Bereitstellen von Geräten über das Apple-Bereitstellungsprogramm
Apple bietet Programme zur Geräteregistrierung (DEP = Device Enrollment Program) für Unternehmen und Bildungseinrichtungen an. Für Unternehmenskonten müssen Sie sich beim Apple-Bereitstellungsprogramm registrieren, um Apple Business Manager (ABM) oder Apple School Manager (ASM) zum Registrieren und Verwalten von Geräten in XenMobile zu verwenden. Das Programm wird für iOS, iPadOS und macOS-Geräte angeboten.
Das Apple-Bereitstellungsprogramm (DEP) ist nur für Organisationen und nicht für einzelne Personen verfügbar. Sie müssen umfangreiche Unternehmensdaten bereitstellen, um ein Apple-Bereitstellungsprogramm-Konto zu erstellen. Deshalb kann es eine Weile dauern, Kontogenehmigungen anzufordern und zu erhalten.
Für Bildungskonten erstellen Sie ein Apple School Manager-Konto. Bei ASM sind Apple-Bereitstellungsprogramm und Apple Volume Purchase kombiniert. Ein Apple School Manager-Konto können Sie auf der Apple School-Website erstellen.
Registrieren beim Apple-Bereitstellungsprogramm
Zum Registrieren bei Apple Business Manager gehen Sie zu business.apple.com. Klicken Sie auf Enroll now, um ein neues Konto zu beantragen. Verwenden Sie am besten eine E-Mail-Adresse für Ihr Unternehmen, z. B. deployment@company.com. Die Registrierung kann einige Tage dauern. Nachdem Sie Ihre Anmeldeinformationen erhalten haben, befolgen Sie die Schritte in Apple Business Manager, um ein Konto zu erstellen.
Hinweis:
Informationen zu Konten für Schulen und Universitäten finden Sie unter Integration von Apple Bildung-Features.
Verbinden des Apple Business Manager-Kontos mit XenMobile
Geben Sie zum Herstellen einer Verbindung zwischen dem Apple Business Manager-Konto und der XenMobile-Bereitstellung Informationen in der XenMobile-Konsole und in Apple Business Manager ein. Führen Sie folgende Schritte aus:
Schritt 1: Hochladen eines öffentlichen Schlüssels von XenMobile Server
-
Gehen Sie in der XenMobile-Konsole zu Einstellungen > Apple-Bereitstellungsprogramm.
-
Klicken Sie unter Öffentlichen Schlüssel herunterladen auf Herunterladen.
Schritt 2: Erstellen und Herunterladen einer Servertokendatei aus dem Apple-Konto
- Melden Sie sich als Administrator oder Geräteregistrierungsverwalter bei Apple Business Manager an.
-
Klicken Sie unten in der Randleiste auf Settings und dann auf Device Management Settings > Add MDM Server.
- Geben Sie in der Einstellung MDM Server Name einen Namen für den XenMobile-Server ein. Der von Ihnen eingegebene Servername dient Ihnen als Referenz. Er ist nicht die URL oder der Name des Servers.
- Klicken Sie unter Upload Public Key auf Choose File. Laden Sie den öffentlichen Schlüssel hoch, den Sie von XenMobile heruntergeladen haben, und speichern Sie die Änderungen.
-
Klicken Sie auf Download Token, um die Servertokendatei auf Ihren Computer herunterzuladen.
Sie müssen die Servertokendatei hochladen, wenn Sie das ABM-Konto zu XenMobile hinzufügen. Nach dem Import der Tokendatei werden Ihre ABM-Tokeninformationen in der XenMobile-Konsole angezeigt.
- Klicken Sie unter Default Device Assignment auf Change. Wählen Sie aus, wie Sie Geräte zuweisen möchten, und geben Sie die angeforderten Informationen ein. Weitere Informationen finden Sie im ABM-Benutzerhandbuch.
Schritt 3: Hinzufügen eines ABM-Kontos zu XenMobile
Sie können mehrere ABM-Konten zu XenMobile hinzufügen. Dieses Feature ermöglicht die Verwendung verschiedener Registrierungseinstellungen sowie verschiedener Optionen im Setupassistenten je nach Land, Abteilung usw. Anschließend verknüpfen Sie die ABM-Konten mit verschiedenen Geräterichtlinien.
