Zero-touch Apple-uitrol met Intune en Apple Automated Device Enrollment (DEP)
Met Apple Automated Device Enrollment en Microsoft Intune krijgt een Mac of iPhone zichzelf uit de doos klaar voor gebruik. Zo werkt zero-touch onboarding in een Microsoft-omgeving.
Een nieuwe medewerker, een verzegelde doos met een MacBook, en de wens dat het apparaat zichzelf klaarmaakt zodra het wordt aangezet. Dat is zero-touch onboarding, en met Apple Automated Device Enrollment (ADE, voorheen DEP) en Microsoft Intune is het goed te doen. Dit artikel legt uit hoe de twee samenwerken.
TL;DR
- Apple Automated Device Enrollment (ADE) heette eerder DEP en koppelt gekochte Apple-apparaten aan je organisatie.
- Microsoft Intune is de MDM die het apparaat configureert zodra het zich aanmeldt.
- Samen geven ze zero-touch: het apparaat haalt uit de doos zijn eigen instellingen, apps en policies op.
- De gebruiker logt in en kan aan de slag, zonder dat IT het apparaat heeft aangeraakt.
- Dit gaat over device-configuratie; asset management is een aparte laag erbovenop.
Wat Apple Automated Device Enrollment (DEP) is
Apple Automated Device Enrollment is de manier waarop Apple zakelijk aangeschafte apparaten aan een organisatie koppelt. Koop je Macs, iPhones of iPads via Apple Business Manager of een erkende reseller, dan verschijnen ze automatisch in je account. Je wijst ze toe aan je MDM-server, en vanaf dat moment weet elk apparaat bij het eerste opstarten dat het bij jouw organisatie hoort.
DEP was de oude naam; Apple noemt het inmiddels Automated Device Enrollment. De werking is hetzelfde: het apparaat is bij aankomst al gekoppeld, nog voordat iemand het uit de doos haalt.
Wat Microsoft Intune toevoegt
Intune is de MDM-laag in de Microsoft-omgeving. Zodra een ADE-apparaat voor het eerst opstart en verbinding maakt, meldt het zich bij Intune. Vanaf daar neemt Intune het over:
- Het zet de juiste configuratieprofielen klaar (wifi, beveiliging, restricties).
- Het installeert de apps die bij de gebruiker of de afdeling horen.
- Het past compliance-policies toe, zodat het apparaat aan je beveiligingseisen voldoet.
- Het koppelt het apparaat aan de identiteit in Entra ID.
Hoe zero-touch in de praktijk verloopt
| Stap | Wie doet het | Handwerk |
|---|---|---|
| Apparaat gekocht via Apple Business Manager | Inkoop of reseller | Nee |
| Apparaat verschijnt in je MDM-server | Automatisch | Nee |
| Doos gaat direct naar de medewerker | Logistiek | Nee |
| Medewerker zet aan, logt in | Medewerker | Nee |
| Intune zet config, apps en policies klaar | Automatisch | Nee |
| Apparaat klaar voor gebruik | Automatisch | Nee |
Wat zero-touch niet is
Zero-touch onboarding regelt de configuratie van het apparaat. Het is niet hetzelfde als asset management. Het feit dat Intune een apparaat ziet en configureert, betekent nog niet dat je een compleet beeld hebt van je assets: aanschafdatum, garantie, eigenaar over tijd, afschrijving, en wat er met het apparaat gebeurt na een vertrek.
Device management beantwoordt de vraag "is dit apparaat goed ingericht en compliant". Asset management beantwoordt de vraag "wat bezit ik, van wie is het, en wat is de status over de hele levensduur". Dat zijn twee verschillende lagen.
Hoe ServiceChanger hierin past
ServiceChanger is vandaag gericht op het automatiseren van toegang in Entra ID en on-prem AD op basis van regels (ABAC), plus het bijhouden van licentiegebruik op basis van Entra-aanmeldactiviteit. Apple en Intune zelf zorgen voor de zero-touch device-uitrol; dat is functionaliteit van het Microsoft- en Apple-platform.
Asset-automatisering rondom Intune staat op de roadmap van ServiceChanger. Het idee is om de device-data uit Intune te koppelen aan de identiteit en toegang die ServiceChanger al beheert, zodat de asset-laag aansluit op het toegangsmodel. ServiceChanger blijft Microsoft-gericht; de daadwerkelijke device-configuratie blijft het werk van Intune en Apple.
FAQ
Heb ik Apple Business Manager nodig? Voor ADE wel. Apparaten moeten via Apple Business Manager (of een erkende reseller die eraan koppelt) aan je organisatie hangen om zero-touch te halen.
Werkt dit ook voor bestaande apparaten? ADE werkt het schoonst voor nieuw aangeschafte apparaten. Bestaande apparaten kun je vaak nog koppelen, maar dat verloopt minder naadloos dan uit de doos.
Is dit hetzelfde als asset management? Nee. Zero-touch regelt de configuratie. Asset management is de laag die eigendom, status en levensduur over tijd bijhoudt.
Doet ServiceChanger de Intune-uitrol? Nee. De device-uitrol is Intune en Apple. Asset-automatisering rondom Intune staat op onze roadmap.
Verder lezen
- Is Microsoft Intune een ITAM-tool? voor het verschil tussen device management en asset management.
- ITSM maturity assessment: waar staat je servicedesk? voor waar device- en asset-automatisering past in je volwassenheid.
Volgende stap
Wil je je Microsoft-omgeving zo inrichten dat toegang en straks ook assets de identiteit volgen? ServiceChanger automatiseert toegang in Entra ID en on-prem AD, met asset-automatisering rondom Intune op de roadmap. Plan een demo of lees de documentatie.