Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Apple / macOS / iOS 03.06.2026 · 10 min Lesezeit

iPhone und iPad im Unternehmen mit Intune verwalten

So verwaltest du iPhones und iPads im KMU mit Microsoft Intune: vom Apple-MDM-Push-Zertifikat über Enrollment (BYOD und ADE) bis zu Konfigurationsprofilen, Compliance und Conditional Access. Mit präzisen Klickpfaden und den wichtigsten Stolperfallen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
iPhone und iPad im Unternehmen mit Intune, mit Geräteverwaltung, Richtlinien und Apps.

iPhones und iPads sind im Mittelstand längst Arbeitsgeräte – und damit ein Sicherheitsthema. Mit iPhone und iPad im Unternehmen mit Intune verwalten bringst du iOS- und iPadOS-Geräte zentral unter Kontrolle: einheitliche WLAN- und E-Mail-Einstellungen, erzwungener Passcode, geprüfte Compliance und Zugriff nur für konforme Geräte. Diese Anleitung führt dich von der einmaligen Grundeinrichtung (Apple-MDM-Push-Zertifikat) über die beiden Enrollment-Wege bis zu Konfigurationsprofilen, Compliance-Richtlinie, App-Verteilung und Conditional Access – mit präzisen Klickpfaden aus dem Microsoft Intune Admin Center.

Voraussetzungen: Lizenzen, Rollen, Konten

Bevor du loslegst, kläre Lizenzen und Zuständigkeiten. Ohne passende Lizenz und das richtige Apple-Konto scheitert die Einrichtung an einer einzigen Stelle dauerhaft.

  • Intune-Lizenz: Microsoft Intune Plan 1 ist erforderlich. Enthalten in Microsoft 365 Business Premium, E3, E5, F1/F3 sowie EMS E3/E5. Nicht enthalten in Office 365 E1/E3/E5. Intune Plan 2 und die Intune Suite gibt es nur als Add-on, nie gebündelt.
  • Rollen: Intune-Administrator (bzw. Endpoint-Manager-Rolle) für Geräte- und App-Verwaltung; für Conditional Access ein Conditional Access Administrator in Entra.
  • Apple-Konto: Ein organisationseigenes Apple-Konto (Managed Apple Account), kein privates Apple-ID-Konto. Nutze als Anmeldeadresse ein Firmenpostfach, idealerweise einen Verteiler – damit Ablauf-Erinnerungen ankommen, auch wenn ein Mitarbeiter das Unternehmen verlässt.
  • Optional, aber empfohlen: Apple Business Manager (ABM) für firmeneigene Geräte und für das App-Token (früher VPP). Wie du ABM aufsetzt und Geräte zuweist, zeigt unsere Anleitung zu Apple Business Manager und Geräte-Enrollment.

Schritt 1: Apple-MDM-Push-Zertifikat einrichten

Das Apple-MDM-Push-Zertifikat ist Pflicht für jede iOS-/iPadOS-Verwaltung (und macOS) in Intune. Ohne dieses Zertifikat lässt sich kein einziges Apple-Gerät registrieren – egal ob BYOD oder ADE. Es ist 365 Tage gültig und muss jährlich erneuert werden.

Klickpfad zum Anlegen:

intune.microsoft.com
  > Devices
  > Device onboarding > Enrollment
  > Tab "Apple"
  > "Apple MDM Push Certificate"
  > "I agree"
  > "Download your CSR"            (CSR-Datei lokal speichern)
  > "Create your MDM push Certificate"  (oeffnet identity.apple.com)

Auf identity.apple.com meldest du dich mit dem Organisations-Apple-Konto an, wählst Create a Certificate, akzeptierst die AGB, lädst die eben gespeicherte CSR hoch und lädst anschließend das fertige Zertifikat (.pem) herunter. Zurück in Intune trägst du die verwendete Apple-ID ein, klickst auf das Ordner-Symbol, lädst die .pem-Datei hoch und bestätigst mit Upload.

Push-Zertifikat jährlich erneuern

Bei der Erneuerung gilt die wichtigste Regel: immer dasselbe Apple-Konto verwenden und beim bestehenden Zertifikat Renew wählen (nicht neu erstellen). Andernfalls musst du alle Geräte neu registrieren.

intune.microsoft.com > Devices > Device onboarding > Enrollment > Apple
  > "Apple MDM Push Certificate"
  > "Download your CSR"
  > "Create your MDM push Certificate"  (identity.apple.com)
  > beim BESTEHENDEN Zertifikat: "Renew"
  > neuen CSR waehlen > Notiz eintragen > Upload
  > .pem herunterladen > zurueck in Intune hochladen

Schritt 2: Enrollment-Weg wählen (BYOD vs. ADE)

Es gibt zwei Hauptwege, ein iPhone oder iPad in Intune zu bringen. Die Wahl hängt davon ab, wem das Gerät gehört und wie viel Steuerung du brauchst.