Sie können beispielsweise alle ABM-Konten aus verschiedenen Ländern auf einem XenMobile-Server zentralisieren, um dort alle ABM-Geräte zu importieren und zu überwachen. Durch Anpassen der Registrierungseinstellungen und Setupassistentenoptionen nach Abteilung, Organisationshierarchie oder einer anderen Struktur bieten Richtlinien unternehmensweit die jeweils erwartete Funktionalität und Benutzer erhalten geeignete Unterstützung.
-
Rufen Sie in der XenMobile-Konsole Einstellungen > Apple Deployment Program auf und klicken Sie unter Apple Deployment Program-Konto hinzufügen auf Hinzufügen.
-
Geben Sie auf der Seite Servertoken die Servertokendatei ein und klicken Sie dann auf Hochladen.
Die Informationen zum Servertoken werden angezeigt.
-
Geben Sie auf der Seite Kontoinformationen folgende Einstellungen an:
- Apple-Bereitstellungsprogramm-Kontoname: Ein eindeutiger Name für dieses Apple-Bereitstellungsprogramm-Konto. Verwenden Sie Namen, die die Organisation der Apple-Bereitstellungsprogramm-Konten widerspiegelt, beispielsweise nach Land oder Organisationshierarchie.
- Geschäftseinheit: Die Unternehmenseinheit oder Abteilung, der das Gerät zugewiesen ist. Diese Angabe ist erforderlich.
- Eindeutige Dienst-ID: Eine optionale eindeutige ID zur weiteren Identifizierung des Kontos.
- Telefonnummer vom Support: Eine Telefonnummer, unter der Benutzer beim Setup Hilfe anfordern können. Diese Angabe ist erforderlich.
- E-Mail-Adresse vom Support: Eine optionale E-Mail-Adresse des Supports, die Benutzern zur Verfügung steht.
-
Geben Sie unter iOS-Einstellungen die folgenden Einstellungen an:
Registrierungseinstellungen:
- Geräteregistrierung erforderlich: Wählen Sie aus, ob Benutzer Geräte registrieren müssen. Die Standardeinstellung ist Ja.
-
Anmeldeinformationen für Geräteregistrierung erforderlich: Wählen Sie aus, ob Benutzer bei der ABM-Registrierung ihre Anmeldeinformationen eingeben müssen. Citrix empfiehlt, dass alle Benutzer während der Geräteregistrierung ihre Anmeldeinformationen eingeben müssen, damit nur autorisierte Benutzer Geräte registrieren können. Die Standardeinstellung ist Ja.
Wenn Sie ABM vor dem ersten Einrichten aktivieren und diese Option nicht auswählen, erstellt XenMobile die ABM-Komponenten. Dabei werden Komponenten wie ABM-Benutzer, Secure Hub, Softwarebestand und ABM-Bereitstellungsgruppe erstellt. Wenn Sie diese Option auswählen, werden die Komponenten nicht von XenMobile erstellt. Wenn Sie später die Option deaktivieren, können Benutzer, die ihre Anmeldeinformationen nicht eingegeben haben, die ABM-Registrierung nicht ausführen, da diese ABM-Komponenten nicht vorhanden sind. Zum Hinzufügen von ABM-Komponenten deaktivieren und reaktivieren Sie in diesem Fall das ABM-Konto.
- Abschluss der Konfiguration abwarten: Wählen Sie aus, ob Geräte im Setupassistentenmodus verbleiben müssen, bis alle erforderlichen MDM-Ressourcen auf den Geräten bereitgestellt wurden. Diese Einstellung ist nur für Geräte im betreuten Modus verfügbar. Die Standardeinstellung ist Nein.
- Laut Apple-Dokumentation funktionieren die folgenden Befehle möglicherweise nicht, wenn ein Gerät im Setupassistentenmodus ausgeführt wird:
- InviteToProgram
- InstallApplication
- ApplyRedemptionCode
- InstallMedia
- RequestMirroring
- DeviceLock
Geräteeinstellungen:
- Betreuter Modus: Diese Option muss auf Ja festgelegt werden, wenn Sie Apple Configurator zum Verwalten über ABM registrierter Geräte verwenden oder wenn Abschluss der Konfiguration abwarten aktiviert ist. Die Standardeinstellung ist Ja. Informationen, wie Sie iOS-Geräte in den betreuten Modus versetzen, finden Sie unter Versetzen von iOS-Geräten mit dem Apple Configurator in den betreuten Modus.
