Citrix Endpoint Management

Bereitstellen von Geräten über die Apple-Bereitstellungsprogramme

Mit den Apple-Bereitstellungsprogrammen (ADPs) können Sie Apple-Geräte vor der Übergabe an Benutzer automatisch in Endpoint Management registrieren, ohne auf die Geräte zugreifen zu müssen. Nachdem ein Benutzer das Gerät auspackt und einschaltet, registriert es sich automatisch bei Endpoint Management, und alle Verwaltungseinstellungen, Apps und Bücher sind für ihn bereit.

Die ADPs umfassen Apple Business Manager (ABM) für Unternehmensorganisationen und Apple School Manager (ASM) für Bildungseinrichtungen. ABM und ASM sind für iOS-, iPadOS-, macOS- und tvOS-Geräte verfügbar. Weitere Informationen zur Berechtigung von Geräten finden Sie im Apple Business Manager-Benutzerhandbuch und im Apple School Manager-Benutzerhandbuch.

Hinweis:

ABM und ASM kombinieren das vorherige Programm zur Geräteregistrierung (DEP) und das Programm für Volumenlizenzen (VPP) von Apple.

Dieser Artikel erläutert das allgemeine Bereitstellungsverfahren mit ABM oder ASM:

  1. Registrierung bei ABM oder ASM
  2. Verbinden Ihres ABM- oder ASM-Kontos mit Endpoint Management
  3. Bestellen von Geräten
  4. Zuweisen von Geräten zu Endpoint Management
  5. Volumenkauf von Inhalten und Synchronisieren mit Endpoint Management
  6. Konfigurieren der Bereitstellungsregeln für Geräterichtlinien und Apps
  7. Hinzufügen von Bereitstellungsgruppen, die Benutzer und ihnen zugewiesene Ressourcen enthalten

Nachdem Sie diesen Bereitstellungsprozess abgeschlossen haben, sind die Geräte einsatzbereit und können für eine automatisierte Geräteregistrierung aktiviert werden.

Voraussetzungen

Öffnen Sie die erforderlichen Ports für die Verbindung zwischen Endpoint Management und Apple. Weitere Informationen finden Sie unter Portanforderungen.

Registrierung bei ABM oder ASM

Um Geräte in Apple bereitzustellen, registrieren Sie sich bei ABM oder ASM.

ABM und ASM sind nur für Organisationen und nicht für Einzelpersonen verfügbar. Sie müssen zahlreiche Unternehmensdetails angeben, um ein Konto zu erstellen. Es kann eine Weile dauern, bis angeforderte Kontogenehmigungen vorliegen.

Registrierung bei Apple Business Manager

Zum Registrieren bei ABM gehen Sie zu business.apple.com. Klicken Sie auf Enroll now, um ein neues Konto zu beantragen.

Verwenden Sie am besten eine E-Mail-Adresse für Ihr Unternehmen, z. B. deployment@company.com. Die Registrierung kann einige Tage dauern. Nachdem Sie Ihre Anmeldeinformationen erhalten haben, befolgen Sie die Schritte in ABM, um ein Konto zu erstellen.

Registrierung bei Apple School Manager

Zum Erstellen eines ASM-Kontos gehen Sie zu Apple School Manager und folgen den Anweisungen zur Registrierung. Wenn Sie sich das erste Mal bei ASM anmelden, wird der Setupassistent geöffnet.

  • Informationen zu den ASM-Voraussetzungen, zum Setupassistenten und zu Verwaltungsaufgaben finden Sie im Apple School Manager-Benutzerhandbuch.

  • Verwenden Sie beim Einrichten eines ASM-Benutzerkontos einen Domänennamen, der sich vom Domänennamen für Active Directory unterscheidet. Fügen Sie dem Domänennamen für ASM beispielsweise das Präfix appleid an.

  • Wenn Sie ASM mit Ihrem Dienstplan verbinden, erstellt ASM verwaltete Apple-IDs für Lehrkräfte und Lernende. Die Dienstplandaten umfassen Lehrkräfte, Lernende und Unterrichtsstunden. Informationen zum Hinzufügen von Dienstplandaten zu ASM finden Sie in der oben erwähnten Benutzerdokumentation zu Apple School Manager.

