iOS

Zum Verwalten von iOS-Geräten mit Endpoint Management müssen Sie ein Zertifikat von Apple für den Apple Dienst für Push-Benachrichtigungen (Apple Push Notification service, APNs) einrichten. Weitere Informationen finden Sie unter APNs-Zertifikate.

Endpoint Management registriert iOS-Geräte im MDM+MAM-Modus, Benutzer können sich jedoch auch im Nur-MAM-Modus registrieren. Endpoint Management unterstützt die folgenden Authentifizierungstypen für iOS-Geräte im MDM+MAM-Modus. Weitere Informationen finden Sie in den Artikeln unter Zertifikate und Authentifizierung.

  • Domäne
  • Domäne plus Sicherheitstoken
  • Clientzertifikat
  • Clientzertifikat plus Domäne
  • Abgeleitete Anmeldeinformationen
  • Identitätsanbieter:
    • Azure Active Directory
    • Citrix Identitätsanbieter

Die iOS-Geräteverwaltung kann über folgendes Standardverfahren gestartet werden:

  1. Durchführen des Onboarding-Prozesses. Siehe Onboarding und Einrichten von Ressourcen und Vorbereitung zum Registrieren von Geräten und Bereitstellen von Ressourcen.

  2. Auswahl und Konfigurieren der Registrierungsmethode. Siehe Unterstützte Registrierungsmethoden.

  3. Konfigurieren von iOS-Geräterichtlinien.

  4. Registrieren von iOS-Geräten.

  5. Einrichten von Sicherheitsaktionen für Apps und Geräte. Siehe Sicherheitsaktionen.

Informationen über unterstützte Betriebssysteme finden Sie unter Unterstützte Gerätebetriebssysteme.

Unterstützte Registrierungsmethoden

In der folgenden Tabelle sind die Registrierungsmethoden aufgelistet, die Endpoint Management für iOS-Geräte unterstützt:

Methode Unterstützt
Apple Device Enrollment Program (DEP) Ja
Apple School Manager-DEP Ja
Apple Configurator Ja
Manuelle Registrierung Ja
Registrierungseinladungen Ja

Apple bietet Programme zur Geräteregistrierung (DEP = Device Enrollment Program) für Unternehmen und Bildungseinrichtungen an. Für Unternehmenskonten müssen Sie sich beim Apple Deployment Program registrieren, um das Apple-DEP zum Registrieren und Verwalten von Geräten in Endpoint Management zu verwenden. Das Programm wird für iOS-, macOS- und Apple TV-Geräte angeboten. Siehe Bereitstellen von Geräten mit Apple DEP.

Für Bildungskonten erstellen Sie ein Apple School Manager-Konto. Bei Apple School Manager ist das DEP mit dem Programm für Volumenlizenzen (VPP) kombiniert. Apple School Manager ist ein DEP (Gerätebereitstellungsprogramm) für Bildungseinrichtungen. Siehe Integration von Apple Bildung-Features.

Sie können das Apple Device Enrollment Program (DEP) für die Massenregistrierung von iOS-, macOS- und Apple TV-Geräten verwenden. Sie können diese Geräte direkt bei Apple, einem autorisierten Apple-Vertriebspartner oder einem Netzbetreiber zu kaufen. Sie können auch den Apple Configurator zum Registrieren von iOS-Geräten verwenden. Dabei spielt es keine Rolle, ob die Geräte direkt bei Apple erworben wurden. Siehe Massenregistrierung von Apple-Geräten.

Manuelles Hinzufügen eines iOS-Geräts

Führen Sie folgende Schritte aus, um ein iOS-Gerät manuell hinzuzufügen (beispielsweise zu Testzwecken).

  1. Klicken Sie in der Endpoint Management-Konsole auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.

    Seite "Geräte"

  2. Klicken Sie auf Hinzufügen. Die Seite Gerät hinzufügen wird angezeigt.

    Seite "Gerät hinzufügen"

  3. Konfigurieren Sie folgende Einstellungen:

    • Plattform wählen: Klicken Sie auf iOS.
    • Seriennummer: Geben Sie die Seriennummer des Geräts ein.
  4. Klicken Sie auf Hinzufügen. Die Tabelle Geräte wird angezeigt. Das hinzugefügte Gerät befindet sich am Ende der Liste. Um die Gerätedetails zu überprüfen, wählen Sie das hinzugefügte Gerät aus und klicken Sie in dem nun angezeigten Menü auf Bearbeiten.

