Enrollment von iOS- / iPad-Geräten

Hinweis
Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
Alle Angaben ohne Gewähr.

Enrollment von iOS- / iPad-Geräten mit Apples Device Enrollment Program (Apple DEP)

Neuer Artikel: 07.2024

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

Einleitung

Dieses HowTo beschreibt das Enrollment von iOS- / iPad-Geräten in das Securepoint Mobile Security Portal. Dadurch werden diese iOS- / iPad-Geräte in das Securepoint Mobile Device Management (MDM) Portal eingebunden.
Die Zuordnung des Geräte-Profils, der Benutzer und der Apps, können so schon vorbereitend vorgenommen werden, obwohl das Gerät noch nicht vollständig am MDM angemeldet ist.
Sobald das iOS- / iPad-Gerät mit dem Internet verbunden und initialisiert wird, werden diese Konfigurationen automatisch heruntergeladen und umgesetzt.

COBO: Company owned, business only

Firmeneigentum ohne private Nutzung:

Die Geräte sind nur für den Einsatz im Unternehmensumfeld gedacht
Der IT-Administrator hat die volle Kontrolle über das Smartphone
Private Daten sind auf dem Gerät strikt untersagt

Übersicht der Enrollment-Schritte:

Vorbereitungen im MDM-Portal:
1. Voraussetzung erfüllt: Lizenz und ABM vorhanden, Gerät kompatibel
2. Apple Push Zertifikat, DEP-Token und VPP-Token im MDM-Portal vorhanden
3. Apple Re-Enrollment in den Einstellungen aktivieren
4. DEP Profil und DEP PIN angelegt
5. Gerät dem ABM mit einem Mac oder der iOS-App Configurator hinzugefügt
6. Geräteprofil im Portal angelegt
7. Im ABM erworbene Apps per Tags zugeordnet
8. Im Portal neuer Benutzer hinzugefügt, oder über Entra ID eingebunden
Geräteeinbindung:
1. Gerät im ABM dem Securepoint MDM-Server zugeordnet
2. Im Portal erzeugte Gerätekachel die ABG annehmen und Lizenz auswählen
3. Zuordnungen von:
  1. Gerätenamen vergeben
  2. Benutzer zuordnen
  3. Apptags
  4. Geräteprofil
4. Einrichtung auf dem Gerät fortfahren

Voraussetzung

iOS- bzw. iPadOS-Version 14 oder höher
eine Mobile Device Management (MDM)- Lizenz muss vorhanden sein
Zugang zum Apple Business Manager vorhanden

notempty

Die Geräte dürfen nicht in das ABM/ASM des Resellers hinzugefügt werden! Dies wäre ein Verstoß gegen Apples AGB!
Es ist angebracht, dass jeder Endkunde sein eigenes ABM/ASM Account hat und die Geräte dort entsprechend hinzugefügt werden.

Registrierung im Apple Business Manager

Es gibt zwei verschiedene Möglichkeiten das iOS-/iPad-Gerät im Apple Business Manager (ABM) zu registrieren:

mit der iOS-App Apple Configurator
mit einem Apple MAC mit installiertem Apple Configurator

MS Enrollment Apple-Configurator Schritt1.PNG

Abb.1

Für das Enrollment muss das iPad zurückgesetzt sein. Hier befindet sich eine Beschreibung dazu.

MS Enrollment Apple-Configurator Schritt2.PNG

Abb.2

Das zurückgesetzte iPad starten.

MS Enrollment Apple-Configurator Schritt3.PNG

Abb.3

Die Anleitung des Systemassistenten auf dem iPad befolgen, bis zum Abschnitt Auswählen eines WLANs.notempty

Auf keinen Fall ein WLAN auswählen! Sollte doch eines ausgewählt worden sein, muss das iPad neu gestartet werden.

MS Enrollment Apple-Configurator Schritt4.PNG

Abb.4

Apple Configurator App beim iPhone einrichten:

Anmelden beim Business/School Manager
Einstellungen → WLAN teilen notempty
Das WLAN darf nicht unverschlüsselt sein!
MDM-Serverzuweisung → Bestimmt → Securepoint MDM auswählen

MS Enrollment Apple-Configurator Schritt4.jpeg

Abb.5

Apple Configurator des iPhone starten und dicht an das iPad ranhalten.

Entweder

Das Bild im Systemassistenten des iPad mit dem Apple Configurator einscannen.

oder

Manuell koppeln: Manuell koppeln im Systemassistenten des iPad klicken und dann auf Manuelles koppeln im Apple Configurator. Den angezeigten 6-stelligen Code eingeben.

Sollte Koppeln im Systemassistenten nicht angezeigt werden, Apple Configurator erneut aufrufen.