  • Sie können das Format der verwalteten Apple-ID für Ihre Institution anpassen (siehe oben erwähnte Benutzerdokumentation zu Apple School Manager).

    Wichtig:

    Ändern Sie keine verwalteten Apple-IDs, nachdem Sie ASM-Informationen in Endpoint Management importiert haben.

  • Wenn Sie Geräte über Wiederverkäufer oder Netzbetreiber erworben haben, verknüpfen Sie die Geräte mit ASM. Informationen finden Sie in der oben erwähnten Benutzerdokumentation zu Apple School Manager.

Verbinden Ihres ABM- oder ASM-Kontos mit Endpoint Management

Nachdem Sie Ihr ABM- oder ASM-Konto erstellt haben, verbinden Sie es mit Ihrer Endpoint Management-Serverbereitstellung.

Schritt 1. Laden Sie einen öffentlichen Schlüssel vom Endpoint Management-Server herunter

  1. Gehen Sie in der Endpoint Management-Konsole zu Einstellungen > Apple-Bereitstellungsprogramme.

    Bildschirm für die Apple-Bereitstellungsprogramm-Einstellungen

  2. Klicken Sie unter Öffentlichen Schlüssel herunterladen auf Herunterladen.

Schritt 2: Erstellen und Herunterladen einer Servertokendatei aus dem Apple-Konto

  1. Melden Sie sich als Administrator oder Geräteregistrierungsverwalter bei Apple Business Manager oder Apple School Manager an.
  2. Klicken Sie unten in der Randleiste auf Settings und dann auf Device Management Settings > Add MDM Server.
  3. Geben Sie in der Einstellung MDM Server Name einen Namen für den Endpoint Management-Server ein. Der von Ihnen eingegebene Servername dient Ihnen als Referenz. Er ist nicht die URL oder der Name des Servers.
  4. Klicken Sie unter Upload Public Key auf Choose File. Laden Sie den öffentlichen Schlüssel hoch, den Sie von Endpoint Management heruntergeladen haben, und speichern Sie die Änderungen.
  5. Klicken Sie auf Download Token, um die Servertokendatei auf Ihren Computer herunterzuladen.

    Sie laden die Servertokendatei hoch, wenn Sie das ABM- oder ASM-Konto zu Endpoint Management hinzufügen. Nach dem Import der Tokendatei werden Ihre Tokeninformationen in der Endpoint Management-Konsole angezeigt.

  6. Klicken Sie unter Default Device Assignment auf Change. Wählen Sie aus, wie Sie Geräte zuweisen möchten, und geben Sie die angeforderten Informationen ein. Weitere Informationen finden Sie im Apple Business Manager-Benutzerhandbuch oder im Apple School Manager-Benutzerhandbuch.

Schritt 3: Hinzufügen Ihres Kontos zu Endpoint Management

Sie können mehrere ABM- oder ASM-Konten zu Endpoint Management hinzufügen. Dieses Feature ermöglicht die Verwendung verschiedener Registrierungseinstellungen sowie verschiedener Optionen im Setupassistenten je nach Land, Abteilung usw. Anschließend verknüpfen Sie die ABM- oder ASM-Konten mit verschiedenen Geräterichtlinien.

Sie können beispielsweise alle ABM- oder ASM-Konten aus verschiedenen Ländern auf einem Endpoint Management-Server zentralisieren, um dort alle ABM- oder ASM-Geräte zu importieren und zu überwachen. Sie passen zunächst die Registrierungseinstellungen und Setupassistentenoptionen nach Abteilung, Organisationshierarchie oder einer anderen Struktur an. Anschließend konfigurieren Sie Richtlinien für eine unternehmensweit geeignete Funktionalität und helfen Benutzern, geeignete Unterstützung zu erhalten.

  1. Rufen Sie in der Endpoint Management-Konsole Einstellungen > Apple-Bereitstellungsprogramm auf und klicken Sie unter Konto für Apple-Bereitstellungsprogramm hinzufügen auf Hinzufügen.

    Bildschirm für die Apple-Bereitstellungsprogramm-Einstellungen

  2. Geben Sie auf der Seite Servertoken die Servertokendatei ein und klicken Sie dann auf Hochladen.

    Bildschirm für die Apple-Bereitstellungsprogramm-Einstellungen

    Die Informationen zum Servertoken werden angezeigt.

