Wenn neue Apple Business Manager-Geräte beim Mitarbeiter aus dem Karton kommen und sich beim ersten Einschalten von selbst in Intune registrieren, Apps und Richtlinien laden und einsatzbereit sind, sparst du dir das manuelle Vorbereiten jedes Geräts. Genau das leistet die automatische Geräteregistrierung (Automated Device Enrollment, ADE, früher DEP) im Zusammenspiel von Apple Business Manager (ABM) und Microsoft Intune. Diese Anleitung führt dich von der ABM-Kontoeröffnung über den Token-Austausch bis zum fertigen Enrollment-Profil – dem Fundament für echtes Zero-Touch.

Kurzfassung: ABM-Konto auf business.apple.com mit gültiger D-U-N-S-Nummer registrieren und verifizieren lassen. Mindestens zwei Administratoren mit Firmen-Apple-Account anlegen. In Intune ein Apple-MDM-Push-Zertifikat (APNs) erstellen, danach den ADE-Token-Austausch durchführen: Intune liefert den Public Key (.pem), ABM gibt das Server-Token (.p7m) zurück. Enrollment-Profil mit „Setup Assistant with modern authentication“ und Supervised-Modus erstellen, als Default-Policy setzen. Reseller über Organization ID verknüpfen und einen Standard-MDM-Server in ABM hinterlegen, damit jedes neue Gerät automatisch bei Intune landet. Apps & Books (VPP) per Location-Token einbinden. Alle drei Token (APNs, ADE, VPP) laufen nach 365 Tagen ab und müssen jährlich mit derselben Apple-ID erneuert werden.

Voraussetzungen: Lizenzen, Rollen und Token

Bevor du startest, sollten diese Dinge vorhanden sein. ADE funktioniert nur mit neuen oder werksseitig zurückgesetzten Firmengeräten – bereits eingerichtete oder bei einem anderen MDM registrierte Geräte starten den Prozess nicht.

Lizenz: Microsoft Intune Plan 1 ist das Minimum für die iOS-/iPadOS-Verwaltung. Intune ist enthalten in Microsoft 365 E3/E5, EMS E3/E5 und Microsoft 365 Business Premium. Für tvOS- und visionOS-Verwaltung benötigst du Intune Plan 2.
D-U-N-S-Nummer: Pflicht zur ABM-Verifizierung. Die neunstellige Dun-&-Bradstreet-Kennung ist standortbezogen. Eine Neubeantragung dauert bei D&B bis zu 5 Werktage, plus bis zu 2 Werktage, bis Apple die Daten erhält.
Firmen-Apple-Account: Nutze eine überwachte Funktionsadresse bzw. einen Verteiler (z. B. apple-admin@deine-firma.de), niemals eine persönliche Apple-ID. Diese Adresse hängt an allen Token – geht sie beim Mitarbeiteraustritt verloren, verlierst du die Token-Kontrolle.
Drei Token im Blick: APNs/MDM-Push-Zertifikat, ADE-/Enrollment-Programm-Token (.p7m) und VPP-/Location-Token. Alle drei sind 365 Tage gültig und müssen jährlich erneuert werden.

Die wichtigsten ABM-Rollen sind standortbasiert – ein Nutzer kann je Standort eine andere Rolle haben:

Rolle	Darf u. a.
Administrator	Vollzugriff inkl. MDM-Server, Token, Geräte- und Lizenzverwaltung
Device Enrollment Manager	Geräte einem MDM-Server zuweisen, Setup-Schritte überspringen
Content Manager	App- und Buch-Lizenzen (Apps & Books) kaufen und verwalten
People Manager	Benutzer und verwaltete Apple-Accounts verwalten
Manager	Eingeschränkter Lesezugriff je nach Standort

Geräte zuweisen darf nur, wer Administrator oder Device Enrollment Manager ist. Lege mindestens zwei Administratoren an, damit du bei Ausfall einer Person handlungsfähig bleibst.

