Wechseln zu:Navigation, Suche
Wiki

MS/enrollment/iOS: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
USP-2.17-Release>Marcels
Keine Bearbeitungszusammenfassung
K 1 Version importiert: Release der USP-Version 2.17
 
(kein Unterschied)

Aktuelle Version vom 27. Mai 2026, 09:07 Uhr





























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden



















  • Hinweis

    Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
    Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
    Alle Angaben ohne Gewähr.










    • Enrollment von iOS- / iPad-Geräten mit Apples Device Enrollment Program (Apple DEP)

    Letzte Anpassung zur Version: 2.17(05.2026)

    Neu:
    • Betriebsmodus wird beim Enrollment automatisch eingestellt
    • Beschreibung des Betriebsmodus BYOD
    • Nach einem BYOD-Enrollment wird ein Geräteeigentümer ausgewählt
    • COBO: Die AGBs müssen nicht mehr bei jeden Geräteenrollment einzeln akzeptiert werden und der Abschnitt ABGs und Lizenz ist obsolet
    notempty
    Dieser Artikel bezieht sich auf eine Beta-Version
    Aufruf: portal.securepoint.cloud  Mobile Security iOS/iPadOS Geräte

    Einleitung

    Dieses HowTo beschreibt das Enrollment von iOS- / iPad-Geräten in das Securepoint Mobile Security Portal. Dadurch werden diese iOS- / iPad-Geräte in das Securepoint Mobile Device Management (MDM) Portal eingebunden.
    Die Zuordnung des Geräte-Profils, der Benutzer und der Apps, können so schon vorbereitend vorgenommen werden, obwohl das Gerät noch nicht vollständig am MDM angemeldet ist.
    Sobald das iOS- / iPad-Gerät mit dem Internet verbunden und initialisiert wird, werden diese Konfigurationen automatisch heruntergeladen und umgesetzt.


    Auswahl des Betriebsmodus

    notempty
    Neu ab: 2.17

    Der Betriebsmodus des iOS-/iPad-Gerätes wird automatisch beim Enrollment ermittelt
    Folgende Betriebsmodi sind möglich:

    • BYOD: Bring your own device - Privates Gerät mit beruflicher Nutzung
    • COBO: Company owned, business only - Firmeneigentum ohne private Nutzung
    • COPE: Company owned, personal enabled - Firmeneigentum mit privater Nutzung / COBO mit privater AppleID
    • COSU: Company owned, single use - Firmeneigentum mit einer einzigen Anwendung / COBO mit nur einer App

    BYOD: Bring your own device

    Privates Gerät mit beruflicher Nutzung:

    • Jede Mitarbeiterin und jeder Mitarbeiter verwendet sein privates Gerät
    • Apps und Daten für Arbeitszwecke werden in einem Arbeits-Container gespeichert

    Übersicht der Enrollment-Schritte:

    • Entscheiden, ob eine verwaltete Apple-ID genutzt werden soll
      • Falls eine verwaltete Apple-ID verwendet werden soll, dann die Enrollmentschritte aus dem Wiki-Artikel Account-basiertes Benutzer-Enrollment von iOS- / iPad-Geräten folgen
      • Falls keine verwaltete Apple-ID verwendet werden soll, dann wird das veraltete BYOD-Enrollment
        Legacy-BYOD-Enrollment
        angewendet, welches hier beschrieben wird
    notempty
    Dies wird nicht empfohlen! Wenn möglich, dann das BYOD-Enrollment mit verwalteter Apple-ID!
    • Vorbereitungen im MDM-Portal:
      1. Voraussetzung erfüllt: Lizenz vorhanden, Gerät kompatibel
      2. Apple Push Zertifikat im MDM-Portal vorhanden
      3. Geräteprofil im Portal angelegt
      4. Im Portal neuer Benutzer hinzugefügt, oder über Entra ID eingebunden
    • Geräteeinbindung:
      1. Im Portal Mobile Security iOS/iPadOS Geräte durch die Schaltfläche  Neues Gerät anmelden den QR-Code im Dialogfenster scannen
      2. Im Portal erzeugte Gerätekachel auswählen
      3. notempty
        Neu ab: 2.17
        Im Dialogfenster Geräteeigentümer den Benutzer auswählen
        Screenshot anzeigen
        ausblenden
        Klicken für dauerhafte Anzeige
      4. Zuordnungen von:
        1. Gerätenamen vergeben
        2. Apptags
        3. Geräteprofil
    notempty
    In diesem Betriebsmodi ohne Apple Business stehen folgende Features nicht zur Verfügung:
    • Automatisches Enrollment nach einem FactoryReset
    • Interaktionsfreie Installation und Updates von Apps ohne Apple ID
    • Reenrollment
    • Die Geräte sind dauerhaft vom Endgerät aus aus dem MDM entfernbar

