iOS
Um iOS-Geräte im XenMobile Server zu verwalten, richten Sie ein Apple Push Notification service (APNs)-Zertifikat von Apple ein. Weitere Informationen finden Sie unter APNs-Zertifikate.
Registrierungsprofile legen fest, ob sich iOS-Geräte in MDM+MAM registrieren, mit der Option für Benutzer, sich von MDM abzumelden. XenMobile Server unterstützt die folgenden Authentifizierungstypen für iOS-Geräte in MDM+MAM. Weitere Informationen finden Sie in den Artikeln unter Zertifikate und Authentifizierung.
- Domäne
- Domäne plus Sicherheitstoken
- Clientzertifikat
- Clientzertifikat plus Domäne
Anforderungen an vertrauenswürdige Zertifikate in iOS 13:
Apple hat neue Anforderungen an TLS-Serverzertifikate. Stellen Sie sicher, dass alle Zertifikate die neuen Apple-Anforderungen erfüllen. Siehe die Apple-Veröffentlichung https://support.apple.com/en-us/HT210176. Hilfe zur Verwaltung von Zertifikaten finden Sie unter Hochladen von Zertifikaten in XenMobile Server.
Informationen zu unterstützten Betriebssystemen finden Sie unter Unterstützte Gerätebetriebssysteme.
iOS 14-Kompatibilität
XenMobile® Server und Citrix® Mobile-Apps sind mit iOS 14 kompatibel, unterstützen aber derzeit die neuen iOS 14-Funktionen nicht.
Für betreute iOS-Geräte können Sie Software-Upgrades um bis zu 90 Tage verzögern. Verwenden Sie in der Geräterichtlinie „Einschränkungen“ für iOS die folgenden Einstellungen:
- Verzögerte Software-Updates erzwingen
- Erzwungene Software-Update-Verzögerung
Siehe iOS-Einstellungen. Diese Einstellungen sind für Geräte im Benutzerregistrierungsmodus oder im unbetreuten (vollständigen MDM-)Modus nicht verfügbar.
Apple-Hostnamen, die offen bleiben müssen
Einige Apple-Hostnamen müssen offen bleiben, um den ordnungsgemäßen Betrieb von iOS, macOS und dem Apple App Store sicherzustellen. Das Blockieren dieser Hostnamen kann die Installation, Aktualisierung und den ordnungsgemäßen Betrieb der folgenden Elemente beeinträchtigen: iOS, iOS-Apps, MDM-Betrieb sowie Geräte- und App-Registrierung. Weitere Informationen finden Sie unter https://support.apple.com/en-us/HT201999.
Unterstützte Registrierungsmethoden
Sie legen in Registrierungsprofilen fest, wie iOS-Geräte verwaltet werden sollen. Sie können die Geräteregistrierung oder keine MDM-Registrierung wählen.
Um Registrierungseinstellungen für iOS-Geräte zu konfigurieren, wechseln Sie zu Konfigurieren > Registrierungsprofile > iOS.
Die folgende Tabelle listet die Registrierungsmethoden auf, die XenMobile Server für iOS-Geräte unterstützt:
| Methode | Unterstützt |
|---|---|
| Apple Deployment Program | Ja |
| Apple School Manager | Ja |
| Apple Configurator | Ja |
| Manuelle Registrierung | Ja |
| Registrierungseinladungen | Ja |
Apple bietet Geräteregistrierungsprogramme für Geschäfts- und Bildungskonten an. Für Geschäftskonten registrieren Sie sich beim Apple Deployment Program, um das Apple Deployment Program für die Geräteregistrierung und -verwaltung im XenMobile Server zu nutzen. Dieses Programm ist für iOS- und macOS-Geräte. Siehe Bereitstellen von Geräten über das Apple Deployment Program.
Für Bildungskonten erstellen Sie ein Apple School Manager-Konto. Apple School Manager vereint das Deployment Program und den Volumenkauf. Apple School Manager ist eine Art Apple Deployment Program für Bildungseinrichtungen. Siehe Integration mit Apple Education-Funktionen.
Sie können das Apple Deployment Program verwenden, um iOS- und macOS-Geräte in großen Mengen zu registrieren. Sie können diese Geräte direkt von Apple, einem teilnehmenden autorisierten Apple-Händler oder einem Mobilfunkanbieter erwerben. Unabhängig davon, ob Sie iOS-Geräte direkt von Apple kaufen, können Sie den Apple Configurator verwenden, um diese Geräte zu registrieren. Siehe Massenregistrierung von Apple-Geräten.
Manuelles Hinzufügen eines iOS-Geräts
Wenn Sie ein iOS-Gerät manuell hinzufügen möchten, z. B. zu Testzwecken, führen Sie die folgenden Schritte aus.
