iOS / iPadOS Verwaltung
Konfigurationsprofile, Compliance-Richtlinien und App-Schutzrichtlinien für firmenverwaltete iPhones und iPads — sowie BYOD-Szenarien mit App Protection Policies (MAM).
Note
Voraussetzung: Apple Business Manager muss eingerichtet sein (APNs-Zertifikat, ADE-Token, VPP-Token). Ohne ABM ist keine professionelle iOS-Verwaltung möglich.
Enrollment-Strategien
Firmengeräte (ADE)
Firmengeräte — Automated Device Enrollment (ADE)
Concat Standard: Alle firmeneigenen iOS/iPadOS-Geräte werden über ADE registriert — supervised, locked und mit Await Configuration.
Enrollment-Flow
Enrollment-Profil Einstellungen (Concat Standard)
| Einstellung | Wert | BegrĂĽndung |
|---|---|---|
| User Affinity | With User Affinity | Gerät wird dem User zugeordnet (personalisierte Policies) |
| Supervised | Ja | Volle MDM-Kontrolle (Silent App Push, Lost Mode, etc.) |
| Locked Enrollment | Ja | User kann MDM-Profil nicht entfernen |
| Await Configuration | Ja | Gerät wartet auf Intune-Policies bevor der User arbeiten kann |
| Authenticate with Company Portal | Ja | MFA-fähige Anmeldung statt Setup Assistant Auth |
Setup Assistant — Ausgeblendete Schritte
| Schritt | Ausblenden? | BegrĂĽndung |
|---|---|---|
| Siri | ✅ | Wird nachträglich vom User konfiguriert |
| Apple Pay | âś… | Keine Firmenfunktion |
| Diagnostics | âś… | Datenschutz |
| Location Services | ❌ Nicht ausblenden | Erforderlich für „Find my iPhone” / Lost Mode |
| Touch ID / Face ID | ❌ Nicht ausblenden | User soll Biometrie einrichten |
| Passcode | ❌ Nicht ausblenden | User muss Passcode setzen |
Konfigurationsprofile (Supervised Devices)
Restrictions
Device Restrictions
| Einstellung | Wert | BegrĂĽndung |
|---|---|---|
| Passcode | Min. 6 Zeichen, Biometrie erlaubt | Sicherheit ohne UX-EinbuĂźen |
| Auto-Lock | 5 Minuten | Gerät sperrt bei Inaktivität |
| Verschlüsselung | Nativ aktiv (iOS-Standard) | iOS verschlüsselt immer — keine Konfiguration nötig |
| Jailbreak Detection | Compliance-Verletzung | Gerät wird als Non-Compliant markiert |
| iCloud Backup (Firmendaten) | Deaktiviert | Firmendaten dürfen nicht in persönliche iCloud fließen |
| AirDrop | Nur verwaltete Geräte | Verhindert unkontrollierten Datentransfer |
| App Store | Erlaubt (supervised: verwaltbar) | Apps ĂĽber Company Portal oder VPP |
| Managed Open-In | Aktiviert | Firmen-Dokumente können nur in Firmen-Apps geöffnet werden |
| Personal Hotspot Änderung | Blockiert | IT behält Kontrolle über Tethering |
| Account-Änderungen | Blockiert | User kann keine zusätzlichen E-Mail-Konten hinzufügen |
App-Deployment auf iOS/iPadOS
Basis-Apps (Required)
| App | Deployment | Quelle |
|---|---|---|
| Microsoft Outlook | Required (Silent Push) | VPP |
| Microsoft Teams | Required (Silent Push) | VPP |
| Microsoft Authenticator | Required (Silent Push) | VPP |
| Company Portal | Required (Silent Push) | VPP |
| Microsoft Defender | Required (bei Defender-Lizenz) | VPP |
| Microsoft Edge | Required | VPP |
Optionale Apps (Available im Company Portal)
| App | Deployment | Quelle |
|---|---|---|
| Microsoft OneDrive | Available | VPP |
| Microsoft OneNote | Available | VPP |
| Adobe Acrobat Reader | Available | VPP |
| Kundenspezifische LOB-Apps | Available | VPP oder Managed App |
Important
Alle Apps müssen über VPP (Volume Purchase Program) beschafft und zugewiesen werden — auch kostenlose Apps. Nur so ist die Silent Installation ohne Apple ID auf dem Gerät möglich. Siehe Apple Business Manager → VPP.
Querverweise
| Thema | Verwandte Seite |
|---|---|
| ABM Setup (APNs, ADE, VPP) | Apple Business Manager |
| macOS Management | macOS Management |
| Conditional Access Policies | Entra ID Setup |
| WLAN-Zertifikate | Intune Connectoren |
| Non-Compliant Device untersuchen | Runbook 1.4 |
| App Deployment Regeln | Deployment-Regeln |
Last updated on