Wechseln zu:Navigation, Suche
Wiki


































  • Hinweis
    Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
    Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
    Alle Angaben ohne Gewähr.
  • De.png
    En.png
    Fr.png









    Enrollment von iOS- / iPad-Geräten mit Apples Device Enrollment Program (Apple DEP)

    Neuer Artikel: 07.2024

    notempty
    Dieser Artikel bezieht sich auf eine Resellerpreview
    Aufruf: portal.securepoint.cloud  Mobile Security iOS/iPadOS Geräte

    Einleitung

    Dieses HowTo beschreibt das Enrollment von iOS- / iPad-Geräten in das Securepoint Mobile Security Portal. Dadurch werden diese iOS- / iPad-Geräte in das Securepoint Mobile Device Management (MDM) Portal eingebunden.
    Die Zuordnung des Geräte-Profils, der Benutzer und der Apps, können so schon vorbereitend vorgenommen werden, obwohl das Gerät noch nicht vollständig am MDM angemeldet ist.
    Sobald das iOS- / iPad-Gerät mit dem Internet verbunden und initialisiert wird, werden diese Konfigurationen automatisch heruntergeladen und umgesetzt.



    COBO: Company owned, business only

    Firmeneigentum ohne private Nutzung:

    • Die Geräte sind nur für den Einsatz im Unternehmensumfeld gedacht
    • Der IT-Administrator hat die volle Kontrolle über das Smartphone
    • Private Daten sind auf dem Gerät strikt untersagt

    Übersicht der Enrollment-Schritte:

    • Vorbereitungen im MDM-Portal:
      1. Voraussetzung erfüllt: Lizenz und ABM vorhanden, Gerät kompatibel
      2. Apple Push Zertifikat, DEP-Token und VPP-Token im MDM-Portal vorhanden
      3. Apple Re-Enrollment in den Einstellungen aktivieren
      4. DEP Profil und DEP PIN angelegt
      5. Gerät dem ABM mit einem Mac oder der iOS-App Configurator hinzugefügt
      6. Geräteprofil im Portal angelegt
      7. Im ABM erworbene Apps per Tags zugeordnet
      8. Im Portal neuer Benutzer hinzugefügt, oder über Entra ID eingebunden
    • Geräteeinbindung:
      1. Gerät im ABM dem Securepoint MDM-Server zugeordnet
      2. Im Portal erzeugte Gerätekachel die ABG annehmen und Lizenz auswählen
      3. Zuordnungen von:
        1. Gerätenamen vergeben
        2. Benutzer zuordnen
        3. Apptags
        4. Geräteprofil
      4. Einrichtung auf dem Gerät fortfahren





    Voraussetzung

    notempty
    Die Geräte dürfen nicht in das ABM/ASM des Resellers hinzugefügt werden! Dies wäre ein Verstoß gegen Apples AGB!
    Es ist angebracht, dass jeder Endkunde sein eigenes ABM/ASM Account hat und die Geräte dort entsprechend hinzugefügt werden.


    Registrierung im Apple Business Manager

    Es gibt zwei verschiedene Möglichkeiten das iOS-/iPad-Gerät im Apple Business Manager (ABM) zu registrieren:

    • mit der iOS-App Apple Configurator
    • mit einem Apple MAC mit installiertem Apple Configurator
    Step-by-step.png