- Entfernen des Registrierungsprofils zulassen: Wählen Sie aus, ob auf Geräten ein Profil verwendet werden darf, das remote entfernt werden kann. Die Standardeinstellung ist Nein.
- Koppeln von Geräten zulassen: Wählen Sie aus, ob über ABM registrierte Geräte mit Apple Music und dem Apple Configurator verwaltet werden dürfen. Die Standardeinstellung ist Nein.
Überwachungsidentitäten
Wenn Sie das GroundControl-Tool verwenden, können Sie ein Zertifikat hinzufügen, um Folgendes zu tun:
- Außerkraftsetzung von Kopplungseinschränkungen, um die Eingabeaufforderung „Trust this host“ zu vermeiden.
- Eskalieren von verwalteten Geräteaktionen über USB, um Profilinstallationen und andere Aktivitäten ohne Benutzeraktion auszuführen. Damit kann GroundControl den Einzel-App-Modus und die Gerätesperre beim Auschecken aktivieren.
- Wiederherstellen eines Backups auf ABM-Geräten.
Weitere Informationen zu GroundControl finden Sie auf der GroundControl-Website.
-
Geben Sie unter macOS-Einstellungen die folgenden Einstellungen an:
Registrierungseinstellungen:
- Geräteregistrierung erforderlich: Wählen Sie aus, ob Benutzer Geräte registrieren müssen. Die Standardeinstellung ist Ja.
- Abschluss der Konfiguration abwarten: Bei Ja wird das macOS-Gerät im Setupassistenten erst dann fortgesetzt, wenn der MDM-Ressourcenpasscode auf dem Gerät bereitgestellt wird. Diese Bereitstellung steht vor der Erstellung des lokalen Kontos zur Verfügung. Diese Einstellung ist für Geräte unter macOS 10.11 und höher verfügbar. Die Standardeinstellung ist Nein.
Geräteeinstellungen:
- Entfernen des Registrierungsprofils zulassen: Wählen Sie aus, ob auf Geräten ein Profil verwendet werden darf, das remote entfernt werden kann. Die Standardeinstellung ist Nein.
-
Wählen Sie unter Optionen des iOS-Setupassistenten die Schritte aus, die beim ersten Gerätestart durch Benutzer übersprungen werden sollen. Wenn ein Bildschirm übersprungen wird, verwendet das zugehörige Feature die Standardeinstellungen. Benutzer können übersprungene Features nach Abschluss des Setups konfigurieren, sofern Sie den Zugriff darauf nicht komplett beschränken. Weitere Informationen zum Einschränken des Zugriffs auf Features finden Sie unter Geräteeinschränkungsrichtlinie. Alle Optionen sind standardmäßig deaktiviert. In den folgenden Beschreibungen wird erläutert, was die Auswahl einer Einstellung bewirkt.
- Ortungsdienste: Verhindert, dass Benutzer den Ortungsdienst auf dem Gerät einrichten.
- Touch ID: Verhindert, dass Benutzer Touch ID oder Face ID auf iOS-Geräten einrichten.
- Passcodesperre: Verhindert, dass Benutzer einen Passcode für das Gerät einrichten. Wenn kein Passcode existiert, können Benutzer Touch ID oder Apple Pay nicht verwenden.
- Neu einrichten oder wiederherstellen: Verhindert, dass Benutzer das Gerät als neu oder als Backup von einer iCloud oder aus dem Apple App Store einrichten.
- Verschieben von Android: Verhindert, das Benutzer Daten von einem Android-Gerät auf ein iOS-Gerät übertragen. Diese Option ist nur verfügbar, wenn Neu einrichten oder wiederherstellen aktiviert wurde (d. h. der Schritt wird übersprungen).
- Apple-ID: Verhindert, dass Benutzer eine verwaltete Apple-ID für das Gerät einrichten.
- AGB: Verhindert, dass Benutzer die Nutzungsbedingungen zur Verwendung des Geräts lesen und akzeptieren.
- Apple Pay: Verhindert, dass Benutzer Apple Pay einrichten. Wenn diese Einstellung deaktiviert ist, müssen Benutzer Touch ID und Apple-ID einrichten. Stellen Sie sicher, dass diese Einstellungen deaktiviert sind.
