Citrix Endpoint Management

macOS

Zum Verwalten von macOS-Geräten mit Endpoint Management müssen Sie ein Zertifikat von Apple für den Apple-Dienst für Push-Benachrichtigungen (Apple Push Notification service, APNs) einrichten. Weitere Informationen finden Sie unter APNs-Zertifikate.

Endpoint Management registriert macOS-Geräte in MDM. Endpoint Management unterstützt die folgenden Authentifizierungstypen für macOS-Geräte in MDM.

  • Domäne
  • Domäne plus Einmalkennwort
  • Einladungs-URL + Einmalkennwort

Anforderungen für vertrauenswürdige Zertifikate in macOS 15:

Apple hat neue Anforderungen für TLS-Serverzertifikate. Stellen Sie sicher, dass alle Zertifikate den neuen Apple-Anforderungen entsprechen. Siehe Apple-Veröffentlichung https://support.apple.com/en-us/HT210176. Hilfe zum Verwalten von Zertifikaten finden Sie unter Hochladen von Zertifikaten.

Die macOS-Geräteverwaltung kann über folgendes Standardverfahren gestartet werden:

  1. Durchführen des Onboarding-Prozesses. Siehe Onboarding und Einrichten von Ressourcen und Vorbereitung zum Registrieren von Geräten und Bereitstellen von Ressourcen.

  2. Auswahl und Konfigurieren der Registrierungsmethode. Siehe Unterstützte Registrierungsmethoden.

  3. Konfigurieren der macOS-Geräterichtlinien.

  4. Registrieren der macOS-Geräte.

  5. Einrichten von Sicherheitsaktionen für Apps und Geräte. Siehe Sicherheitsaktionen.

Weitere Informationen zu unterstützten Betriebssystemen finden Sie unter Unterstützte Gerätebetriebssysteme.

Apple-Hostnamen, die offen bleiben müssen

Einige Apple-Hostnamen müssen offen bleiben, um den ordnungsgemäßen Betrieb von iOS, macOS und Apple App Store sicherzustellen. Das Blockieren dieser Hostnamen kann sich auf die Installation, Aktualisierung und den ordnungsgemäßen Betrieb von iOS, iOS-Apps, MDM-Betrieb und Geräte- und App-Registrierung auswirken. Weitere Informationen finden Sie unter https://support.apple.com/en-us/HT201999.

Unterstützte Registrierungsmethoden

In der folgenden Tabelle werden die Registrierungsmethoden aufgelistet, die Endpoint Management für macOS-Geräte unterstützt:

Methode Unterstützt
Apple-Bereitstellungsprogramm Ja
Apple School Manager Ja
Apple Configurator Nein
Manuelle Registrierung Ja
Registrierungseinladungen Ja

Apple bietet Programme zur Geräteregistrierung (DEP = Device Enrollment Program) für Unternehmen und Bildungseinrichtungen an. Für Unternehmenskonten müssen Sie sich beim Apple Deployment Program registrieren, um das Apple Deployment Program zum Registrieren und Verwalten von Geräten in Endpoint Management zu verwenden. Das Programm wird für iOS-, macOS- und Apple TV-Geräte angeboten. Siehe Bereitstellen von Geräten über das Apple-Bereitstellungsprogramm.

Für Bildungskonten erstellen Sie ein Apple School Manager-Konto. Bei Apple School Manager sind das Deployment Program und Volume Purchase kombiniert. Apple School Manager ist ein Apple-Bereitstellungsprogramm für Bildungseinrichtungen. Siehe Integration von Apple Bildung-Features.

Sie können das Apple-Bereitstellungsprogramm für die Massenregistrierung von iOS-, macOS- und Apple TV-Geräten verwenden. Sie können diese Geräte direkt bei Apple, einem autorisierten Apple-Vertriebspartner oder einem Netzbetreiber zu kaufen.

Konfigurieren der macOS-Geräterichtlinien

Verwenden Sie diese Richtlinien, um die Interaktion von Endpoint Management mit Geräten zu konfigurieren, auf denen macOS ausgeführt wird. In dieser Tabelle werden alle für macOS-Geräte verfügbaren Geräterichtlinien aufgeführt.

