Geräte nachträglich zum DEP hinzufügen

Wofür wird Apple Configurator 2 verwendet? #

Apple Configurator 2 ist eine kostenlose App aus dem Mac App Store, die zur manuellen Konfiguration von Apple-Geräten (über USB verbunden) dient, bevor diese an Nutzer verteilt werden. Mit ihr lassen sich Profile erstellen und auf die Geräte aufspielen. Außerdem ermöglicht der Apple Configurator 2 das nachträgliche Hinzufügen von Apple-Geräten zum Device Enrollment Program (DEP), die nicht bereits von einem autorisierten Wiederverkäufer zugewiesen wurden.

Dieser Vorgang ist ausschließlich für iOS-, iPadOS- und tvOS-Geräte möglich. macOS-Geräte müssen zwingend bei einem autorisierten Wiederverkäufer erworben werden, um von den Vorteilen der automatischen DEP-Einschreibung zu profitieren. Generell empfiehlt es sich, direkt DEP-Geräte zu beschaffen, da ein nachträgliches Hinzufügen manuelle Schritte erfordert.

Welche Vorbereitungen sind notwendig, bevor ein Gerät nachträglich zu DEP hinzugefügt wird? #

Um eine komfortable und automatische Registrierung zu DEP zu gewährleisten, empfiehlt es sich, im Vorfeld ein WLAN-Profil anzulegen. Dieses Profil kann auf dem Mac über den Menüpunkt „Ablage” -> “Neues Profil” -> “WLAN“ erstellt und anschließend als Datei gespeichert werden.

Wie lassen sich Apple-Geräte über den Apple Configurator 2 nachträglich hinzufügen? #

Verbinden Sie die Apple-Geräte über ein USB-Kabel mit Ihrem Mac und starten Sie den Apple Configurator 2. Es erscheint folgender Dialog:

Wählen Sie das dargestellte Gerät mit der rechten Maustaste aus und klicken Sie auf „Vorbereiten…“. Im nächsten Schritt wählen Sie folgende Optionen:

• Zu Apple Business Manager (für Firmenkunden) oder Apple School Manager (für Bildungseinrichtungen) hinzufügen
• Geräten erlauben, sich mit anderen Computern zu koppeln

Hinweis: Die Option „Aktivieren und Registrierung abschließen” darf NICHT angewählt werden, da das Gerät sonst direkt versucht, eine Einschreibung durchzuführen. Nach dem Hinzufügen zu DEP sind noch weitere Konfigurationen im Apple Business Manager/Apple School Manager und in Relution erforderlich.

Wählen Sie im nächsten Schritt „Neuer Server…“ und klicken Sie auf „Weiter“.

Geben Sie nun den Namen und die URL des entsprechenden Relution-Servers an. Der Name ist frei wählbar. Die URL beginnt mit https://. Für das Relution-Testsystem in Verbindung mit iOS-Geräten lautet sie beispielsweise https://live.relution.io/.

Für tvOS-Geräte, die im Relution-Testsystem verwaltet werden sollen, muss folgender Pfad angegeben werden: https://live.relution.io/api/v1/devices/appleMdm/depenroll

Wählen Sie anschließend das angezeigte Zertifikat aus. Bei mehreren Zertifikaten wählen Sie das erste.

Der Server ist nun festgelegt, wird im Apple Configurator 2 gespeichert und steht für spätere Aufnahmen weiterer Geräte in das Device Enrollment Program wieder zur Verfügung.

Im nachfolgenden Dialog wählen Sie „Neue Organisation…“ und bestätigen mit „Weiter“.

Im nächsten Schritt erfolgt die Verbindung mit dem Apple DEP-Server. Geben Sie hierfür die Apple-ID und das Passwort des jeweiligen Apple Business Manager bzw. Apple School Manager Accounts an.

Gegebenenfalls muss diese Anmeldung per 2-Faktor-Authentifizierung bestätigt werden (Eingabe eines 4-stelligen Codes, der per SMS versendet wird).

Wählen Sie nun „Neue Betreuungsidentität erstellen“ und bestätigen Sie mit „Weiter“. Die Organisationsdaten werden ebenfalls vom Apple Configurator 2 gespeichert, sodass sie später wiederverwendet werden können und keine neue Organisation mehr angelegt werden muss.