  3. Geben Sie auf der Seite Kontoinformationen folgende Einstellungen an:

    Bildschirm für die Apple-Bereitstellungsprogramm-Einstellungen

    • Name des Kontos für Apple-Bereitstellungsprogramm: Ein aussagekräftiger eindeutiger Name für dieses ADP-Konto, der angibt, wie Ihre ADP-Konten organisiert werden, z. B. nach Land oder nach Organisationshierarchie.
    • Geschäftseinheit: Die Unternehmenseinheit oder Abteilung, der das Gerät zugewiesen ist. Diese Angabe ist erforderlich.
    • Eindeutige Dienst-ID: Eine optionale eindeutige ID zur weiteren Identifizierung des Kontos.
    • Telefonnummer vom Support: Eine Telefonnummer, unter der Benutzer beim Setup Hilfe anfordern können. Diese Angabe ist erforderlich.
    • E-Mail-Adresse vom Support: Eine optionale E-Mail-Adresse des Supports, die Benutzern zur Verfügung steht.
    • Suffix der Bildungseinrichtung: Für ASM-Konten. Geben Sie das Suffix ein, das Geräten zugewiesen ist, die über dieses Konto registriert sind.
  4. Geben Sie unter iOS-Einstellungen die folgenden Einstellungen an:

    Bildschirm für die Apple-Bereitstellungsprogramm-Einstellungen

    Registrierungseinstellungen:

    • Geräteregistrierung erforderlich: Wählen Sie aus, ob Benutzer Geräte registrieren müssen. Die Standardeinstellung ist Ein.
    • Anmeldeinformationen für Geräteregistrierung erforderlich: Wählen Sie aus, ob Benutzer bei der ABM- und ASM-Registrierung ihre Anmeldeinformationen eingeben müssen. Wir empfehlen, dass alle Benutzer während der Geräteregistrierung ihre Anmeldeinformationen eingeben müssen, damit nur autorisierte Benutzer Geräte registrieren können. Die Standardeinstellung ist Ein.

      Wenn Sie ABM oder ASM vor dem ersten Einrichten aktivieren und diese Option nicht auswählen, erstellt Endpoint Management die ABM- oder ASM-Komponenten. Dabei werden Komponenten wie Benutzer, Secure Hub, Softwarebestand und Bereitstellungsgruppe erstellt. Wenn Sie diese Option auswählen, werden die Komponenten nicht von Endpoint Management erstellt. Wenn Sie später die Option deaktivieren, können Benutzer, die ihre Anmeldeinformationen nicht eingegeben haben, die ABM- oder ASM-Registrierung nicht ausführen, da diese Komponenten nicht vorhanden sind. Zum Hinzufügen von ABM- oder ASM-Komponenten deaktivieren und reaktivieren Sie in diesem Fall das ABM- oder ASM-Konto.

    • Abschluss der Konfiguration abwarten: Wählen Sie aus, ob Geräte im Setupassistentenmodus verbleiben müssen, bis alle erforderlichen MDM-Ressourcen auf den Geräten bereitgestellt wurden. Diese Einstellung ist nur für Geräte im betreuten Modus verfügbar. Die Standardeinstellung ist Aus.
    • Laut Apple-Dokumentation funktionieren die folgenden Befehle möglicherweise nicht, wenn ein Gerät im Setupassistentenmodus ausgeführt wird:
      • InviteToProgram
      • InstallApplication
      • ApplyRedemptionCode
      • InstallMedia
      • RequestMirroring
      • DeviceLock

    Geräteeinstellungen:

    • Betreuter Modus: Diese Option ist auf Ein festgelegt, wenn Sie Apple Configurator zum Verwalten von registrierten Geräten verwenden oder wenn Abschluss der Konfiguration abwarten aktiviert ist. Die Standardeinstellung ist Ein. Informationen, wie Sie iOS-Geräte in den betreuten Modus versetzen, finden Sie unter Bereitstellen von Geräten mit Apple Configurator 2.
    • Entfernen des Registrierungsprofils zulassen: Wählen Sie aus, ob auf Geräten ein Profil verwendet werden darf, das remote entfernt werden kann. Die Standardeinstellung ist Aus.
    • Koppeln von Geräten zulassen: Wählen Sie aus, ob registrierte Geräte mit Apple Music und dem Apple Configurator verwaltet werden dürfen. Die Standardeinstellung ist Aus.

