macOS Management

Verwaltung von Mac-Geräten über Microsoft Intune — vom Automated Device Enrollment über Konfigurationsprofile bis zu FileVault und Shell Scripts.

Note

Voraussetzung: Apple Business Manager muss eingerichtet sein. macOS-Geräte nutzen dasselbe APNs-Zertifikat und ADE-Token wie iOS-Geräte.

Enrollment

ADE (Firmengeräte)

Automated Device Enrollment (Concat Standard)

Firmeneigene Macs werden über ADE via Apple Business Manager registriert — supervised und mit automatischem Intune-Enrollment.

Enrollment-Flow

Enrollment-Profil (Concat Standard)

Einstellung	Wert
User Affinity	With User Affinity
Locked Enrollment	Ja (User kann MDM nicht entfernen)
Await Configuration	Ja
Authenticate with Company Portal	Ja (MFA-fähig)

Konfigurationsprofile

Security

Security-Konfiguration

FileVault (Festplattenverschlüsselung)

Einstellung	Wert	Begründung
FileVault	Aktiviert	Pendant zu BitLocker auf Windows
Recovery Key	Personal Key → in Entra ID gespeichert	Zentraler Backup des Recovery Keys
Key Rotation	Nach jeder Nutzung des Recovery Keys	Automatische Rotation
Defer Activation	Beim nächsten Logout	FileVault wird beim nächsten Abmelden aktiviert

Important

FileVault Recovery Key: Der Recovery Key wird — analog zu BitLocker bei Windows — in Entra ID gespeichert. Das Auslesen erfolgt über denselben Pfad: Entra ID → Devices → Gerät → Recovery keys. Siehe Runbook 3.1 (Ablauf analog).

Weitere Security Settings

Einstellung	Wert
Firewall	Aktiviert, Stealth Mode aktiv
Gatekeeper	Nur App Store + identifizierte Entwickler
System Integrity Protection (SIP)	Aktiv (kann nicht via MDM deaktiviert werden)
Automatic Updates	Aktiviert (OS + Security Updates)
Remote Login (SSH)	Deaktiviert
Screen Sharing	Deaktiviert

Applikationen

App-Deployment-Methoden

Methode	Eignung	Beispiel
VPP (App Store)	Standard für alle App Store Apps	Microsoft 365 Suite, Adobe Reader
DMG	Für native macOS Installer	Kundenspezifische LOB-Apps
PKG	Für komplexe Installer mit Pre-/Post-Scripts	VPN-Clients, Security Agents
Shell Scripts	Für Konfigurationen, die nicht über Profile möglich sind	Dock-Layout, Terminal-Befehle

Basis-Apps (Required via VPP)

App	Deployment
Microsoft Outlook	Required
Microsoft Teams	Required
Microsoft Word / Excel / PowerPoint	Required
Microsoft OneDrive	Required
Microsoft Defender	Required (bei Lizenz)
Company Portal	Required

Shell Scripts für erweiterte Konfiguration

Shell Scripts werden für Einstellungen verwendet, die nicht über Konfigurationsprofile abbildbar sind:


#!/bin/bash
# Beispiel: Dock-Konfiguration für den Concat Standard
# Entfernt alle Standard-Apps und setzt die Firmen-Apps
 
# Dock leeren
defaults write com.apple.dock persistent-apps -array
 
# Firmen-Apps hinzufügen
apps=("/Applications/Microsoft Outlook.app"
      "/Applications/Microsoft Teams.app"
      "/Applications/Microsoft Word.app"
      "/Applications/Safari.app"
      "/System/Applications/System Preferences.app")
 
for app in "${apps[@]}"; do
    defaults write com.apple.dock persistent-apps -array-add \
        "<dict><key>tile-data</key><dict><key>file-data</key><dict><key>_CFURLString</key><string>${app}</string><key>_CFURLStringType</key><integer>0</integer></dict></dict></dict>"
done
 
# Dock neustarten
killall Dock

Caution

Shell Scripts laufen als root! Jedes Script muss vor dem Deployment gründlich getestet werden. Scripts werden einmalig ausgeführt (oder bei jedem Login, je nach Konfiguration). Fehlerhafte Scripts können den Mac unbrauchbar machen.

Einstellung	Wert
SSID	Firmen-SSID
Security	WPA2/WPA3 Enterprise
EAP-Type	EAP-TLS oder PEAP
Auto-Join	Aktiviert
Proxy	Je nach Kundeninfrastruktur

Einstellung	Concat Empfehlung
VPN-Typ	Per-App VPN (bevorzugt)
Provider	Kundenabhängig (Cisco, Palo Alto, Zscaler, etc.)
Split Tunneling	Aktiviert (M365 Traffic direkt)

Compliance-Regel	Wert	Aktion bei Verletzung
FileVault	Required	Non-Compliant nach 24h
Firewall	Required	Non-Compliant nach 24h
Gatekeeper	Required	Non-Compliant sofort
Min. OS Version	macOS 14.0 (Sonoma)	30 Tage Grace Period
System Integrity Protection	Required	Non-Compliant sofort
Passcode	Required	24h Grace Period

Open Intune Baseline (macOS)

Die OIB bietet seit v1.0 auch eine macOS Baseline. Diese deckt die wichtigsten Security-Einstellungen ab und wird analog zur Windows-Baseline als Concat Standard eingesetzt.

Siehe Security Baselines für Details und Import-Anleitung.

Querverweise

Thema	Verwandte Seite
ABM Setup (APNs, ADE, VPP)	Apple Business Manager
iOS / iPadOS Verwaltung	iOS / iPadOS
OIB macOS Baseline	Security Baselines
FileVault Recovery Key	Runbook 3.1 (analog BitLocker)
WLAN-Zertifikate	Intune Connectoren
Defender for macOS	Defender Konfiguration

macOS Management

Enrollment

ADE (Firmengeräte)

Automated Device Enrollment (Concat Standard)

Enrollment-Flow

Enrollment-Profil (Concat Standard)

Manuelles Enrollment

Manuelles Enrollment (Ausnahme)

Company Portal herunterladen

Anmeldung mit Firmen-Account

MDM-Profil akzeptieren

Enrollment abgeschlossen

Konfigurationsprofile

Security

Security-Konfiguration

FileVault (Festplattenverschlüsselung)

Weitere Security Settings

Applikationen

Applikationen

App-Deployment-Methoden

Basis-Apps (Required via VPP)

Shell Scripts für erweiterte Konfiguration

Netzwerk

Netzwerk

WLAN-Profil

VPN

Compliance

Compliance Policies

Open Intune Baseline (macOS)

Querverweise