Zero-Touch-Deployment mit Apple Business Manager und JAMF Pro: Onboarding in 48 Stunden

Ein neues MacBook trifft beim Mitarbeitenden ein, wird ausgepackt und eingeschaltet. Nach 15 bis 20 Minuten sind alle Apps, Einstellungen, Zugänge und Sicherheitsrichtlinien automatisch eingerichtet. Kein IT-Techniker vor Ort. Kein manuelles Setup. Kein Medien- oder Image-Transfer. Das ist Zero-Touch-Deployment, und für Unternehmen mit wachsenden Apple-Flotten ist es 2026 der einzige skalierbare Weg, neue Geräte produktiv zu stellen. Der Artikel erklärt, wie die Infrastruktur aufgebaut ist, wie ein Onboarding-Prozess innerhalb von 48 Stunden realisiert wird und welche Fallstricke typisch sind.

Warum manuelle Gerätebereitstellung 2026 nicht mehr funktioniert

Bis vor wenigen Jahren gab es zwei gängige Wege, Apple-Geräte unternehmensweit bereitzustellen. Das manuelle Imaging setzte auf vorkonfigurierte Festplatten-Images, die per USB oder Netzwerk auf neue Macs übertragen wurden. Diese Methode ist für moderne Apple-Hardware nicht mehr unterstützt. Macs mit Apple Silicon und T2-Chips lassen sich nicht mehr über klassische Images klonen. Die zweite Methode war die benutzerinitiierte Registrierung, bei der Mitarbeitende über eine URL manuell das MDM-Profil laden. Das funktioniert, ist aber fehleranfällig und setzt voraus, dass der Anwender technisch geschult ist.

Parallel ist die Geräteanzahl in typischen Mittelstands-IT-Umgebungen gewachsen. Unternehmen mit 50 bis 200 Mitarbeitenden haben in der Regel genauso viele bis doppelt so viele Endgeräte. Die manuelle Einrichtung bindet bei dieser Dimension eine volle IT-Stelle, allein fürs Onboarding. Zero-Touch-Deployment löst dieses Problem strukturell.

Die drei Bausteine: Apple Business Manager, Automated Device Enrollment und JAMF Pro

Zero-Touch-Deployment ist kein einzelnes Produkt, sondern das Zusammenspiel aus drei Infrastrukturkomponenten.

Apple Business Manager (ABM)

Apple Business Manager ist das kostenlose Apple-Unternehmensportal, das seit 2018 das frühere Device Enrollment Program (DEP) und das Volume Purchase Program (VPP) in einer einzigen Konsole vereint. Unternehmen registrieren sich über ihre D-U-N-S-Nummer, verifizieren ihre Identität und erhalten Zugriff auf das Portal. Die Einrichtung dauert typischerweise drei bis fünf Werktage, weil Apple die Unternehmensidentität manuell prüft.

In ABM werden drei Dinge zusammengeführt. Erstens die autorisierten Händler, über die das Unternehmen Apple-Geräte bezieht. Jedes Gerät, das über einen autorisierten Händler bestellt wird, erscheint automatisch im ABM-Portal. Zweitens die MDM-Server-Registrierung, über die JAMF Pro als Management-Plattform hinterlegt wird. Drittens der Volumeneinkauf von App-Lizenzen, die ohne Apple-ID auf Geräten ausgerollt werden können.

Automated Device Enrollment (ADE)

Automated Device Enrollment ist der technische Mechanismus, der ABM und JAMF Pro verbindet. Wenn ein Mitarbeitender ein neues MacBook erstmals einschaltet und mit WLAN verbindet, identifiziert sich das Gerät über seine eindeutige Seriennummer bei Apple, wird dem im ABM hinterlegten Unternehmen zugeordnet und automatisch an den registrierten JAMF-Pro-Server weitergeleitet. Der gesamte Vorgang läuft innerhalb der ersten Sekunden des Einrichtungsassistenten und erfordert keine Interaktion vom Nutzer, außer der WLAN-Anmeldung.