    MS Enrollment Apple-Configurator Schritt1.PNG
    Abb.1
    Für das Enrollment muss das  iPad zurückgesetzt sein. Hier befindet sich eine Beschreibung dazu.
    MS Enrollment Apple-Configurator Schritt2.PNG
    Abb.2
    Das zurückgesetzte  iPad starten.
    MS Enrollment Apple-Configurator Schritt3.PNG
    Abb.3
    Die Anleitung des Systemassistenten auf dem  iPad befolgen, bis zum Abschnitt Auswählen eines WLANs.notempty
    Auf keinen Fall ein WLAN auswählen! Sollte doch eines ausgewählt worden sein, muss das  iPad neu gestartet werden.
    MS Enrollment Apple-Configurator Schritt4.PNG
    Abb.4
    Apple Configurator App beim  iPhone einrichten:
    • Anmelden beim Business/School Manager
    • Einstellungen → WLAN teilen notempty
      Das WLAN darf nicht unverschlüsselt sein!
    • MDM-Serverzuweisung → Bestimmt → Securepoint MDM auswählen
    MS Enrollment Apple-Configurator Schritt4.jpeg
    Abb.5
    Apple Configurator des  iPhone starten und dicht an das  iPad ranhalten.
    Entweder
    • Das Bild im Systemassistenten des  iPad mit dem Apple Configurator einscannen.
    oder
    • Manuell koppeln: Manuell koppeln im Systemassistenten des  iPad klicken und dann auf Manuelles koppeln im Apple Configurator. Den angezeigten 6-stelligen Code eingeben.
  • Sollte Koppeln im Systemassistenten nicht angezeigt werden, Apple Configurator erneut aufrufen.
  • MS Enrollment Apple-Configurator Schritt6.PNG
    Abb.6
    Das  iPad wird hinzugefügt. Den Systemassistenten fortführen.
    MS Enrollment Apple-Configurator Schritt7.jpeg
    Abb.7
    • Den Vorgang des Systemassistenten des  iPad fortführen bis Löschen notempty
      Das  iPad noch nicht löschen!
    • Gegebenenfalls überprüfen, ob im ASM/ABM unter Geräte das  iPad dem MDM-Server korrekt zugeordnet wurde
    MS Enrollment Apple-Configurator Schritt8.png
    Abb.8
    Im MDM-Portal unter  Mobile Security iOS/iPadOS Geräte sollte das  iPad aufgelistet werden. Dort kann es einem Profil zugewiesen werden.
    • Das  iPad taucht im MDM Portal auf.
    • Unter  Mobile Security iOS/iPadOS DEP Profile das  iPad ein DEP-Profil zugewiesen:
      • über die Schaltfläche  Profil hinzufügen ein neues DEP Profil erstellen und unter Geräte das  iPad hinzufügen, oder
      • ein bestehendes DEP Profil auswählen und in diesem unter Geräte das  iPad hinzufügen
    • Erst wenn das DEP-Profil zugewiesen wurde, kann das  iPad gelöscht werden.
    • Beim Neustart meldet sich das  iPad per "Entfernte Verwaltung" an. Schließt man das Setup ab, ist der Enrollment-Vorgang abgeschlossen.