MS Enrollment Apple-Configurator Schritt6.PNG

Abb.6

Das iPad wird hinzugefügt. Den Systemassistenten fortführen.

MS Enrollment Apple-Configurator Schritt7.jpeg

Abb.7

Den Vorgang des Systemassistenten des iPad fortführen bis Löschen notempty
Das iPad noch nicht löschen!
Gegebenenfalls überprüfen, ob im ASM/ABM unter Geräte das iPad dem MDM-Server korrekt zugeordnet wurde

MS Enrollment Apple-Configurator Schritt8.png

Abb.8

Im MDM-Portal unter sollte das iPad aufgelistet werden. Dort kann es einem Profil zugewiesen werden.

Das iPad taucht im MDM Portal auf.
Unter Mobile Security iOS/iPadOS DEP Profile das iPad ein DEP-Profil zugewiesen:
- über die Schaltfläche Profil hinzufügen ein neues DEP Profil erstellen und unter Geräte das iPad hinzufügen, oder
- ein bestehendes DEP Profil auswählen und in diesem unter Geräte das iPad hinzufügen
Erst wenn das DEP-Profil zugewiesen wurde, kann das iPad gelöscht werden.
Beim Neustart meldet sich das iPad per "Entfernte Verwaltung" an. Schließt man das Setup ab, ist der Enrollment-Vorgang abgeschlossen.

MacOS 14.5 Einstellungen Internetfreigabe.png

Abb.1

Option für Internetzugang am Gerät:

Aktivierung der Internetfreigabe für das angeschlossene Apple-Gerät:
Nachdem das iOS-/iPad-Gerät am Mac angeschlossen wurde, wird über Systemeinstellungen → Allgemein → Teilen → Internetfreigabe
Den Anschluss aktivieren, über den das Gerät am Mac angeschlossen ist.
Verbindung teilen entsprechend einstellen und die Internetfreigabe aktivieren.

Abb.2

Option für Internetzugang am Gerät:

Anlegen eines WLAN-Profils im Apple Configurator 2:
Menü Ablage / Neues Profil Abschnitt WLAN:
Hier kann WLAN konfiguriert werden.
Das iOS-Gerät verbindet sich nach Einrichtung durch den Apple Configurator 2 automatisch mit dem hier konfigurierten WLAN und verbindet sich sofort mit DEP und dem MDM-Server.
Speichern im Menu Ablage / Speichern unter.

Abb.3

iPhone / iPad an den Mac anschließen und dem Zugriff durch den Apple Configurator 2 vertrauen.
Gerät auswählen und Konfiguration durch betätigen der Schaltfläche Vorbereiten.

Abb.4

Geräte vorbereiten:

Vorbereiten mit Manuelle Konfiguration aktivieren von:

Zu Apple School Manager oder Apple Business Manager hinzufügen
Geräten erlauben, sich mit anderen Computern zu koppeln

MacOS 14.5 Configurator MDM-registrieren.png

Abb.5

Bei MDM-Server registrieren:
Server: Neuer Server…

Wurde bereits ein anderes Gerät aufgenommen, kann hier ein Server ausgewählt werden.
Andernfalls können die Konfigurationsdaten im nächsten Schritt hinterlegt werden.

MacOS 14.5 Configurator MDM-festlegen leer.png

Abb.6

MDM-Server festlegen
Name Eindeutiger Name (frei wählbar)
Hostname oder URL: leer lassen. Dadurch wird das Gerät lediglich ans ABM registriert. Die Zuordnung an den MDM-Server erfolgt später.

MacOS 14.5 Configurator MDM-festlegen Fehler.png

Abb.7

Wenn noch kein MDM-Server hinterlegt wurde:

MDM-Server festlegen Meldung: Die Registrierungs-URL des Servers konnte nicht überprüft werden.
Da das macOS das Zertifikat des individuellen Kundenzugangs zum Securepoint Mobile Security Portal noch nicht kennt, kann die URL nicht überprüft werden. Sie ist aber dennoch korrekt!

MacOS 14.5 Configurator MDM-festlegen Zertifikat leer.png

Abb.8

Zertifikate mit Vertrauensanker für den MDM-Server hinzufügen:
Da kein Server eingetragen wurde, kann auch kein Zertifikat hinzugefügt werden. Einfach auf Weiter klicken.

MacOS 14.5 Configurator Installationsassistent.png

Abb.9

iOS-Installationsassisten konfigurieren:

Hier werden die Schritte ausgewählt, die der Benutzer im Installationsassistenten ausführen muss.