    Hinweis:

    Wenn Sie das Kontrollkästchen neben einem Gerät aktivieren, wird das Menü mit den Optionen oberhalb der Liste angezeigt. Wenn Sie an eine andere Stelle in der Liste klicken, wird das Menü mit den Optionen rechts daneben angezeigt.

    • LDAP konfiguriert

    • Bei Verwendung lokaler Gruppen und Benutzer:

      • Eine oder mehrere lokale Gruppen

      • Lokale Benutzer, die lokalen Gruppen zugewiesen sind

      • Bereitstellungsgruppen, die lokalen Gruppen zugeordnet sind

    • Bei Verwendung von Active Directory:

      • Bereitstellungsgruppen, die Active Directory-Gruppen zugeordnet sind

      Gerätedetailliste

  5. Auf der Seite Allgemein werden Gerätekennungen aufgeführt, z. B. die Seriennummer und weitere plattformspezifische Informationen. Wählen Sie für Gerätebesitz die Option Unternehmen oder BYOD.

    Auf der Seite Allgemein werden zudem Sicherheitseigenschaften aufgeführt, z. B. starke ID, Gerätesperrung, Umgehen der Aktivierungssperre und weitere plattformspezifische Informationen. Das Feld Gerät vollständig löschen enthält den Benutzer-PIN-Code. Der Benutzer muss den Code eingeben, anschließend erfolgt die Löschung. Wenn der Benutzer den Code vergessen hat, können Sie ihn hier nachsehen.

  6. Auf der Seite Eigenschaften werden die von Endpoint Management bereitgestellten Geräteeigenschaften aufgeführt. Diese Liste enthält alle in der beim Hinzufügen des Geräts verwendeten Provisioningdatei enthaltenen Geräteeigenschaften. Wenn Sie eine Eigenschaft hinzufügen möchten, klicken Sie auf Hinzufügen und wählen Sie eine Eigenschaft in der Liste aus. Gültige Werte für jede Eigenschaft finden Sie in der PDF Namen und Werte von Geräteeigenschaften.

    Wenn Sie eine Eigenschaft hinzufügen, wird sie zunächst in der Kategorie angezeigt, in der Sie sie hinzufügen. Wenn Sie anschließend auf Weiter klicken und dann zu der Seite Eigenschaften zurückkehren, wird die Eigenschaft in der richtigen Liste angezeigt.

    Zum Löschen einer Eigenschaft zeigen Sie auf die Auflistung und klicken Sie dann auf das X auf der rechten Seite. Endpoint Management löscht das Element sofort.