    Überwachungsidentitäten

    Wenn Sie das GroundControl-Tool verwenden, können Sie ein Zertifikat hinzufügen, um Folgendes zu tun:

    • Außerkraftsetzung von Kopplungseinschränkungen, um die Eingabeaufforderung „Trust this host“ zu vermeiden.
    • Eskalieren von verwalteten Geräteaktionen über USB, um Profilinstallationen und andere Aktivitäten ohne Benutzeraktion auszuführen. Damit kann GroundControl den Einzel-App-Modus und die Gerätesperre beim Auschecken aktivieren.
    • Wiederherstellen eines Backups auf ABM- oder ASM-Geräten.

    Weitere Informationen zu GroundControl finden Sie auf der GroundControl-Website.

  5. Geben Sie unter macOS-Einstellungen die folgenden Einstellungen an:

    Bildschirm für die Apple-Bereitstellungsprogramm-Kontoeinstellungen

    Registrierungseinstellungen:

    • Geräteregistrierung erforderlich: Wählen Sie aus, ob Benutzer Geräte registrieren müssen. Die Standardeinstellung ist Ein.
    • Abschluss der Konfiguration abwarten: Bei Auswahl von Ein wird das macOS-Gerät im Setupassistenten erst dann fortgesetzt, wenn der MDM-Ressourcenpasscode auf dem Gerät bereitgestellt wird. Diese Bereitstellung steht vor der Erstellung des lokalen Kontos zur Verfügung. Diese Einstellung ist für Geräte unter macOS 10.11 und höher verfügbar. Die Standardeinstellung ist Aus.

    Geräteeinstellungen:

    • Entfernen des Registrierungsprofils zulassen: Wählen Sie aus, ob auf Geräten ein Profil verwendet werden darf, das remote entfernt werden kann. Die Standardeinstellung ist Aus.
  6. Legen Sie unter Apple TV-Einstellungen folgende Einstellungen fest:

    • Geräteregistrierung erforderlich: Verhindert, dass Benutzer die Registrierung überspringen.
    • Anmeldeinformationen für Geräteregistrierung erforderlich: Bei der Registrierung müssen die Anmeldeinformationen eingegeben werden. Wenn diese Einstellung deaktiviert ist, werden Apple TV-Geräte unter Verwendung des Device Enrollment Program-Standardbenutzerkontos registriert.
    • Abschluss der Konfiguration abwarten: Das Gerät wartet im Setupassistenten, bis alle Ressourcen bereitgestellt sind.
    • Betreuter Modus: Der Administrator kann beim Konfigurieren von Einschränkungen zusätzliche Funktionen nutzen.
    • Entfernen des Registrierungsprofils zulassen: Ermöglicht Benutzern das Entfernen der Registrierungsprofile.
    • Koppeln von Geräten zulassen: Ermöglicht, dass Geräte, die über das Device Enrollment Program registriert wurden, mit Apple-Tools wie Apple App Store und Apple Configurator verwaltet werden.

    Bildschirm für die Apple-Bereitstellungsprogramm-Kontoeinstellungen

  7. Wählen Sie unter Optionen des iOS-Setupassistenten die Schritte aus, die beim ersten Gerätestart durch Benutzer übersprungen werden sollen. Wenn ein Bildschirm übersprungen wird, verwendet das zugehörige Feature die Standardeinstellungen. Benutzer können übersprungene Features nach Abschluss des Setups konfigurieren, sofern Sie den Zugriff darauf nicht komplett beschränken. Weitere Informationen zum Einschränken des Zugriffs auf Features finden Sie unter Geräteeinschränkungsrichtlinie. Alle Optionen sind standardmäßig deaktiviert. In den folgenden Beschreibungen wird erläutert, was die Auswahl einer Einstellung bewirkt.