MacOS 14.5 Configurator Konfigurationsprofil-WLAN leer.png

Abb.10

Netzwerkprofil auswählen

Auswählen... es muss kein Profil ausgewählt werden

MacOS 14.5 Configurator Konfigurationsprofil-WLAN.png

Abb.11

Netzwerkprofil auswählen

Auswählen... des erstellten Apple Configurator Netzwerkprofils

Macos 14.5 Configurator Fehler bereits-vorbereitet.png

Abb.12

Configurator konnte die angeforderte Aktion nicht ausführen, weil „iPad“ bereits vorbereitet wurde.

Wenn diese Meldung erscheint, ist dieses Gerät bereits schon einmal konfiguriert worden und die Einstellungen für den Systemassistenten können nicht direkt übertragen werden.
Mit Löschen werden alle Inhalte und Einstellungen gelöscht und das Gerät für eine (Erst-)Konfiguration mit Anbindung an das Securepoint Mobile Security Portal vorbereitet.

MacOS 14.5 Configurator iPad-vorbereiten.png

Abb.13

Das Gerät wird konfiguriert. Dabei wird das Gerät zurückgesetzt.
notempty
Sämtliche Daten auf dem Gerät werden dabei gelöscht. Nur Betriebssystemupdates bleiben erhalten.
Es werden in der Folge mehrere Schritte angezeigt, deren Zahl sich verändern kann.

Abb.14

Vorgang abgeschlossen.

Inbetriebnahme

Folgende Schritte sind für die Inbetriebnahme des iOS-/iPad-Gerätes ins MDM notwendig:

Apple Push Zertifikat, Apple DEP-Token und Apple VPP-Token sind vorhanden
vorhandenes DEP-Profil mit DEP-PIN
Geräte-Profil angelegt
Apps im ABM erworben und Apps per Tags zu Appgruppen zusammengefasst
Benutzer angelegt, bzw. diese über EntraID angebunden

Push Zertifikat / DEP-Token / VPP-Token

Unter Mobile Security Einstellungen werden folgende Schritte gemacht:

bei Apple Push Zertifikat überprüfen, ob ein Token vorhanden ist
- ist eines vorhanden, überprüfen, ob dieser noch nicht abgelaufen ist
- ist keines vorhanden, wird über die Schaltfläche Hinzufügen ein Apple Push Zertifikat hinzugefügt
bei Apple DEP überprüfen, ob ein Token vorhanden ist
- der folgende Wiki-Artikel beschreibt, wie ein Apple DEP-Token hinzugefügt wird
- anschließend DEP Profil-PIN festlegen aktivieren und einen 6-stelligen PIN eingeben und Speichern
- Option Apple Re-Enrollment aktivieren aktivieren
bei Apple VPP / Apple Business Manager / Apple School Manager überprüfen, ob ein Token vorhanden ist
- ist eines vorhanden, überprüfen, ob dieser noch nicht abgelaufen ist
- ist keines vorhanden, wird über die Schaltfläche Hinzufügen ein Apple Push Zertifikat hinzugefügt

Weitere Informationen sind im entsprechendem Wiki-Artikel zu finden.

DEP-Profil anlegen

Unter Mobile Security iOS/iPadOS DEP Profile wird mit der Schaltfläche Profil hinzufügen ein neues DEP-Profil angelegt.
Weitere Informationen sind sind im Wiki-Artikel DEP-Profile im MDM-Portal zu finden.
In Mobile Security Einstellungen unter Apple DEP bei DEP Profil-PIN festlegen einen eigenen PIN eingeben.

Geräte-Profil anlegen

In Mobile Security iOS/iPadOS Profile wird über die Schaltfläche Profil hinzufügen ein neues Profil für das Gerät angelegt.

Bei einem iOS-Gerät und iPad wird im Reiter Allgemein der Typ Geräteprofil ausgewählt
Bei einem Shared iPad wird im Reiter Allgemein der Typ Shared iPad ausgewählt
verschiedene Benutzer an einem Gerät

Die Konfiguration des Profils entsprechend fortführen. Weitere Informationen für die Konfiguration von iOS-/iPad-Geräten bzw. von Shared iPad-Geräten sind in den entsprechenden Wiki-Artikeln zu finden.

Apps

Falls die benötigten Apps für das iOS-/iPad-Gerät noch nicht vorhanden sind, so werden diese im Apple Business Manager erworben.
In Mobile Security iOS/iPadOS Apps werden die so neu erworbenen Apps mittels App hinzufügen hinzugefügt.
Die Apps mittels tags in benötigte Appgruppen zusammenfassen.
Weitere Informationen sind im Wiki-Artikel Apps zu finden.