-
Klicken Sie in der XenMobile Server-Konsole auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.
-
Klicken Sie auf Hinzufügen. Die Seite Gerät hinzufügen wird angezeigt.
-
Konfigurieren Sie diese Einstellungen:
- Plattform auswählen: Klicken Sie auf iOS.
- Seriennummer: Geben Sie die Seriennummer des Geräts ein.
-
Klicken Sie auf Hinzufügen. Die Tabelle Geräte wird angezeigt, wobei das Gerät am Ende der Liste hinzugefügt wurde. Um die Gerätedetails anzuzeigen und zu bestätigen: Wählen Sie das hinzugefügte Gerät aus und klicken Sie dann im angezeigten Menü auf Bearbeiten.
Hinweis:
Wenn Sie das Kontrollkästchen neben einem Gerät aktivieren, wird das Optionsmenü über der Geräteliste angezeigt. Wenn Sie an einer anderen Stelle in der Liste klicken, wird das Optionsmenü auf der rechten Seite der Auflistung angezeigt.
-
LDAP konfiguriert
-
Bei Verwendung lokaler Gruppen und lokaler Benutzer:
-
Eine oder mehrere lokale Gruppen.
-
Lokale Benutzer, die lokalen Gruppen zugewiesen sind.
-
Bereitstellungsgruppen sind lokalen Gruppen zugeordnet.
-
-
Bei Verwendung von Active Directory:
- Bereitstellungsgruppen sind Active Directory-Gruppen zugeordnet.
-
-
Auf der Seite Allgemein werden die Bezeichner des Geräts aufgeführt, z. B. die Seriennummer und andere Informationen zum Plattformtyp. Wählen Sie für Gerätebesitz die Option Unternehmen oder BYOD aus.
Die Seite Allgemein listet auch die Sicherheitseigenschaften des Geräts auf, wie z. B. Strong ID, Gerät sperren, Aktivierungssperre umgehen und andere Informationen für den Plattformtyp. Das Feld Vollständiges Löschen des Geräts enthält den Benutzer-PIN-Code. Der Benutzer muss diesen Code eingeben, nachdem das Gerät gelöscht wurde. Wenn der Benutzer den Code vergisst, können Sie ihn hier nachschlagen.
-
Auf der Seite Eigenschaften werden die Geräteeigenschaften aufgeführt, die XenMobile Server bereitstellen soll. Diese Liste zeigt alle Geräteeigenschaften, die in der Bereitstellungsdatei enthalten sind, die zum Hinzufügen des Geräts verwendet wurde. Um eine Eigenschaft hinzuzufügen, klicken Sie auf Hinzufügen und wählen Sie dann eine Eigenschaft aus der Liste aus. Gültige Werte für jede Eigenschaft finden Sie im PDF Namen und Werte der Geräteeigenschaften.
Wenn Sie eine Eigenschaft hinzufügen, wird sie zunächst unter der Kategorie angezeigt, in der Sie sie hinzugefügt haben. Nachdem Sie auf Weiter geklickt und dann zur Seite Eigenschaften zurückgekehrt sind, wird die Eigenschaft in der entsprechenden Liste angezeigt.
Um eine Eigenschaft zu löschen, fahren Sie mit der Maus über den Eintrag und klicken Sie dann auf das X auf der rechten Seite. XenMobile Server löscht das Element sofort.
-
Die verbleibenden Abschnitte der Gerätedetails enthalten zusammenfassende Informationen zum Gerät.
- Benutzereigenschaften: Zeigt RBAC-Rollen, Gruppenmitgliedschaften, Volumenkaufkonten und Eigenschaften für den Benutzer an. Sie können ein Volumenkaufkonto von dieser Seite aus stilllegen.
- Zugewiesene Richtlinien: Zeigt die Anzahl der zugewiesenen Richtlinien an, einschließlich der Anzahl der bereitgestellten, ausstehenden und fehlgeschlagenen Richtlinien. Bietet den Richtliniennamen, den Typ und die Informationen zur letzten Bereitstellung für jede Richtlinie.
- Apps: Zeigt für die letzte Inventur die Anzahl der installierten, ausstehenden und fehlgeschlagenen App-Bereitstellungen an. Bietet den App-Namen, den Bezeichner, den Typ und andere Informationen. Eine Beschreibung der iOS- und macOS-Inventurschlüssel, wie z. B. HasUpdateAvailable, finden Sie unter Mobile Device Management (MDM) Protocol.
- Medien: Zeigt für die letzte Inventur die Anzahl der bereitgestellten, ausstehenden und fehlgeschlagenen Medienbereitstellungen an.