Schritt 1: ABM-Konto anlegen und verifizieren lassen

Das ABM-Konto ist die Schaltzentrale für Geräte, Rollen und Lizenzen. Hinweis: Apple benennt „Apple Business Manager“ aktuell zu „Apple Business“ um und konsolidiert mehrere Dienste – die Portal-URL business.apple.com und alle Funktionen bleiben unverändert, in Tooltips können alte und neue Namen gemischt auftauchen.

business.apple.com
  > Jetzt registrieren (Enroll now)
  > Firmendaten + gueltige D-U-N-S-Nummer eingeben (Lookup/Beantragung verlinkt)
  > Verifizierungskontakt angeben:
      Name / Geschaeftstitel / Telefon / Arbeits-E-Mail
      (z. B. Geschaeftsfuehrung, CTO oder CFO)
  > absenden

Apple prüft den Antrag manuell. Du erhältst eine E-Mail mit dem Betreff „Your enrollment is in review“. Apple kontaktiert die hinterlegte Verifizierungsperson telefonisch oder per E-Mail – plane dafür einige Tage ein und stelle sicher, dass diese Person erreichbar ist und die Angaben bestätigen kann.

Schritt 2: Administratoren und Rollen vergeben

Sobald das Konto freigeschaltet ist, legst du weitere Administratoren an, damit nicht alles an einer Person hängt.

business.apple.com
  > Accounts / Nutzer (People)
  > Nutzer auswaehlen oder hinzufuegen
  > Rolle zuweisen:
      Administrator | People Manager | Device Enrollment Manager
      | Content Manager | Manager

Empfehlung: ein zweiter Administrator auf Basis eines Verteilers, ein Device Enrollment Manager für das Tagesgeschäft der Gerätezuweisung und ein Content Manager für die App-Lizenzen. So trennst du Verantwortlichkeiten sauber.

Schritt 3: APNs/MDM-Push-Zertifikat in Intune erstellen

Ohne ein gültiges Apple-MDM-Push-Zertifikat (APNs) kann Intune kein einziges Apple-Gerät verwalten. Das Zertifikat ist die Vertrauensbasis zwischen deinem Tenant und Apples Push-Diensten.

intune.microsoft.com
  > Geraete (Devices)
  > Geraeteonboarding (Device onboarding)
  > Registrierung (Enrollment)
  > Tab Apple
  > Apple MDM Push Certificate
  > I agree
  > Download your CSR  (CSR-Datei sichern)
  > Create your MDM push Certificate
      (oeffnet identity.apple.com / Apple Push Certificates Portal)
      > mit Firmen-Apple-ID anmelden
      > Create a Certificate
      > CSR hochladen
      > .pem herunterladen
  > zurueck in Intune: Apple-ID eintragen + .pem hochladen

Wichtig: Merke dir die verwendete Apple-ID. Das APNs-Zertifikat ist 365 Tage gültig (plus 30 Tage Kulanzfrist) und muss jährlich mit genau dieser Apple-ID erneuert werden. Erneuerst du es mit einer falschen Apple-ID, müssen alle Geräte neu registriert werden.

Schritt 4: ADE-Token-Austausch zwischen Intune und ABM

Jetzt entsteht die Vertrauensstellung für die automatische Geräteregistrierung. Der Ablauf besteht aus drei Teilen: Intune liefert einen Public Key, ABM gibt dafür ein Server-Token zurück, und dieses lädst du wieder in Intune hoch.

Teil A: Public Key in Intune herunterladen

intune.microsoft.com
  > Devices > Enrollment
  > Tab Apple mobile
  > Bulk Enrollment Methods: Enrollment program tokens
  > Add
  > I agree
  > Download the Intune public key certificate required to create the token
      (.pem speichern)

Lass den Intune-Browser-Tab während des gesamten Vorgangs geöffnet. Schließt du ihn nach dem Public-Key-Download, wird das Zertifikat ungültig und der Create-Button bleibt ausgegraut – dann musst du komplett von vorn beginnen.

Teil B: MDM-Server in ABM anlegen und Token holen

In Intune: Link Create a token via Apple Business anklicken
  > in ABM mit Firmen-Apple-ID anmelden
  > Account-Profil > Preferences/Einstellungen
  > MDM Server Assignments
  > MDM-Server hinzufuegen
      > Name vergeben (z. B. Intune-Produktiv)
      > Intune-Public-Key (.pem) hochladen
      > speichern
  > Server-Token (.p7m) herunterladen

Teil C: Server-Token in Intune hochladen

zurueck in Intune (Tab weiterhin offen)
  > Apple ID eintragen (dieselbe, mit der das .p7m geladen wurde)
  > Apple token: .p7m-Datei waehlen > Open
  > Create

Danach synchronisiert Intune die in ABM hinterlegten Geräte automatisch. Der ADE-Geräte-Sync läuft danach selbsttätig etwa alle 12 Stunden (Delta); einen manuellen Sync kannst du höchstens alle 15 Minuten auslösen.