    Step-by-step.png




    MacOS 14.5 Einstellungen Internetfreigabe.png
    Abb.1
    Option für Internetzugang am Gerät:
    • Aktivierung der Internetfreigabe für das angeschlossene Apple-Gerät:
      Nachdem das iOS-/iPad-Gerät am Mac angeschlossen wurde, wird über SystemeinstellungenAllgemeinTeilenInternetfreigabe
    • Den Anschluss aktivieren, über den das Gerät am Mac angeschlossen ist.
    • Verbindung teilen entsprechend einstellen und die Internetfreigabe aktivieren.
    MacOS 14.5 Configurator WLAN-Profil.png
    Abb.2
    Option für Internetzugang am Gerät:
    • Anlegen eines WLAN-Profils im Apple Configurator 2:
      Menü Ablage / Neues Profil Abschnitt WLAN:
      Hier kann WLAN konfiguriert werden.
    • Das iOS-Gerät verbindet sich nach Einrichtung durch den Apple Configurator 2 automatisch mit dem hier konfigurierten WLAN und verbindet sich sofort mit DEP und dem MDM-Server.
    • Speichern im Menu Ablage / Speichern unter.
    MacOS 14.5 Configurator.png
    Abb.3
    • iPhone / iPad an den Mac anschließen und dem Zugriff durch den Apple Configurator 2 vertrauen.
    • Gerät auswählen und Konfiguration durch betätigen der Schaltfläche MacOS 14.5 Configurator Vorbereiten Icon.png Vorbereiten.
    MacOS 14.5 Configurator Geräte-vorbereiten.png
    Abb.4
    Geräte vorbereiten:
    • Vorbereiten mit Manuelle Konfiguration aktivieren von:
    Zu Apple School Manager oder Apple Business Manager hinzufügen
    Geräten erlauben, sich mit anderen Computern zu koppeln
    MacOS 14.5 Configurator MDM-registrieren.png
    Abb.5
    Bei MDM-Server registrieren:
    Server: Neuer Server…
    • Wurde bereits ein anderes Gerät aufgenommen, kann hier ein Server ausgewählt werden.
    • Andernfalls können die Konfigurationsdaten im nächsten Schritt hinterlegt werden.
    MacOS 14.5 Configurator MDM-festlegen leer.png
    Abb.6
    MDM-Server festlegen
    Name Eindeutiger Name (frei wählbar)
    Hostname oder URL: leer lassen. Dadurch wird das Gerät lediglich ans ABM registriert. Die Zuordnung an den MDM-Server erfolgt später.
    MacOS 14.5 Configurator MDM-festlegen Fehler.png
    Abb.7
    Wenn noch kein MDM-Server hinterlegt wurde:
    • MDM-Server festlegen Meldung: Die Registrierungs-URL des Servers konnte nicht überprüft werden.
      Da das macOS das Zertifikat des individuellen Kundenzugangs zum Securepoint Mobile Security Portal noch nicht kennt, kann die URL nicht überprüft werden. Sie ist aber dennoch korrekt!
    MacOS 14.5 Configurator MDM-festlegen Zertifikat leer.png
    Abb.8
    Zertifikate mit Vertrauensanker für den MDM-Server hinzufügen:
    Da kein Server eingetragen wurde, kann auch kein Zertifikat hinzugefügt werden. Einfach auf Weiter klicken.
    MacOS 14.5 Configurator Installationsassistent.png
    Abb.9
    iOS-Installationsassisten konfigurieren:
    • Hier werden die Schritte ausgewählt, die der Benutzer im Installationsassistenten ausführen muss.
    MacOS 14.5 Configurator Konfigurationsprofil-WLAN leer.png
    Abb.10
    Netzwerkprofil auswählen
    • Auswählen... es muss kein Profil ausgewählt werden
    MacOS 14.5 Configurator Konfigurationsprofil-WLAN.png
    Abb.11
    Netzwerkprofil auswählen
    • Auswählen... des erstellten Apple Configurator Netzwerkprofils
    Macos 14.5 Configurator Fehler bereits-vorbereitet.png
    Abb.12
    Configurator konnte die angeforderte Aktion nicht ausführen, weil „iPad“ bereits vorbereitet wurde.
    • Wenn diese Meldung erscheint, ist dieses Gerät bereits schon einmal konfiguriert worden und die Einstellungen für den Systemassistenten können nicht direkt übertragen werden.
    • Mit Löschen werden alle Inhalte und Einstellungen gelöscht und das Gerät für eine (Erst-)Konfiguration mit Anbindung an das Securepoint Mobile Security Portal vorbereitet.
    MacOS 14.5 Configurator iPad-vorbereiten.png
    Abb.13
    • Das Gerät wird konfiguriert. Dabei wird das Gerät zurückgesetzt.
      notempty
      Sämtliche Daten auf dem Gerät werden dabei gelöscht. Nur Betriebssystemupdates bleiben erhalten.
    • Es werden in der Folge mehrere Schritte angezeigt, deren Zahl sich verändern kann.
    MacOS 14.5 Configurator fertig.png
    Abb.14
    Vorgang abgeschlossen.