    Bildschirm für die Apple-Bereitstellungsprogramm-Kontoeinstellungen

    • Ortungsdienste: Verhindert, dass Benutzer den Ortungsdienst auf dem Gerät einrichten.
    • Touch ID: Verhindert, dass Benutzer Touch ID oder Face ID auf iOS-Geräten einrichten.
    • Passcodesperre: Verhindert, dass Benutzer einen Passcode für das Gerät einrichten. Wenn kein Passcode existiert, können Benutzer Touch ID oder Apple Pay nicht verwenden.
    • Neu einrichten oder wiederherstellen: Verhindert, dass Benutzer das Gerät als neu oder als Backup von einer iCloud oder aus dem Apple App Store einrichten.
    • Verschieben von Android: Verhindert, das Benutzer Daten von einem Android-Gerät auf ein iOS-Gerät übertragen. Diese Option ist nur verfügbar, wenn Neu einrichten oder wiederherstellen aktiviert wurde (d. h. der Schritt wird übersprungen).
    • Apple-ID: Verhindert, dass Benutzer eine verwaltete Apple-ID für das Gerät einrichten.
    • AGB: Verhindert, dass Benutzer die Nutzungsbedingungen zur Verwendung des Geräts lesen und akzeptieren.
    • Apple Pay: Verhindert, dass Benutzer Apple Pay einrichten. Wenn diese Einstellung deaktiviert ist, müssen Benutzer Touch ID und Apple-ID einrichten. Stellen Sie sicher, dass diese Einstellungen deaktiviert sind.
    • Siri: Verhindert, dass Benutzer Siri konfigurieren.
    • App-Analyse: Verhindert, dass Benutzer einrichten, ob Absturzdaten und Nutzungsstatistiken an Apple weitergegeben werden sollen.
    • Anzeigezoom: Verhindert, dass Benutzer den Anzeigezoom (Standard oder verkleinert/vergrößert) auf iOS-Geräten einrichten.
    • True Tone: Verhindert, dass Benutzer Vierkanalsensoren einrichten, um den Weißabgleich des Displays dynamisch anzupassen.
    • Hometaste: Verhindert, dass Benutzer den Feedbackstil der Hometaste einrichten.
    • Neue Feature-Highlights: Verhindert, dass Benutzer Bildschirme sehen, auf denen Informationen über neue Funktionen der Apple-Software angezeigt werden.
    • Datenschutz: Verhindert, dass Benutzer die Seite “Daten und Datenschutz” sehen. Für iOS 11.3 und höher.
    • Softwareupdate: Verhindert, dass Benutzer iOS auf die neueste Version aktualisieren. Für iOS 12.0 und höher.
    • Bildschirmzeit: Verhindert, dass Benutzer die Bildschirmzeit aktivieren. Für iOS 12.0 und höher.
    • SIM-Setup: Verhindert, dass Benutzer einen Mobilfunkplan einrichten. Für iOS 12.0 und höher.
    • iMessage & FaceTime: Verhindert, dass Benutzer iMessage und FaceTime aktivieren. Für iOS 12.0 und höher.
    • Darstellung: Verhindert, dass Benutzer den Erscheinungsbildmodus aktivieren. Für iOS 13.0 und höher.
    • Willkommen: Verhindert, dass Benutzer den Bildschirm Erste Schritte anzeigen. Für iOS 13.0 und höher.
    • Wiederherstellung abgeschlossen: Verhindert, dass Benutzer sehen, ob eine Wiederherstellung während des Setups abgeschlossen wird. Für iOS 14.0 und höher.
    • Aktualisierung abgeschlossen: Verhindert, dass Benutzer sehen, ob ein Softwareupdate während des Setups abgeschlossen wird. Für iOS 14.0 und höher.

    Das Konto wird unter Einstellungen > Apple-Bereitstellungsprogramm angezeigt.

  8. Wählen Sie unter Optionen des macOS-Setupassistenten die Schritte aus, die beim ersten Gerätestart durch die Benutzer übersprungen werden. Wenn ein Bildschirm übersprungen wird, verwendet das zugehörige Feature die Standardeinstellungen. Benutzer können übersprungene Features nach Abschluss des Setups konfigurieren, sofern Sie den Zugriff darauf nicht komplett beschränken. Weitere Informationen zum Einschränken des Zugriffs auf Features finden Sie unter Geräteeinschränkungsrichtlinie. Alle Optionen sind standardmäßig deaktiviert. In den folgenden Beschreibungen wird erläutert, was die Auswahl einer Einstellung bewirkt.

