macOS

Zum Verwalten von macOS-Geräten mit Endpoint Management müssen Sie ein Zertifikat von Apple für den Apple-Dienst für Push-Benachrichtigungen (Apple Push Notification service, APNs) einrichten. Weitere Informationen finden Sie unter APNs-Zertifikate.

Endpoint Management registriert macOS-Geräte in MDM. Endpoint Management unterstützt die folgenden Authentifizierungstypen für macOS-Geräte in MDM.

  • Domäne
  • Domäne plus Einmalkennwort
  • Einladungs-URL + Einmalkennwort

Anforderungen für vertrauenswürdige Zertifikate in macOS 15:

Apple hat neue Anforderungen für TLS-Serverzertifikate. Stellen Sie sicher, dass alle Zertifikate den neuen Apple-Anforderungen entsprechen. Siehe Apple-Veröffentlichung https://support.apple.com/en-us/HT210176. Hilfe zum Verwalten von Zertifikaten finden Sie unter Hochladen von Zertifikaten in Endpoint Management.

Die macOS-Geräteverwaltung kann über folgendes Standardverfahren gestartet werden:

  1. Durchführen des Onboarding-Prozesses. Siehe Onboarding und Einrichten von Ressourcen und Vorbereitung zum Registrieren von Geräten und Bereitstellen von Ressourcen.

  2. Auswahl und Konfigurieren der Registrierungsmethode. Siehe Unterstützte Registrierungsmethoden.

  3. Konfigurieren der macOS-Geräterichtlinien.

  4. Registrieren der macOS-Geräte.

  5. Einrichten von Sicherheitsaktionen für Apps und Geräte. Siehe Sicherheitsaktionen.

Weitere Informationen zu unterstützten Betriebssystemen finden Sie unter Unterstützte Gerätebetriebssysteme.

Apple-Hostnamen, die offen bleiben müssen

Einige Apple-Hostnamen müssen offen bleiben, um den ordnungsgemäßen Betrieb von iOS, macOS und Apple App Store sicherzustellen. Das Blockieren dieser Hostnamen kann sich auf die Installation, Aktualisierung und den ordnungsgemäßen Betrieb von iOS, iOS-Apps, MDM-Betrieb und Geräte- und App-Registrierung auswirken. Weitere Informationen finden Sie unter https://support.apple.com/en-us/HT201999.

Unterstützte Registrierungsmethoden

In der folgenden Tabelle werden die Registrierungsmethoden aufgelistet, die Endpoint Management für macOS-Geräte unterstützt:

Methode Unterstützt
Apple Deployment Program Ja
Apple School Manager Ja
Apple Configurator Nein
Manuelle Registrierung Ja
Registrierungseinladungen Ja

Apple bietet Programme zur Geräteregistrierung (DEP = Device Enrollment Program) für Unternehmen und Bildungseinrichtungen an. Für Unternehmenskonten müssen Sie sich beim Apple Deployment Program registrieren, um das Apple Deployment Program zum Registrieren und Verwalten von Geräten in Endpoint Management zu verwenden. Das Programm wird für iOS-, macOS- und Apple TV-Geräte angeboten. Siehe Bereitstellen von Geräten über das Apple Deployment Program.

Für Bildungskonten erstellen Sie ein Apple School Manager-Konto. Bei Apple School Manager sind das Deployment Program und Volume Purchase kombiniert. Apple School Manager ist ein Apple Deployment Program für Bildungseinrichtungen. Siehe Integration von Apple Bildung-Features.

Sie können das Apple Deployment Program für die Massenregistrierung von iOS-, macOS- und Apple TV-Geräten verwenden. Sie können diese Geräte direkt bei Apple, einem autorisierten Apple-Vertriebspartner oder einem Netzbetreiber zu kaufen.

Konfigurieren der macOS-Geräterichtlinien

Verwenden Sie diese Richtlinien, um die Interaktion von Endpoint Management mit Geräten zu konfigurieren, auf denen macOS ausgeführt wird. In dieser Tabelle werden alle für macOS-Geräte verfügbaren Geräterichtlinien aufgeführt.

     
AirPlay-Synchronisierung App-Bestand Kalender (CalDAV)
Kontakte (CardDAV) OS-Update steuern Anmeldeinformationen
Gerätename Exchange FileVault
Firewall Schriftart Importieren von iOS- und macOS-Profilen
LDAP E-Mail Passcode
Profilentfernung Einschränkungen SCEP
VPN Webclip Wi-Fi

Registrieren der macOS-Geräte

Endpoint Management bietet zwei Registrierungsmethoden für Geräte, auf denen macOS ausgeführt wird. Beide Methoden ermöglichen macOS-Benutzern die Registrierung per Funk direkt über das Gerät.

  • Senden einer Registrierungseinladung: Bei dieser Registrierungsmethode können Sie jeden der folgenden Registrierungsmodi für macOS-Geräte festlegen:

    • Benutzername + Kennwort

    • Benutzername + PIN

    • Zweistufige Authentifizierung

    Wenn der Benutzer die Anweisungen in der Registrierungseinladung befolgt, wird eine Registrierungsseite angezeigt, auf der sein Name bereits eingetragen ist.