ADE ist nicht optional für Zero-Touch. Ohne ADE gibt es keine Zero-Touch. Die Verknüpfung von Gerät, Unternehmen und MDM-Server geschieht ausschließlich über diesen Mechanismus. Das ist auch der Grund, warum Zero-Touch nur mit Geräten funktioniert, die über einen ABM-registrierten Händler bezogen wurden. Ein bei Amazon gekauftes MacBook erscheint nicht automatisch in ABM.

JAMF Pro als Konfigurationsmaschine

JAMF Pro ist die dritte Komponente und liefert die eigentliche Konfiguration. Nachdem ADE das Gerät an JAMF übergeben hat, übernimmt JAMF Pro die Zuweisung von Configuration Profiles, Policies, App-Installationen und Sicherheits-Baselines. Die Tiefe dieser Konfiguration bestimmt, wie vollständig das Gerät beim ersten Einschalten einsatzbereit ist.

Eine vollständige Zero-Touch-Konfiguration umfasst typischerweise die Grundeinstellungen wie Spracheinstellung, Zeitzone und Tastaturlayout, die Security-Baseline mit FileVault, Firewall und Gatekeeper, die Identity-Anbindung über JAMF Connect oder Platform SSO mit Microsoft Entra ID oder Google Workspace, die App-Installationen für Unternehmens-Apps wie Microsoft 365, Slack, 1Password oder Adobe Creative Cloud, die Zertifikate für WLAN und interne Systeme sowie die Konfiguration der Self-Service-Oberfläche, über die Mitarbeitende zusätzliche freigegebene Software installieren können.

Der Zero-Touch-Prozess Schritt für Schritt

Der gesamte Ablauf gliedert sich in fünf Schritte, von denen vier einmalig sind und einer sich für jedes neue Gerät wiederholt.

Schritt 1: Einmalige Infrastruktur-Vorbereitung

Die Grundeinrichtung umfasst die Registrierung bei Apple Business Manager, die Verknüpfung mit autorisierten Händlern, die Konfiguration des JAMF-Pro-MDM-Servers in ABM und die Definition der Basis-Konfigurationsprofile. Dieser Schritt ist der zeitaufwändigste Teil der Einführung, wird aber nur einmal pro Unternehmen durchgeführt. Zeitlicher Aufwand: drei bis fünf Werktage für die ABM-Verifikation plus zwei bis drei Werktage für die technische Einrichtung.

Schritt 2: Gerätebestellung über ABM-registrierten Händler

Geräte werden ausschließlich über einen autorisierten Händler bestellt, der die Kundennummer des Unternehmens in ABM kennt. Die Seriennummern der bestellten Geräte erscheinen innerhalb weniger Stunden im ABM-Portal. Dieser Schritt kostet keine zusätzliche Zeit gegenüber einer normalen Bestellung. Die Geräte werden direkt an das Unternehmen oder den Mitarbeitenden versandt, ohne Zwischenstation in der IT-Abteilung.

Schritt 3: Zuweisung im JAMF Pro

Bevor das Gerät beim Mitarbeitenden ankommt, wird es in JAMF Pro einem Nutzer oder einer Gruppe zugeordnet. Diese Zuweisung bestimmt, welche Apps, welche Policies und welche Profile auf dem Gerät landen. Ein Design-Mitarbeitender bekommt andere Apps als ein Sales-Mitarbeitender. Eine Führungskraft bekommt andere Security-Policies als ein Praktikant. Die Zuweisung dauert in der Regel zwei bis fünf Minuten pro Gerät.

Schritt 4: Direktlieferung an den Mitarbeitenden

Das Gerät wird direkt vom Händler an den Mitarbeitenden geschickt. Keine IT-Zwischenstation, keine manuelle Einrichtung, keine Vorbereitung. Diese Direktlieferung ist besonders wertvoll für Remote-Teams, Außendienst und verteilte Standorte, weil sie Transport- und Logistikkosten spart.