    Inbetriebnahme

    Folgende Schritte sind für die Inbetriebnahme des iOS-/iPad-Gerätes ins MDM notwendig:

    1. Apple Push Zertifikat, Apple DEP-Token und Apple VPP-Token sind vorhanden
    2. vorhandenes DEP-Profil mit DEP-PIN
    3. Geräte-Profil angelegt
    4. Apps im ABM erworben und Apps per Tags zu Appgruppen zusammengefasst
    5. Benutzer angelegt, bzw. diese über EntraID angebunden

    Push Zertifikat / DEP-Token / VPP-Token

    Unter  Mobile Security Einstellungen werden folgende Schritte gemacht:

    • bei  Apple Push Zertifikat überprüfen, ob ein Token vorhanden ist
      • ist eines vorhanden, überprüfen, ob dieser noch nicht abgelaufen ist
      • ist keines vorhanden, wird über die Schaltfläche  Hinzufügen ein Apple Push Zertifikat hinzugefügt
    • bei  Apple DEP überprüfen, ob ein Token vorhanden ist
      • der folgende Wiki-Artikel beschreibt, wie ein Apple DEP-Token hinzugefügt wird
      • anschließend DEP Profil-PIN festlegen    aktivieren und einen 6-stelligen PIN eingeben und  Speichern
      • Option Apple Re-Enrollment aktivieren    aktivieren
    • bei  Apple VPP / Apple Business Manager / Apple School Manager überprüfen, ob ein Token vorhanden ist
      • ist eines vorhanden, überprüfen, ob dieser noch nicht abgelaufen ist
      • ist keines vorhanden, wird über die Schaltfläche  Hinzufügen ein Apple Push Zertifikat hinzugefügt

    Weitere Informationen sind im entsprechendem Wiki-Artikel zu finden.

    DEP-Profil anlegen

    Unter  Mobile Security iOS/iPadOS DEP Profile wird mit der Schaltfläche  Profil hinzufügen ein neues DEP-Profil angelegt.
    Weitere Informationen sind sind im Wiki-Artikel DEP-Profile im MDM-Portal zu finden.
    In  Mobile Security Einstellungen unter  Apple DEP bei DEP Profil-PIN festlegen einen eigenen PIN eingeben.

    Geräte-Profil anlegen

    In  Mobile Security iOS/iPadOS Profile wird über die Schaltfläche  Profil hinzufügen ein neues Profil für das Gerät angelegt.

    • Bei einem iOS-Gerät und iPad wird im Reiter Allgemein der Typ Geräteprofil ausgewählt
    • Bei einem Shared iPad wird im Reiter Allgemein der Typ Shared iPad ausgewählt
      verschiedene Benutzer an einem Gerät

    Die Konfiguration des Profils entsprechend fortführen. Weitere Informationen für die Konfiguration von iOS-/iPad-Geräten bzw. von Shared iPad-Geräten sind in den entsprechenden Wiki-Artikeln zu finden.

    Apps

    Falls die benötigten Apps für das iOS-/iPad-Gerät noch nicht vorhanden sind, so werden diese im Apple Business Manager erworben.
    In  Mobile Security iOS/iPadOS  Apps werden die so neu erworbenen Apps mittels  App hinzufügen hinzugefügt.
    Die Apps mittels   tags in benötigte Appgruppen zusammenfassen.
    Weitere Informationen sind im Wiki-Artikel Apps zu finden.

    Benutzer anlegen

    Unter  Allgemein  Benutzer wird ein neuer Benutzer in das Portal angelegt. Zwei verschiedene Möglichkeiten stehen hierfür zur Verfügung:

    • Über die Schaltfläche  Benutzer hinzufügen wird direkt im Portal ein Benutzer hinzugefügt
    • Über die Schaltfläche  Benutzer importieren wird der Benutzer per CSV, oder per Entra ID importiert

    Weitere Informationen bezüglich Benutzer hinzufügen und Benutzer importieren per Entra ID sind in den entsprechenden Wiki-Artikeln zu finden.