  7. Die verbleibenden Abschnitte mit Gerätedetails enthalten zusammenfassende Informationen zu dem Gerät.

    • Benutzereigenschaften: zeigt RBAC-Rollen, Gruppenmitgliedschaften, VPP-Konten und Eigenschaften des Benutzers an. Auf dieser Seite können Sie ein VPP-Konto deaktivieren.
    • Zugewiesene Richtlinien: zeigt die Anzahl der zugewiesenen bereitgestellten, ausstehenden und fehlgeschlagenen Richtlinien an. Für die einzelnen Richtlinien werden Name, Typ und letzte Bereitstellung angezeigt.
    • Apps: zeigt die Anzahl der installierten, ausstehenden und fehlgeschlagenen App-Bereitstellungen der letzten Bestandsaufnahme an. Es werden App-Name, ID, Typ und weitere Informationen angezeigt. Eine Beschreibung von iOS- und macOS-Bestandsschlüsseln, z. B. HasUpdateAvailable, finden Sie unter Mobile Device Management (MDM) Protocol.
    • Medien: zeigt die Anzahl der erfolgreichen, ausstehenden und fehlgeschlagenen Medienbereitstellungen der letzten Bestandsaufnahme an.
    • Aktionen: zeigt die Anzahl der bereitgestellten, ausstehenden und fehlgeschlagenen Aktionen an. Es werden Aktionsname und Uhrzeit der letzten Bereitstellung angezeigt.
    • Bereitstellungsgruppen: zeigt die Anzahl der erfolgreichen, ausstehenden und fehlerhaften Bereitstellungsgruppen an. Für jede Bereitstellung werden der Name der Bereitstellungsgruppe und die Uhrzeit der Bereitstellung angezeigt. Wählen Sie eine Bereitstellungsgruppe aus, um weitere Informationen (Status, Aktion und Kanal oder Benutzer) anzuzeigen.
    • iOS-Profile: zeigt den aktuellen iOS-Profilbestand mit Namen, Typ, Unternehmen und Beschreibung an.
    • iOS-Provisioningprofil: zeigt Informationen zum Provisioningprofil für die Verteilung im Unternehmen an, z. B. UUID, Ablaufdatum und Verwaltungsstatus.
    • Zertifikate: zeigt Informationen für gültige, abgelaufene und gesperrte Zertifikate an, z. B. Typ, Anbieter, Herausgeber, Seriennummer und Zeit in Tagen bis zum Ablauf.
    • Verbindungen: zeigt den ersten und letzten Verbindungsstatus an. Für jede Verbindung werden zudem der Benutzername und der Zeitpunkt der vorletzten und letzten Authentifizierung angezeigt.
    • MDM-Status: zeigt Informationen wie MDM-Status, Zeitpunkt der letzten Pushbenachrichtigung und letzte Geräteantwortzeit an.

Konfigurieren von iOS-Geräterichtlinien

Verwenden Sie diese Richtlinien, um die Interaktion von Endpoint Management mit Geräten zu konfigurieren, auf denen iOS ausgeführt wird. In dieser Tabelle sind alle für iOS-Geräte verfügbaren Geräterichtlinien aufgeführt.

     
AirPlay-Synchronisierung AirPrint APN
App-Zugriff App-Attribute App-Konfiguration
App-Bestand App-Sperre App-Netzwerkauslastung
App-Deinstallation App-Benachrichtigungen Kalender (CalDAV)
Mobilfunk Kontakte (CardDAV) OS-Update steuern
Anmeldeinformationen Gerätename Bildungseinrichtung - Konfiguration
Exchange Schriftart Layout für Homebildschirm
Importieren von iOS- und macOS-Profilen LDAP Standort
Meldung auf Sperrbildschirm E-Mail Verwaltete Domänen
MDM-Optionen Informationen zum Unternehmen Passcode
Persönlicher Hotspot Profilentfernung Provisioningprofil
Entfernen des Provisioningprofils Proxy Einschränkungen
Roaming SCEP Geteiltes iPad - maximale Anzahl residenter Benutzer
Geteiltes iPad - Kulanzzeitraum für Passcodesperre SSO-Konto Store
Abonnierte Kalender AGB VPN
Hintergrundbild Webinhaltsfilter Webclip
Wi-Fi    

Registrieren von iOS-Geräten

Dieser Abschnitt zeigt, wie Benutzer iOS-Geräte (12.2 oder höher) in Endpoint Management registrieren. Weitere Informationen zur iOS-Registrierung finden Sie in folgendem Video:

Video zur iOS-Registrierung

Informationen zur Registrierung mit abgeleiteten Anmeldeinformationen finden Sie unter Geräteregistrierung.

