Überwachter Modus / Supervision
Einleitung
Überwachter Modus, auch Supervision genannt, ist eine von Apple eingeführte Bereitstellungsstrategie zur Verwaltung von iOS-, macOS- und tvOS-Geräte durch Organisationen. Seit der Einführung mit iOS 5 steht Organisationen Supervision als effektive Methode zur Verwaltung von Apple-Geräten zur Verfügung. Supervision bedeutet, dass eine Organisation Eigentümer:in der Geräte ist und die vollständige Kontrolle über sie hat. Endanwender:innen können auf überwachte Geräte zugreifen und sie nutzen; die Organisation hat jedoch die vollumfängliche administrative Kontrolle. So kann der Eigentümer:in entscheiden, welche Funktionen auf den Geräten verwendet werden dürfen, indem es erweiterte Einschränkungen durchsetzt oder die Geräteeinstellungen per MDM-System anpasst.
Relution unterstützt die Einschreibungsart über Apple DEP, um Geräte in Überwachter Modus zu bringen.
Geräte in Überwachter Modus / Supervised Mode versetzen
Um über ein MDM-System auf alle Funktionen von Apple-Geräten zugreifen zu können, müssen diese überwacht bzw. supervised sein. Dieser Zustand wird über die Aufnahme der Geräte in das Apple Device Enrollment Program (DEP) erreicht. Hierzu ist es notwendig, die Geräte in den Apple School/Business Manager hinzuzufügen. Sind Geräte bereits hinterlegt, können Sie in folgendem Bereich weiterlesen.
iOS- und tvOS-Geräte zum Apple School / Business Manager hinzufügen
Sie benötigen einen Mac und die Software Apple Configurator 2.
Apple Configurator 2 ist eine kostenlose App, die im Mac App Store verfügbar ist. Mit der Anwendung lassen sich über USB verbundene Apple-Geräte manuell mit einem Mac Computer konfigurieren, bevor die Geräte an Benutzer:innen ausgehändigt werden. Hierzu können sogenannte Profile erstellt und auf die Geräte angewendet werden. Zudem ermöglicht es der Apple Configurator 2 Apple-Geräte, die nicht bereits von einem autorisierten Wiederverkäufer zum DEP hinzugefügt wurden, nachträglich ins DEP aufzunehmen. Diese Option steht ausschließlich für iPhones, iPads und Apple TVs zur Verfügung. macOS-Geräte müssen zwingend von einem autorisierten Wiederverkäufer gekauft werden, um von den Vorzügen der automatischen Einschreibung über Apple DEP zu profitieren. Insgesamt empfiehlt es sich, direkt DEP-Geräte zu beschaffen, da ein nachträgliches Hinzufügen mit manuellen Aufwänden verbunden ist.
Apple-Geräte, die nachträglich über Apple Configurator 2 im Apple School/Business Manager registriert sind, funktionieren in den ersten 30 Tagen nach der Bereitstellung nicht wie direkt im DEP registrierte Geräte beim Kauf über einen autorisierten Wiederverkäufer. Selbst wenn Sie die manuelle Entfernung der MDM-Verwaltung auf den Geräten über das zugehörige DEP-Profil im MDM-System blockiert haben, können Benutzer:innen die MDM-Verwaltung unter Einstellungen → Allgemein → Profile entfernen.
Mit Ablauf der 30-Tage-Frist ab Registrierung werden Benutzer:innen daran gehindert, die MDM-Verwaltung auf den Geräten zu entfernen
Vorbereitung
Damit Apple-Geräte automatisch eine Internetverbindung herstellen können und die nachträgliche Registrierung zu DEP möglichst komfortabel durchgeführt werden kann, empfiehlt es sich im Vorfeld, ein WLAN-Profil anzulegen. Dies kann auf einem Mac über den Menüpunkt Ablage → Neues Profil → WLAN erstellt und anschließend als Datei gespeichert werden.