    COBO: Company owned, business only

    Firmeneigentum ohne private Nutzung:

    • Die Geräte sind nur für den Einsatz im Unternehmensumfeld gedacht
    • Der IT-Administrator hat die volle Kontrolle über das Smartphone
    • Private Daten sind auf dem Gerät strikt untersagt

    Übersicht der Enrollment-Schritte:

    • Vorbereitungen im MDM-Portal:
      1. Voraussetzung erfüllt: Lizenz und Apple Business vorhanden, Gerät kompatibel
      2. Apple Push Zertifikat, DEP-Token und VPP-Token im MDM-Portal vorhanden
      3. DEP Profil und DEP PIN angelegt
      4. Gerät dem Apple Business mit einem Mac oder der iOS-App Configurator hinzugefügt
      5. Geräteprofil im Portal angelegt
      6. Im Apple Business erworbene Apps per Tags zugeordnet
      7. Im Portal neuer Benutzer hinzugefügt, oder über Entra ID eingebunden
    • Geräteeinbindung:
      1. Gerät im Apple Business dem Securepoint MDM-Server zugeordnet
      2. Im Portal erzeugte Gerätekachel auswählen
      3. Zuordnungen von:
        1. Gerätenamen vergeben
        2. Benutzer zuordnen
        3. Apptags
        4. Geräteprofil
      4. Einrichtung auf dem Gerät fortfahren



    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden








    Voraussetzung

    notempty
    Die Geräte dürfen nicht in das Apple Business/Apple School Manager des Resellers hinzugefügt werden! Dies wäre ein Verstoß gegen Apples AGB!
    Es ist angebracht, dass jeder Endkunde sein eigenes Apple Business/Apple School Manager Account hat und die Geräte dort entsprechend hinzugefügt werden.
    notempty
    Ab Portalversion 2.8 muss eine PIN vorhanden sein, sonst ist aus Sicherheitsgründen kein Enrollment für iOS-/iPad-Geräten mit DEP-Profilen mehr möglich.


    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden






    Registrierung im Apple Business

    Es gibt zwei verschiedene Möglichkeiten das iOS-/iPad-Gerät im Apple Business zu registrieren:

    • mit der iOS-App Apple Configurator
    • mit einem Apple MAC mit installiertem Apple Configurator