    Bildschirm für die Apple-Bereitstellungsprogramm-Kontoeinstellungen

    • Neu einrichten oder wiederherstellen: Verhindert, dass Benutzer das Gerät als neu oder als Time Machine-Backup einrichten oder eine Systemmigration durchführen.
    • Ortungsdienste: Verhindert, dass Benutzer den Ortungsdienst auf dem Gerät einrichten. Für macOS 10.11 und höher.
    • Apple-ID: Verhindert, dass Benutzer eine verwaltete Apple-ID für das Gerät einrichten.
    • AGB: Verhindert, dass Benutzer die Nutzungsbedingungen zur Verwendung des Geräts lesen und akzeptieren.
    • Siri: Verhindert, dass Benutzer Siri konfigurieren. Für macOS 10.12 und höher.
    • FileVault: Verwendung von FileVault zum Verschlüsseln des Startvolumes. Endpoint Management wendet die FileVault-Einstellung nur an, wenn das System ein einziges lokales Benutzerkonto hat und das Konto an iCloud angemeldet ist.

      Sie können die Funktion “macOS FileVault-Datenträgerverschlüsselung” verwenden, um das Systemvolume durch Verschlüsselung der Inhalte zu schützen (https://support.apple.com/en-us/HT204837). Wenn Sie den Setupassistenten auf einem veralteten tragbaren Mac-Modell ausführen, für das FileVault nicht aktiviert ist, werden Sie unter Umständen dazu aufgefordert, dieses Feature zu aktivieren. Die Eingabeaufforderung wird sowohl auf neuen Systemen als auch auf Systemen angezeigt, die auf OS X 10.10 oder 10.11 aktualisiert wurden. Voraussetzung für die Anzeige der Eingabeaufforderung ist jedoch, dass das System ein einzelnes lokales Administratorkonto aufweist, das bei iCloud angemeldet ist.

    • App-Analyse: Verhindert, dass Benutzer einrichten, ob Absturzdaten und Nutzungsstatistiken an Apple weitergegeben werden sollen.
    • Datenschutz: Verhindert, dass Benutzer die Seite “Daten und Datenschutz” sehen. Für macOS 10.13 und höher.
    • iCloud-Analyse: Verhindert, dass Benutzer auswählen, ob sie iCloud-Diagnosedaten an Apple senden. Für macOS 10.13 und höher.
    • iCloud-Dokumente und -Desktop: Verhindert, dass Benutzer iCloud-Desktop und -Dokumente einrichten. Für macOS 10.13 und höher.
    • Darstellung: Verhindert, dass Benutzer den Erscheinungsbildmodus aktivieren. Für macOS 10.14 und höher.
    • Bedienungshilfen: Verhindert, dass Benutzer automatisch Erläuterungen per Sprachausgabe hören. Nur verfügbar, wenn das Gerät mit dem Ethernet verbunden ist. Für macOS 11 und höher.
    • Biometrie: Verhindert, dass Benutzer Touch ID und Face ID einrichten. Für macOS 10.12.4 und höher.
    • True Tone: Verhindert, dass Benutzer Vierkanalsensoren einrichten, um den Weißabgleich des Displays dynamisch anzupassen. Für macOS 10.13.6 und höher.
    • Apple Pay: Verhindert, dass Benutzer Apple Pay einrichten. Wenn diese Einstellung deaktiviert ist, müssen Benutzer Touch ID und Apple-ID einrichten. Stellen Sie sicher, dass die Einstellungen Apple-ID und Biometrie deaktiviert sind.
    • Bildschirmzeit: Verhindert, dass Benutzer die Bildschirmzeit aktivieren. Für macOS 10.15 und höher.

    • Setupoptionen für lokales Konto: Geben Sie die Einstellungen zum Erstellen eines Administratorkontos auf dem Gerät an. Endpoint Management erstellt das Konto mit den angegebenen Informationen. Benutzer melden sich dann mit diesen Informationen bei ihrem macOS-Gerät an.