- Siri: Verhindert, dass Benutzer Siri konfigurieren.
- App-Analyse: Verhindert, dass Benutzer einrichten, ob Absturzdaten und Nutzungsstatistiken an Apple weitergegeben werden sollen.
- Anzeigezoom: Verhindert, dass Benutzer den Anzeigezoom (Standard oder verkleinert/vergrößert) auf iOS-Geräten einrichten.
- True Tone: Verhindert, dass Benutzer Vierkanalsensoren einrichten, um den Weißabgleich des Displays dynamisch anzupassen.
- Hometaste: Verhindert, dass Benutzer den Feedbackstil der Hometaste einrichten.
- Neue Feature-Highlights: Verhindert, dass Benutzer Bildschirme sehen, auf denen Informationen über neue Funktionen der Apple-Software angezeigt werden.
- Datenschutz: Verhindert, dass Benutzer die Seite “Daten und Datenschutz” sehen. Für iOS 11.3 und höher.
- Softwareupdate: Verhindert, dass Benutzer iOS auf die neueste Version aktualisieren. Für iOS 12.0 und höher.
- Bildschirmzeit: Verhindert, dass Benutzer die Bildschirmzeit aktivieren. Für iOS 12.0 und höher.
- SIM-Setup: Verhindert, dass Benutzer einen Mobilfunkplan einrichten. Für iOS 12.0 und höher.
- iMessage & FaceTime: Verhindert, dass Benutzer iMessage und FaceTime aktivieren. Für iOS 12.0 und höher.
- Darstellung: Verhindert, dass Benutzer den Erscheinungsbildmodus aktivieren. Für iOS 13.0 und höher.
- Willkommen: Verhindert, dass Benutzer den Bildschirm Erste Schritte anzeigen. Für iOS 13.0 und höher.
- Wiederherstellung abgeschlossen: Verhindert, dass Benutzer sehen, ob eine Wiederherstellung während des Setups abgeschlossen wird. Für iOS 14.0 und höher.
- Aktualisierung abgeschlossen: Verhindert, dass Benutzer sehen, ob ein Softwareupdate während des Setups abgeschlossen wird. Für iOS 14.0 und höher.
Das ABM-Konto wird unter Einstellungen > Apple-Bereitstellungsprogramm angezeigt.
-
Wählen Sie unter Optionen des macOS-Setupassistenten die Schritte aus, die beim ersten Gerätestart durch die Benutzer übersprungen werden. Wenn ein Bildschirm übersprungen wird, verwendet das zugehörige Feature die Standardeinstellungen. Benutzer können übersprungene Features nach Abschluss des Setups konfigurieren, sofern Sie den Zugriff darauf nicht komplett beschränken. Weitere Informationen zum Einschränken des Zugriffs auf Features finden Sie unter Geräteeinschränkungsrichtlinie. Alle Optionen sind standardmäßig deaktiviert. In den folgenden Beschreibungen wird erläutert, was die Auswahl einer Einstellung bewirkt.
- Neu einrichten oder wiederherstellen: Verhindert, dass Benutzer das Gerät als neu oder als Time Machine-Backup einrichten oder eine Systemmigration durchführen.
- Ortungsdienste: Verhindert, dass Benutzer den Ortungsdienst auf dem Gerät einrichten. Für macOS 10.11 und höher.
- Apple-ID: Verhindert, dass Benutzer eine verwaltete Apple-ID für das Gerät einrichten.
- AGB: Verhindert, dass Benutzer die Nutzungsbedingungen zur Verwendung des Geräts lesen und akzeptieren.
- Siri: Verhindert, dass Benutzer Siri konfigurieren. Für macOS 10.12 und höher.
-
FileVault: Verwendung von FileVault zum Verschlüsseln des Startvolumes. XenMobile wendet die FileVault-Einstellung nur an, wenn das System ein einziges lokales Benutzerkonto hat und das Konto an iCloud angemeldet ist.