    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden



























    Abb.1
    • Für das Enrollment muss das  iPad zurückgesetzt sein
    • Hier befindet sich eine Beschreibung dazu
    Abb.2
  • Das zurückgesetzte  iPad starten
    • Abb.3
  • Die Anleitung des Systemassistenten auf dem  iPad befolgen, bis zum Abschnitt Auswählen eines WLANs
    notempty
    Auf keinen Fall ein WLAN auswählen! Sollte doch eines ausgewählt worden sein, muss das  iPad neu gestartet werden!
    • Abb.4
  • Apple Configurator App beim  iPhone einrichten:
    • Anmelden beim Business/School Manager
    • Einstellungen → WLAN teilen
      notempty
      Das WLAN darf nicht unverschlüsselt sein!
    • MDM-Serverzuweisung → Bestimmt → Securepoint MDM auswählen
    • Abb.5
  • Apple Configurator des  iPhone starten und dicht an das  iPad ranhalten
    Entweder
    • Das Bild im Systemassistenten des  iPad mit dem Apple Configurator einscannen
    oder
    • Manuell koppeln: Manuell koppeln im Systemassistenten des  iPad klicken und dann auf Manuelles koppeln im Apple Configurator
    • Den angezeigten 6-stelligen Code eingeben
  • Sollte Koppeln im Systemassistenten nicht angezeigt werden, Apple Configurator erneut aufrufen.
    • Abb.6
    • Das  iPad wird hinzugefügt
    • Den Systemassistenten fortführen
    Abb.7
  • Den Vorgang des Systemassistenten des  iPad fortführen bis iPad löschen
    • notempty
    Das  iPad noch nicht löschen!
    • Gegebenenfalls überprüfen, ob im Apple Business/Apple School Manager unter Geräte das  iPad dem MDM-Server korrekt zugeordnet wurde
    Abb.8
  • Im MDM-Portal unter  Mobile Security iOS/iPadOS Geräte sollte das  iPad aufgelistet werden
  • Dort kann es einem Profil zugewiesen werden
    • Das  iPad taucht im MDM Portal auf.
    • Unter  Mobile Security iOS/iPadOS DEP Profile das  iPad ein DEP-Profil zugewiesen:
      • über die Schaltfläche  Profil hinzufügen ein neues DEP Profil erstellen und unter Geräte das  iPad hinzufügen, oder
      • ein bestehendes DEP Profil auswählen und in diesem unter Geräte das  iPad hinzufügen
  • Erst wenn das DEP-Profil zugewiesen wurde, kann das  iPad gelöscht werden
    In den Details der Gerätekachel bei  DEP Profile wird ein DEP Profil angezeigt mit dem Hinweistext Das Profil wurde dem Gerät zugewiesen, wird aber erst beim nächsten Zurücksetzen angewendet
  • Nach dem Neustart und der wieder durchgeführten Ersteinrichtung des  iPads erscheint dort die "Entfernte Verwaltung", worüber das  iPad registriert wird
    Darauf achten, dass eine WLAN-Verbindung eingerichtet wurde
  • Schließt man das Setup ab, ist der Enrollment-Vorgang abgeschlossen
    Sollte die "Entfernte Verwaltung" nicht angezeigt werden und läuft die Konfiguration wieder wie zuvor ab (es befindet sich in einer Schleife), so kann es hilfreich sein die Apple Configuration App auszuschalten, oder das  iPhone nicht mehr in der Nähe vom  iPad zu haben.



