Hinweis
Dieser Artikel beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite. Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden. Alle Angaben ohne Gewähr.
Enrollment von iOS- / iPad-Geräten mit Apples Device Enrollment Program (Apple DEP)
Neuer Artikel: 07.2024
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview
Dieses HowTo beschreibt das Enrollment von iOS- / iPad-Geräten in das Securepoint Mobile Security Portal. Dadurch werden diese iOS- / iPad-Geräte in das Securepoint Mobile Device Management (MDM) Portal eingebunden. Die Zuordnung des Geräte-Profils, der Benutzer und der Apps, können so schon vorbereitend vorgenommen werden, obwohl das Gerät noch nicht vollständig am MDM angemeldet ist. Sobald das iOS- / iPad-Gerät mit dem Internet verbunden und initialisiert wird, werden diese Konfigurationen automatisch heruntergeladen und umgesetzt.
COBO: Company owned, business only
Firmeneigentum ohne private Nutzung:
Die Geräte sind nur für den Einsatz im Unternehmensumfeld gedacht
Der IT-Administrator hat die volle Kontrolle über das Smartphone
Private Daten sind auf dem Gerät strikt untersagt
Übersicht der Enrollment-Schritte:
Vorbereitungen im MDM-Portal:
Voraussetzung erfüllt: Lizenz und ABM vorhanden, Gerät kompatibel
Apple Push Zertifikat, DEP-Token und VPP-Token im MDM-Portal vorhanden
Apple Re-Enrollment in den Einstellungen aktivieren
DEP Profil und DEP PIN angelegt
Gerät dem ABM mit einem Mac oder der iOS-App Configurator hinzugefügt
Geräteprofil im Portal angelegt
Im ABM erworbene Apps per Tags zugeordnet
Im Portal neuer Benutzer hinzugefügt, oder über Entra ID eingebunden
Geräteeinbindung:
Gerät im ABM dem Securepoint MDM-Server zugeordnet
Im Portal erzeugte Gerätekachel die ABG annehmen und Lizenz auswählen
Die Geräte dürfen nicht in das ABM/ASM des Resellers hinzugefügt werden! Dies wäre ein Verstoß gegen Apples AGB! Es ist angebracht, dass jeder Endkunde sein eigenes ABM/ASM Account hat und die Geräte dort entsprechend hinzugefügt werden.
Registrierung im Apple Business Manager
Es gibt zwei verschiedene Möglichkeiten das iOS-/iPad-Gerät im Apple Business Manager (ABM) zu registrieren:
mit der iOS-App Apple Configurator
mit einem Apple MAC mit installiertem Apple Configurator
Apple Configurator des iPhone starten und dicht an das iPad ranhalten.
Entweder
Das Bild im Systemassistenten des iPad mit dem Apple Configurator einscannen.
oder
Manuell koppeln: Manuell koppeln im Systemassistenten des iPad klicken und dann auf Manuelles koppeln im Apple Configurator. Den angezeigten 6-stelligen Code eingeben.
Sollte Koppeln im Systemassistenten nicht angezeigt werden, Apple Configurator erneut aufrufen.
Abb.6
Das iPad wird hinzugefügt. Den Systemassistenten fortführen.
Abb.7
Den Vorgang des Systemassistenten des iPad fortführen bis Löschennotempty
Das iPad noch nicht löschen!
Gegebenenfalls überprüfen, ob im ASM/ABM unter Geräte das iPad dem MDM-Server korrekt zugeordnet wurde
Abb.8
Im MDM-Portal unter Mobile Security iOS/iPadOS Geräte sollte das iPad aufgelistet werden. Dort kann es einem Profil zugewiesen werden.
Aktivierung der Internetfreigabe für das angeschlossene Apple-Gerät: Nachdem das iOS-/iPad-Gerät am Mac angeschlossen wurde, wird über Systemeinstellungen → Allgemein → Teilen → Internetfreigabe
Den Anschluss aktivieren, über den das Gerät am Mac angeschlossen ist.
Verbindung teilen entsprechend einstellen und die Internetfreigabe aktivieren.
Abb.2
Option für Internetzugang am Gerät:
Anlegen eines WLAN-Profils im Apple Configurator 2: Menü Ablage / Neues Profil Abschnitt WLAN: Hier kann WLAN konfiguriert werden.
Das iOS-Gerät verbindet sich nach Einrichtung durch den Apple Configurator 2 automatisch mit dem hier konfigurierten WLAN und verbindet sich sofort mit DEP und dem MDM-Server.
Speichern im Menu Ablage / Speichern unter.