Benutzer anlegen

Unter Allgemein Benutzer wird ein neuer Benutzer in das Portal angelegt. Zwei verschiedene Möglichkeiten stehen hierfür zur Verfügung:

Über die Schaltfläche Benutzer hinzufügen wird direkt im Portal ein Benutzer hinzugefügt
Über die Schaltfläche Benutzer importieren wird der Benutzer per CSV, oder per Entra ID importiert

Weitere Informationen bezüglich Benutzer hinzufügen und Benutzer importieren per Entra ID sind in den entsprechenden Wiki-Artikeln zu finden.

Erste Geräteanmeldung

Folgende Schritte sind für die erste Anmeldung eines iOS-/iPad-Gerätes ins MDM notwendig:

Gerät im ABM dem Securepoint MDM-Server zuordnen
Bei der generierten Gerätekachel die AGB annehmen und Lizenz auswählen
Gerätekachel konfigurieren (passenden Namen vergeben, Benutzer zuordnen, Geräteprofil zuordnen, Apptags zuordnen)
Einrichtung auf dem Gerät fortführen

Gerät im ABM dem Securepoint MDM-Server zuordnen

Diese Schritte sind notwending, um das iOS-/iPad-Gerät im Apple Business Manager (ABM) dem Securepoint MDM-Server zuzuordnen:

Unter Mobile Security Einstellungen Apple DEP Profil hinzufügen das Apple-Push-Zertifikat (*.pem-Datei) downloaden
Upload dieses Zertifikats im im Apple Business Manager bzw. Apple School Manager Menü Einstellungen (Klick auf den Benutzername in der Menüleiste)
- ABM: Sollte noch kein entsprechender MDM-Server angelegt sein:
  - ABM: Menü Einstellungen / Deine MDM-Server / Hinzufügen
  - ABM: MDM-Servername Eindeutiger Name
  - ABM: MDM-Server-Einstellungen Datei Auswählen: Zuvor im Securepoint Mobile Security Portal herunter geladene .*.pem-Datei hochladen und Sichern
- ABM: Auswahl des entsprechenden MDM-Servers ttt-point-mdm-Server-123456.sms
- ABM: Download des dep-Tokens mit Schaltfläche Token laden (*.p7m-Datei) im Apple Business Manager bzw. Apple School Manager im Menü
Hochladen der *.p7m-Datei in dem unter Punkt 1 geöffneten Dialgfenster im Securepoint Mobile Security Portal. Abschließen mit Fertig

Weitere Informationen sind im folgendem Wiki-Artikel zu finden.

AGB und Lizenz

Es wird im Portal bei Mobile Security iOS/iPadOS Geräte eine Gerätekachel mit dem Label ausgeloggt generiert. Diese Gerätekachel dient als Platzhalter.
Per Klick auf diese Gerätekachel öffnet sich ein Dialogfenster, indem die AGB angenommen wird. Dann wird die entsprechende Lizenz ausgewählt. Dadurch verschwindet das Label Bedingungen nicht akzeptiert von der Gerätekachel.

Gerätekachel konfigurieren

Diese Gerätekachel wird konfiguriert. Folgende Schritte sind dazu nötig:

Über die Schaltfläche bei der Gerätekachel, oder in den Gerätedetails, wird ein passender Name eingetragen und dieser per abgespeichert
Das zuvor angelegte Geräteprofil wird der Gerätekachel zugeordnet, indem im Profilreiter Allgemein bei der Option Geräte die Gerätekachel ausgewählt wird
Unter Tags werden die Apptags und damit die Appgruppen ausgewählt, die auf das Gerät installiert werden sollen
Unter Benutzer wird der gewünschte Benutzer dem Gerät zugeordnet

Geräteeinrichtung fortführen

Die Einrichtung auf dem iOS-/iPad-Gerät kann fortgeführt und abgeschlossen werden. Dabei muss der zuvor definierte DEP-PIN eingegeben werden.
Das Enrollment das Gerätes in das MDM-Portal ist damit abgeschlossen.

Apple Re-Enrollment

Diese Funktion steht erst zur Verfügung, wenn Apple Re-Enrollment unter Einstellungen aktiv ist.
Neu hinzugefügte DEP-Geräte werden automatisch im Portal registriert und können bereits vor ihrer ersten Nutzung individuell vorkonfiguriert werden. Die so festgelegten Einstellungen für Benutzerprofile, Anwendungen und Tags werden nahtlos bei der ersten Anmeldung des Gerätes angewendet.
Bei einer Wiederinbetriebnahme eines Gerätes erfolgt eine automatische Übertragung der Konfigurationen des Gerätes, vorausgesetzt, dieses ist noch im Portal vorhanden. Diese Profile werden mit dem Label Signed out markiert.