Schritt 5: Enrollment-Profil erstellen und als Standard setzen

Das Enrollment-Profil bestimmt, was beim ersten Einschalten passiert: Authentifizierung, Supervised-Modus, welche Setup-Assistant-Bildschirme angezeigt werden und wie das Gerät benannt wird. ADE-Geräte sind standardmäßig im Supervised-Modus; ab iOS/iPadOS 13.0 wird das Gerät beim Enrollment ohnehin automatisch überwacht.

intune.microsoft.com
  > Devices > Device onboarding > Enrollment
  > Tab Apple mobile > Enrollment program tokens
  > Token waehlen > Enrollment policies > Create policy > iOS/iPadOS
      Basics:        Name + Beschreibung
      User Affinity: Enroll with User Affinity (empfohlen)
      Auth:          Setup Assistant with modern authentication
      Supervised:    Yes
      Locked enrollment: Yes  (Pflicht bei Entra Shared Mode)
      Await final configuration: Yes
      Device Name Template (optional): {{DEVICETYPE}}-{{SERIAL}}
      Setup-Assistant-Screens: ausblenden/zeigen nach Bedarf
  > Create

Setze die Policy anschließend als Standard, damit jedes neue Gerät dieses Tokens sie automatisch erhält:

Token > Set Default Policy > Policy waehlen > Save

# Alternativ manuell pro Geraet:
Token > Devices > Geraete markieren > Assign policy > Policy waehlen > Assign

Wähle „Setup Assistant with modern authentication“ – nur diese Variante unterstützt MFA und Just-in-Time-Registrierung; die Legacy-Variante funktioniert nicht mit MFA. Der Gerätename-Template darf maximal 63 Zeichen lang sein. Beim Enrollment erhält das Standard-MDM-Profil ein ACME-Zertifikat (ab iOS 16.0 / iPadOS 16.1), das sicherer als das frühere SCEP ist.

Die Enrollment-Policy muss dem Gerät zugewiesen sein, bevor es eingeschaltet wird – sonst schlägt ADE fehl. Setze die Default-Policy daher so früh wie möglich. Änderungen an einer bestehenden Policy greifen erst nach einem Werksreset und erneuter Aktivierung; die einzige Ausnahme ist das Gerätename-Template, das beim nächsten Check-in wirkt.

Schritt 6: Reseller verknüpfen und Standard-MDM-Server setzen

Hier entsteht das eigentliche Zero-Touch: Geräte, die du direkt bei Apple oder einem Apple Authorized Reseller/Carrier kaufst, erscheinen automatisch in ABM – vorausgesetzt, der Lieferant ist mit deiner Organisation verknüpft.

business.apple.com
  > Settings/Einstellungen
  > Geraeteverwaltung / Device Management Settings
  > Customer Numbers / Reseller IDs
      > Apple Customer Number + ABM/DEP Reseller ID des Lieferanten eintragen
      > mit Standort verknuepfen
  > Organization ID (eindeutige ABM-Kennung) dem Reseller mitteilen,
    damit gekaufte Seriennummern automatisch erscheinen

Anschließend definierst du, dass alle neu gekauften Geräte automatisch deinem Intune-Server zugewiesen werden:

business.apple.com
  > Devices/Geraete
  > Device Assignment / Default Device Assignment
  > pro Geraetetyp den Standard-MDM-Server (Intune) waehlen
  > Save

Einzelne Geräte kannst du jederzeit auch manuell per Seriennummer oder Bestellnummer einem MDM-Server zuordnen:

business.apple.com
  > Devices/Geraete
  > Geraete (per Seriennummer/Bestellnummer) auswaehlen
  > Edit Device Management / Edit MDM Server
  > Intune-MDM-Server waehlen

Mit gesetztem Default-MDM-Server, verknüpftem Reseller und einer Default-Enrollment-Policy ist der Kreis geschlossen: Ein neu bestelltes iPhone landet ohne weiteren Handgriff in Intune und richtet sich beim Mitarbeiter selbst ein.