Abb.3
iPhone / iPad an den Mac anschließen und dem Zugriff durch den Apple Configurator 2 vertrauen.
Gerät auswählen und Konfiguration durch betätigen der Schaltfläche Vorbereiten.
Abb.4
Geräte vorbereiten:
Vorbereiten mit Manuelle Konfiguration aktivieren von:
Zu Apple School Manager oder Apple Business Manager hinzufügen Geräten erlauben, sich mit anderen Computern zu koppeln
Abb.5
Bei MDM-Server registrieren: Server:Neuer Server…
Wurde bereits ein anderes Gerät aufgenommen, kann hier ein Server ausgewählt werden.
Andernfalls können die Konfigurationsdaten im nächsten Schritt hinterlegt werden.
Abb.6
MDM-Server festlegen Name Eindeutiger Name (frei wählbar) Hostname oder URL:leer lassen. Dadurch wird das Gerät lediglich ans ABM registriert. Die Zuordnung an den MDM-Server erfolgt später.
Abb.7
Wenn noch kein MDM-Server hinterlegt wurde:
MDM-Server festlegen Meldung: Die Registrierungs-URL des Servers konnte nicht überprüft werden. Da das macOS das Zertifikat des individuellen Kundenzugangs zum Securepoint Mobile Security Portal noch nicht kennt, kann die URL nicht überprüft werden. Sie ist aber dennoch korrekt!
Abb.8
Zertifikate mit Vertrauensanker für den MDM-Server hinzufügen: Da kein Server eingetragen wurde, kann auch kein Zertifikat hinzugefügt werden. Einfach auf Weiter klicken.
Abb.9
iOS-Installationsassisten konfigurieren:
Hier werden die Schritte ausgewählt, die der Benutzer im Installationsassistenten ausführen muss.
Abb.10
Netzwerkprofil auswählen
Auswählen... es muss kein Profil ausgewählt werden
Abb.11
Netzwerkprofil auswählen
Auswählen... des erstellten Apple Configurator Netzwerkprofils
Abb.12
Configurator konnte die angeforderte Aktion nicht ausführen, weil „iPad“ bereits vorbereitet wurde.
Wenn diese Meldung erscheint, ist dieses Gerät bereits schon einmal konfiguriert worden und die Einstellungen für den Systemassistenten können nicht direkt übertragen werden.
Mit Löschen werden alle Inhalte und Einstellungen gelöscht und das Gerät für eine (Erst-)Konfiguration mit Anbindung an das Securepoint Mobile Security Portal vorbereitet.
Abb.13
Das Gerät wird konfiguriert. Dabei wird das Gerät zurückgesetzt. notempty
Sämtliche Daten auf dem Gerät werden dabei gelöscht. Nur Betriebssystemupdates bleiben erhalten.
Es werden in der Folge mehrere Schritte angezeigt, deren Zahl sich verändern kann.
Abb.14
Vorgang abgeschlossen.
Inbetriebnahme
Folgende Schritte sind für die Inbetriebnahme des iOS-/iPad-Gerätes ins MDM notwendig:
Apple Push Zertifikat, Apple DEP-Token und Apple VPP-Token sind vorhanden
vorhandenes DEP-Profil mit DEP-PIN
Geräte-Profil angelegt
Apps im ABM erworben und Apps per Tags zu Appgruppen zusammengefasst
Benutzer angelegt, bzw. diese über EntraID angebunden
Push Zertifikat / DEP-Token / VPP-Token
Unter Mobile Security Einstellungen werden folgende Schritte gemacht:
bei Apple Push Zertifikat überprüfen, ob ein Token vorhanden ist
ist eines vorhanden, überprüfen, ob dieser noch nicht abgelaufen ist
ist keines vorhanden, wird über die Schaltfläche Hinzufügen ein Apple Push Zertifikat hinzugefügt
bei Apple DEP überprüfen, ob ein Token vorhanden ist
der folgende Wiki-Artikel beschreibt, wie ein Apple DEP-Token hinzugefügt wird
anschließend DEP Profil-PIN festlegen aktivieren und einen 6-stelligen PIN eingeben und Speichern
Option Apple Re-Enrollment aktivieren aktivieren
bei Apple VPP / Apple Business Manager / Apple School Manager überprüfen, ob ein Token vorhanden ist
ist eines vorhanden, überprüfen, ob dieser noch nicht abgelaufen ist
ist keines vorhanden, wird über die Schaltfläche Hinzufügen ein Apple Push Zertifikat hinzugefügt
Unter Mobile Security iOS/iPadOS DEP Profile wird mit der Schaltfläche Profil hinzufügen ein neues DEP-Profil angelegt. Weitere Informationen sind sind im Wiki-Artikel DEP-Profile im MDM-Portal zu finden. In Mobile Security Einstellungen unter Apple DEP bei DEP Profil-PIN festlegen einen eigenen PIN eingeben.
