Microsoft Intune auf iOS-Geräten aktivieren

Die Emburse Enterprise Mobile App unterstützt Microsoft Intune für Mobile Application Management (MAM) auf iOS-Geräten, um Unternehmensdaten innerhalb der App zu schützen.

Nachdem sich der Benutzer angemeldet hat, ermittelt Intune anhand des Gerätestatus, der App-Funktionen und der Unternehmenskonfiguration, wie Richtlinien angewendet werden.

Funktionen von Intune

Die Intune-Richtlinien Ihres Unternehmens können Folgendes automatisch bewirken:

  • Kopieren oder Einfügen sensibler Daten außerhalb der App verhindern.
  • Unternehmensdaten auf Ihrem Gerät verschlüsseln oder sicher speichern.
  • Unternehmensverwaltete Authentifizierung für den Zugriff verlangen.

Die Richtlinien variieren je nach Organisation und werden vom IT-Team Ihres Unternehmens gesteuert.

Benutzererfahrung

Benutzer folgen unabhängig vom Gerätetyp dem gleichen grundlegenden Ablauf.

Anmelden

1. Öffnen Sie die Emburse Enterprise-App für Mobilgeräte und wählen Sie Anmelden.

Die weiteren Schritte hängen von der Konfiguration Ihres Geräts ab:

  • Verwaltete Geräte: Ihre geschäftliche E-Mail-Adresse ist möglicherweise bereits auf dem Anmeldebildschirm eingepflegt. Dies ist der Fall, wenn eine Intune-App-Konfigurationsrichtlinie den Wert IntuneMAMUPN angibt.
  • BYOD (unverwaltete) Geräte: Sie werden aufgefordert, Ihre geschäftliche E-Mail-Adresse manuell einzugeben.

2. Bitte melden Sie sich mit Ihren Microsoft Entra ID-Anmeldedaten an.

Nach der Authentifizierung überprüft Intune, ob App-Schutzrichtlinien anzuwenden sind.

Alle Aufforderungen zur Registrierung oder zum Schutz werden von Intune und dem Betriebssystem gesteuert, nicht von der Emburse Enterprise-App.

Anforderungen an die App-Version

Die Unterstützung für verschiedene Geräteszenarien hängt von der Version der Emburse Enterprise iOS-App ab, die auf dem Gerät installiert ist.

Leistungsfähigkeit Minimale App-Version
Phase 1: Verwaltete Geräte (Intune MAM mit Geräteanmeldung)
 		 v2.3.1 – 6. November 2025
Phase 2: Verwaltete und BYOD Geräte (Intune MAM ohne Geräteanmeldung) v2.5.0

Änderungen in Phase 2: Vereinfachte Microsoft-Integration

In Phase 1 wurden zwei separate Microsoft Entra ID-Unternehmensanwendungen eingesetzt:

  • Eine für die Benutzerauthentifizierung (über föderierte Anmeldung)
  • Eine für den Intune-App-Schutz

Dies bedeutet, dass Benutzer mehrere Microsoft-Anmeldeaufforderungen erhielten und IT-Administratoren die Berechtigungen für zwei separate App-Registrierungen verwalten mussten.

Die Emburse Enterprise App Version 2.5.0 und höher konsolidiert dies in einer einzigen Microsoft Entra ID-Unternehmensanwendung.

Einstellung Wert
Anwendungs-(Client-)ID de125cab-0189-4abc-9034-0ec98e554ccb

Benutzer authentifizieren sich nun einmalig bei Microsoft, und dieselbe Authentifizierung wird sowohl für den App-Zugriff als auch für den Intune-Schutz verwendet.

Darüber hinaus wird in Phase 2 die native Authentifizierungsbibliothek von Microsoft (MSAL) verwendet. Das bedeutet:

  • Benutzer melden sich über eine native Microsoft-Anmeldung an.
  • Richtlinien für bedingten Zugriff, die Microsoft Edge für die Webanmeldung erfordern, gelten nicht für diesen Ablauf.

Bedeutung für IT-Administratoren

Bereich Phase 1 (v2.3.1+) Phase 2 (v2.5.0+)
Entra ID-App-Registrierungen Zwei Unternehmensapps Eine Unternehmensapp
Benutzererfahrung bei der Anmeldung Es können mehrere Microsoft-Aufforderungen angezeigt werden Microsoft Single Sign-On

Einrichtung durch den IT-Administrator

Um Microsoft Intune MAM für die Emburse Enterprise iOS-App zu aktivieren, führen Sie bitte die folgenden Schritte aus.

1. Microsoft Intune in Emburse aktivieren

Bevor Intune-Richtlinien angewendet werden können, muss Intune für Ihr Unternehmen in Emburse aktiviert werden.

  • Diese Einstellung legt fest, ob die Emburse Enterprise-App versucht, sich bei der Anmeldung bei Intune zu registrieren.
  • Wenn Intune in Emburse nicht aktiviert ist, melden sich Benutzer ohne Intune-App-Schutz an, selbst wenn Intune in Microsoft Intune konfiguriert ist.
Wenden Sie sich an den Emburse-Support, um Intune für Ihr Unternehmen zu aktivieren.

