Apple Business Manager einrichten: Was IT-Teams wirklich wissen müssen

Apple Business Manager (ABM) ist die Steuerungsebene, die Apple-Hardwarekäufe, Identitätsinfrastruktur und Mobile Device Management miteinander verbindet. ABM verwaltet keine Geräte selbst — sämtliche Konfiguration und Sicherheitsdurchsetzung erfolgen über Ihr MDM. ABM liefert die Infrastruktur, die automatisierte und skalierbare Geräteverwaltung überhaupt erst ermöglicht. Hinweis: Apple Business Manager richtet sich an Unternehmen. Bildungseinrichtungen nutzen Apple School Manager, der dieselben Kernfunktionen für Schulen bereitstellt. Dieser Leitfaden behandelt ausschliesslich Apple Business Manager. ABM umfasst drei Kerndienste: Automatische Geräteregistrierung (ehemals DEP) verknüpft neue Geräte automatisch mit Ihrer MDM-Lösung. Wenn ein Benutzer ein Gerät zum ersten Mal einschaltet, kontaktiert es Apples Aktivierungsserver, wird zu Ihrem MDM umgeleitet, empfängt seine Konfiguration und ist einsatzbereit. Kein manueller IT-Eingriff nötig. Apps und Books (ehemals VPP) ermöglicht den Volumeneinkauf und die Verteilung von Apps. Lizenzen können Benutzern oder Geräten zugewiesen und bei Austritt oder Gerätewechsel widerrufen werden. Verwaltete Apple Accounts geben Ihren Benutzern organisationseigene Apple-Identitäten, föderiert mit Ihrem Identity Provider wie Microsoft Entra ID oder Google Workspace. Diese Accounts gehören Ihrer Organisation — wenn ein Mitarbeitender das Unternehmen verlässt, behalten Sie die Kontrolle über den Account und seine Daten. Das unterscheidet sich grundlegend von persönlichen Apple-IDs, die dem Benutzer gehören. Alle drei Dienste sind kostenlos und für jede Organisation mit D-U-N-S-Nummer verfügbar. Eine kompakte Definition finden Sie in unserem Glossareintrag zu Apple Business Manager.

Die Registrierung erfordert eine D-U-N-S-Nummer, eine geschäftliche E-Mail-Domain und die Verifizierung der Organisationsidentität. Der Prozess dauert 1-5 Werktage. Nach der Freigabe: 1. MDM-Server verknüpfen. Generieren Sie ein MDM-Server-Token in ABM und laden Sie es in Ihr MDM hoch. Setzen Sie den Server als Standard, damit neue Geräte automatisch zugewiesen werden. Dieses Token läuft jährlich ab — setzen Sie am Tag der Erstellung eine Kalendererinnerung. 2. Identitätsföderation konfigurieren. Verbinden Sie Microsoft Entra ID oder Google Workspace, um verwaltete Apple Accounts automatisch bereitzustellen. Tun Sie dies, bevor Benutzer persönliche Apple-IDs mit ihrer Geschäfts-E-Mail erstellen — Domain-Claiming und Apple-ID-Übernahmekonflikte sind nachträglich äusserst mühsam zu lösen. 3. Apple Customer Number verifizieren. Stellen Sie mit Ihrem autorisierten Apple-Händler sicher, dass Ihre Apple Customer Number mit Ihrer ABM-Instanz verknüpft ist. Diese Verknüpfung sorgt dafür, dass Geräte nach dem Kauf automatisch in ABM erscheinen. Ohne diese Verbindung kommen Geräte unzugewiesen an. 4. Apps und Books einrichten. Generieren Sie das Apps-und-Books-Token (ebenfalls jährliche Verlängerung) und verbinden Sie es mit Ihrem MDM. Erwerben Sie die benötigten App-Lizenzen. Bestehende Geräte, die nicht über autorisierte Kanäle gekauft wurden, können mit Apple Configurator auf einem Mac hinzugefügt werden. Das erfordert eine USB-Verbindung und setzt das Gerät zurück. Aus diesem Grund ist es am besten, Geräte beim Kauf über einen autorisierten Händler direkt in ABM zu registrieren.

Verwaltete Apple Accounts (ehemals verwaltete Apple-IDs) geben Ihren Benutzern Zugang zu iCloud Drive, Zusammenarbeitsfunktionen und Shared iPad, ohne persönliche und geschäftliche Daten zu vermischen. Die Accounts gehören Ihrer Organisation und werden automatisch durch Föderation mit Microsoft Entra ID oder Google Workspace bereitgestellt. Allerdings deaktivieren verwaltete Apple Accounts bewusst verschiedene Funktionen persönlicher Apple-IDs, um geschäftliche und private Identitäten sauber zu trennen. Apple Pay, persönliche App-Store-Käufe und bestimmte iCloud-Funktionen stehen nicht zur Verfügung. Das ist gewollt — die Trennung schützt sowohl die Organisation als auch den Mitarbeitenden. Die entscheidende Frage ist der Zeitpunkt der Föderation. Wenn Sie am ersten Tag föderieren, werden verwaltete Apple Accounts automatisch mit den bestehenden Firmen-Zugangsdaten bereitgestellt. Wenn Sie zögern, erstellen Benutzer möglicherweise persönliche Apple-IDs mit ihrer Geschäfts-E-Mail. Die nachträgliche Rückforderung dieser Domains löst Apple-ID-Übernahmekonflikte aus, bei denen jeder betroffene Benutzer seine persönlichen Daten von der Firmendomain migrieren muss. Bei einer Flotte von Hunderten bedeutet das Wochen an Support-Aufwand.

