Mobilgeräteverwaltung

Mit der Mobilgeräteverwaltung, im Folgenden auch MDM genannt, haben Sie die Möglichkeit, Tablets und Smartphones zentral zu konfigurieren und zu steuern. So können Sie beispielsweise bestimmte Apps auf den Geräten installieren oder sperren. Auch die Zuweisung eines bestimmten WLANs oder die Deaktivierung bestimmter Hardware ist möglich.

Hinweis

Aktuell können mit dem MDM nur Geräte von Apple gesteuert werden, hierbei hauptsächlich iOS-Geräte wie bspw. iPad und iPhone. Auch die Steuerung von macOS-Geräten ist möglich, deren Unterstützung für die Mobilgeräteverwaltung ist aber deutlich eingeschränkt.

Einrichtung

Um das MDM nutzen zu können, benötigen Sie eine Apple-ID. Diese muss auf den Namen der Schule für den Apple School Manager (https://school.apple.com) registriert sein. Für die Nutzung des Volumenlizenzprogramms (VPP) muss die Apple-ID auch für dieses registriert sein.

Hinweis

Firmen und andere nicht-schulische Organisationen haben keinen Zugriff auf den Apple School Manager und nutzen statt diesem den Apple Business Manager (https://business.apple.com). Ansonsten verhält sich die Einrichtung, Verwaltung und Benutzung des MDMs aber identisch.

Desweiteren werden ein Push-Zertifikat und zwei Server-Token benötigt, welche von Apple bezogen werden und im Verwaltungsbereich Ihres IServs hochgeladen werden müssen. Zu diesem Zweck stellt das MDM eine Einrichtungsseite bereit, die Sie durch die nötigen Schritte führt. Um diese Seite zu ereichen, navigieren Sie bitte zu Verwaltung -> Netzwerk -> Mobilgeräteverwaltung. Sollten Sie dadurch noch nicht auf die Einrichtungsseite geleitet werden, navigieren Sie bitte weiter über Mehr -> Einrichtung.

Hier können Sie den Zustand der einzurichtenden Zertifikate und Tokens einsehen und diese einrichten oder erneuern. Gehen Sie dafür der Reihe nach alle Einträge durch, die bearbeitet werden müssen.

Hinweis

Die Zertifikate und Tokens sind nur bis zu einem bestimmten Ablaufdatum gültig, welches meist genau ein Jahr nach ihrer Erstellung liegt, und müssen daher regelmäßig erneuert werden. Führen Sie dafür dieselben Schritte wie bei der Ersteinrichtung aus, sofern hier nichts anderes vermerkt ist. Ihr IServ wird Ihnen auf der Startseite sowie in der Verwaltung eine Warnung anzeigen, wenn sich das Ablaufdatum nähert oder es überschritten worden ist.

Push-Zertifikat

Das Push-Zertifikat dient der sicheren Kommunikation zwischen IServ, Apple, und den Geräten, und wird für sämtliche Funktionen des MDMs benötigt. Um das Push-Zertifikat einzurichten oder zu erneuern, führen Sie bitte diese Schritte durch:

  1. Klicken Sie auf der Einrichtungsseite unter „Push-Zertifikat“ auf die Schaltfläche Zertifikats-Einrichtung oder Zertifikat erneuern.

  2. Laden Sie eine vom IServ generierte Zertifikats-Anforderungs-Datei (Dateiname ios_mdm_push.csr) mit einem Klick auf Herunterladen herunter.

  3. Gehen Sie dann durch Klick auf die Schaltfläche Apples Push-Zertifikate-Portal auf Apples Push-Zertifikate-Portal und melden sich mit Ihrer Apple-ID an. Auf dem Portal klicken Sie dann auf die Schaltfläche (1) Create a Certificate (bei der Ersteinrichtung) oder (2) Renew (bei der Erneuerung eines bestehenden Zertifikats). Laden Sie dann die Zertifikats-Anforderungs-Datei (ios_mdm_push.csr) hoch, die Sie zuvor von Ihrem IServ heruntergeladen haben. Danach wird automatisch eine neue Pushzertifikats-Datei erstellt, welche Sie durch Klick auf die Schaltfläche Download herunterladen.

