicht automatisch in Intune enrollt werden. ABM-Setup ist daher immer der erste Schritt bei jedem Apple-Projekt.

Architektur-Übersicht

Die drei Token — Übersicht

Token	Zweck	Laufzeit	Erneuerung	Auswirkung bei Ablauf
APNs-Zertifikat	MDM-Kommunikation zwischen Intune und Apple-Geräten	365 Tage	Jährlich über Apple Push Certificates Portal	🔴 Kritisch: ALLE iOS/macOS-Geräte verlieren die Verbindung zu Intune
ADE-Token (ehemals DEP)	Automatische Geräteregistrierung — Zero-Touch Enrollment	365 Tage	Jährlich im ABM Portal erneuern und in Intune hochladen	🟡 Bestehende Geräte unberührt, neue Geräte können nicht automatisch enrollt werden
VPP-Token	Volumenlizenzen für Apps — Silent App Push ohne Apple ID	365 Tage	Jährlich im ABM Portal erneuern und in Intune hochladen	🟡 App-Zuweisung und -Updates funktionieren nicht mehr

Caution

Alle drei Token laufen nach genau 365 Tagen ab! Die Erneuerung muss proaktiv eingeplant werden. Empfehlung: Kalendererinnerung 30 + 14 + 7 Tage vor Ablauf einrichten. Bei Managed Service Kunden übernimmt Concat dieses Monitoring.

Initiales Setup

1. ABM Account

Apple Business Manager Account erstellen

Wer: Concat Consultant gemeinsam mit dem Kunden
Voraussetzung: Der Kunde benötigt eine D-U-N-S-Nummer (kann bei Apple beantragt werden, Dauer 1-3 Wochen).

ABM Registrierung starten

business.apple.com aufrufen → „Enroll now” → Unternehmensdetails eingeben (Name, D-U-N-S, Adresse).

Verifizierung abwarten

Apple verifiziert das Unternehmen. Dauer: 1-5 Werktage. Apple kontaktiert ggf. den bei D-U-N-S hinterlegten Ansprechpartner telefonisch.

Managed Apple ID einrichten

Nach der Freischaltung: Managed Apple ID für den ABM-Administrator erstellen. Empfehlung: Eine funktionale E-Mail-Adresse verwenden (z. B. abm-admin@kunde.de), nicht eine persönliche.

MDM-Server anlegen

Im ABM → Einstellungen → Geräteverwaltung → MDM-Server hinzufügen → Name: Microsoft Intune.

Warning

Managed Apple ID ≠ persönliche Apple ID! Der ABM-Account muss auf eine funktionale Firmen-Adresse registriert werden. Wird eine persönliche Apple ID eines Mitarbeiters verwendet und dieser verlässt das Unternehmen, droht der Verlust des Zugangs zum ABM Portal.

2. APNs-Zertifikat

APNs-Zertifikat (Apple Push Notification Service)

Wer: Intune Admin
Zweck: Ermöglicht die MDM-Kommunikation zwischen Intune und allen Apple-Geräten.

CSR aus Intune herunterladen

Intune Admin Center → Devices → Enrollment → Apple → Apple MDM Push Certificate → Download your CSR.

Zertifikat bei Apple signieren

identity.apple.com/pushcert aufrufen → Mit der Managed Apple ID des ABM anmelden → „Create a Certificate” → CSR hochladen → Zertifikat herunterladen (.pem).

Wichtig: Immer dieselbe Apple ID verwenden wie bei der Erstregistrierung! Bei Verwendung einer anderen Apple ID wird ein neues Zertifikat erstellt und alle bestehenden Geräte verlieren die Verbindung.

Zertifikat in Intune hochladen

Zurück im Intune Admin Center → Apple MDM Push Certificate → .pem-Datei hochladen → Upload.

Ablaufdatum notieren

Das Ablaufdatum im Kalender eintragen. Erinnerungen setzen: 30, 14 und 7 Tage vor Ablauf.

Erfolgskontrolle:

APNs-Zertifikat zeigt Status „Active” im Intune Admin Center
Ablaufdatum liegt 365 Tage in der Zukunft
Kalendererinnerungen sind gesetzt

3. ADE-Token (DEP)

ADE-Token (Automated Device Enrollment)

Wer: Intune Admin
Zweck: Zero-Touch Enrollment — Apple-Geräte werden beim ersten Einschalten automatisch in Intune registriert (vergleichbar mit Windows Autopilot).

ADE-Profil in Intune erstellen

Intune Admin Center → Devices → Enrollment → Apple → Enrollment program tokens → Public Key herunterladen.

Token im ABM erstellen

Apple Business Manager → Einstellungen → MDM-Server → Microsoft Intune auswählen → Token herunterladen (.p7m-Datei).

Token in Intune hochladen

Zurück im Intune Admin Center → Token hochladen → Apple-ID bestätigen → Create.

Enrollment-Profil erstellen

Intune → Enrollment program tokens → Token auswählen → Profiles → Create profile → iOS/iPadOS oder macOS:

Einstellung	Concat Standard
User Affinity	Enroll with User Affinity (User-gebunden)
Supervised	Ja (für volle MDM-Kontrolle)
Locked Enrollment	Ja (User kann MDM nicht entfernen)
Setup Assistant	Überflüssige Schritte ausblenden (Siri, Apple Pay, Diagnose, etc.)
Await Configuration	Ja (Gerät wartet auf Intune-Policies vor der Nutzung)

Hardware dem Profil zuweisen

Geräte über ABM dem MDM-Server und dem Enrollment-Profil zuweisen. Bei Hardware-Kauf direkt über einen autorisierten Apple-Reseller: Geräte werden automatisch im ABM registriert.

