Account-Based User-Enrollment

Account-basiertes Benutzer-Enrollment von iOS- / iPad-Geräten

Letzte Anpassung zur Version: 2.2 (02.2025)

Neu:

Neuer Abschnitt: Vorbereitung
Geräte-Profil vom Typ Benutzerregistrierungs-Profil korrigiert
Hinweise bzgl. verwalteter Apple-ID hinzugefügt

Zuletzt aktualisiert:

03.2025

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

Einleitung

Über das Account-Based User-Enrollment kann ein Arbeits-, bzw. ein Schulkonto auf ein privates iOS- oder iPad-Gerät eingerichtet werden.
Für dieses Enrollmentverfahren wird kein zweites Apple-Gerät benötigt.
Um auf privaten Apple-Geräten kostenpflichtige Apps, die durch eine Organisation bereit gestellt werden, zu installieren, werden verwaltete Apple IDs verwendet.

notempty

Über eine verwaltete Apple ID werden kostenpflichtige VPP-Lizenzen zugeordnet
Eine Trennung der Daten (Adressen, Dateien) von verwalteten und privaten Apps ist möglich

Es ist nicht möglich, eine App 2 mal (privat und verwaltet) zu installieren

notempty

Diese Geräte benötigen eine private, persönliche Apple ID.
Andernfalls erhalten diese Geräte z.B. keine Betriebssystem-Updates.
Sowohl das Passwort der persönlichen Apple ID als auch das Passwort der verwalteten Apple ID muss der Nutzerin oder dem Nutzer bekannt sein, um z.B. eine Zweifaktor Authentifizierung nutzen zu können
Ein Zurücksetzen des Gerätes in Werkszustand ist nur möglich mit Kenntnis der Zugangsdaten der persönlichen Apple ID
Die letzte Kontrolle über das Gerät selbst hat dadurch die Benutzerin bzw. der Benutzer des Gerätes

Dass Modell Gerät gehört der Firma, persönliche Nutzung ermöglicht (COPE) ist bei Apple nicht vorgesehen

Voraussetzung

iOS- bzw. iPadOS-Version 18 oder höher
eine Mobile Device Management (MDM)- Lizenz muss vorhanden sein und als Default-Lizenz ausgewählt
Verwaltete Apple-ID in dem Benutzeraccount vorhanden und Apple VPP-Token Ablaufdatum ist aktuell

Vorbereitung

Verwaltete Apple ID im Apple Business Manager (ABM) / Apple School Manager (ASM) wurde angelegt
Benutzer mit erreichbarer E-Mail und mit verlinkter verwalteter Apple ID im Securepoint Portal wurde erstellt
Über die Passwort-zurücksetzen-E-Mail ( auslösen im Burgermenu mit Reset ) Passwort und TOTP Code des Benutzers einrichten

Inbetriebnahme

Folgende Schritte sind für die Inbetriebnahme des iOS-/iPad-Gerätes ins MDM notwendig:

Apple Push Zertifikat und Apple VPP-Token sind vorhanden
Geräte-Profil vom Typ Benutzerregistrierungs-Profil angelegt
Apps im ABM erworben und Apps per Tags zu Appgruppen zusammengefasst
Benutzer angelegt, bzw. diese über EntraID angebunden

Detaillierte Schritte der Inbetriebnahme anzeigen

Push Zertifikat / VPP-Token

Unter Mobile Security Einstellungen werden folgende Schritte gemacht:

bei Apple Push Zertifikat überprüfen, ob ein Token vorhanden ist
- ist eines vorhanden, überprüfen, ob dieser noch nicht abgelaufen ist
- ist keines vorhanden, wird über die Schaltfläche Hinzufügen ein Apple Push Zertifikat hinzugefügt
Option Apple Re-Enrollment aktivieren aktivieren
bei Apple VPP / Apple Business Manager / Apple School Manager überprüfen, ob ein Token vorhanden ist
- ist eines vorhanden, überprüfen, ob dieser noch nicht abgelaufen ist
- ist keines vorhanden, wird über die Schaltfläche Hinzufügen ein Apple Push Zertifikat hinzugefügt

Weitere Informationen sind im entsprechendem Wiki-Artikel zu finden.

Geräte-Profil anlegen

In Mobile Security iOS/iPadOS Profile wird über die Schaltfläche Profil hinzufügen ein neues Profil für das Gerät angelegt.

Bei einem privatem iOS-Gerät bzw. iPad wird im Reiter Allgemein der Typ Benutzerregistrierungs-Profil ausgewählt

Die Konfiguration des Profils entsprechend fortführen. Weitere Informationen für die Konfiguration sind im entsprechendem Wiki-Artikel zu finden.

Apps

Falls die benötigten Apps für das iOS-/iPad-Gerät noch nicht vorhanden sind, so werden diese im Apple Business Manager erworben.
In Mobile Security iOS/iPadOS Apps werden die so neu erworbenen Apps mittels App hinzufügen hinzugefügt.
Die Apps mittels tags in benötigte Appgruppen zusammenfassen.
Weitere Informationen sind im Wiki-Artikel Apps zu finden.