ABM authentifiziert alle Verbindungen über Tokens, und die operative Realität der Token-Verwaltung ist der am häufigsten übersehene Aspekt der ABM-Administration. MDM-Server-Token: Läuft jährlich ab. Wenn es verfällt, hören neue Geräte auf, sich automatisch zu registrieren. Bereits verwaltete Geräte sind nicht sofort betroffen, aber jedes Gerät, das zum ersten Mal eingeschaltet wird, erhält kein Registrierungsprofil. ABMs Ablaufwarnungen sind leicht zu übersehen — setzen Sie eigene Kalendererinnerungen. Apps-und-Books-Token: Läuft ebenfalls jährlich ab. Wenn es verfällt, schlagen Lizenzzuweisungen lautlos fehl — Apps werden nicht mehr an neue Geräte verteilt, und Lizenzwiderruf sowie -neuzuweisung funktionieren nicht mehr. Permanenz der Gerätezuweisung: Sobald eine Geräte-Seriennummer durch einen autorisierten Kauf mit Ihrer ABM-Instanz verknüpft ist, gehört sie zu Ihrer Organisation. Geräte können von Administratoren aus ABM freigegeben werden, aber nach der Freigabe lassen sie sich nicht über reguläre Kaufkanäle erneut hinzufügen. Berücksichtigen Sie dies bei der Planung des Gerätelebenszyklus und bei Weiterverkaufsszenarien. Eine professionelle MDM-Implementierung adressiert all diese Punkte von Beginn an.

Gerätekauf über nicht-autorisierte Kanäle. Geräte von nicht-autorisierten Händlern, aus zweiter Hand oder aus dem Konsumentenhandel erscheinen nicht in ABM und können die automatische Geräteregistrierung nicht nutzen. Es gibt keine API und keine Massenmethode, um sie nachträglich ohne Zurücksetzen via Apple Configurator hinzuzufügen. Für Organisationen, die eine grosse Mac-Flotte aufbauen, wird dieser Fehler teuer. Identitätsföderation überspringen. Jede Woche, die Sie die Föderation hinauszögern, ist eine Woche, in der Benutzer persönliche Apple-IDs mit ihrer Geschäfts-E-Mail erstellen können. Domain-Claiming-Konflikte sind die häufigste Ursache für Probleme bei ABM-Bereitstellungen. Keinen Standard-MDM-Server festlegen. Wenn Sie einen MDM-Server hinzufügen, aber nicht als Standard setzen, erscheinen neue Geräte in ABM, werden aber keinem Server zugewiesen. Sie bleiben unverwaltet, bis jemand sie manuell zuordnet. Token-Verlängerung ignorieren. Sowohl das MDM-Server-Token als auch das Apps-und-Books-Token laufen jährlich ab, und ABMs Ablaufwarnungen sind leicht zu übersehen. Wenn sie verfallen, funktioniert der jeweilige Dienst lautlos nicht mehr. Setzen Sie Kalendererinnerungen am Tag der Token-Erstellung.

Autorisierte Apple Enterprise Reseller in der Schweiz registrieren gekaufte Geräte-Seriennummern automatisch in ABM, wenn Ihre Apple Customer Number mit dem Händlerkonto verknüpft ist. Überprüfen Sie diese Verknüpfung mit Ihrem Händler vor der ersten Bestellung — nicht nachdem Geräte unzugewiesen ankommen. Für Organisationen in Liechtenstein deckt dieselbe ABM-Instanz beide Länder ab. Organisationen, die sowohl in der Schweiz als auch in der EU tätig sind, stehen vor einer zusätzlichen Herausforderung: Die Identitätsföderation für verwaltete Apple Accounts muss alle Identitätsdomains über Rechtsräume hinweg abdecken. Wenn Ihre Schweizer Einheit eine andere E-Mail-Domain als Ihre EU-Einheiten nutzt, muss jede Domain separat in ABM verifiziert und beansprucht werden. Für regulierte Branchen — Gesundheitswesen, Finanzdienstleistungen, öffentlicher Sektor — sind ABMs Identitätsföderation und Geräte-Supervision Voraussetzungen zur Erfüllung der Schweizer und EU-Compliance-Anforderungen für Geräteverwaltung und Datentrennung. Wenn Sie von einer Consumer-Apple-Einrichtung zur professionellen Verwaltung wechseln, ist die ABM-Registrierung und die Konfiguration der Händlerverknüpfung der unverzichtbare erste Schritt.

ABM ist der Ausgangspunkt, nicht das Ziel. In Kombination mit MDM-Automatisierung können Geräte direkt von Apple an den Mitarbeitenden versandt und beim ersten Einschalten automatisch konfiguriert werden — Zero-Touch-Bereitstellung. Die vollständige Kette funktioniert so: Apple versendet das Gerät an den Mitarbeitenden. Das Gerät wird eingeschaltet und kontaktiert Apples Aktivierungsserver. Apple leitet das Gerät zu ABM weiter. ABM weist es Ihrem MDM-Server zu. Das MDM überträgt Konfiguration, Apps und Sicherheitsrichtlinien. Der Benutzer meldet sich mit seinem verwalteten Apple Account an. Das Gerät ist einsatzbereit. Kein IT-Eingriff. Kein Staging-Bereich. Kein Versand der Geräte an die Zentrale. Das ist es, was ABM bei korrekter Konfiguration ermöglicht — und warum es sich lohnt, die Grundlage richtig aufzusetzen.