Sie können die Funktion “macOS FileVault-Datenträgerverschlüsselung” verwenden, um das Systemvolume durch Verschlüsselung der Inhalte zu schützen (https://support.apple.com/en-us/HT204837). Wenn Sie den Setupassistenten auf einem veralteten tragbaren Mac-Modell ausführen, für das FileVault nicht aktiviert ist, werden Sie unter Umständen dazu aufgefordert, dieses Feature zu aktivieren. Die Eingabeaufforderung wird sowohl auf neuen Systemen als auch auf Systemen angezeigt, die auf OS X 10.10 oder 10.11 aktualisiert wurden. Voraussetzung für die Anzeige der Eingabeaufforderung ist jedoch, dass das System ein einzelnes lokales Administratorkonto aufweist, das bei iCloud angemeldet ist.
- App-Analyse: Verhindert, dass Benutzer einrichten, ob Absturzdaten und Nutzungsstatistiken an Apple weitergegeben werden sollen.
- Datenschutz: Verhindert, dass Benutzer die Seite “Daten und Datenschutz” sehen. Für macOS 10.13 und höher.
- iCloud-Analyse: Verhindert, dass Benutzer auswählen, ob sie iCloud-Diagnosedaten an Apple senden. Für macOS 10.13 und höher.
- iCloud-Dokumente und -Desktop: Verhindert, dass Benutzer iCloud-Desktop und -Dokumente einrichten. Für macOS 10.13 und höher.
- Darstellung: Verhindert, dass Benutzer den Erscheinungsbildmodus aktivieren. Für macOS 10.14 und höher.
- Bedienungshilfen: Verhindert, dass Benutzer automatisch Erläuterungen per Sprachausgabe hören. Nur verfügbar, wenn das Gerät mit dem Ethernet verbunden ist. Für macOS 11 und höher.
- Biometrie: Verhindert, dass Benutzer Touch ID und Face ID einrichten. Für macOS 10.12.4 und höher.
- True Tone: Verhindert, dass Benutzer Vierkanalsensoren einrichten, um den Weißabgleich des Displays dynamisch anzupassen. Für macOS 10.13.6 und höher.
- Apple Pay: Verhindert, dass Benutzer Apple Pay einrichten. Wenn diese Einstellung deaktiviert ist, müssen Benutzer Touch ID und Apple-ID einrichten. Stellen Sie sicher, dass die Einstellungen Apple-ID und Biometrie deaktiviert sind. Für macOS 10.12.4 und höher.
-
Bildschirmzeit: Verhindert, dass Benutzer die Bildschirmzeit aktivieren. Für macOS 10.15 und höher.
-
Setupoptionen für lokales Konto: Geben Sie die Einstellungen zum Erstellen eines Administratorkontos auf dem Gerät an. Benutzer melden sich mit diesen Informationen bei ihrem macOS-Gerät an. XenMobile erstellt das Konto mit den angegebenen Informationen.
- Erstellen Sie ein primäres Konto als Standardbenutzer: Anstatt diesem Benutzer Administratorrechte auf dem Gerät zu gewähren, erstellt XenMobile den Benutzer mit Standardberechtigungen. Da macOS ein Administratorkonto erfordert, erstellt XenMobile zunächst ein Administratorkonto, erstellt dann ein neues Standardkonto und legt es als primäres Konto fest.
- Vollständiger Administratorname: Geben Sie den Namen ein, den das System für das Administratorkonto anzeigt.
- Kurzname des Administrators: Geben Sie den Namen ein, den das Gerät für den Basisordner und in der Shell anzeigt.
- Administratorkennwort: Geben Sie ein sicheres Kennwort für das Administratorkonto ein.
- Administratorkonto in “Benutzer und Gruppen” anzeigen: Wenn diese Option deaktiviert ist, wird das Administratorkonto nicht unter Benutzer und Gruppen in den macOS-Einstellungen angezeigt. Wenn Sie das primäre Konto als Standardbenutzer erstellen, aktivieren Sie diese Einstellung, um das von XenMobile erstellte Administratorkonto auszublenden.
Bestellen von Deployment Program-fähigen Geräten
Sie können Deployment Program-fähige Geräte direkt bei Apple oder für Deployment Program autorisierten Wiederverkäufern und Netzbetreibern bestellen. Geben Sie für die Bestellung bei Apple Ihre Apple Kunden-ID im Apple-Bereitstellungsprogramm-Portal ein. Mit Ihrer Kunden-ID kann Apple die erworbenen Geräte mit Ihrem Apple-Bereitstellungsprogramm-Konto verknüpfen.
