Benutzer Einschreibung

Einleitung

Mit der Benutzer-Einschreibung, auch User Enrollment genannt, lassen sich private iOS- und macOS-Geräte einschreiben, ohne dass Besitzer:innen die gesamte Kontrolle über die Geräte abgeben müssen. So lassen sich basierend auf dem Bring Your Own Device-Ansatz (BYOD) private Geräte von Schüler:innen oder Mitarbeiter:innen im Schul- bzw. Unternehmenskontext unter Einhaltung des Schutzes privater Daten einbinden und nutzen.

Geräte dürfen sich für eine Apple-Benutzer-Einschreibung nicht im Überwachten Modus/Supervised Mode befinden.

Es gibt zwei Varianten für die Benutzer-Einschreibung: Kontobasiert und profilbasiert (klassische manuelle Einschreibung).

Die profilbasierte Einschreibung steht ab iOS 18 nicht mehr zur Verfügung.

Vorteile

  • Administrator:innen können privat installierte Apps nicht einsehen.
  • Geräte bleiben unter Kontrolle der Anwender:innen.

Nachteile

  • Nicht alle Aktionen und Richtlinien-Konfigurationen sind möglich.
  • Managed Apple IDs sind notwendig.

Einschreibung in Relution vorbereiten

Ausgehend von der Relution-Organisation kann klassisch eine manuelle Einschreibung für iOS- bzw. macOS-Geräte angelegt und der Einschreibungslink an die gewünschten Schüler:innen oder Mitarbeiter:innen gesendet werden.

Grundvoraussetzung für die Erstellung einer Benutzer-Einschreibung ist die Zuordnung von Benutzer:innen. Für diese muss entweder eine Managed Apple ID oder E-Mail-Adresse in den Benutzer-Details hinterlegt werden. Anschließend können die entsprechenden Benutzer:innen hinzugefügt und die Einschreibung abgeschlossen werden. Geräten zugewiesene Benutzer:innen lassen sich bei eingeschriebenen Geräten via Benutzer-Einschreibung nicht mehr ändern bzw. entfernen.

Profilbasierte Benutzer-Einschreibung (bis iOS 17)

Über den empfangenen Einschreibungslink die Geräte-Einschreibung auf dem iOS- bzw. macOS-Gerät unter Verwendung der Managed Apple IDs der Benutzer:innen durchgeführt und das Gerät erscheint automatisch im Geräte-Inventar der entsprechenden Relution-Organisation.

Kontogesteuerte Benutzer-Einschreibung

Relution unterstützt die kontobasierte Benutzer-Registrierung von iOS- und macOS-Geräten, die sich nicht im Überwachter Modus (Supervised Mode) befinden.

Um die Kontobasierte Benutzerregistrierung nutzen zu können benötigen Sie folgendes:

  • Service Discovery Well-Known Hosts

Sie müssen eine Service Discovery konfigurieren, damit Apple die Geräte an den richtigen MDM Server übertragen kann. Um dies zu tun, müssen Sie eine Http well-Known Ressourcen Datei an der Domain hinterlegen, mit der sich die Benutzer anmelden werden. Apple muss diese Datei über einen HTTP GET unter folgender URL abrufen können:

https://yourdomain.com/.well-known/com.apple.remotemanagement

Unter dem Punkt yourdomain.com müssen Sie die Domain hinterlegen, die Sie auch für Ihre Apple ID’s nutzen. Die Datei, die Sie anlegen muss auf einer Domain hinterlegt werden, die mit HTTP GET Anfragen umgehen kann.

Legen Sie die Datei im JSON Format mit dem Inhalts Typ application/json an. Um die richtigen Informationen in die Datei eintragen zu können, können Sie die benötigten Information direkt aus Ihrem Relution Portal kopieren. Öffnen Sie hierzu:

  1. Einstellungen
  2. Geräteverwaltung / Geräteverwaltung
  3. Kontobasierte Apple Benutzerregistrierung
  4. Setzen Sie den Schieberegler für auf an
  5. kopieren Sie den Text in den geschweiften Klammern und fügen Sie diese in Ihre Datei.

Wichtig, damit die Datei richtig funktioniert darf die Datei keine Dateiendung haben.

Beispiel: maxmustermann@musterhausen.de

In diesem Beispiel wäre die Domain der ID Musterhausen.de Sie müssten also die Service Discovery dort hinterlegen.

Mit Option 2 wird die Registrierung von persönlichen Geräten in Relution erheblich erleichtert. Sobald sich Relution-Benutzer:innen über die Option Bei Arbeits- oder Schulaccount anmelden... inVPN & Geräteverwaltungder allgemeinen Einstellungen auf privaten Geräten registrieren, werden in Relution automatisch Benutzer-Einschreibungen erzeugt.

Über die Managed Apple ID der jeweiligen Benutzer:innen wird die Registrierungs-URL der jeweiligen MDM-Lösung automatisch identifiziert. Nach Anmeldung mit den Login-Daten der Benutzer:innen aus Relution tauchen die Geräte nach erfolgreicher Authentifizierung automatisch im Geräte-Inventar der entsprechenden Relution-Organisation auf.