../../../_images/pcp-push.png

Hinweis

Wenn bereits ein Push-Zertifikat eingerichtet ist, benutzen Sie nach Möglichkeit grundsätzlich nur die Schaltfläche Renew (2), niemals Create a Certificate (1), welches ein komplett neues Zertifikat erstellt und die Neueinrichtung aller Geräte und des DEP-Tokens verlangt.

  1. Zurück auf der Push-Zertifikate-Seite Ihres IServs aus Schritt 1 laden Sie die Zertifikats-Datei aus dem vorherigen Schritt hoch.

VPP-Server-Token

Das VPP-Server-Token wird für die Verwendung von Volumenlizenzprogramm-Funktionen benötigt. Dies umfasst unter anderem die Verwaltung von Lizenzen und das Installieren von Apps auf den Geräten. Um das VPP-Server-Token einzurichten oder zu erneuern, führen Sie bitte diese Schritte durch:

  1. Melden Sie Sich im Apple School Manager mit Ihrer Apple-ID an. Klicken Sie auf (1) Einstellungen/Settings, dann auf (2) Apps und Bücher/Apps and Books (in der mittleren Spalte, nicht links), und zuletzt beim passenden Eintrag für ihren IServ auf (3) Laden/Download, um das aktuelle VPP-Server-Token herunterzuladen.

../../../_images/asm-vpp.png
  1. Zurück auf Ihrem IServ, navigieren Sie zur MDM-Einrichtungsseite, und klicken Sie unter „VPP-Server-Token“ auf die Schaltfläche Token-Einrichtung oder Token erneuern. Laden Sie dort das in Schritt 1 heruntergeladene Token hoch.

DEP-Token

Das DEP-Token wird für die Verwaltung und Steuerung der Geräte benötigt. Um das DEP-Token einzurichten oder zu erneuern, führen Sie bitte diese Schritte durch:

  1. Melden Sie Sich im Apple School Manager mit Ihrer Apple-ID an. Klicken Sie auf (1) Einstellungen/Settings, klicken Sie dann auf (2) den passenden Eintrag für Ihren IServ, und schließlich auf (3) Token laden/Download Token, um das DEP-Token herunterzuladen.

../../../_images/asm-dep.png
  1. Zurück auf Ihrem IServ, navigieren Sie zur MDM-Einrichtungsseite, und klicken Sie unter „DEP-Token“ auf die Schaltfläche Token-Einrichtung oder Token erneuern. Laden Sie dort das in Schritt 1 heruntergeladene Token hoch.

Hinweis

Nach der Einrichtung eines komplett neuen Push-Zertifikats muss das DEP-Token ersetzt werden. Das MDM kann Probleme, die durch Verwendung des dann veralteten DEP-Tokens auftreten, nicht immer als solche erkennen. Eine Ersetzung ist nicht nötig wenn das alte Push-Zertifikat nur erneuert wurde (siehe weiter oben unter „Push-Zertifikat“).

Geräte im MDM aufnehmen

Es gibt die folgenden Möglichkeiten Geräte im MDM bekannt zu machen.

  1. Das Gerät wird bei einem Apple Händler gekauft der an DEP teilnimmt. Dann teilen Sie dem Verkäufer bei der Bestellung Ihre DEP-ID mit. Der Händler wird dann die Geräte direkt in Ihrem DEP anlegen und Sie müssen die Geräte Ihrem MDM-Server zuordnen. Sobald die Geräte bei Ihnen eintreffen, brauchen sie nur noch mit dem WLAN der Schule verbunden werden.

  2. Manuelle Aufnahme des Gerätes in DEP. Diese Möglichkeit wird eingesetzt, wenn Sie die Geräte schon vorher besaßen und jetzt in MDM und DEP aufnehmen wollen.

  3. Hinzufügen des Gerätes zum MDM ohne die Aufnahme im DEP. Dies ist für schulfremde Geräte gedacht.

Manuelles Hinzufügen zu DEP und MDM

Öffnen Sie auf ihrem Computer den Apple Configurator 2. Klicken Sie auf Entwürfe -> Entwürfe bearbeiten. Nun klicken Sie unten links auf Neu. Geben Sie einen Namen für den neuen Entwurf ein, z.B. IServ MDM mein-iserv.de.

../../../_images/ac.png

Markieren Sie den Entwurf und klicken dann auf Vorbereiten.