- Aktionen: Zeigt die Anzahl der bereitgestellten, ausstehenden und fehlgeschlagenen Aktionen an. Bietet den Aktionsnamen und die Zeit der letzten Bereitstellung.
- Bereitstellungsgruppen: Zeigt die Anzahl der erfolgreichen, ausstehenden und fehlgeschlagenen Bereitstellungsgruppen an. Für jede Bereitstellung werden der Name der Bereitstellungsgruppe und die Bereitstellungszeit angegeben. Wählen Sie eine Bereitstellungsgruppe aus, um detailliertere Informationen anzuzeigen, einschließlich Status, Aktion und Kanal oder Benutzer.
- iOS-Profile: Zeigt die letzte iOS-Profilinventur an, einschließlich Name, Typ, Organisation und Beschreibung.
- iOS-Bereitstellungsprofile: Zeigt Informationen zum Bereitstellungsprofil für die Unternehmensverteilung an, z. B. die UUID, das Ablaufdatum und den verwalteten Status.
- Zertifikate: Zeigt für gültige, abgelaufene oder widerrufene Zertifikate Informationen wie Typ, Anbieter, Aussteller, Seriennummer und die Anzahl der verbleibenden Tage bis zum Ablauf an.
- Verbindungen: Zeigt den Status der ersten Verbindung und den Status der letzten Verbindung an. Bietet für jede Verbindung den Benutzernamen, die vorletzte (vorletzte) Authentifizierungszeit und die letzte Authentifizierungszeit.
- MDM-Status: Zeigt Informationen wie den MDM-Status, die letzte Push-Zeit und die letzte Geräteantwortzeit an.
iOS-Geräterichtlinien konfigurieren
Verwenden Sie diese Richtlinien, um zu konfigurieren, wie XenMobile Server mit Geräten interagiert, auf denen iOS ausgeführt wird. Diese Tabelle listet alle für iOS-Geräte verfügbaren Geräterichtlinien auf.
iOS-Geräte registrieren
Dieser Abschnitt zeigt, wie Benutzer iOS-Geräte (12.2 oder neuer) in den XenMobile Server registrieren. Weitere Informationen zur iOS-Registrierung finden Sie im folgenden Video:
- Gehen Sie auf Ihrem iOS-Gerät zum Apple Store, laden Sie die Citrix Secure Hub™-App herunter und tippen Sie dann auf die App.
- Wenn Sie aufgefordert werden, die App zu installieren, tippen Sie auf Weiter und dann auf Installieren.
- Nachdem Secure Hub installiert wurde, tippen Sie auf Öffnen.
- Geben Sie Ihre Unternehmensanmeldeinformationen ein, z. B. den Servernamen Ihres XenMobile Servers, den User Principal Name (UPN) oder Ihre E-Mail-Adresse. Klicken Sie dann auf Weiter.
- Tippen Sie auf Ja, registrieren, um Ihr iOS-Gerät zu registrieren.
- Eine Liste der vom XenMobile Server erfassten Daten wird angezeigt. Klicken Sie auf Weiter. Eine Erklärung, wie eine Organisation diese Daten verwendet, wird angezeigt. Klicken Sie auf Weiter.
- Nachdem Sie Ihre Anmeldeinformationen eingegeben haben, tippen Sie auf Zulassen, wenn Sie dazu aufgefordert werden, um das Konfigurationsprofil herunterzuladen. Nachdem Sie das Konfigurationsprofil heruntergeladen haben, tippen Sie auf Schließen.
- Installieren Sie in Ihren Geräteeinstellungen das iOS-Zertifikat und fügen Sie das Gerät zur Liste der vertrauenswürdigen Geräte hinzu.
- Gehen Sie zu Einstellungen > Allgemein > Profil > XenMobile-Profildienst und tippen Sie auf Installieren, um das Profil hinzuzufügen.
- Tippen Sie im Benachrichtigungsfenster auf Vertrauen, um Ihr Gerät in die Remoteverwaltung zu registrieren.
- Nach erfolgreicher Registrierung öffnen Sie Secure Hub. Wenn Sie sich für MDM+MAM registrieren: Nachdem Ihre Anmeldeinformationen validiert wurden, erstellen und bestätigen Sie Ihre Citrix-PIN, wenn Sie dazu aufgefordert werden.
- Nach Abschluss des Workflows ist das Gerät registriert. Sie können dann auf den App Store zugreifen, um die Apps anzuzeigen, die Sie auf Ihrem iOS-Gerät installieren können.