Geräte zu DEP hinzufügen
Die Apple-Geräte müssen über ein USB-Kabel mit einem Mac Computer verbunden werden, auf dem anschließend der Apple Configurator 2 gestartet wird. Es erscheint folgender Dialog:
Das dargestellte Gerät mit der rechten Maustaste auswählen und Vorbereiten... klicken. Im nächsten Schritt müssen folgende Optionen gewählt werden:
- Zu Apple School Manager oder Apple Business Manager hinzufügen (Bildungseinrichtungen/ Firmenkunden).
- Geräten erlauben, sich mit anderen Computern zu koppeln.
Die Option Aktivieren und Registrierung abschließen darf nicht angewählt werden, da das Gerät sonst direkt versucht, eine Einschreibung durchzuführen. Hierzu sind nach dem Hinzufügen zu DEP jedoch noch weitere Konfigurationen im Apple School/Business Manager und in Relution notwendig.
Im nächsten Schritt Neuer Server... auswählen und Weiter klicken.
Nun wird der Name und die URL des entsprechenden Relution Servers angegeben. Der Name kann beliebig gewählt werden. Die URL beginnt mit https:// und lautet z.B. für das Relution-Livesystem:
- für iOS-Geräte
https://live.relution.io/ - für tvOS-Geräte
https://live.relution.io/api/v1/devices/appleMdm/depenroll
Sofern die Geräte auf dem Relution-Testsystem verwaltet werden sollen.
Anschließend wird im nächsten Schritt das angezeigte Zertifikat ausgewählt. Bei mehreren Zertifikaten wird das erste gewählt.
Damit ist der Server festgelegt und wird im Apple Configurator 2 gespeichert. Die Angaben stehen für die Aufnahme weiterer Geräte in das Device Enrollment Program zu einem späteren Zeitpunkt erneut zur Verfügung.
Nun wird im nachfolgenden Dialog Neue Organisation... gewählt und mit Weiter bestätigt.
Als nächstes erfolgt die Verbindung mit dem Apple DEP Server. Hierzu wird die Apple-ID und das Passwort des jeweiligen Apple School/ Business Manager Accounts angegeben.
Gegebenenfalls muss diese Anmeldung per 2-Faktor-Authentifizierung bestätigt werden (Eingabe eines 4-stelligen Codes, der per SMS versendet wird).
Jetzt Neue Betreuungsidentität erstellen wählen und mit Weiter bestätigen. Die Organisationsdaten werden ebenfalls vom Apple Configurator 2 gespeichert, sodass sie später wiederverwendet werden können und keine neue Organisation mehr angelegt werden muss.
Anschließend werden im nächsten Dialog die Setup-Schritte ausgewählt, die bei der Einrichtung der Geräte nicht übersprungen werden sollen. Dabei sollte die Option Ortungsdienste gewählt werden, da sonst das Apple-Gerät nicht der richtigen Zeitzone zugeordnet wird.
Als nächstes sollte ein vorher im Apple Configurator 2 über Ablage → Neues Profil angelegtes WLAN-Konfigurationsprofil ausgewählt werden, welches nach dem Neustart vom Gerät automatisch übernommen wird und direkt eine Internetverbindung herstellt.
Dadurch kann das Apple-Gerät die nachträgliche Registrierung für DEP an die Apple Server übertragen. Alternativ zum WLAN-Profil lässt sich auch die Internet-Verbindung vom Mac Computer mit dem angeschlossenen Gerät über die USB-Verbindung teilen.
Wenn kein Profil ausgewählt wird, werden die WLAN-Einstellungen beim Neustart der Geräte von Hand eingegeben.
Mit Klick auf Vorbereiten wird das Gerät neu gestartet. Es wird automatisch ins DEP eingeschrieben und anschließend im Apple School/Business Manager manuell dem entsprechenden MDM Server von Relution zuordnet.
Standardmäßig werden Geräte über diesen Weg dem Apple Configurator 2 zugewiesen.