Benutzer anlegen

Unter Allgemein Benutzer wird ein neuer Benutzer in das Portal angelegt. Zwei verschiedene Möglichkeiten stehen hierfür zur Verfügung:

Über die Schaltfläche Benutzer hinzufügen wird direkt im Portal ein Benutzer hinzugefügt
Über die Schaltfläche Benutzer importieren wird der Benutzer per CSV, oder per Entra ID importiert

Weitere Informationen bezüglich Benutzer hinzufügen und Benutzer importieren per Entra ID sind in den entsprechenden Wiki-Artikeln zu finden.

Enrollment

Neues Gerät anmelden

Über die Schaltfläche Neues Gerät anmelden wird ein iOS- / iPad-Gerät ins MDM angebunden. Im Dialogfenster werden folgende Schritte vorgenommen:
Beschriftung	Wert	Beschreibung
Anmeldung eines benutzereigenen Geräts		Bei Aktivierung wird ein benutzereigenes (privates) Gerät mit Hilfe einer verwalteten Apple-ID in das MDM eingebunden.
Enrollment-Modus	Account-basiertes Benutzer-Enrollment	Auswahl des Anmeldungsmodus Account-basiertes Benutzer-Enrollment
Verwaltete Apple-ID	Alice<alice@tttpoint.de>	Auswahl der verwalteten Apple-ID
Lokaler Account	Alice-123456@portal.securepoint.cloud	Eine E-Mail-Adresse wird generiert ‍ Kombination aus Namen der Apple-ID, Tenant und Portal-URL , welche auf dem privaten iOS- / iPad-Gerät eingegeben wird, damit das Benutzer-Enrollment gestartet werden kann Mit der Schaltfläche In Zwischneablage kopieren wird diese E-Mail-Adresse in die Zwischenablage kopiert
Der nächste Schritt des Enrollments erfolgt direkt am Privatgerät.

Einladung senden

Über die Schaltfläche Einladung senden wird eine E-Mail an den Benutzer gesendet, worüber das iOS- / iPad-Gerät ins MDM angebunden wird. Im Dialogfenster werden folgende Schritte vorgenommen:
Beschriftung	Wert	Beschreibung
Anmeldungstyp	Account-basiertes Benutzer-Enrollment	Auswahl des Anmeldungstyps Account-basiertes Benutzer-Enrollment
Verwaltete Apple-ID	Alice<alice@tttpoint.de>	Auswahl der verwalteten Apple-ID, an welche die E-Mail gesendet werden soll
Mit der Schaltfläche Einladung senden wird die Einladungs-E-Mail an den Benutzer gesendet. Sollen noch weitere Benutzer darüber hinzugefügt werden, geschieht dies über die Schaltfläche Mehr einladen

In der gesendeten Einladungs-E-Mail ist eine Anleitung vorhanden, wie der Empfänger sein Privatgerät ins MDM einbindet: Anwendung Einstellungen auf dem Privatgerät öffnen Navigation zu Allgemein → VPN und Geräteverwaltung Bei Arbeits- oder Schulaccount anmelden... auswählen Die angezeigte E-Mail-Adresse wird dort eingetragen, Beispiel: Alice-123456@portal.securepoint.cloud Anweisungen auf dem Gerät folgen			Screenshot Einladungs-E-Mail anzeigen
Der nächste Schritt des Enrollments erfolgt direkt am Privatgerät.			Screenshot Einladungs-E-Mail anzeigen

Vorgang auf dem Privatgerät

Nachdem entweder über das Portal das Gerät hinzugefügt werden soll (Neues Gerät anmelden), oder über die Einladungs-E-Mail (Einladung senden), folgen die nächsten Enrollmentschritte auf dem privaten iOS- oder iPad-Gerät:

Abb.1

Navigation zu Einstellungen → Allgemein → VPN und Geräteverwaltung
Beim Arbeits- oder Schulaccount anmelden... auswählen
E-Mailadresse aus Neues Gerät anmelden oder von der Einladungs-E-Mail eintragen

Abb.2

Sich mit dem Benutzeraccount im Securepoint Portal anmelden

Abb.3

Informationen bzgl. iCloud zum Arbeiten oder zur Schule werden angezeigt
Bei iCloud anmelden

Abb.4

Mit dem Arbeits- oder Schulaccount bei iCloud anmelden
Fortfahren

Abb.5

Die Entfernte Verwaltung wird über die Schaltfläche Entfernte Verwaltung erlauben bestätigt
die folgenden Fenster ebenfalls bestätigen
der Abschlussvorgang kann einige Minuten dauern

Abb.6

Im Portal Mobile Security iOS/iPadOS Geräte erscheint die Kachel des Privatgerätes
Das Label Bedingungen nicht akzeptiert zeigt, dass die ABG noch akzeptiert werden müssen
Die Gerätekachel kann dann konfiguriert werden
Das Account basierte Benutzer-Enrollment ist abgeschlossen