Wenn Sie bei einem Wiederverkäufer oder Netzbetreiber bestellen, fragen Sie Ihren Apple Wiederverkäufer oder Netzbetreiber, ob sie am Apple-Bereitstellungsprogramm teilnehmen. Fragen Sie beim Kauf der Geräte nach der Apple-Bereitstellungsprogramm-ID des Wiederverkäufers. Apple benötigt diese Informationen, wenn Sie Ihren Apple-Bereitstellungsprogramm-Wiederverkäufer zu Ihrem Apple-Bereitstellungsprogramm-Konto hinzufügen. Nach dem Hinzufügen der Apple-Bereitstellungsprogramm-ID für den Wiederverkäufer erhalten Sie eine Deployment Program-Kunden-ID. Geben Sie die Deployment Program-Kunden-ID an den Wiederverkäufer weiter, der mit der ID Informationen über die von Ihnen gekauften Geräte an Apple übermittelt. Weitere Informationen finden Sie auf der Apple-Website zur Geräteregistrierung.
Verwalten von Deployment Program-fähigen Geräten
Nach dem Versand Ihrer Bestellung können Sie iOS-, iPadOS- und macOS-Geräte mit Ihrem XenMobile-Server verknüpfen.
- Melden Sie sich als Administrator oder Geräteregistrierungsverwalter bei Apple Business Manager an.
- Klicken Sie in der Randleiste auf Devices. Geräte, die Sie direkt bei Apple erworben haben, werden automatisch angezeigt. Informationen zum Zuweisen von Geräten aus Apple Configurator 2 zu Apple Business Manager finden Sie im Apple Business Manager-Benutzerhandbuch.
- Wählen Sie in der Liste ein Gerät oder die Gesamtzahl der Geräte aus und klicken Sie auf Edit Device Management. Sie haben zwei Optionen:
-
Um ein Gerät einem MDM-Server zuzuweisen, wählen Sie unter Assign to Server den Namen Ihres XenMobile-Servers. Klicken Sie auf Weiter.
Um Apple Business Manager viele neue Geräte gleichzeitig zuzuweisen, legen Sie einen XenMobile-Standardserver für die Bereitstellung fest. Weitere Informationen finden Sie unter Festlegen eines Standardservers für die Massenregistrierung.
-
Um die Zuweisung eines Geräts zum XenMobile-Server aufzuheben, wählen Sie Unassign.
-
Ihre Apple-Bereitstellungsprogramm-Geräte sind nun dem ausgewählten XenMobile-Server zugewiesen.
Wenn Sie ein iOS-, iPadOS- oder macOS-Gerät zur Wartung einsenden, müssen Sie das Gerät aus Apple Business Manager entfernen. Wenn Sie das gewartete Gerät zurückerhalten, müssen Sie das Gerät dem XenMobile-Server neu zuweisen. Wenn Sie das Gerät austauschen, können Sie dem XenMobile-Server ein neues Gerät mit einer Bestellnummer zuweisen.
Überprüfen des Verlaufs der zugewiesenen Geräte:
- Melden Sie sich als Administrator oder Geräteregistrierungsverwalter bei Apple Business Manager an.
- Klicken Sie in der Randleiste auf Assignment History. Wählen Sie dann eine Zuweisung aus, um weitere Informationen anzuzeigen.
- Klicken Sie auf Download, um eine CSV-Datei mit den Seriennummern aller zugewiesenen und nicht zugewiesenen Geräte herunterzuladen.
Sie können iOS-, iPadOS- und macOS-Geräte aus Apple Business Manager entfernen, wenn das Gerät verkauft oder gestohlen wurde oder nicht repariert werden kann.
- Melden Sie sich als Administrator oder Geräteregistrierungsverwalter bei Apple Business Manager an.
- Klicken in der Randleiste auf Devices und suchen Sie nach einem Gerät.
- Wählen Sie ein Gerät aus und klicken Sie auf Release Device. Bestätigen Sie im Dialogfeld Ihre Änderungen, um das Gerät aus dem Programm zu entfernen. Um iOS- und iPadOS-Geräte wieder hinzuzufügen, verwenden Sie Apple Configurator 2. macOS-Geräte können nicht mit Apple Configurator 2 erneut hinzugefügt werden.