Wählen Sie jetzt Manuelle Vorbereitung aus. Die folgenden Optionen sollten bereits ausgewählt sein:

  • Zum Geräteregistrierungsprogramm hinzufügen

  • Aktivieren und Registrierung abschließen

  • Betreuen von Geräten

  • Geräten erlauben, sich mit anderen Computern zu koppeln

../../../_images/pre1.png

Klicken Sie dann auf Weiter.

Jetzt müssen Sie den MDM-Server angeben mit dem sich das Gerät später verbinden soll.

../../../_images/pre2.png

Wählen Sie dazu den Eintrag Neuer Server ... aus und klicken dann auf Weiter.

Geben Sie jetzt einen Namen ein der den Server beschreibt, z.B. IServ MDM. In das Feld Adresse müssen Sie nun die Konfigurationsadresse https://mein-iserv.de/iserv/public/mdm/ios/dep_enroll Ihres IServ eingeben. Ersetzten Sie dabei mein-iserv.de mit der entsprechenden Adresse Ihres IServ.

../../../_images/pre3.png

Klicken Sie dann auf Weiter. Im nächsten Schritt wählen Sie neue Organisation aus und klicken wieder auf Weiter.

../../../_images/pre4.png

Die nächste Ansicht bestätigen Sie ebenfalls mit Weiter.

../../../_images/pre5.png

Im nächsten Schritt wählen Sie neue Organisation aus und klicken wieder auf Weiter.

../../../_images/pre6.png

Nun müssen Sie Ihre Apple-ID und das zugehörige Passwort eingeben und anschließend auf Weiter klicken.

../../../_images/pre7.png

Wählen Sie jetzt ‚‘Neue Betreuungsidentität erstellen`` aus und klicken wieder auf Weiter.

../../../_images/pre8.png

Bei der Auswahl Systemassistent sollte bereits die Option Keinen dieser Schritte anzeigen ausgewählt sein.

../../../_images/pre9.png

Bestätigen Sie auch diese Seite wieder mit einem Klick auf Weiter.

Auf der folgenden Seite können Sie ein bereits vorhandenes WLAN Profil hinzufügen. Informationen zum Anlegen können Sie unter WLAN-Profil erstellen nachlesen.

../../../_images/pre10.png

Nach der Auswahl des passenden WLAN-Profils klicken Sie auf Weiter und auf der nächsten Seite auf Vorbereiten.

../../../_images/pre11.png

Zum Abschluss klicken Sie noch unten auf Fertig.

Gerät im DEP bekannt machen

Schließen Sie das Gerät mit einem USB-Kabel an Ihren Computer an und öffnen den Apple Configurator 2. Das Gerät wird nun direkt angezeigt. Markieren Sie das Gerät und klicken dann auf Entwürfe. Wählen Sie hier den zuvor erstellten Entwurf aus. Das Gerät wird nun für die Verwendung in DEP und MDM vorbereitet. Wiederholen Sie diese Schritte mit allen Geräten die Sie in das MDM aufnehmen wollen.

Nachdem dieser Vorgang abgeschlossen ist melden Sie sich unter school.apple.com an. Klicken Sie dann auf MDM-Server. Hier wird Ihnen nun zusätzlich zu Ihrem IServ auch der Eintrag Von Apple Configurator 2 hinzugefügte Geräte angezeigt. Wählen Sie diesen Eintrag aus und klicken in Anschluss auf der rechten Seite auf Laden. Hiermit wird nun eine CSV-Datei heruntergeladen die alle Geräte enthält die Sie zuvor vorbereitet haben.

Wählen Sie nun Gerätezuweisungen und dann CSV-Datei hochladen aus. Klicken Sie jetzt auf Datei hochladen und wählen dann die zuvor heruntergeladene Datei aus. Nun müssen Sie in der Auswahl Aktion ausführen noch den Eintrag Server zuweisen wählen und dann Ihren IServ auswählen. Klicken Sie zum Abschluss noch auf Fertig.

Melden Sie sich nun an Ihrem IServ an und gehen zu Netzwerk -> Mobilgeräteverwaltung -> Device Enrollment Program. Hier wird Ihnen nun die erfolgreiche Zuordnung der Geräte zu Ihrem MDM angezeigt.

WLAN-Profil erstellen

Mit Hilfe eines entsprechenden Profils können Sie die Einstellungen für Ihr WLAN direkt auf den Geräten verteilen.