    Erste Geräteanmeldung

    Folgende Schritte sind für die erste Anmeldung eines iOS-/iPad-Gerätes ins MDM notwendig:

    1. Gerät im ABM dem Securepoint MDM-Server zuordnen
    2. Bei der generierten Gerätekachel die AGB annehmen und Lizenz auswählen
    3. Gerätekachel konfigurieren (passenden Namen vergeben, Benutzer zuordnen, Geräteprofil zuordnen, Apptags zuordnen)
    4. Einrichtung auf dem Gerät fortführen

    Gerät im ABM dem Securepoint MDM-Server zuordnen

    Diese Schritte sind notwending, um das iOS-/iPad-Gerät im Apple Business Manager (ABM) dem Securepoint MDM-Server zuzuordnen:

    1. Unter  Mobile Security Einstellungen Apple DEP  Profil hinzufügen das Apple-Push-Zertifikat (*.pem-Datei) downloaden
    2. Upload dieses Zertifikats im im Apple Business Manager bzw. Apple School Manager Menü ABM Settings-Icon.png Einstellungen (Klick auf den Benutzername in der Menüleiste)
      •  ABM: Sollte noch kein entsprechender MDM-Server angelegt sein:
        •  ABM: Menü ABM Settings-Icon.png Einstellungen / Deine MDM-Server /  Hinzufügen
        •  ABM: MDM-Servername Eindeutiger Name
        •  ABM: MDM-Server-Einstellungen Datei Auswählen: Zuvor im Securepoint Mobile Security Portal herunter geladene .*.pem-Datei hochladen und Sichern
      •  ABM: Auswahl des entsprechenden MDM-Servers ttt-point-mdm-Server-123456.sms
      •  ABM: Download des dep-Tokens mit Schaltfläche  Token laden (*.p7m-Datei) im Apple Business Manager bzw. Apple School Manager im Menü
    3. Hochladen der *.p7m-Datei in dem unter Punkt 1 geöffneten Dialgfenster im Securepoint Mobile Security Portal. Abschließen mit  Fertig

    Weitere Informationen sind im folgendem Wiki-Artikel zu finden.

    AGB und Lizenz

    Es wird im Portal bei  Mobile Security iOS/iPadOS Geräte eine Gerätekachel mit dem Label ausgeloggt generiert. Diese Gerätekachel dient als Platzhalter.
    Per Klick auf diese Gerätekachel öffnet sich ein Dialogfenster, indem die AGB angenommen wird. Dann wird die entsprechende Lizenz ausgewählt. Dadurch verschwindet das Label Bedingungen nicht akzeptiert von der Gerätekachel.

    Gerätekachel konfigurieren

    Diese Gerätekachel wird konfiguriert. Folgende Schritte sind dazu nötig:

    • Über die Schaltfläche bei der Gerätekachel, oder in den Gerätedetails, wird ein passender Name eingetragen und dieser per abgespeichert
    • Das zuvor angelegte Geräteprofil wird der Gerätekachel zugeordnet, indem im Profilreiter Allgemein bei der Option Geräte die Gerätekachel ausgewählt wird
    • Unter Tags werden die Apptags und damit die Appgruppen ausgewählt, die auf das Gerät installiert werden sollen
    • Unter Benutzer wird der gewünschte Benutzer dem Gerät zugeordnet

    Geräteeinrichtung fortführen

    Die Einrichtung auf dem iOS-/iPad-Gerät kann fortgeführt und abgeschlossen werden. Dabei muss der zuvor definierte DEP-PIN eingegeben werden.
    Das Enrollment das Gerätes in das MDM-Portal ist damit abgeschlossen.


    Apple Re-Enrollment

    Diese Funktion steht erst zur Verfügung, wenn Apple Re-Enrollment unter Einstellungen aktiv ist.
    Neu hinzugefügte DEP-Geräte werden automatisch im Portal registriert und können bereits vor ihrer ersten Nutzung individuell vorkonfiguriert werden. Die so festgelegten Einstellungen für Benutzerprofile, Anwendungen und Tags werden nahtlos bei der ersten Anmeldung des Gerätes angewendet.
    Bei einer Wiederinbetriebnahme eines Gerätes erfolgt eine automatische Übertragung der Konfigurationen des Gerätes, vorausgesetzt, dieses ist noch im Portal vorhanden. Diese Profile werden mit dem Label Signed out markiert.