Einstellungen im Apple School und Business Manager
Nach dem manuellen Hinzufügen von Apple-Geräten in DEP müssen diese im Apple School / Business Manager dem gewünschten MDM Server zugewiesen werden. Alternativ kann im Apple School / Business Manager eine Einstellung konfiguriert werden, wodurch neue Geräte automatisch einem definierten MDM Server zugeordnet werden. Alle Konfigurationsoptionen sind in der Online-Dokumentation von Apple beschrieben.
Supervisionszertifikat
Um DEP-Geräte zu schützen und unerlaubte Zugriffe auf die Geräte zu unterbinden, ermöglicht Relution im DEP-Profil die Deaktivierung der Einstellung Verbinden mit Macs oder PCs und Konfigurieren mit Apple Configurator erlauben. Damit besteht keine Möglichkeit, mit dem Apple-Gerät eine Verbindung zu einem Mac oder PC herzustellen und eine nachträgliche Konfiguration über den Apple Configurator durchzuführen. So wird beispielsweise verhindert, dass Benutzer:innen das MDM-Profil entfernen können. Diese Konfiguration kann nicht nachträglich geändert werden, ohne dass das Gerät zurückgesetzt wird.
Worauf sollte geachtet werden, wenn diese Einstellung verwendet wird?
Unter Umständen kann ein gesperrter Zugriff über einen Mac oder PC dazu führen, dass dem Administrator die Möglichkeit genommen wird, ein Gerät manuell über einen Computer zurückzusetzen. Dies kann beispielsweise eintreten, wenn die WLAN-Einstellungen falsch konfiguriert sind oder der MDM-Server kaputt geht. Das Gerät ist dann über Relution nicht mehr erreichbar und kann nicht verwaltet oder zurückgesetzt werden. Man spricht auch von einem Lock-in-Effekt.
Wie können erlaubte Zugriffe mit Relution sichergestellt werden? Mit der Server Version 5.13 ermöglicht Relution die Verbindung mit Macs oder PCs, auch wenn dies über das DEP-Profil untersagt wird. Bei der Einschreibung von DEP-Geräten in Relution wird automatisch ein Supervisionszertifikat erzeugt. Mittels dieses Zertifikats kann der Administrator das Gerät trotz Restriktion mit einem Mac oder PC verbinden. Hierzu wird das Zertifikat von Relution heruntergeladen und bei der Verbindung mit dem Apple Configurator initial einmalig angegeben. Das Zertifikat steht in den Gerätedetails zum Download bereit. Anschließend kann wieder auf das Gerät zugegriffen werden.
Was muss beim Entsperren des Gerätes beachtet werden? Nachfolgend wird der Prozess bei der Entsperrung über den Apple Configurator beschrieben:
- Herunterladen des Supervisionszertifikats und Zwischenkopieren des Passworts
- Über die Apple Configurator Einstellungen eine neue Organisation erstellen und die Apple-ID sowie den Verifizierungscode eingeben
- Bestehende Betreuungsidentität auswählen und weiter klicken
- Anschließend das heruntergeladene Supervisionszertifikat auf dem Computer mit dem Passwort aus Relution öffnen. Die Keychain mit dem Zertifikat öffnet sich
- Anschließend taucht das Zertifikat im Apple Configurator Dialog unter Betreuungsidentitäten zur Auswahl auf
- Organisation erstellen
- Nun ist das Gerät wieder freigeschaltet und kann über den Apple Configurator verwaltet werden
Was ist bei der Verwendung des Supervisionszertifikates zu beachten? Das Zertifikat wird nur erzeugt, wenn DEP-Geräte neu eingeschrieben werden. Während der DEP-Einschreibung wird das Zertifikat automatisch erstellt und auf das Gerät gespielt. Die Funktionalität findet nicht bei bereits eingeschriebenen Geräten Anwendung und für Bestandsgeräte wird kein Zertifikat erzeugt.