Überwachter Modus / Supervision

Einleitung

Überwachter Modus, auch Supervision genannt, ist eine von Apple eingeführte Bereitstellungsstrategie zur Verwaltung von iOS-, macOS- und tvOS-Geräte durch Organisationen. Seit der Einführung mit iOS 5 steht Organisationen Supervision als effektive Methode zur Verwaltung von Apple-Geräten zur Verfügung. Supervision bedeutet, dass eine Organisation Eigentümer:in der Geräte ist und die vollständige Kontrolle über sie hat. Endanwender:innen können auf überwachte Geräte zugreifen und sie nutzen; die Organisation hat jedoch die vollumfängliche administrative Kontrolle. So kann der Eigentümer:in entscheiden, welche Funktionen auf den Geräten verwendet werden dürfen, indem es erweiterte Einschränkungen durchsetzt oder die Geräteeinstellungen per MDM-System anpasst.

Relution unterstützt die Einschreibungsart über Apple DEP, um Geräte in Überwachter Modus zu bringen.

Automatische Einschreibung →

Geräte in Überwachter Modus / Supervised Mode versetzen

Um über ein MDM-System auf alle Funktionen von Apple-Geräten zugreifen zu können, müssen diese überwacht bzw. supervised sein. Dieser Zustand wird über die Aufnahme der Geräte in das Apple Device Enrollment Program (DEP) erreicht. Hierzu ist es notwendig, die Geräte in den Apple School/Business Manager hinzuzufügen. Sind Geräte bereits hinterlegt, können Sie in folgendem Bereich weiterlesen.

Automatische Einschreibung →

iOS- und tvOS-Geräte zum Apple School / Business Manager hinzufügen

💡

Sie benötigen einen Mac und die Software Apple Configurator 2.

Apple Configurator 2 ist eine kostenlose App, die im Mac App Store verfügbar ist. Mit der Anwendung lassen sich über USB verbundene Apple-Geräte manuell mit einem Mac Computer konfigurieren, bevor die Geräte an Benutzer:innen ausgehändigt werden. Hierzu können sogenannte Profile erstellt und auf die Geräte angewendet werden. Zudem ermöglicht es der Apple Configurator 2 Apple-Geräte, die nicht bereits von einem autorisierten Wiederverkäufer zum DEP hinzugefügt wurden, nachträglich ins DEP aufzunehmen. Diese Option steht ausschließlich für iPhones, iPads und Apple TVs zur Verfügung. macOS-Geräte müssen zwingend von einem autorisierten Wiederverkäufer gekauft werden, um von den Vorzügen der automatischen Einschreibung über Apple DEP zu profitieren. Insgesamt empfiehlt es sich, direkt DEP-Geräte zu beschaffen, da ein nachträgliches Hinzufügen mit manuellen Aufwänden verbunden ist.

Apple-Geräte, die nachträglich über Apple Configurator 2 im Apple School/Business Manager registriert sind, funktionieren in den ersten 30 Tagen nach der Bereitstellung nicht wie direkt im DEP registrierte Geräte beim Kauf über einen autorisierten Wiederverkäufer. Selbst wenn Sie die manuelle Entfernung der MDM-Verwaltung auf den Geräten über das zugehörige DEP-Profil im MDM-System blockiert haben, können Benutzer:innen die MDM-Verwaltung unter Einstellungen" > Allgemein > "Profile entfernen.

💡

Mit Ablauf der 30-Tage-Frist ab Registrierung werden Benutzer:innen daran gehindert, die MDM-Verwaltung auf den Geräten zu entfernen.

Vorbereitung

Damit Apple-Geräte automatisch eine Internetverbindung herstellen können und die nachträgliche Registrierung zu DEP möglichst komfortabel durchgeführt werden kann, empfiehlt es sich im Vorfeld, ein WLAN-Profil anzulegen. Dies kann auf einem Mac über den Menüpunkt Ablage > Neues Profil > WLAN erstellt und anschließend als Datei gespeichert werden.

Geräte zu DEP hinzufügen

Die Apple-Geräte müssen über ein USB-Kabel mit einem Mac Computer verbunden werden, auf dem anschließend der Apple Configurator 2 gestartet wird. Es erscheint folgender Dialog:

Das dargestellte Gerät mit der rechten Maustaste auswählen und Vorbereiten... klicken. Im nächsten Schritt müssen folgende Optionen gewählt werden:

Zu Apple School Manager oder Apple Business Manager hinzufügen (Bildungseinrichtungen/ Firmenkunden).
Geräten erlauben, sich mit anderen Computern zu koppeln.