KriteriumBYOD (Privatgerät)ADE (Firmengerät)
EigentumMitarbeiterUnternehmen
RegistrierungCompany-Portal-App, vom Nutzer gestartetBerührungslos via ABM, beim Einschalten
Supervised-ModusNein (Apple User Enrollment)Ja
DatentrennungFirmendaten im separaten Volume / Managed AppsGesamtes Gerät verwaltet
App-LizenzierungNur nutzerlizenzierte AppsGeräte- und nutzerlizenzierte Apps
Activation LockVom Nutzer kontrolliertStandardmäßig deaktiviert

Faustregel: Für Privatgeräte nimmst du BYOD über die Company-Portal-App. Für firmeneigene Geräte nimmst du ADE über Apple Business Manager – das ist berührungslos, supervised und deutlich besser steuerbar.

BYOD: Registrierung über die Company-Portal-App

Beim Privatgerät installiert der Mitarbeiter die Intune-Unternehmensportal-App (Company Portal) aus dem App Store, meldet sich mit dem Firmenkonto an und folgt den Schritten. Bei Apple User Enrollment werden Firmendaten in einem separaten Volume gehalten; private Daten bleiben unberührt. Ein Supervised-Modus ist hier nicht möglich, und es lassen sich nur nutzerlizenzierte Apps installieren.

ADE: Firmengeräte berührungslos registrieren

Für ADE (Automated Device Enrollment) brauchst du ein ABM-Konto, in dem die Geräte erfasst sind. Anschließend richtest du in Intune einen ADE-Token (MDM-Server) ein. Wichtig: Lass beim folgenden Klickpfad den Intune-Browser-Tab beim Public-Key-Download offen – schließt du ihn, wird das Zertifikat ungültig und du musst von vorn beginnen.

intune.microsoft.com > Devices > Enrollment
  > Tab "Apple mobile" > Bulk Enrollment Methods
  > "Enrollment program tokens" > "Add" > "I agree"
  > "Download the Intune public key certificate" (.pem)  [TAB OFFEN LASSEN]
  > "Create a token via Apple Business"  (oeffnet business.apple.com)
      > mit Firmen-Apple-Konto anmelden
      > Kontoprofil > Preferences > MDM server assignments
      > MDM-Server hinzufuegen > Name vergeben
      > public key (.pem) hochladen
      > Server-Token (.p7m) herunterladen
  > zurueck in Intune: Apple-ID + .p7m hochladen > Create

Anschließend legst du die Enrollment-Policy an. Microsoft empfiehlt Setup Assistant with modern authentication (ab iOS/iPadOS 13.0), weil das MFA und Just-in-Time-Registrierung unterstützt.

intune.microsoft.com > Devices > Device onboarding > Enrollment
  > Tab "Apple mobile" > "Enrollment program tokens"
  > Token waehlen > "Enrollment policies" > "Create policy"
  > "iOS/iPadOS"
  > Basics (Name)
  > User Affinity: "Enroll with User Affinity"
  > Authentication: "Setup Assistant with modern authentication"
  > Supervised = Yes
  > Locked enrollment = Yes
  > "Install Company Portal with VPP" = Token waehlen
  > Setup-Assistant-Screens aus-/einblenden
  > Create
Danach: Geraete/Token > "Set Default Policy"

Die Company-Portal-App auf ADE-Geräten stellst du ausschließlich über Intune als VPP-App mit Gerätelizenz bereit – nicht aus dem App Store. Die App-Store-Version ist mit ADE inkompatibel und erhält keine automatischen Updates.

Schritt 3: Konfigurationsprofile (WLAN, E-Mail, Passcode, Restriktionen)

Mit Konfigurationsprofilen verteilst du Einstellungen automatisch, statt sie pro Gerät zu tippen. Typisch sind ein WLAN-Profil, ein E-Mail-Profil und ein Profil mit Geräteeinschränkungen.

intune.microsoft.com > Devices > Configuration
  > "Create" > "New Policy"
  > Platform: "iOS/iPadOS"
  > Profile type: "Templates"
  > "Wi-Fi"  bzw.  "Email"  bzw.  "Device restrictions"
  > Settings konfigurieren
  > Assignments (Entra-Gruppe waehlen)
  > Create
  • Wi-Fi: SSID, Sicherheitstyp und (bei WPA2-Enterprise) das Zertifikat hinterlegen, damit Geräte sich automatisch verbinden.
  • Email: Exchange-/IMAP-Profil mit Hostname und Authentifizierung. Achtung: Hat der Nutzer das Konto schon manuell eingerichtet, kann Intune das verwaltete Profil nicht überschreiben.
  • Device restrictions: z. B. Screenshots, iCloud-Sync oder Wechsel des verwalteten Kontos einschränken.