  1. Rufen Sie auf dem iOS-Gerät den Apple-Store auf, laden Sie die Citrix Secure Hub-App herunter und tippen Sie auf die App.
  2. Wenn Sie aufgefordert werden, die App zu installieren, tippen Sie auf Weiter und dann auf Installieren.
  3. Wenn Secure Hub installiert ist, tippen Sie auf Öffnen.
  4. Geben Sie Ihre geschäftlichen Anmeldeinformationen ein, z. B. den Namen des Endpoint Management-Servers, Ihren Benutzerprinzipalnamen oder Ihre E-Mail-Adresse. Klicken Sie dann auf Weiter.
  5. Tippen Sie auf Ja, Registrieren, um Ihr iOS-Gerät zu registrieren. Registrieren des Geräts
  6. Nach Eingabe der Anmeldeinformationen tippen Sie auf Zulassen, wenn Sie dazu aufgefordert werden, um das Konfigurationsprofil herunterzuladen. Herunterladen des Profils
  7. Tippen Sie nach dem Herunterladen des Konfigurationsprofils auf Schließen. Schließen des Profils
  8. Installieren Sie das iOS-Zertifikat in den Geräteeinstellungen und fügen Sie das Gerät der Vertrauensliste hinzu.
    • Zum Hinzufügen des Profils gehen Sie zu Einstellungen > Allgemein > Profil > XenMobile Profile Service und tippen auf Installieren. Hinzufügen des Profils
    • Tippen Sie im Benachrichtigungsfenster auf Vertrauensstellung, um Ihr Gerät bei der Remoteverwaltung zu registrieren. Vertrauenseinstellungen
  9. Melden Sie sich bei Secure Hub an. Wenn Sie sich bei MDM+MAM registrieren, werden zunächst Ihre Anmeldeinformationen überprüft. Danach werden Sie aufgefordert, Ihre Citrix-PIN zu erstellen und diese zu bestätigen.
  10. Nach Abschluss des Workflows ist das Gerät registriert. Sie können nun auf den App-Store zugreifen und Apps für die Installation auf dem iOS-Gerät anzeigen.

Sicherheitsaktionen

iOS unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

     
Aktivierungssperre umgehen App-Sperre App löschen
ASM-DEP-Aktivierungssperre Zertifikaterneuerung Einschränkungen deaktivieren
Modus “Verloren” aktivieren/deaktivieren Tracking aktivieren/deaktivieren Vollständig löschen
Suchen Sperren Klingeln
AirPlay-Synchronisierung anfordern/beenden Neustart/Herunterfahren Wiederrufen/Autorisieren
Selektiv löschen Entsperren  

Sperren von iOS-Geräten

Sie können ein verlorenes iOS-Gerät sperren und eine entsprechende Nachricht und Telefonnummer auf dem Sperrbildschirm anzeigen lassen.

Zum Anzeigen einer Nachricht und Telefonnummer auf einem gesperrten Gerät muss die Richtlinie Passcode in der Endpoint Management-Konsole auf wahr festgelegt werden. Alternativ können Benutzer den Passcode auf dem Gerät auch manuell aktivieren.

  1. Klicken Sie auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.

    Seite "Geräte"

  2. Wählen Sie das iOS-Gerät aus, das Sie sperren möchten.

    Aktivieren Sie das Kontrollkästchen neben einem Gerät, um das Menü mit den Optionen oberhalb der Liste anzuzeigen. Klicken Sie an eine andere Stelle in der Liste, um das Menü mit den Optionen rechts daneben anzuzeigen.

    Menü "Optionen"

    Menü "Optionen"

  3. Wählen Sie im Menü “Optionen” die Option Sicherheit. Das Dialogfeld Sicherheitsaktionen wird angezeigt.

    Dialogfeld "Sicherheitsaktionen"

  4. Klicken Sie auf Sperren. Das Bestätigungsdialogfeld Sicherheitsaktionen wird angezeigt.

    Sicherheitsaktionenbestätigung

  5. Geben Sie optional eine Meldung und Telefonnummer ein, die auf dem Sperrbildschirm des Geräts angezeigt werden sollen.

    iOS hängt die Wörter “Lost iPad” an alles an, was Sie im Feld Nachricht eingeben.

    Wenn Sie das Feld Nachricht leer lassen und eine Telefonnummer angeben, wird die Meldung “Besitzer anrufen” auf dem Sperrbildschirm des Geräts angezeigt.

  6. Klicken Sie auf Gerät sperren.

Versetzen von iOS-Geräten in den Modus “Verloren”

Die Geräteeigenschaft “Endpoint Management-Modus ‘Verloren’” versetzt iOS-Geräte in den Modus “Verloren”. Im Gegensatz zum von Apple verwalteten Modus “Verloren” muss ein Benutzer beim Modus “Verloren” in Endpoint Management keine der folgenden Aktionen ausführen, um sein Gerät zu suchen: Konfigurieren der Einstellung Find My iPhone/iPad oder Aktivieren der Ortungsdienste für Citrix Secure Hub.