Geräte-Profil anlegen
In Mobile Security iOS/iPadOS Profile wird über die Schaltfläche Profil hinzufügen ein neues Profil für das Gerät angelegt.
Bei einem iOS-Gerät und iPad wird im Reiter Allgemein der TypGeräteprofil ausgewählt
Bei einem Shared iPad wird im Reiter Allgemein der TypShared iPad ausgewählt
Die Konfiguration des Profils entsprechend fortführen. Weitere Informationen für die Konfiguration von iOS-/iPad-Geräten bzw. von Shared iPad-Geräten sind in den entsprechenden Wiki-Artikeln zu finden.
Apps
Falls die benötigten Apps für das iOS-/iPad-Gerät noch nicht vorhanden sind, so werden diese im Apple Business Manager erworben.
In Mobile Security iOS/iPadOS Apps werden die so neu erworbenen Apps mittels App hinzufügen hinzugefügt.
Die Apps mittels tags in benötigte Appgruppen zusammenfassen.
Weitere Informationen sind im Wiki-Artikel Apps zu finden.
Benutzer anlegen
Unter Allgemein Benutzer wird ein neuer Benutzer in das Portal angelegt. Zwei verschiedene Möglichkeiten stehen hierfür zur Verfügung:
Über die Schaltfläche Benutzer hinzufügen wird direkt im Portal ein Benutzer hinzugefügt
Über die Schaltfläche Benutzer importieren wird der Benutzer per CSV, oder per Entra ID importiert
ABM: MDM-Server-EinstellungenDatei Auswählen: Zuvor im Securepoint Mobile Security Portal herunter geladene .*.pem-Datei hochladen und Sichern
ABM: Auswahl des entsprechenden MDM-Servers ttt-point-mdm-Server-123456.sms
ABM: Download des dep-Tokens mit Schaltfläche Token laden (*.p7m-Datei) im Apple Business Manager bzw. Apple School Manager im Menü
Hochladen der *.p7m-Datei in dem unter Punkt 1 geöffneten Dialgfenster im Securepoint Mobile Security Portal. Abschließen mit Fertig
Weitere Informationen sind im folgendem Wiki-Artikel zu finden.
AGB und Lizenz
Es wird im Portal bei Mobile Security iOS/iPadOS Geräte eine Gerätekachel mit dem Label ausgeloggt generiert. Diese Gerätekachel dient als Platzhalter. Per Klick auf diese Gerätekachel öffnet sich ein Dialogfenster, indem die AGB angenommen wird. Dann wird die entsprechende Lizenz ausgewählt. Dadurch verschwindet das Label Bedingungen nicht akzeptiert von der Gerätekachel.
Gerätekachel konfigurieren
Diese Gerätekachel wird konfiguriert. Folgende Schritte sind dazu nötig:
Über die Schaltfläche bei der Gerätekachel, oder in den Gerätedetails, wird ein passender Name eingetragen und dieser per abgespeichert
Das zuvor angelegte Geräteprofil wird der Gerätekachel zugeordnet, indem im Profilreiter Allgemein bei der Option Geräte die Gerätekachel ausgewählt wird
Unter Tags werden die Apptags und damit die Appgruppen ausgewählt, die auf das Gerät installiert werden sollen
Unter Benutzer wird der gewünschte Benutzer dem Gerät zugeordnet
Geräteeinrichtung fortführen
Die Einrichtung auf dem iOS-/iPad-Gerät kann fortgeführt und abgeschlossen werden. Dabei muss der zuvor definierte DEP-PIN eingegeben werden. Das Enrollment das Gerätes in das MDM-Portal ist damit abgeschlossen.
Apple Re-Enrollment
Diese Funktion steht erst zur Verfügung, wenn Apple Re-Enrollment unter Einstellungen aktiv ist.
Neu hinzugefügte DEP-Geräte werden automatisch im Portal registriert und können bereits vor ihrer ersten Nutzung individuell vorkonfiguriert werden. Die so festgelegten Einstellungen für Benutzerprofile, Anwendungen und Tags werden nahtlos bei der ersten Anmeldung des Gerätes angewendet.
Bei einer Wiederinbetriebnahme eines Gerätes erfolgt eine automatische Übertragung der Konfigurationen des Gerätes, vorausgesetzt, dieses ist noch im Portal vorhanden. Diese Profile werden mit dem Label Signed out markiert.