Den Passcode erzwingst du am stabilsten über die Compliance-Richtlinie (siehe nächster Schritt). Auf iOS/iPadOS 14.5+ funktionieren die Passcode-/Touch-ID-/Face-ID-Screens des Setup Assistant nicht zuverlässig – blende sie aus (Hide).

Schritt 4: Compliance-Richtlinie erstellen

Die Compliance-Richtlinie definiert, wann ein Gerät als konform gilt. Sie ist die Voraussetzung für Conditional Access. Achtung: Die meisten Defaults stehen auf Nicht konfiguriert und werden dann nicht ausgewertet – du musst die relevanten Werte aktiv setzen.

intune.microsoft.com > Devices > Compliance > "Create policy"
  > Platform: "iOS/iPadOS"
  > Settings:
      Device health:    Jailbroken devices = Block
      OS version:       Minimum OS version eintragen
      System security:  Require a password to unlock = Require
                        Simple passwords = Block
                        Required password type
                        Minimum password length
                        Password expiration (days)
  > Actions for noncompliance:
      z. B. "Mark device noncompliant" nach X Tagen
  > Assignments > Create

Viele Passwort- und OS-Einstellungen werden erst ab iOS 17.0 unterstützt. Sobald ein Passcode gefordert wird, startet das Gerät automatisch die Geräteverschlüsselung. Eine ähnliche Logik für Macs zeigt unsere Anleitung zur macOS-Absicherung mit FileVault.

Schritt 5: Apps bereitstellen (Managed Apps / VPP)

Apps verteilst du über ein Apple-Business-Manager-Location-Token (früher VPP). Lade das Token zuerst in ABM herunter und importiere es dann in Intune. Pro Tenant sind bis zu 3.000 Tokens möglich; jedes Token ist 1 Jahr gültig.

1) In business.apple.com:
   <Name> > Preferences > Payments and Billing
     > Apps and Books > Content Tokens > "Download"

2) In intune.microsoft.com:
   Tenant administration > Connectors and tokens
     > "Apple VPP tokens" > "Create"
     > Basics (Token-Name, Managed Apple Account, Token-Datei)
     > Settings (Type = Business, "Automatic app updates" = Yes, "I agree")
     > Review + create

App zuweisen (die Gerätelizenz ist seit Neuzuweisungen Standard und braucht keine App-Store-Anmeldung):

intune.microsoft.com > Apps > All Apps > App waehlen
  > Properties > "Edit" bei Assignments
  > "Required"  oder  "Available for enrolled devices"
  > "Add group" > Entra-Gruppe(n) waehlen
  > Save

Hinweis: Available wird nur für Benutzergruppen unterstützt, nicht für Gerätegruppen. Ein Location-Token darf nur in einem MDM und einem Tenant gleichzeitig genutzt werden.

Schritt 6: Conditional Access – nur konforme Geräte

Jetzt erzwingst du, dass nur konforme Geräte auf Firmendaten zugreifen. Das stellst du in Entra ein, nicht in Intune. Voraussetzung: Die Compliance-Richtlinie existiert bereits und es gibt mindestens ein konformes Gerät – sonst sperrst du dich und deine Nutzer aus.

entra.microsoft.com  (als Conditional Access Administrator)
  > Entra ID > Conditional Access > Policies > "New policy"
  > Name
  > Assignments > Users          (Zielgruppe; Notfall-Admin ausschliessen!)
  > Target resources             (z. B. Office 365 / Exchange)
  > Conditions > Device platforms > iOS
  > Access controls > Grant > "Grant access"
      > "Require device to be marked as compliant"
  > Enable policy = On
  > Create

Typische Fehler und Troubleshooting

  • Geräte erscheinen nicht im Admin Center: ADE-Geräte synchronisieren von ABM und können bis zu 12 Stunden brauchen. Erst danach im Intune Admin Center prüfen.
  • Gerät zeigt „Invalid Profile“ beim ADE-Start: Prüfe unter Enrollment > Device Type Restrictions, ob die Default-Policy iOS/iPadOS blockiert. Zum Beschränken auf Firmengeräte nur personally owned blockieren, nicht die Plattform.
  • Enrollment schlägt fehl, sobald ein neues Gerät startet: Es ist keine Default-Policy gesetzt. Über Set Default Policy nachholen. Änderungen an einer bestehenden ADE-Policy greifen erst nach Werksreset (Ausnahme: Gerätename-Template).
  • Gerät bleibt noncompliant wegen E-Mail: Hat der Nutzer das Konto manuell eingerichtet, kann Intune das verwaltete Profil nicht überschreiben. Der Nutzer muss das bestehende Konto entfernen.
  • VPP-Apps fehlen im Company Portal (BYOD): Bei Apple User Enrollment erscheinen nur nutzerlizenzierte Apps. Gerätelizenzierte VPP-Apps sind dort nicht sichtbar.
  • Push-Zertifikat-Zuordnung prüfen: Am Gerät unter Settings > General > VPN & Device Management > Management Profile > More Details findest du im Feld Topic die GUID, die sich im Apple Push Certificates Portal zuordnen lässt.