💡

Die Option Aktivieren und Registrierung abschließen darf nicht angewählt werden, da das Gerät sonst direkt versucht, eine Einschreibung durchzuführen. Hierzu sind nach dem Hinzufügen zu DEP jedoch noch weitere Konfigurationen im Apple School/Business Manager und in Relution notwendig.

Im nächsten Schritt Neuer Server... auswählen und Weiter klicken.

Nun wird der Name und die URL des entsprechenden Relution Servers angegeben. Der Name kann beliebig gewählt werden. Die URL beginnt mit https:// und lautet z.B. für das Relution-Livesystem:

für iOS-Geräte https://live.relution.io/
für tvOS-Geräte https://live.relution.io/api/v1/devices/appleMdm/depenroll.

💡

Sofern die Geräte auf dem Relution-Testsystem verwaltet werden sollen.

Anschließend wird im nächsten Schritt das angezeigte Zertifikat ausgewählt. Bei mehreren Zertifikaten wird das erste gewählt.

Damit ist der Server festgelegt und wird im Apple Configurator 2 gespeichert. Die Angaben stehen für die Aufnahme weiterer Geräte in das Device Enrollment Program zu einem späteren Zeitpunkt erneut zur Verfügung.

Nun wird im nachfolgenden Dialog Neue Organisation... gewählt und mit Weiter bestätigt.

Als nächstes erfolgt die Verbindung mit dem Apple DEP Server. Hierzu wird die Apple-ID und das Passwort des jeweiligen Apple School/ Business Manager Accounts angegeben.

Gegebenenfalls muss diese Anmeldung per 2-Faktor-Authentifizierung bestätigt werden (Eingabe eines 4-stelligen Codes, der per SMS versendet wird).

Jetzt Neue Betreuungsidentität erstellen wählen und mit Weiter bestätigen. Die Organisationsdaten werden ebenfalls vom Apple Configurator 2 gespeichert, sodass sie später wiederverwendet werden können und keine neue Organisation mehr angelegt werden muss.

Anschließend werden im nächsten Dialog die Setup-Schritte ausgewählt, die bei der Einrichtung der Geräte nicht übersprungen werden sollen. Dabei sollte die Option Ortungsdienste gewählt werden, da sonst das Apple-Gerät nicht der richtigen Zeitzone zugeordnet wird.

Als nächstes sollte ein vorher im Apple Configurator 2 über Ablage > Neues Profil angelegtes WLAN-Konfigurationsprofil ausgewählt werden, welches nach dem Neustart vom Gerät automatisch übernommen wird und direkt eine Internetverbindung herstellt.

Dadurch kann das Apple-Gerät die nachträgliche Registrierung für DEP an die Apple Server übertragen. Alternativ zum WLAN-Profil lässt sich auch die Internet-Verbindung vom Mac Computer mit dem angeschlossenen Gerät über die USB-Verbindung teilen. Wenn kein Profil ausgewählt wird, werden die WLAN-Einstellungen beim Neustart der Geräte von Hand eingegeben. Mit Klick auf Vorbereiten wird das Gerät neu gestartet. Es wird automatisch ins DEP eingeschrieben und anschließend im Apple School/Business Manager manuell dem entsprechenden MDM Server von Relution zuordnet.

💡

Standardmäßig werden Geräte über diesen Weg dem Apple Configurator 2 zugewiesen.

Einstellungen im Apple School und Business Manager

Nach dem manuellen Hinzufügen von Apple-Geräten in DEP müssen diese im Apple School / Business Manager dem gewünschten MDM Server zugewiesen werden. Alternativ kann im Apple School / Business Manager eine Einstellung konfiguriert werden, wodurch neue Geräte automatisch einem definierten MDM Server zugeordnet werden. Alle Konfigurationsoptionen sind in der Online-Dokumentation von Apple beschrieben.

Überwachter Modus / Supervision

Einleitung #

Geräte in Überwachter Modus / Supervised Mode versetzen #

iOS- und tvOS-Geräte zum Apple School / Business Manager hinzufügen #

Vorbereitung #

Geräte zu DEP hinzufügen #

Einstellungen im Apple School und Business Manager #