Hinweis

Es empfiehlt sich für MDM ein WLAN mit WPA2 Verschlüsselung und PSK einzusetzen. So können die Geräte alle unproblematisch in das Netzwerk eingebunden werden ohne das noch Eingaben am Geräte notwendig sind.

Navigieren Sie in ihrem IServ zu Verwaltung → Netzwerk → Mobilgeräteverwaltung → Profile und klicken dann auf Hinzufügen.

Geben Sie nun einen Namen für das zu erstellenden Profil ein, z.B. „WLAN-MDM-Schule“.

../../../_images/wlan11.png

Klicken Sie dann auf Neuer Payload und wählen Sie WLAN Anfänger aus.

../../../_images/wlan1.1.png

Geben Sie unter Netzwerkname (SSID) den Namen (SSID) ein der von Ihren Accesspoints ausgestrahlt wird. Stellen Sie Unsichtbares Netzwerk auf ja und wählen unter Sicherheitstyp die Verschlüsselungsmethode Ihrer Accesspoints aus. Dies sollte nach Möglichkeit immer Persönlicher WPA2 (iOS 8 oder neuer, außer Apple TV) sein. Geben Sie dann noch das WLAN-Passwort ein. Sollte ihre Verschlüsselungsmethode nicht aufgeführt sein können Sie zum Fortgeschrittenenmodus wechseln.

../../../_images/wlan2.png

Speichern Sie das Profil mit einem Klick auf Speichern ab.

Aufnahme zum MDM ohne DEP

Öffnen Sie auf dem Gerät den Browser Safari und gehen Sie dann zu Webseite Ihres IServs. Navigieren Sie dann zu Netzwerk -> Mobilgeräteverwaltung. Klicken Sie nun auf Eintragen und wählen Sie iOS aus. Bestätigen Sie die folgende Meldung mit Zulassen.

../../../_images/allow.png

Klicken Sie im nächsten Fenster auf Installieren und nachfolgend nochmals auf Installieren.

../../../_images/install1.png

Bestätigen Sie die Abfrage für die Entfernte Verwaltung mit Vertrauen.

../../../_images/trust.png

Klicken Sie zum Abschluss auf Fertig.

Profile erstellen

Profile können unter Verwaltung → Netzwerk → Mobilgeräteverwaltung → Profile erstellt und bearbeitet werden. Sollten Sie ein Profil mit Hilfe des „Apple Configurator 2“ erstellt haben können Sie dies durch Hochladen importieren.

Geräte verwalten

Hier werden Ihnen alle Geräte aufgelistet, die Sie, wie zuvor in Geräte im MDM aufnehmen beschrieben, eingetragen haben.

Profil und Anwendungen zuweisen

Klicken Sie auf den Namen eines Gerätes, um in die Detailansicht zu kommen. Klicken Sie nun auf Bearbeiten. Jetzt können Sie vorhandene Anwendungen und Profile auf das Gerät zuweisen. Klicken Sie dann auf Speichern und dann auf Zurück zur Liste. Nun müssen Sie noch auf Änderungen übernehmen klicken, damit die ausstehenden Änderungen auf die entsprechenden Geräte verteilt werden.

Wollen Sie mehreren Geräten etwas zuweisen, markieren Sie die Geräte in der Übersicht und klicken Sie dann auf Bearbeiten. Wählen Sie dann die Anwendungen und Profile aus, die Sie zuweisen möchten, und bestätigen Sie Ihre Auswahl mit Speichern. Haben Sie Geräte mit unterschiedlichen Konfigurationen ausgewählt, können Sie mit Hilfe der folgenden Optionen entscheiden, wie mit bereits auf dem Gerät vorhandenen Anwendungen und Profilen verfahren werden soll:

  • unverändert: Es werden nur die neu eingestellten Optionen zusätzlich ausgeführt.

  • alle installieren:

  • alle entfernen:

  • alle synchronisieren:

Profile

Hier werden Ihnen alle verfügbaren Profile aufgelistet.

Siehe auch: Profile erstellen

Volumenlizenzprogramm

Hier werden Ihnen folgende Informationen zu Ihrem Volumenlizenzprogramm angezeigt:

  • Der Name Ihrer Organisation

  • Die Gültigkeitsdauer des VPP-Tokens

  • Anwendungen, die zur Verteilung bereitstehen, mit der Anzahl der gesamten, der zugewiesenen und der zur Verfügung stehenden Lizenzen.