Schritt 5: Auspacken und Einschalten durch den Mitarbeitenden

Der Mitarbeitende packt das Gerät aus, schaltet es ein und verbindet sich mit WLAN. Der Setup-Assistent läuft durch, wobei die meisten Schritte durch PreStage-Konfiguration in JAMF Pro übersprungen werden. Im Hintergrund werden Apps installiert, Profile ausgerollt und Security-Baselines aktiviert. Nach 15 bis 20 Minuten meldet der Mitarbeitende sich mit seinen Firmen-Credentials an und kann produktiv arbeiten.

Onboarding innerhalb von 48 Stunden: Wie das technisch funktioniert

Ein häufiger Anspruch in Bewerbungsgesprächen ist die Fähigkeit, neue Mitarbeitende innerhalb von 48 Stunden produktiv einsatzbereit zu machen. Für Apple-Unternehmen mit Zero-Touch-Infrastruktur ist das kein Wunschdenken, sondern Standard. Der Ablauf lässt sich auf zwei Tage komprimieren.

Tag 0 (Vertragsunterzeichnung): HR kommuniziert den neuen Mitarbeitenden, Abteilung und geplantes Arbeitsequipment an die IT. In JAMF Pro wird der Nutzer angelegt oder über die Identity-Provider-Synchronisation automatisch übernommen. Ein vorbestelltes MacBook wird im ABM-Portal dem Nutzer zugewiesen.

Tag 1 (Versand): Der autorisierte Händler versendet das Gerät per Expressversand an die Heimadresse oder den Arbeitsplatz des Mitarbeitenden. Parallel wird im JAMF Pro die finale Policy- und App-Zuweisung durchgeführt.

Tag 2 (Produktivitätsstart): Der Mitarbeitende erhält das Gerät, packt es aus, schaltet es ein. Der automatische Setup-Prozess läuft, und nach 20 Minuten ist das MacBook mit allen notwendigen Apps, E-Mail-Zugang, VPN und Kalender-Integration produktiv.

Der Zeitrahmen von 48 Stunden ist eng, aber realistisch. Voraussetzung ist, dass die Infrastruktur vollständig eingerichtet ist, Geräte vorhanden oder schnell lieferbar sind und JAMF-Policies für Standardrollen definiert sind. Unternehmen, die diesen Standard noch nicht haben, benötigen den Aufbau dieser Infrastruktur als Einmalinvestition.

Zero-Touch für iPhones und iPads

Das gleiche Prinzip funktioniert für iPhones und iPads. Automated Device Enrollment läuft für iOS und iPadOS identisch zu macOS. JAMF Pro verwaltet Konfigurationsprofile, Apps und Restrictions auf iPhones genauso wie auf Macs. Besonders relevant ist Zero-Touch für iPhones bei drei Szenarien.

Erstens im Außendienst: Sales-Mitarbeitende, die bundesweit oder international unterwegs sind, bekommen ihr Dienst-iPhone direkt an den jeweiligen Standort geschickt. Zweitens bei geteilten Geräten: Einzelhandelsfilialen, Praxen oder Werkstätten nutzen iPads als gemeinsame Arbeitsstationen. Über Shared iPad mit Apple Business Manager lassen sich Nutzer-spezifische Daten sauber trennen. Drittens in BYOD-Szenarien mit User-Enrollment: Hier nutzen Mitarbeitende private iPhones für dienstliche Zwecke, wobei nur der Arbeitsbereich verwaltet wird und private Daten getrennt bleiben.

Was automatisch ausgerollt wird

Die Tiefe der Zero-Touch-Konfiguration bestimmt, wie vollständig das Gerät beim ersten Einschalten einsatzbereit ist. In einer typischen KMU-Konfiguration werden folgende Komponenten automatisch ausgerollt.