    Wichtig:

    Sie können Erstellen Sie ein primäres Konto als Standardbenutzer erst auswählen, nachdem Sie auf der Seite macOS-Einstellungen für Abschluss der Konfiguration abwarten die Einstellung Ein gewählt haben.

    • Erstellen Sie ein primäres Konto als Standardbenutzer: Anstatt diesem Benutzer Administratorrechte auf dem Gerät zu gewähren, erstellt Endpoint Management den Benutzer mit Standardberechtigungen. Da macOS ein Administratorkonto erfordert, erstellt Endpoint Management zunächst ein Administratorkonto, erstellt dann ein neues Standardkonto und legt es als primäres Konto fest.
    • Vollständiger Administratorname: Geben Sie den Namen ein, den das System für das Administratorkonto anzeigt.
    • Kurzname des Administrators: Geben Sie den Namen ein, den das Gerät für den Basisordner und in der Shell anzeigt.
    • Administratorkennwort: Geben Sie ein sicheres Kennwort für das Administratorkonto ein.
    • Administratorkonto in “Benutzer und Gruppen” anzeigen: Wenn diese Option deaktiviert ist, wird das Administratorkonto nicht unter Benutzer und Gruppen in den macOS-Einstellungen angezeigt. Wenn Sie das primäre Konto als Standardbenutzer erstellen, aktivieren Sie diese Einstellung, um das von Endpoint Management erstellte Administratorkonto auszublenden.

    Um die Sicherheit zu erhöhen, prüft Endpoint Management, ob das Kennwort des Administratorkontos täglich rotiert werden soll. Standardmäßig wird das Kennwort in Endpoint Management alle 7 Tage gewechselt. Diese Standardeinstellung können Sie in der Servereigenschaft mac.dep.admin.passwd.rotate ändern. Weitere Informationen finden Sie unter Servereigenschaften.

    Um Stärke und Sicherheit des Kennworts zu erhöhen, müssen Kennwörter in Endpoint Management folgende Vorgaben erfüllen:

    • 12 Zeichen lang
    • 3 Großbuchstaben
    • 3 Kleinbuchstaben
    • 3 Ziffern
    • 3 Sonderzeichen: ! \@ \# \$ % \^ \* ? + = -

    Um das vorherige Kennwort, das aktuelle Kennwort und den Kennwortänderungsstatus für ein Gerät anzuzeigen, gehen Sie zu Verwalten > Geräte. Klicken Sie auf dieses Gerät, klicken Sie auf Mehr anzeigen und rufen Sie die Seite Gerätedetails > Allgemein auf. Im Abschnitt Sicherheit wird Folgendes angezeigt:

    • Vorheriges Administratorkennwort: Hier können Sie das vorherige Kennwort anzeigen. Endpoint Management zeigt nur das letzte Kennwort. Klicken Sie auf Kennwort anzeigen, um das Kennwort zu sehen.
    • Aktuelles Administratorkennwort: Hier können Sie das aktuelle Kennwort anzeigen.
    • Administratorkennwort ändern: Hier können Sie den Kennwortänderungsstatus anzeigen. Je nach vorliegendem Status werden folgende Informationen angezeigt:
      • Die Kennwortänderung wurde angefordert: <spezieller Zeitwert>.
      • Das Kennwort wurde geändert: <spezieller Zeitwert>.
      • Versuche, das Kennwort zu ändern, schlugen fehl: <spezieller Zeitwert>.
      • Das Kennwort wurde noch nicht geändert.
  9. Wählen Sie unter Optionen des Apple TV-Setupassistenten die Schritte aus, die Benutzer beim ersten Gerätestart überspringen. Alle Optionen sind standardmäßig deaktiviert. Speichern Sie die Änderung.

    Bildschirm für die Konfiguration von Apple-Bereitstellungsprogramm-Einstellungen

  10. Das Konto wird unter Einstellungen > Apple-Bereitstellungsprogramm angezeigt. Zum Testen der Verbindung zwischen Endpoint Management und Apple wählen Sie das Konto aus und klicken auf Konnektivität testen.

    Bildschirm für die Apple-Bereitstellungsprogramm-Einstellungen

    Eine Statusmeldung wird angezeigt.