Schritt 7: Apps & Books (VPP) für Volumenlizenzen einbinden

Über Apps & Books (Volume Purchase Program, VPP) kaufst du App-Lizenzen in Stückzahl und verteilst sie per Intune – ohne dass Nutzer einen App-Store-Login brauchen. Zuerst lädst du das Location-Token in ABM herunter:

business.apple.com
  > Name/Account > Preferences/Einstellungen
  > Payments and Billing > Apps and Books
  > Content Tokens
  > Download  (.vpptoken)

Dann lädst du es in Intune hoch:

intune.microsoft.com
  > Tenant administration (Mandantenverwaltung)
  > Connectors and tokens (Connectors und Token)
  > Apple VPP tokens
  > Create
      Basics:   Token Name, Managed Apple Account, Token-Datei (.vpptoken)
      Settings: Country/Region, Type Business, Automatic app updates = Yes
      I agree
      Scope tags
  > Review + create > Create

Eine gekaufte App weist du anschließend Entra-Gruppen zu:

intune.microsoft.com
  > Apps > All Apps > App waehlen
  > Properties > Edit (neben Assignments)
  > Required ODER Available for enrolled devices
  > Add group (Entra-Gruppen) > Save

Wichtige Regeln zu den Lizenztypen:

Merkmal	Gerätelizenz	Benutzerlizenz
Default für neue Zuweisungen	Ja	Nein
Lizenzen je Einheit	1 Lizenz / Gerät	1 Lizenz / bis zu 5 Geräte je persönlichem Apple Account
App-Store-Login nötig	Nein, Installation über MDM-Kanal	Ja, Einladung / App-Store-Zugang erforderlich

Weise einem Gerät bzw. Nutzer nicht gleichzeitig Geräte- und Benutzerlizenz für dieselbe App zu. Das Company Portal solltest du bei ADE als VPP-App mit Gerätelizenz über Intune ausrollen – die App-Store-Version ist mit ADE inkompatibel und erhält keine automatischen Updates. Der VPP-Sync läuft standardmäßig einmal täglich, ein manueller Sync ist jederzeit möglich. Ein Location-Token darf nur für genau eine MDM-Lösung und einen Intune-Tenant verwendet werden.

Troubleshooting: Typische Fehler und Lösungen

„Invalid Profile“ beim Enrollment: Meist blockiert die Default-„All Users“-Gerätetyp-Einschränkung iOS/iPadOS. Fix: intune.microsoft.com > Devices > Enroll devices > Enrollment restrictions > All Users > Properties > Platform settings: iOS/iPadOS auf Allow. Optional nur „personally owned“ blocken, Corporate-Geräte (via ADE) erlauben.
Create-Button beim ADE-Token ausgegraut: Der Intune-Tab wurde nach dem Public-Key-Download geschlossen – das Zertifikat ist ungültig. Vorgang komplett neu starten und Tab offen lassen.
Token mit falscher Apple-ID erneuert: APNs und ADE/VPP-Token immer mit derselben (Managed) Apple-ID erneuern. Beim APNs-Zertifikat führt eine falsche Apple-ID dazu, dass alle Geräte neu registrieren müssen.
Geräte starten ADE nicht: Geräte müssen neu oder gewiped (Out-of-Box) sein. Bei einem anderen MDM registrierte Geräte zuerst dort entfernen, dann zurücksetzen.
MFA greift nicht: Tritt mit „Setup Assistant (legacy)“ auf. Auf „Setup Assistant with modern authentication“ umstellen.
VPP-Token-Status „invalid“: Am Managed Apple Account wurde etwas geändert (Domain, Passwort, Account deaktiviert) oder das Token ist abgelaufen. Token in ABM neu herunterladen und in Intune aktualisieren.
VPP-Token-Status „Duplicate“: Derselbe Token-Standort wurde zweimal hochgeladen, der Sync stoppt. Ein Location-Token darf nur in genau einer MDM-Lösung aktiv sein.
Lizenzen überbucht: Bei mehr Zielnutzern/-geräten als Lizenzen erhalten nur die ersten N eine Lizenz. Intune warnt ab 50 % genutzter Lizenzen. Zu wenig Company-Portal-Lizenzen oder ein abgelaufenes Token blockieren das Enrollment.