Im Endpoint Management-Modus “Verloren” kann ein Gerät nur über Endpoint Management entsperrt werden. (Wenn Sie hingegen das Endpoint Management-Feature zum Sperren von Geräten verwenden, können die Benutzer Geräte direkt durch Eingabe eines von Ihnen bereitgestellten PIN-Codes entsperren.)

Aktivieren oder Deaktivieren des Modus “Verloren”: Gehen Sie zu Verwalten > Geräte, wählen Sie ein betreutes iOS-Gerät aus und klicken Sie auf Sicherheit. Klicken Sie dann auf Modus ‘Verloren’ aktivieren oder Modus ‘Verloren’ deaktivieren.

Optionen für den Modus "Verloren"

Wenn Sie auf Modus ‘Verloren’ aktivieren klicken, geben Sie die Informationen ein, die auf dem Gerät angezeigt werden sollen, wenn es im Modus “Verloren” ist.

Informationsanzeige auf dem Gerät

Verwenden Sie eine der folgenden Methoden, um den Status des Modus “Verloren” zu überprüfen:

  • Überprüfen Sie im Fenster Sicherheitsaktionen, ob die Schaltfläche auf Modus ‘Verloren’ deaktivieren gesetzt ist.
  • Zeigen Sie über Verwalten > Geräte auf der Registerkarte Allgemein unter Sicherheit die letzte Aktion zum Aktivieren oder Deaktivieren des Modus “Verloren” an.

Registerkarte "Allgemein"

  • Überprüfen Sie unter Verwalten > Geräte auf der Registerkarte Eigenschaften, ob die Einstellung MDM-Modus “Verloren” aktiviert richtig festgelegt ist.

Einstellung "MDM-Modus "Verloren" aktiviert"

Wenn Sie den Endpoint Management-Modus “Verloren” auf iOS-Geräten aktivieren, ändert sich die Endpoint Management-Konsole wie folgt:

  • In der über Konfigurieren > Aktionen aufgerufenen Liste Aktionen sind die folgenden automatisierten Aktionen nicht enthalten: Gerät widerrufen, Gerät selektiv löschen und Gerät vollständig löschen.
  • In der über Verwalten > Geräte aufgerufenen Liste Sicherheitsaktionen sind die Geräteaktionen Widerrufen und Selektiv löschen nicht mehr enthalten. Sie können weiterhin eine Sicherheitsaktion verwenden, um die Aktion Vollständig löschen nach Bedarf auszuführen.

iOS hängt die Wörter “Lost iPad” an alles an, was Sie im Feld Nachricht des Bildschirms Sicherheitsaktionen eingeben.

Wenn Sie das Feld Nachricht leer lassen und eine Telefonnummer angeben, wird die Meldung “Besitzer anrufen” auf dem Sperrbildschirm des Geräts angezeigt.

Umgehen einer iOS-Aktivierungssperre

Die Aktivierungssperre ist ein Feature von “Mein iPhone/iPad suchen”, mit dem das Reaktivieren von verlorenen oder gestohlenen betreuten Geräten verhindert wird. Die Aktivierungssperre erfordert die Eingabe der Apple-ID und des Benutzerkennworts, bevor ein beliebiger Benutzer “Mein iPhone/iPad suchen” deaktivieren, die Daten auf dem Gerät löschen oder das Gerät neu aktivieren kann. Für Geräte im Besitz Ihres Unternehmens kann ein Umgehen der Aktivierungssperre erforderlich sein, um Geräte zurückzusetzen oder neu zuzuweisen.

Zum Aktivieren der Aktivierungssperre müssen Sie die Endpoint Management-Geräterichtlinie “MDM-Optionen” konfigurieren und bereitstellen. Sie können dann ein Gerät über die Endpoint Management-Konsole ohne die Apple-Anmeldeinformationen des Benutzers verwalten. Um die erforderliche Eingabe der Apple-Anmeldeinformationen bei einer Aktivierungssperre zu umgehen, geben Sie die Sicherheitsaktion “Aktivierungssperre umgehen” auf der Endpoint Management-Konsole ein.