Upgrade von Phase 1 zu Phase 2

Szenario Erforderliche Maßnahme
Verwaltete Geräte  Keine – Benutzer erhalten automatisch den Phase-2-Workflow bei der Aktualisierung auf v2.5.0
BYOD (unverwaltete) Geräte Wenden Sie sich an den Emburse-Support, um die BYOD-Unterstützung zu aktivieren.

2. Die Emburse Enterprise App zu Intune hinzufügen

  • Fügen Sie die iOS-App aus dem App Store hinzu.

  • Weisen Sie die Anwendung den entsprechenden Benutzern oder Gerätegruppen zu.

3. Erforderliche Microsoft Entra ID-Berechtigungen gewähren

Für Intune MAM sind die folgenden Microsoft Entra ID-Berechtigungen erforderlich:

  • User.Read
  • DeviceManagementManagedApps.ReadWrite.All

Ein Administrator muss für diese Berechtigungen eine tenantweite Administratorzustimmung erteilen.

Verwenden Sie diesen Link, um für die unten beschriebenen erforderlichen Berechtigungen automatisch die Admin-Genehmigung zu erteilen.

Wenn diese Berechtigungen nicht erteilt werden, sehen die Benutzer während des Anmeldevorgangs eine Fehlermeldung „Admin-Genehmigung erforderlich“.

4. App-Schutzrichtlinien konfigurieren

  • Erstellen Sie App-Schutzrichtlinien für:
    • Verwaltete Geräte
    • Unverwaltete (BYOD)-Geräte
  • Konfigurieren Sie die Einstellungen zum Datenschutz gemäß den Anforderungen Ihres Unternehmens.
  • Weisen Sie denselben Benutzergruppen wie der App Richtlinien zu.
Die Emburse Enterprise-App erfordert bereits beim Öffnen der App die Eingabe eines Passworts oder eine biometrische Authentifizierung. Wenn Sie in der Richtlinie zum Schutz Ihrer Intune-App eine Bildschirmsperre konfigurieren, müssen Benutzer zwei Eingaben vornehmen: zunächst die Intune-PIN und anschließend das in der App integrierte Passwort oder die biometrische Authentifizierung.

5. App-Konfiguration einrichten (nur verwaltete Geräte)

Bei verwalteten iOS-Geräten sorgt eine App-Konfigurationsrichtlinie für eine verbesserte Anmeldeerfahrung.

  • Plattform: iOS/iPadOS
  • Ziel-App: Emburse Enterprise
  • Erforderliches Schlüssel-/Wertepaar:
    • Schlüssel: IntuneMAMUPN
    • Wert: {{UserPrincipalName}}

Nach der Konfiguration wird dieser Wert bei der Anmeldung automatisch in das E-Mail-Adressfeld des Benutzers vorausgefüllt.

6. Bedingte Zugriffsberechtigungen aktualisieren (falls zutreffend)

Falls Ihr Unternehmen Microsoft Entra ID-Richtlinien für bedingten Zugriff verwendet, ist es möglicherweise erforderlich, die Emburse Enterprise-App in Ihre Richtlinien aufzunehmen.

Die Berechtigungskontrolle „App-Schutzrichtlinie erforderlich“ im bedingten Zugriff wird für die Emburse Enterprise-App nicht unterstützt. Dies liegt daran, dass die Anwendung derzeit nicht in der Liste der richtlinienverwalteten Client-Anwendungen von Microsoft enthalten ist. Dies hat jedoch keine Auswirkungen auf den Intune-Schutz – die Emburse Enterprise-App registriert Benutzer automatisch in Intune MAM, sobald sie sich anmelden, und stellt so sicher, dass die App-Schutzrichtlinien angewendet werden, ohne dass diese Einstellung für bedingten Zugriff erforderlich ist.

7. Ihre Einrichtung überprüfen

Nachdem Sie die oben genannten Konfigurationsschritte abgeschlossen haben, überprüfen Sie bitte, ob der Intune-App-Schutz wie vorgesehen funktioniert.

Option A: Überprüfen Sie den Registrierungsstatus in Intune

  1. Rufen Sie das Microsoft Intune Admin-Center auf.
  2. Navigieren Sie zu Apps >Monitor >App-Schutzstatus.
  3. Vergewissern Sie sich, dass die Emburse Enterprise-App (com.emburse.mobile) als geschützt angezeigt wird.

Option B: Führen Sie einen Test mit PIN-Anforderung durch.

  1. Aktivieren Sie in Ihrer App-Schutzrichtlinie unter „Zugriffsanforderungen“ die Option PIN für Zugriff erforderlich.
  2. Lassen Sie einen Benutzer sich bei der Emburse Enterprise-App anmelden.
  3. Wenn dem Benutzer nach der Anmeldung eine Aufforderung zur Eingabe der Intune-PIN angezeigt wird, wird die App-Schutzrichtlinie korrekt angewendet.
Die PIN-Aufforderung wird von Intune verwaltet, nicht von der Emburse Enterprise-App. Sollten Benutzer diese Aufforderung nicht sehen, überprüfen Sie bitte, ob die App-Schutzrichtlinie den richtigen Benutzergruppen zugewiesen ist und ob die Geräte der Benutzer die Richtlinienanforderungen erfüllen.

War dieser Beitrag hilfreich?