Auf dem Mac sind das die Unternehmens-Apps wie Microsoft 365, Google Workspace, Slack, Zoom, 1Password oder LastPass, Adobe Creative Cloud bei Bedarf, der VPN-Client mit Unternehmensprofil, Zertifikate für WLAN und interne Systeme, die Security-Baseline mit FileVault, Firewall, Gatekeeper und Passwort-Policy, die JAMF-Connect-Integration für Single Sign-On mit Microsoft Entra ID, Okta oder Google Workspace sowie das JAMF Self Service Portal mit optional installierbarer Software.

Auf dem iPhone oder iPad sind das die produktiven Apps wie Mail, Kalender, Teams, Slack, die sicherheitsrelevanten Apps wie VPN und Passwort-Manager, das E-Mail-Konto mit Exchange- oder Google-Konfiguration, der Kalender mit Firmenressourcen, der Managed-App-Store mit freigegebenen zusätzlichen Apps sowie die Restrictions für Kamera, iCloud-Backup oder App-Store-Zugriff, je nach Compliance-Anforderung.

Voraussetzungen und Kostenrahmen

Die Einführung von Zero-Touch-Deployment hat klare Voraussetzungen und einen planbaren Kostenrahmen.

Technische Voraussetzungen

Ein Unternehmen benötigt einen Apple-Business-Manager-Account, der kostenlos ist. Die Verifikation dauert drei bis fünf Werktage. Der Gerätekauf muss über einen ABM-registrierten Händler laufen, damit Geräte automatisch im Portal erscheinen. Eine JAMF-Pro-Lizenz (4,17 Euro pro Gerät und Monat) oder der JAMF Business Plan für kleinere Umgebungen wird benötigt. Die einmalige Einrichtung der Konfigurationsprofile, PreStage-Enrollments und Policies ist der Hauptaufwand der Initialphase.

Ab wann es sich lohnt

Zero-Touch-Deployment rechnet sich ab rund 10 Apple-Geräten und regelmäßigem Onboarding. Bei weniger Geräten und seltenen Neueinstellungen ist der Einrichtungsaufwand relativ hoch zum Nutzen. Ab 20 Geräten oder mehr als einer Neueinstellung pro Quartal amortisiert sich die Infrastruktur innerhalb eines Jahres. Wer detaillierte Kostenberechnungen sucht, findet sie im Artikel zu JAMF Pro Kosten und ROI.

Häufige Fehler bei der Zero-Touch-Einführung

In über 50 JAMF-Projekten zeigen sich vier Fehler besonders häufig.

Fehler 1: ABM-Verifikation zu spät gestartet. Die Apple-Verifikation braucht drei bis fünf Werktage und kann nicht beschleunigt werden. Wer Zero-Touch kurzfristig einführen will, stolpert über diese Wartezeit. Der erste Schritt in jedem Zero-Touch-Projekt ist die ABM-Registrierung, noch vor der JAMF-Lizenz oder der Policy-Definition.

Fehler 2: Geräte über nicht-registrierte Händler gekauft. MacBooks oder iPhones, die über Amazon, MediaMarkt oder andere Consumer-Kanäle gekauft wurden, erscheinen nicht automatisch in ABM. Sie lassen sich nachträglich über Apple Configurator einbinden, aber nur als supervised, was zusätzlichen Aufwand pro Gerät bedeutet. Regel: Alle Unternehmensgeräte ausschließlich über autorisierte Händler beziehen.

Fehler 3: Zu viele Apps beim ersten Enrollment. Wer 25 Apps gleichzeitig beim ersten Einschalten installieren will, überlastet Netzwerk und Gerät. Die Erstkonfiguration bricht ab, der Mitarbeitende sieht Fehler. Besser ist eine Staffelung: Security-Baseline und Basis-Apps beim Enrollment, spezialisierte Apps über Self-Service oder zeitversetzt über Maintenance-Windows.