  • Senden von Registrierungslinks: Bei dieser Registrierungsmethode für macOS-Geräte erhält der Benutzer einen Registrierungslink, den er in Safari oder Chrome öffnen kann. Der Benutzer registriert sich dann mit seinem Benutzernamen und Kennwort.

    Soll die Registrierung per Installationslink auf macOS-Geräten nicht verwendet werden, legen Sie die Servereigenschaft Enable macos.OTAE auf false fest. macOS-Geräte können dann nur per Registrierungseinladung registriert werden.

Senden von Registrierungseinladungen an macOS-Benutzer

  1. Fügen Sie eine Registrierungseinladung für macOS-Benutzer hinzu. Siehe Registrierungseinladungen.

  2. Wenn ein Benutzer die Einladung erhält und auf den Link klickt, wird in Safari folgende Seite angezeigt: Der Benutzername wird von Endpoint Management eingetragen. Wenn Sie den Registrierungsmodus Zweifaktor auswählen, wird ein weiteres Feld angezeigt.

    Meldung zur Anmeldung mit Stammzertifikat im Safari-Browser

  3. Die Benutzer installieren die benötigten Zertifikate. Ob Benutzer zur Installation von Zertifikaten aufgefordert werden, hängt davon ab, ob Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat und ein öffentlich vertrauenswürdiges digitales Signaturzertifikat für macOS konfiguriert haben. Weitere Informationen zu Zertifikaten finden Sie unter Zertifikate und Authentifizierung.

  4. Der Benutzer gibt die angeforderten Anmeldeinformationen ein.

    Die Mac-Geräterichtlinien werden installiert. Sie können macOS-Geräte nun mit Endpoint Management genauso verwalten wie Mobilgeräte.

  1. Senden Sie den Registrierungslink https://serverFQDN:8443/instanceName/macos/otae, den die Benutzer in Safari oder Chrome öffnen können.

    • serverFQDN ist der vollqualifizierte Domänenname (FQDN) des Servers, auf dem Endpoint Management ausgeführt wird.
    • Port 8443 ist der sichere Standardport. Wenn Sie einen anderen Port konfiguriert haben, verwenden Sie diesen anstelle von 8443.
    • instanceName, oft als zdm dargestellt, ist der Name, der bei der Serverinstallation angegeben wird.

    Weitere Informationen zum Senden von Installationslinks finden Sie unter Senden von Installationslinks.

  2. Die Benutzer installieren die benötigten Zertifikate. Wenn Sie ein öffentlich vertrauenswürdiges SSL-Zertifikat und ein digitales Signaturzertifikat für iOS und macOS konfiguriert haben, wird den Benutzern die Aufforderung zum Installieren von Zertifikaten angezeigt. Weitere Informationen zu Zertifikaten finden Sie unter Zertifikate und Authentifizierung.

  3. Die Benutzer melden sich bei ihren Macs an.

    Die Mac-Geräterichtlinien werden installiert. Sie können macOS-Geräte nun mit Endpoint Management genauso verwalten wie Mobilgeräte.

Sicherheitsaktionen

macOS unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

     
Widerrufen Sperren Selektiv löschen
Vollständig löschen Zertifikaterneuerung  

Sperren von macOS-Geräten

Sie können verlorene macOS-Geräte auch remote sperren. Endpoint Management sperrt das Gerät. Anschließend wird ein PIN-Code generiert und im Gerät festgelegt. Für den Zugriff auf das Gerät muss die PIN eingegeben werden. Verwenden Sie Sperren abbrechen, um ein Gerät über die Endpoint Management-Konsole zu entsperren.

Mit der Geräterichtlinie Passcode können Sie weitere Einstellungen konfigurieren, die mit dem PIN-Code verknüpft sind. Weitere Informationen finden Sie unter macOS-Einstellungen.

  1. Klicken Sie auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.

    Seite "Geräte"

  2. Wählen Sie das macOS-Gerät aus, das Sie sperren möchten.

    Aktivieren Sie das Kontrollkästchen neben einem Gerät, um das Menü mit den Optionen oberhalb der Liste anzuzeigen. Sie können auch auf ein aufgelistetes Element klicken, um das Menü mit den Optionen rechts daneben anzuzeigen.

    Menü "Optionen"

    Menü "Optionen"

  3. Wählen Sie im Menü “Optionen” die Option Sicherheit. Das Dialogfeld Sicherheitsaktionen wird angezeigt.

    Dialogfeld "Sicherheitsaktionen"

  4. Klicken Sie auf Sperren. Das Bestätigungsdialogfeld Sicherheitsaktionen wird angezeigt.

    Sicherheitsaktionenbestätigung

  5. Klicken Sie auf Gerät sperren.

Wichtig:

Anstelle des von Endpoint Management generierten Codes können Sie auch einen Passcode festlegen. Die Sperraktion schlägt fehl, wenn der angegebene Code nicht den Passcodeanforderungen des Geräts oder vorhandenen Arbeitsprofils entspricht.