Nehmen wir folgendes Beispiel: Ein Benutzer bringt ein verlorenes Telefon zurück oder möchte ein Gerät vor oder nach einem vollständigen Löschen einrichten. Die dabei geforderte Eingabe der Anmeldeinformationen für das iTunes-Konto können Sie umgehen, indem Sie die Sicherheitsaktion “Aktivierungssperre umgehen” auf der Endpoint Management-Konsole aktivieren.

Geräteanforderungen für das Umgeben der Aktivierungssperre

  • Betreuter Modus mit Apple Configurator oder Apple DEP
  • Konfiguration mit iCloud-Konto
  • “Mein iPhone/iPad suchen” ist aktiviert
  • Bei Endpoint Management registriert
  • Bereitgestellte Geräterichtlinie “MDM-Optionen” mit aktivierter Aktivierungssperre

Umgehen einer Aktivierungssperre vor dem vollständigen Löschen eines Geräts:

  1. Wählen Sie unter Verwalten > Geräte das Gerät, klicken Sie auf Sicherheit und dann auf Aktivierungssperre umgehen.
  2. Löschen Sie das Gerät. Die Aktivierungssperre wird während des Gerätesetups nicht angezeigt.

Umgehen einer Aktivierungssperre nach dem vollständigen Löschen eines Geräts:

  1. Setzen Sie das Gerät zurück oder löschen Sie es. Die Aktivierungssperre wird während des Gerätesetups angezeigt.
  2. Wählen Sie unter Verwalten > Geräte das Gerät, klicken Sie auf Sicherheit und dann auf Aktivierungssperre umgehen.
  3. Tippen Sie auf dem Gerät auf die Taste “Zurück”. Der Homebildschirm wird angezeigt.

Beachten Sie Folgendes:

  • Fordern Sie die Benutzer auf, “Mein iPhone/iPad suchen” nicht zu deaktivieren. Löschen Sie das Gerät nicht vollständig. In beiden Fällen wird der Benutzer aufgefordert, das Kennwort des iCloud-Kontos einzugeben. Nach der Kontovalidierung wird dem Benutzer kein Bildschirm zum Aktivieren des iPhones/iPads angezeigt, nachdem alle Inhalte und Einstellungen gelöscht wurden.
  • Für Geräte mit generiertem Code zum Umgehen der Aktivierungssperre und aktivierter Aktivierungssperre: Wenn Sie das Gerät vollständig löschen und danach die Aktivierungsseite für das iPhone/iPad nicht umgehen können, müssen Sie das Gerät nicht aus Endpoint Management löschen. Sie oder der Benutzer können sich direkt an den Apple-Support wenden, um das Gerät entsperren zu lassen.
  • Während einer Hardwareinventur ruft Endpoint Management den Code zum Umgehen der Aktivierungssperre von einem Gerät ab. Wenn ein Umgehungscode verfügbar ist, wird er vom Gerät an Endpoint Management gesendet. Um den Umgehungscode dann vom Gerät zu entfernen, aktivieren Sie auf der Endpoint Management-Konsole die Sicherheitsaktion “Aktivierungssperre umgehen”. Damit haben Endpoint Management und Apple den erforderlichen Umgehungscode, um das Gerät zu entsperren.
  • Die Sicherheitsaktion “Aktivierungssperre umgehen” stützt sich auf die Verfügbarkeit eines Apple-Diensts. Wenn die Aktion nicht funktioniert, können Sie ein Gerät auf folgende Weise entsperren. Geben Sie auf dem Gerät manuell die Anmeldeinformationen des iCloud-Kontos ein. Alternativ können Sie das Feld “Benutzername” leer lassen und den Umgehungscode im Feld “Kennwort” eingeben. Zum Ermitteln der Umgehungscodes wählen Sie das Gerät unter Verwalten > Geräte aus, klicken auf Bearbeiten und dann auf Eigenschaften. Der Code zum Umgehen der Aktivierungssperre steht unter Sicherheitsinformationen.