    • In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden




































































    Abb.1
    Option für Internetzugang am Gerät:
    • Aktivierung der Internetfreigabe für das angeschlossene Apple-Gerät:
      Nachdem das iOS-/iPad-Gerät am Mac angeschlossen wurde, wird über SystemeinstellungenAllgemeinTeilenInternetfreigabe
    • Den Anschluss aktivieren, über den das Gerät am Mac angeschlossen ist.
    • Verbindung teilen entsprechend einstellen und die Internetfreigabe aktivieren.
    Abb.2
    Option für Internetzugang am Gerät:
  • Anlegen eines WLAN-Profils im Apple Configurator 2:
    Menü Ablage / Neues Profil Abschnitt WLAN:
    Hier kann WLAN konfiguriert werden.
  • Das iOS-Gerät verbindet sich nach Einrichtung durch den Apple Configurator 2 automatisch mit dem hier konfigurierten WLAN und verbindet sich sofort mit DEP und dem MDM-Server.
  • Speichern im Menu Ablage / Speichern unter.
    • Abb.3
  • iPhone / iPad an den Mac anschließen und dem Zugriff durch den Apple Configurator 2 vertrauen.
  • Gerät auswählen und Konfiguration durch betätigen der Schaltfläche Vorbereiten.
    • Abb.4
    Geräte vorbereiten:
  • Vorbereiten mit Manuelle Konfiguration aktivieren von:
    • Zu Apple School Manager oder Apple Business Manager hinzufügen
    Geräten erlauben, sich mit anderen Computern zu koppeln
    Abb.5
    Bei MDM-Server registrieren:
    Server: Neuer Server…
    • Wurde bereits ein anderes Gerät aufgenommen, kann hier ein Server ausgewählt werden.
    • Andernfalls können die Konfigurationsdaten im nächsten Schritt hinterlegt werden.
    Abb.6
    MDM-Server festlegen
    Name Eindeutiger Name (frei wählbar)
    Hostname oder URL: leer lassen. Dadurch wird das Gerät lediglich ans Apple Business registriert. Die Zuordnung an den MDM-Server erfolgt später.
    Abb.7
    Wenn noch kein MDM-Server hinterlegt wurde:
  • MDM-Server festlegen Meldung: Die Registrierungs-URL des Servers konnte nicht überprüft werden.
    Da das macOS das Zertifikat des individuellen Kundenzugangs zum Securepoint Mobile Security Portal noch nicht kennt, kann die URL nicht überprüft werden. Sie ist aber dennoch korrekt!
    • Abb.8
    Zertifikate mit Vertrauensanker für den MDM-Server hinzufügen:
    Da kein Server eingetragen wurde, kann auch kein Zertifikat hinzugefügt werden. Einfach auf Weiter klicken.
    Abb.9
    iOS-Installationsassisten konfigurieren:
  • Hier werden die Schritte ausgewählt, die der Benutzer im Installationsassistenten ausführen muss.
    • Abb.10
    Netzwerkprofil auswählen
  • Auswählen... es muss kein Profil ausgewählt werden
    • Abb.11
    Netzwerkprofil auswählen
  • Auswählen... des erstellten Apple Configurator Netzwerkprofils
    • Abb.12
    Configurator konnte die angeforderte Aktion nicht ausführen, weil „iPad“ bereits vorbereitet wurde.
  • Wenn diese Meldung erscheint, ist dieses Gerät bereits schon einmal konfiguriert worden und die Einstellungen für den Systemassistenten können nicht direkt übertragen werden.
  • Mit Löschen werden alle Inhalte und Einstellungen gelöscht und das Gerät für eine (Erst-)Konfiguration mit Anbindung an das Securepoint Mobile Security Portal vorbereitet.
    • Abb.13
  • Das Gerät wird konfiguriert. Dabei wird das Gerät zurückgesetzt.
    notempty
    Sämtliche Daten auf dem Gerät werden dabei gelöscht. Nur Betriebssystemupdates bleiben erhalten.
  • Es werden in der Folge mehrere Schritte angezeigt, deren Zahl sich verändern kann.
    • Abb.14
    Vorgang abgeschlossen.


    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden












    Inbetriebnahme

    Folgende Schritte sind für die Inbetriebnahme des iOS-/iPad-Gerätes ins MDM notwendig:

    1. Apple Push Zertifikat, Apple DEP-Token und Apple VPP-Token sind vorhanden
    2. vorhandenes DEP-Profil mit DEP-PIN
    3. Geräte-Profil angelegt
    4. Apps im Apple Business erworben und Apps per Tags zu Appgruppen zusammengefasst
    5. Benutzer angelegt, bzw. diese über EntraID angebunden
    Push Zertifikat / DEP-Token / VPP-Token

    Unter  Mobile Security Einstellungen werden folgende Schritte gemacht:

    • bei  Apple Push Zertifikat überprüfen, ob ein Token vorhanden ist
      • ist eines vorhanden, überprüfen, ob dieser noch nicht abgelaufen ist
      • ist keines vorhanden, wird über die Schaltfläche  Hinzufügen ein Apple Push Zertifikat hinzugefügt
    • bei  Apple DEP überprüfen, ob ein Token vorhanden ist
      • der folgende Wiki-Artikel beschreibt, wie ein Apple DEP-Token hinzugefügt wird
      • anschließend bei DEP Profil-PIN festlegen einen eigenen 6-stelligen PIN eingeben und  Speichern
      • Option Apple Re-Enrollment aktivieren    aktivieren
    • bei  Apple VPP / Apple Business / Apple School Manager überprüfen, ob ein Token vorhanden ist
      • ist eines vorhanden, überprüfen, ob dieser noch nicht abgelaufen ist
      • ist keines vorhanden, wird über die Schaltfläche  Hinzufügen ein Apple Push Zertifikat hinzugefügt

    Weitere Informationen sind im entsprechendem Wiki-Artikel zu finden.

    DEP-Profil anlegen

    Sichergehen, dass in  Mobile Security Einstellungen unter  Apple DEP bei DEP Profil-PIN festlegen ein eigener PIN eingegeben wurde.
    Unter  Mobile Security iOS/iPadOS DEP Profile wird mit der Schaltfläche  Profil hinzufügen ein neues DEP-Profil angelegt.
    Weitere Informationen sind sind im Wiki-Artikel DEP-Profile im MDM-Portal zu finden.

    Geräte-Profil anlegen

    In  Mobile Security iOS/iPadOS Profile wird über die Schaltfläche  Profil hinzufügen ein neues Profil für das Gerät angelegt.

    • Bei einem iOS-Gerät und iPad wird im Reiter Allgemein der Typ Geräteprofil ausgewählt
    • Bei einem Shared iPad wird im Reiter Allgemein der Typ Shared iPad ausgewählt
      verschiedene Benutzer an einem Gerät

    Die Konfiguration des Profils entsprechend fortführen. Weitere Informationen für die Konfiguration von iOS-/iPad-Geräten bzw. von Shared iPad-Geräten sind in den entsprechenden Wiki-Artikeln zu finden.

    Apps

    Falls die benötigten Apps für das iOS-/iPad-Gerät noch nicht vorhanden sind, so werden diese im Apple Business erworben.
    In  Mobile Security iOS/iPadOS  Apps werden die so neu erworbenen Apps mittels  App hinzufügen hinzugefügt.
    Die Apps mittels   tags in benötigte Appgruppen zusammenfassen.
    Weitere Informationen sind im Wiki-Artikel Apps zu finden.

    Benutzer anlegen

    Unter  Allgemein  Benutzer wird ein neuer Benutzer in das Portal angelegt. Zwei verschiedene Möglichkeiten stehen hierfür zur Verfügung:

    • Über die Schaltfläche  Benutzer hinzufügen wird direkt im Portal ein Benutzer hinzugefügt
    • Über die Schaltfläche  Benutzer importieren wird der Benutzer per CSV, oder per Entra ID importiert

    Weitere Informationen bezüglich Benutzer hinzufügen und Benutzer importieren per Entra ID sind in den entsprechenden Wiki-Artikeln zu finden.


    In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
    Diese Seite wird auf folgenden Seiten eingebunden












    Erste Geräteanmeldung

    Folgende Schritte sind für die erste Anmeldung eines iOS-/iPad-Gerätes ins MDM notwendig:

    1. Gerät im Apple Business dem Securepoint MDM-Server zuordnen
    2. Bei der generierten Gerätekachel die AGB annehmen und Lizenz auswählen
    3. Gerätekachel konfigurieren (passenden Namen vergeben, Benutzer zuordnen, Geräteprofil zuordnen, Apptags zuordnen)
    4. Einrichtung auf dem Gerät fortführen
    Gerät im Apple Business dem Securepoint MDM-Server zuordnen

    Diese Schritte sind notwending, um das iOS-/iPad-Gerät im Apple Business dem Securepoint MDM-Server zuzuordnen:

    1. Unter  Mobile Security Einstellungen Apple DEP  Profil hinzufügen das Apple-Push-Zertifikat (*.pem-Datei) downloaden. Dazu muss, falls noch nicht geschehen, eine Default-MDM-Lizenz ausgewählt werden. Dadurch ist sichergestellt, dass alle registrierten Geräte einer Lizenz zugewiesen sind und dies nicht mehr einzeln für jedes Gerät geschehen muss.
      notempty
      Neu ab: 2.17
    2. Upload dieses Zertifikats im Apple Business bzw. Apple School Manager
      •  Apple Business: Sollte noch kein entsprechender MDM-Server angelegt sein:
        •  Apple Business: Menü Geräte / Verwaltungsdienste / Geräteverwaltungsdienst hinzufügen Hinzufügen
        •  Apple Business: Name des Dienstes Eindeutiger Name
        •  Apple Business: Zertifikat hochladen: Zuvor im Securepoint Mobile Security Portal herunter geladene .*.pem-Datei hochladen und mittels Weiter die Einrichtung fortsetzen
      •  Apple Business: Menü Geräte / Verwaltungsdienste Auswahl des entsprechenden MDM-Servers ttt-point-mdm-Server-123456.sms
      •  Apple Business: Im Menu Aktionen
        rechts oben über den Namen des MDM-Servers
        / Token laden auswählen und im Dialogfenster den Download des DEP-Tokens mit Schaltfläche Token laden (*.p7m-Datei) bestätigen
    3. Hochladen der *.p7m-Datei in dem unter Punkt 1 geöffneten Dialgfenster im Securepoint Mobile Security Portal. Abschließen mit  Fertig

    Weitere Informationen sind im folgendem Wiki-Artikel zu finden.

    Gerätekachel konfigurieren

    Im Portal bei  Mobile Security iOS/iPadOS Geräte wird eine Gerätekachel erzeugt. Diese besitzt das Label Nicht konfiguriert
    Folgende Schritte sind zur Konfiguration dazu nötig:

    • notempty
      Neu ab: 2.17
      Falls noch nicht geschehen muss eine Default-Lizenz ausgewählt werden
    • Über die Schaltfläche bei der Gerätekachel, oder in den Gerätedetails, wird ein passender Name eingetragen und dieser per abgespeichert
    • Das zuvor angelegte Geräteprofil wird der Gerätekachel zugeordnet, indem im Profilreiter Allgemein bei der Option Geräte die Gerätekachel ausgewählt wird
    • Unter Tags werden die Apptags und damit die Appgruppen ausgewählt, die auf das Gerät installiert werden sollen
    • Unter Benutzer wird der gewünschte Benutzer dem Gerät zugeordnet
    Geräteeinrichtung fortführen

    Die Einrichtung auf dem iOS-/iPad-Gerät kann fortgeführt und abgeschlossen werden. Dabei muss der zuvor definierte DEP-PIN eingegeben werden.
    Das Enrollment das Gerätes in das MDM-Portal ist damit abgeschlossen.

    Apple Re-Enrollment

    Diese Funktion steht erst zur Verfügung, wenn Apple Re-Enrollment unter Einstellungen aktiv ist.
    Neu hinzugefügte DEP-Geräte werden automatisch im Portal registriert und können bereits vor ihrer ersten Nutzung individuell vorkonfiguriert werden. Die so festgelegten Einstellungen für Benutzerprofile, Anwendungen und Tags werden nahtlos bei der ersten Anmeldung des Gerätes angewendet.
    Bei einer Wiederinbetriebnahme eines Gerätes erfolgt eine automatische Übertragung der Konfigurationen des Gerätes, vorausgesetzt, dieses ist noch im Portal vorhanden. Diese Profile werden mit dem Label Signed out markiert.

    Abgerufen von „https://wiki.securepoint.de/index.php?title=MS/enrollment/iOS&oldid=104758