Fehler 4: PreStage-Enrollment nicht konfiguriert. Ohne PreStage-Konfiguration läuft der Mac durch den kompletten Setup-Assistenten von Apple, inklusive Standort-Services, Siri-Aktivierung, Account-Erstellung und Diagnostics. Das sind zehn Klicks pro Gerät, die vermeidbar sind. PreStage überspringt diese Schritte und beschleunigt das Onboarding um fünf bis zehn Minuten pro Gerät.

Häufig gestellte Fragen zu Zero-Touch-Deployment

Was genau ist Zero-Touch-Deployment?

Zero-Touch-Deployment bezeichnet die vollautomatische Einrichtung neuer Apple-Geräte ohne manuellen IT-Eingriff. Ein Mitarbeitender erhält das Gerät direkt vom Händler, schaltet es ein, verbindet WLAN und erhält nach 15 bis 20 Minuten ein vollständig konfiguriertes MacBook oder iPhone mit Apps, Security-Einstellungen und Unternehmens-Zugängen. Die Technologie basiert auf Apple Business Manager, Automated Device Enrollment und einem MDM-System wie JAMF Pro.

Wie lange dauert die Einführung von Zero-Touch-Deployment?

Die technische Einrichtung dauert bei korrekter Vorbereitung zwei bis drei Wochen. Davon entfallen drei bis fünf Werktage auf die Apple-Business-Manager-Verifikation, die nicht beschleunigt werden kann. Der Rest ist JAMF-Pro-Konfiguration, Policy-Definition und Testing. Unternehmen, die mit zertifizierten Partnern arbeiten, können die Einführung in zwei Wochen abschließen.

Funktioniert Zero-Touch-Deployment auch für bestehende Macs?

Nur eingeschränkt. Geräte, die vor der ABM-Registrierung gekauft wurden oder über nicht-autorisierte Händler bezogen wurden, erscheinen nicht automatisch in ABM. Sie lassen sich über Apple Configurator nachträglich in den supervised Status versetzen und einbinden, was zusätzlichen Aufwand bedeutet. Für Neugeräte ab einem definierten Stichtag funktioniert Zero-Touch dagegen reibungslos.

Können Mitarbeitende das Zero-Touch-Setup ablehnen?

Nein, bei Automated Device Enrollment über Apple Business Manager ist die MDM-Registrierung nicht entfernbar durch den Nutzer. Das Gerät ist dauerhaft mit dem Unternehmens-JAMF verbunden, bis es vom Admin wieder aus ABM entfernt wird. Das unterscheidet ADE von der klassischen User-Enrollment-Methode, bei der der Nutzer das MDM-Profil theoretisch entfernen könnte.

Was kostet Zero-Touch-Deployment pro Gerät?

Apple Business Manager ist kostenlos. Die JAMF-Pro-Lizenz kostet 4,17 Euro pro Gerät und Monat, also 50 Euro pro Jahr. Hinzu kommt einmalig der Implementierungsaufwand, der bei Unternehmen mit 20 bis 50 Geräten typischerweise zwischen 8.000 und 15.000 Euro liegt. Die Einsparungen durch automatisiertes Onboarding amortisieren die Kosten in der Regel innerhalb von 6 bis 12 Monaten.

Zero-Touch-Einrichtung mit mx-itsolutions

Als erster und einziger Apple Premium Technical Partner in Deutschland richtet mx-itsolutions GmbH Zero-Touch-Deployment als Standard ab dem ersten Gerät ein. Sechs JAMF-zertifizierte Experten, Standorte in Frankfurt am Main und München, Erfahrung aus über 50 JAMF-Implementierungen. Ein kostenloses Erstgespräch zur Zero-Touch-Einführung lässt sich über mx-it.com/kontakt vereinbaren. Weiterführend zum Thema JAMF Pro Implementierung, Apple MDM für Unternehmen oder Apple Business Manager Setup.