Anschließend wählen Sie im nächsten Dialog die Setup-Schritte aus, die bei der Geräteeinrichtung NICHT übersprungen werden sollen. Die Option „Ortungsdienste“ sollte gewählt werden, um eine korrekte Zeitzuordnung des Apple-Geräts zu gewährleisten.

Im nächsten Schritt wählen Sie ein zuvor im Apple Configurator 2 über „Ablage” -> “Neues Profil“ angelegtes WLAN-Konfigurationsprofil aus. Dieses wird nach dem Neustart des Geräts automatisch übernommen und stellt die Internetverbindung her.

Dies ermöglicht dem Apple-Gerät, die nachträgliche DEP-Registrierung an die Apple-Server zu übertragen. Alternativ zum WLAN-Profil kann die Internetverbindung des Macs auch über die USB-Verbindung mit dem angeschlossenen Gerät geteilt werden.

Wird kein Profil ausgewählt, müssen die WLAN-Einstellungen beim Neustart der Geräte manuell eingegeben werden. Mit einem Klick auf „Vorbereiten“ wird das Gerät neu gestartet, automatisch ins DEP eingeschrieben und anschließend im Apple Business Manager oder Apple School Manager manuell dem entsprechenden MDM-Server von Relution zugeordnet (standardmäßig dem Apple Configurator 2 zugewiesen).

Welche Konfigurationen sind im Apple Business Manager bzw. Apple School Manager notwendig? #

Nach dem manuellen Hinzufügen von Apple-Geräten in DEP müssen diese im Apple Business Manager bzw. Apple School Manager dem gewünschten MDM-Server zugewiesen werden. Alternativ kann im Apple Business Manager bzw. Apple School Manager eine Einstellung konfiguriert werden, die neue Geräte automatisch einem definierten MDM-Server zuordnet. Alle Konfigurationsoptionen sind in der Online-Dokumentation von Apple beschrieben.

Sobald die Apple-Geräte im Apple Business Manager bzw. Apple School Manager einem MDM-Server zugeordnet sind, können diese anschließend in Relution unter „Geräte“ -> „Auto-Einschreibungen“ in die entsprechende Relution-Organisation synchronisiert werden.

Wie wird die Einschreibung der neuen DEP-Geräte abgeschlossen? #

Nachdem ein Apple-Gerät nachträglich zum DEP hinzugefügt, im Apple Business Manager bzw. Apple School Manager einem MDM-Server zugeordnet und in Relution der entsprechenden Auto-Einschreibung ein DEP-Profil zugewiesen wurde, kann die automatische Einschreibung auf dem Gerät durchgeführt werden.

Sofern in Relution kein DEP-Standardprofil eingerichtet ist oder ein anderes DEP-Profil als dieses verwendet werden soll, muss den neu synchronisierten Geräten ein DEP-Profil zugewiesen werden. Siehe hierzu Insight Apple DEP-Geräte automatisch in Relution einschreiben.

Welche Einschränkungen gibt es bei der Nutzung der Apple Configurator 2 App? #

Das Vorbereiten von Geräten kann einige Minuten in Anspruch nehmen. Wenn der laufende Vorgang abgebrochen oder gestoppt wird, benötigt der Apple Configurator 2 eine gewisse Zeit, um alle Operationen sicher zu beenden. Der Mac, auf dem der Apple Configurator 2 ausgeführt wird, sollte während der Gerätevorbereitung nicht ausgeschaltet werden, da dies zu Beschädigungen der Geräte führen kann.

Konfigurationsprofile, die mit dem Apple Configurator 2 erstellt werden, können lediglich über eine USB-Verbindung auf Apple-Geräte aufgespielt werden. Eine nachträgliche Fernwartung der Geräte ist somit nicht möglich. Bei vielen Geräten entsteht zudem ein hoher manueller Administrationsaufwand. Durch den Einsatz von Relution als zentrales MDM-System kann der administrative Aufwand deutlich reduziert werden.

Bei nachträglich ins DEP aufgenommenen Apple-Geräten besteht eine Karenzzeit von 30 Tagen hinsichtlich des Löschens der MDM-Einschreibung auf dem Gerät. Erst nach Ablauf dieser Zeit wird die Option „Verwaltung entfernen“ aus den Einstellungen auf dem Gerät entfernt und kann von Benutzer:innen nicht mehr manuell durchgeführt werden.