    Bildschirm für die Apple-Bereitstellungsprogramm-Einstellungen

Bestellen von Geräten

Sie können Geräte direkt über die folgenden Kanäle bestellen:

  • Apple Teilen Sie dem Verkäufer Ihre Apple-Kundennummern mit.
  • Autorisierter Apple-Vertriebspartner oder Netzbetreiber. Teilen Sie dem Verkäufer Ihre Organisations-ID mit und fragen Sie nach seiner Wiederverkäufer-ID.

Weitere Informationen zum Verwalten von Geräteverkäufern finden Sie im Apple Business Manager-Benutzerhandbuch und im Apple School Manager-Benutzerhandbuch.

Nach dem Versand Ihrer Bestellung werden die erworbenen Apple-Geräte Ihrem ABM- oder ASM-Konto hinzugefügt.

Zuweisen von Geräten zu Endpoint Management

Suchen Sie im ABM- oder ASM-Portal nach einer Bestellnummer und weisen Sie damit die bestellten Geräte Endpoint Management zu. iPhone-, iPad-, iPod touch- und Apple TV-Geräte können Sie auch mit Apple Configurator 2 zu ABM oder ASM hinzufügen, unabhängig davon, wo die Geräte gekauft wurden.

Weitere Informationen finden Sie im Apple Business Manager-Benutzerhandbuch oder im Apple School Manager-Benutzerhandbuch.

Volumenkauf von Inhalten und Synchronisierung mit Endpoint Management

Mit ABM und ASM können Sie Volumenlizenzen für Apps und Bücher über ein einziges Unternehmenskonto erwerben, verteilen und verwalten. Führen Sie die folgenden Schritte aus, um Endpoint Management mit ABM oder ASM zu verknüpfen und die Lizenzinformationen für die Verteilung abzurufen:

  1. Kaufen Sie im ABM- oder ASM-Portal öffentliche Apps und Bücher unter Apps and Books bzw. unter Custom Apps benutzerdefinierte Apps, die für Ihr Endpoint Management entwickelt wurden.

    Hinweis:

    Wenn Endpoint Management in Citrix Workspace integriert ist, erwerben Sie die Workspace-App und konfigurieren Sie sie als erforderliche App in Endpoint Management.

  2. Laden Sie im ABM- oder ASM-Portal den Inhaltstoken für Ihr Endpoint Management herunter.

    Weitere Informationen zu Schritt 1 und 2 finden Sie im Apple Business Manager-Benutzerhandbuch oder im Apple School Manager-Benutzerhandbuch.

  3. Erstellen Sie in der Endpoint Management-Konsole ein Volume Purchase-Konto, das auf dem heruntergeladenen Inhaltstoken basiert.

    Weitere Informationen finden Sie unter Hinzufügen von Apps über Apple Volume Purchase.

    Nach dem Erstellen des Volume Purchase-Kontos werden Ihre erworbenen Apps und Bücher unter Verwalten > Apps angezeigt, während die Geräte, die Sie dem Endpoint Management-Server zugewiesen haben, unter Verwalten > Geräte erscheinen.

Konfigurieren der Bereitstellungsregeln für Geräterichtlinien und Apps

Beim Konfigurieren von Geräterichtlinien und Apps können Sie ABM- oder ASM-Konten mit verschiedenen Apps und Geräterichtlinien verknüpfen.

  1. Erweitern Sie auf den Seiten Konfigurieren > Geräterichtlinien und Konfigurieren > Apps die Option Bereitstellungsregeln.
  2. Legen Sie fest, dass eine Richtlinie oder App für ein bestimmtes ABM-Konto oder für alle ABM-Konten mit Ausnahme des ausgewählten Kontos bereitgestellt wird.

Die Liste der ABM-Konten enthält nur Konten mit dem Status “Aktiviert” oder “Deaktiviert”. Wenn das ABM-Konto deaktiviert ist, gehört das ABM-Gerät nicht zu diesem Konto. Deshalb stellt Endpoint Management die App oder Richtlinie nicht auf dem Gerät bereit.

In folgendem Beispiel wird eine Geräterichtlinie ausschließlich auf Geräten mit dem ABM-Kontonamen “ABM Account NR” bereitgestellt.

Bildschirm für die Apple Device Program-Einstellungen

Bereitstellen von Geräten über die Apple-Bereitstellungsprogramme