     
AirPlay-Synchronisierung App-Bestand App-Deinstallation
Kalender (CalDAV) Kontakte (CardDAV) OS-Update steuern
Anmeldeinformationen Gerätename Exchange
FileVault Firewall Schriftart
Importieren von iOS- und macOS-Profilen LDAP E-Mail
Passcode Profilentfernung Einschränkungen
SCEP VPN Webclip
Network    

Registrieren der macOS-Geräte

Endpoint Management bietet zwei Registrierungsmethoden für Geräte, auf denen macOS ausgeführt wird. Beide Methoden ermöglichen macOS-Benutzern die Registrierung per Funk direkt über das Gerät.

  • Senden einer Registrierungseinladung: Bei dieser Registrierungsmethode können Sie jeden der folgenden Registrierungssicherheitsmodi für macOS-Geräte festlegen:

    • Benutzername + Kennwort
    • Benutzername + PIN
    • Zweistufige Authentifizierung

    Wenn der Benutzer die Anweisungen in der Registrierungseinladung befolgt, wird eine Registrierungsseite angezeigt, auf der sein Name bereits eingetragen ist.

  • Senden von Registrierungslinks: Bei dieser Registrierungsmethode für macOS-Geräte erhält der Benutzer einen Registrierungslink, den er in Safari oder Chrome öffnen kann. Der Benutzer registriert sich dann mit seinem Benutzernamen und Kennwort.

    Soll die Registrierung per Installationslink auf macOS-Geräten nicht verwendet werden, legen Sie die Servereigenschaft Enable macos.OTAE auf false fest. macOS-Geräte können dann nur per Registrierungseinladung registriert werden.

Senden von Registrierungseinladungen an macOS-Benutzer

  1. Fügen Sie eine Registrierungseinladung für macOS-Benutzer hinzu. Siehe Registrierungseinladungen.

  2. Wenn ein Benutzer die Einladung erhält und auf den Link klickt, wird in Safari folgende Seite angezeigt: Der Benutzername wird von Endpoint Management eingetragen. Wenn Sie den Registrierungssicherheitsmodus Zweistufig auswählen, wird ein weiteres Feld angezeigt.

    Meldung zur Anmeldung mit Stammzertifikat im Safari-Browser

  3. Die Benutzer installieren die benötigten Zertifikate. Ob Benutzer zur Installation von Zertifikaten aufgefordert werden, hängt davon ab, ob Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat und ein öffentlich vertrauenswürdiges digitales Signaturzertifikat für macOS konfiguriert haben. Weitere Informationen zu Zertifikaten finden Sie unter Zertifikate und Authentifizierung.

  4. Der Benutzer gibt die angeforderten Anmeldeinformationen ein.

    Die Mac-Geräterichtlinien werden installiert. Sie können macOS-Geräte nun mit Endpoint Management genauso verwalten wie Mobilgeräte.

  1. Senden Sie den Registrierungslink https://serverFQDN:8443/instanceName/macos/otae, den die Benutzer in Safari oder Chrome öffnen können.

    • serverFQDN ist der vollqualifizierte Domänenname (FQDN) des Servers, auf dem Endpoint Management ausgeführt wird.
    • Port 8443 ist der sichere Standardport. Wenn Sie einen anderen Port konfiguriert haben, verwenden Sie diesen anstelle von 8443.
    • instanceName, oft als zdm dargestellt, ist der Name, der bei der Serverinstallation angegeben wird.

    Weitere Informationen zum Senden von Installationslinks finden Sie unter Senden von Installationslinks.

  2. Die Benutzer installieren die benötigten Zertifikate. Wenn Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat und ein digitales Signaturzertifikat für iOS und macOS konfiguriert haben, wird den Benutzern die Aufforderung zum Installieren von Zertifikaten angezeigt. Weitere Informationen zu Zertifikaten finden Sie unter Zertifikate und Authentifizierung.

  3. Die Benutzer melden sich bei ihren Macs an.

    Die Mac-Geräterichtlinien werden installiert. Sie können macOS-Geräte nun mit Endpoint Management genauso verwalten wie Mobilgeräte.