Tip

Apple Reseller: Bei Gerätekauf über einen autorisierten Apple Reseller (z. B. Cancom, Bechtle, Cyberport Business) können die Seriennummern direkt im ABM registriert werden — vergleichbar mit dem OEM-Autopilot-Import bei Windows. Privat gekaufte Geräte können nicht nachträglich in ABM/ADE aufgenommen werden.

App	Kosten	Zweck
Microsoft Outlook	Kostenlos (mit M365-Lizenz)	E-Mail & Kalender
Microsoft Teams	Kostenlos (mit M365-Lizenz)	Kommunikation
Microsoft Authenticator	Kostenlos	MFA
Company Portal	Kostenlos	Self-Service & Enrollment
Adobe Acrobat Reader	Kostenlos	PDF-Viewer

Jährliche Token-Erneuerung

APNs-Zertifikat erneuern

Rechtzeitig starten

Spätestens 14 Tage vor Ablauf mit der Erneuerung beginnen.

CSR herunterladen

Intune Admin Center → Apple MDM Push Certificate → Renew → CSR herunterladen.

Bei Apple erneuern

identity.apple.com/pushcert → Dieselbe Apple ID verwenden! → Bestehendes Zertifikat Renew (nicht „Create new”!) → CSR hochladen → Neues .pem herunterladen.

In Intune hochladen

Neues .pem in Intune hochladen → Neues Ablaufdatum prüfen.

Caution

Kritisch: Immer „Renew”, nie „Create new”! Wird statt der Erneuerung ein neues Zertifikat erstellt, erhalten alle bestehenden Apple-Geräte eine neue MDM-Identität. Die Geräte müssen dann neu enrollt werden — ein massiver Aufwand. Immer mit derselben Apple ID anmelden und das bestehende Zertifikat erneuern.

ADE- und VPP-Token erneuern

Neues Token im ABM herunterladen

Apple Business Manager → Einstellungen → Jeweiliges Token → Token herunterladen.

In Intune hochladen

Intune Admin Center → Connectors and tokens → Bestehendes Token auswählen → Renew → Neues Token hochladen.

Monitoring & Alerting

Concat Standard für Token-Monitoring

Methode	Details
Kalendererinnerungen	30 + 14 + 7 Tage vor Ablauf für jedes Token
Intune Notifications	Intune versendet automatische Warnungen bei ablaufenden Tokens
Microsoft Graph API	Automatisiertes Monitoring über `GET /deviceManagement/applePushNotificationCertificate`
Daily Check	Teil der täglichen Routineprüfungen

Token-Status im Admin Center prüfen

Token	Wo prüfen?
APNs	Intune → Devices → Enrollment → Apple → Apple MDM Push Certificate
ADE	Intune → Devices → Enrollment → Apple → Enrollment program tokens
VPP	Intune → Tenant Administration → Connectors and tokens → Apple VPP tokens

Supervised vs. Unsupervised

Eigenschaft	Supervised (Concat Standard)	Unsupervised
Registrierung	Via ABM/ADE (Zero-Touch)	Manuell via Company Portal
MDM-Kontrolle	Vollständig (Silent App Push, App-Lock, Kiosk, Lost Mode)	Eingeschränkt
User kann MDM entfernen?	Nein (Locked Enrollment)	Ja
Remote Wipe	Vollständig	Nur Unternehmensdaten (Selective Wipe)
Kiosk / Single App Mode	Möglich	Nicht möglich
App Restrictions	Vollständig (Apps ausblenden, blockieren)	Eingeschränkt

Important

Concat Standard ist Supervised + ADE. Nur supervised Geräte bieten die volle MDM-Kontrolle und sind mit Windows Autopilot Geräten vergleichbar. Unsupervised Enrollment wird nur für BYOD-Szenarien akzeptiert, bei denen der User sein privates Gerät nutzt.

Querverweise

Thema	Verwandte Seite
iOS / iPadOS Profile & Konfiguration	iOS / iPadOS
macOS Management & Enrollment	macOS Management
Discovery: Bestehende Apple-Geräte erfassen	Discovery & Assessment
OIB macOS Baseline	Security Baselines
App-Verteilung allgemein	Deployment-Regeln

Apple Business Manager (ABM)

Architektur-Übersicht

Die drei Token — Übersicht

Initiales Setup

1. ABM Account

Apple Business Manager Account erstellen

ABM Registrierung starten

Verifizierung abwarten

Managed Apple ID einrichten

MDM-Server anlegen

2. APNs-Zertifikat

APNs-Zertifikat (Apple Push Notification Service)

CSR aus Intune herunterladen

Zertifikat bei Apple signieren

Zertifikat in Intune hochladen

Ablaufdatum notieren

3. ADE-Token (DEP)

ADE-Token (Automated Device Enrollment)

ADE-Profil in Intune erstellen

Token im ABM erstellen

Token in Intune hochladen

Enrollment-Profil erstellen

Hardware dem Profil zuweisen

4. VPP-Token

VPP-Token (Volume Purchase Program / Apps & Books)

VPP-Token im ABM erstellen

Token in Intune hochladen

Apps über ABM beschaffen

Apps in Intune zuweisen

Jährliche Token-Erneuerung

APNs-Zertifikat erneuern

Rechtzeitig starten

CSR herunterladen

Bei Apple erneuern

In Intune hochladen

ADE- und VPP-Token erneuern

Neues Token im ABM herunterladen

In Intune hochladen

Monitoring & Alerting

Concat Standard für Token-Monitoring

Token-Status im Admin Center prüfen

Supervised vs. Unsupervised

Querverweise