Häufige Fragen

Brauche ich zwingend eine D-U-N-S-Nummer?

Ja. Die D-U-N-S-Nummer ist Pflicht zur Verifizierung deines Unternehmens. Hast du noch keine, kannst du sie über den Lookup auf der Registrierungsseite kostenlos bei Dun & Bradstreet beantragen – plane bis zu 5 Werktage plus bis zu 2 Werktage bis zur Übermittlung an Apple ein.

Wie oft muss ich die Token erneuern?

Alle drei Token (APNs-/MDM-Push-Zertifikat, ADE-/Enrollment-Token, VPP-/Location-Token) sind jeweils 365 Tage gültig und müssen jährlich erneuert werden – stets mit derselben Apple-ID bzw. demselben Managed Apple Account. Notiere dir die Ablaufdaten und erneuere rechtzeitig.

Was passiert mit Geräten, die schon im Einsatz sind?

ADE greift nur bei neuen oder werksseitig zurückgesetzten Geräten. Bestehende Geräte musst du zunächst aus dem alten MDM entfernen und zurücksetzen, damit sie beim nächsten Setup-Assistant den ADE-Pfad nehmen. Über Bestellnummer oder Seriennummer kannst du sie zuvor in ABM Intune zuweisen.

Sollte ich Geräte- oder Benutzerlizenzen wählen?

Für firmeneigene, per ADE überwachte Geräte sind Gerätelizenzen die einfachere Wahl: eine Lizenz pro Gerät, keine App-Store-Anmeldung, Installation über den MDM-Kanal. Benutzerlizenzen lohnen sich, wenn dieselbe Person mehrere persönliche Geräte nutzt (eine Lizenz für bis zu 5 Geräte).

Heißt der Dienst jetzt „Apple Business“ oder „Apple Business Manager“?

Apple konsolidiert mehrere Dienste unter dem Namen „Apple Business“. Die Portal-URL business.apple.com und alle hier beschriebenen Funktionen bleiben gleich. In der Oberfläche und in der Doku können alte und neue Bezeichnungen parallel auftauchen.

Wie schnell tauchen neu gekaufte Geräte in Intune auf?

Sobald der Reseller die Geräte deiner Organisation zuordnet, erscheinen sie in ABM. Der ADE-Geräte-Sync von Intune läuft automatisch etwa alle 12 Stunden; einen manuellen Sync kannst du höchstens alle 15 Minuten auslösen.

Fazit

Mit Apple Business Manager und Intune baust du einen vollständig automatisierten Geräte-Lebenszyklus: vom Kauf beim Reseller über die automatische Zuweisung an Intune bis zur selbsttätigen Einrichtung beim Mitarbeiter. Die drei Eckpfeiler sind das APNs-Zertifikat, der ADE-Token-Austausch und das Default-Enrollment-Profil – kombiniert mit Reseller-Verknüpfung und Standard-MDM-Server. Achte konsequent auf zwei Dinge: nutze überall einen Firmen-/Funktions-Apple-Account und überwache die jährlichen Token-Erneuerungen. Dann steht deinem Zero-Touch-Rollout nichts im Weg, und jedes neue iPhone oder iPad ist einsatzbereit, bevor es überhaupt jemand in die Hand nimmt.

Weiterführende Anleitungen und Quellen

iPhone und iPad mit Intune verwalten – Compliance-Richtlinien, App-Schutz und Konfigurationsprofile für die per ADE registrierten Apple-Geräte.
macOS im Unternehmen absichern mit FileVault – passende Absicherung, wenn du auch Macs über ABM ausrollst.
Windows-Geräte mit Intune und Autopilot ausrollen – das Zero-Touch-Pendant für die Windows-Flotte.
Weitere Apple-Anleitungen in unserer Wissensdatenbank.

Offizielle Quellen: Microsoft Learn – Set up an iOS/iPadOS ADE token in Intune; Microsoft Learn – Set up automated device enrollment (ADE) for iOS/iPadOS; Microsoft Learn – Manage Apple Volume-Purchased Apps; Apple Support – Apple Business Manager User Guide.