Sicherheitsaktionen

macOS unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

     
Widerrufen Sperren Selektiv löschen
Vollständig löschen Zertifikaterneuerung Persönlichen Wiederherstellungsschlüssel rotieren

Sperren von macOS-Geräten

Sie können verlorene macOS-Geräte auch remote sperren. Endpoint Management sperrt das Gerät. Anschließend wird ein PIN-Code generiert und im Gerät festgelegt. Für den Zugriff auf das Gerät muss die PIN eingegeben werden. Verwenden Sie Sperren abbrechen, um ein Gerät über die Endpoint Management-Konsole zu entsperren.

Mit der Geräterichtlinie Passcode können Sie weitere Einstellungen konfigurieren, die mit dem PIN-Code verknüpft sind. Weitere Informationen finden Sie unter macOS-Einstellungen.

  1. Klicken Sie auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.

    Seite "Geräte"

  2. Wählen Sie das macOS-Gerät aus, das Sie sperren möchten.

    Aktivieren Sie das Kontrollkästchen neben einem Gerät, um das Menü mit den Optionen oberhalb der Liste anzuzeigen. Sie können auch auf ein aufgelistetes Element klicken, um das Menü mit den Optionen rechts daneben anzuzeigen.

    Menü "Optionen"

    Menü "Optionen"

  3. Wählen Sie im Menü “Optionen” die Option Sicherheit. Das Dialogfeld Sicherheitsaktionen wird angezeigt.

    Dialogfeld "Sicherheitsaktionen"

  4. Klicken Sie auf Sperren. Das Bestätigungsdialogfeld Sicherheitsaktionen wird angezeigt.

    Sicherheitsaktionenbestätigung

  5. Klicken Sie auf Gerät sperren.

Wichtig:

Anstelle des von Endpoint Management generierten Codes können Sie auch einen Passcode festlegen. Die Sperraktion schlägt fehl, wenn der angegebene Code nicht den Passcodeanforderungen des Geräts oder vorhandenen Arbeitsprofils entspricht.

Bootstraptoken

Mit einem Bootstraptoken können Konten das macOS-Attribut “SecureToken” erhalten, wenn Sie sich bei einem macOS-Gerät anmelden. SecureToken wird von einem vertrauenswürdigen Konto auf ein anderes übertragen. Konten mit SecureToken können kryptografische Vorgänge auf dem Gerät ausführen. Ohne den Bootstraptoken müssen Sie Konten über komplexe Workflows auf dem Gerät erstellen, bevor Sie einzelne Benutzerkonten hinzufügen können.

Endpoint Management unterstützt das Hinterlegen von Bootstraptoken für macOS-Geräte, die über das Apple-Bereitstellungsprogramm registriert sind. Registrieren Sie über das Apple-Bereitstellungsprogramm die macOS-Geräte, die Sie direkt bei Apple, einem autorisierten Apple-Wiederverkäufer oder einem Netzbetreiber erworben haben. Informationen zur Registrierung beim Apple-Bereitstellungsprogramm finden Sie unter Bereitstellen von Geräten über das Apple-Bereitstellungsprogramm.

Bootstraptoken werden während der Einrichtung durch den Setupassistenten generiert. Sie werden speziell beim Erstellen lokaler Benutzerkonten generiert. Der Setupassistent wird ausgeführt, wenn Benutzer das Gerät zum ersten Mal starten. Die Token werden in der Endpoint Management-Datenbank gespeichert und sind für Sie und Endbenutzer nicht sichtbar. Wenn Sie Geräte aus der Endpoint Management-Site löschen, werden die Token ebenfalls gelöscht. Durch ein Zurücksetzen auf die Werkseinstellungen werden sie nicht gelöscht.

Voraussetzungen:

  • macOS 11.0 oder höher
  • macOS-Geräte mit Apple T2-Sicherheitschip
  • macOS-Geräte, die über das Apple-Bereitstellungsprogramm registriert sind

Durch das Hinterlegen von Bootstraptoken bei Endpoint Management können Remote-Konten für FileVault aktiviert werden und das FileVault-Volume entsperren. Weitere Informationen zu FileVault finden Sie in der FileVault-Geräterichtlinie.

macOS