Häufige Fragen

Brauche ich zwingend Intune, oder reicht Office 365?

Office 365 E1/E3/E5 enthält kein Intune. Du brauchst Intune Plan 1, das in Microsoft 365 Business Premium, E3, E5, F1/F3 sowie EMS E3/E5 enthalten ist.

Was passiert, wenn das Push-Zertifikat abläuft?

Nach Ablauf lassen sich Geräte nicht mehr verwalten oder neu registrieren. Es gibt eine 30-tägige Gnadenfrist. Erneuere rechtzeitig mit demselben Apple-Konto über Renew – nie ein neues Zertifikat erstellen.

Kann ich BYOD-Geräte in den Supervised-Modus bringen?

Nein. Apple User Enrollment (BYOD) unterstützt keinen Supervised-Modus. Supervised ist firmeneigenen Geräten über ADE bzw. Apple Configurator vorbehalten.

Darf ich für das Zertifikat meine persönliche Apple-ID nehmen?

Nein. Nutze ein organisationseigenes Apple-Konto mit einem Firmenpostfach (am besten Verteiler) als Anmeldeadresse. Wird die Apple-ID des Push-Zertifikats später geändert, müssen alle Geräte neu registriert werden.

Kann ich dasselbe VPP-Token in zwei Systemen nutzen?

Nein. Ein Location-Token darf nur in einem MDM und einem Tenant gleichzeitig laufen. Wird es woanders importiert, gehen Lizenzzuweisungen und Nutzer-Records verloren.

Verwalte ich Windows-Geräte genauso?

Das Prinzip ist ähnlich, der Weg unterscheidet sich. Für Windows nutzt du Autopilot statt ADE – Details in unserer Anleitung zum Ausrollen von Geräten mit Windows Autopilot.

Fazit

Mit Intune verwaltest du iPhones und iPads im KMU sauber und skalierbar. Der kritische Punkt ist die einmalige Grundeinrichtung: das Apple-MDM-Push-Zertifikat mit einem Organisations-Apple-Konto und einer jährlichen Wiedervorlage. Danach trennst du klar zwischen BYOD (Company Portal) und Firmengeräten (ABM/ADE, supervised), verteilst Konfigurationsprofile und eine Compliance-Richtlinie und sicherst den Zugriff mit Conditional Access ab. Plane das Token-Management (Push, ADE, VPP – jeweils jährlich) fest in deine IT-Routine ein, dann läuft die Apple-Flotte zuverlässig.

Weiterführende Anleitungen und Quellen

Quellen: Microsoft Learn – Apple MDM Push certificate for Intune; Set up automated device enrollment (ADE) for iOS/iPadOS; Manage Apple Volume-Purchased Apps; iOS/iPadOS device compliance settings.

Verwandt

Weiter lesen

Alle Artikel →
Entwicklungsarbeitsplatz mit KI-Cloud-Konzept fuer Apple-Apps
11.06.2026 ·4 min

Apple gibt KI-Cloud-Modell für kleinere Entwickler ohne API-Kosten frei

Apple öffnet sein nächstes Foundation Model in Private Cloud Compute für kleinere App-Anbieter ohne zusätzliche Cloud-API-Kosten. Der Zugang gilt aber nicht pauschal für alle Entwickler.
Symbolbild: Neue Firmen-Smartphones und -Tablets werden automatisch über eine zentrale Cloud-Verwaltung ausgerollt
03.06.2026 ·12 min

Apple Business Manager einrichten und Geräte automatisch ausrollen

So richtest du Apple Business Manager ein und verbindest ihn mit Intune: D-U-N-S-Verifizierung, MDM-Token-Austausch und automatische Geräteregistrierung (ADE) für echtes Zero-Touch-Rollout neuer iPhones und iPads.
MacBook mit schwebendem blauem Sicherheits-Schild und Schloss als Symbol für Festplattenverschlüsselung
03.06.2026 ·10 min

macOS im Unternehmen absichern: FileVault, Gatekeeper und Updates

Macs im Mittelstand laufen oft unverschlüsselt und mit Admin-Rechten im Alltag. Diese Anleitung zeigt dir Schritt für Schritt, wie du FileVault, Gatekeeper und Updates absicherst – jeweils per GUI und Terminal, inklusive MDM-Kontext mit Intune und Jamf.