Sicherheitsaktionen
iOS unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung jeder Sicherheitsaktion finden Sie unter Sicherheitsaktionen.
| Aktivierungssperre umgehen | App-Sperre | App-Löschung |
| ASM-Aktivierungssperre | Zertifikatserneuerung | Einschränkungen aufheben |
| Verlorenen Modus aktivieren/deaktivieren | Tracking aktivieren/deaktivieren | Vollständige Löschung |
| Lokalisieren | Sperren | Klingeln |
| AirPlay-Spiegelung anfordern/beenden | Neustart/Herunterfahren | Widerrufen/Autorisieren |
| Selektive Löschung | Entsperren |
iOS-Geräte sperren
Sie können ein verlorenes iOS-Gerät sperren, wobei eine Nachricht und eine Telefonnummer auf dem Sperrbildschirm des Geräts angezeigt werden.
Um eine Nachricht und Telefonnummer auf einem gesperrten Gerät anzuzeigen, setzen Sie die Passcode-Richtlinie in der XenMobile Server-Konsole auf true. Alternativ können Benutzer den Passcode manuell auf dem Gerät aktivieren.
-
Klicken Sie auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.
-
Wählen Sie das iOS-Gerät aus, das Sie sperren möchten.
Aktivieren Sie das Kontrollkästchen neben einem Gerät, um das Optionsmenü über der Geräteliste anzuzeigen. Klicken Sie an eine beliebige andere Stelle in der Liste, um das Optionsmenü auf der rechten Seite der Auflistung anzuzeigen.
-
Klicken Sie im Optionsmenü auf Sichern. Das Dialogfeld Sicherheitsaktionen wird angezeigt.
-
Klicken Sie auf Sperren. Das Bestätigungsdialogfeld Sicherheitsaktionen wird angezeigt.
-
Geben Sie optional eine Nachricht und Telefonnummer ein, die auf dem Sperrbildschirm des Geräts angezeigt werden.
iOS fügt die Wörter „Verlorenes iPad“ an das an, was Sie in das Feld Nachricht eingeben.
Wenn Sie das Feld Nachricht leer lassen und eine Telefonnummer angeben, zeigt Apple die Meldung „Besitzer anrufen“ auf dem Sperrbildschirm des Geräts an.
-
Klicken Sie auf Gerät sperren.
iOS-Geräte in den Verlorenen Modus versetzen
Die Geräteeigenschaft „Verlorener Modus“ des XenMobile Servers versetzt ein iOS-Gerät in den Verlorenen Modus. Im Gegensatz zum von Apple verwalteten Verlorenen Modus erfordert der Verlorene Modus des XenMobile Servers vom Benutzer keine der folgenden Aktionen, um die Ortung seines Geräts zu ermöglichen: Konfigurieren der Einstellung Mein iPhone/iPad suchen oder Aktivieren der Ortungsdienste für Citrix Secure Hub.
Im Verlorenen Modus des XenMobile Servers kann nur der XenMobile Server das Gerät entsperren. (Im Gegensatz dazu können Benutzer, wenn Sie die Gerätesperrfunktion des XenMobile Servers verwenden, das Gerät direkt mit einem von Ihnen bereitgestellten PIN-Code entsperren.)
So aktivieren oder deaktivieren Sie den Verlorenen Modus: Gehen Sie zu Verwalten > Geräte, wählen Sie ein überwachtes iOS-Gerät aus und klicken Sie dann auf Sichern. Klicken Sie anschließend auf Verlorenen Modus aktivieren oder Verlorenen Modus deaktivieren.
Wenn Sie auf Verlorenen Modus aktivieren klicken, geben Sie Informationen ein, die auf dem Gerät angezeigt werden sollen, wenn es sich im Verlorenen Modus befindet.
Verwenden Sie eine der folgenden Methoden, um den Status des Verlorenen Modus zu überprüfen:
- Überprüfen Sie im Fenster Sicherheitsaktionen, ob die Schaltfläche auf Verlorenen Modus deaktivieren eingestellt ist.
- Sehen Sie unter Verwalten > Geräte auf der Registerkarte Allgemein unter Sicherheit die letzte Aktion zum Aktivieren oder Deaktivieren des Verlorenen Modus.
- Überprüfen Sie unter Verwalten > Geräte auf der Registerkarte Eigenschaften, ob der Wert der Einstellung MDM-Verlorenen-Modus aktiviert korrekt ist.
Wenn Sie den Verlorenen Modus des XenMobile Servers auf einem iOS-Gerät aktivieren, ändert sich die XenMobile Server-Konsole ebenfalls wie folgt:
- Unter Konfigurieren > Aktionen enthält die Liste Aktionen diese automatisierten Aktionen nicht: Gerät widerrufen, Gerät selektiv löschen und Gerät vollständig löschen.
- Unter Verwalten > Geräte enthält die Liste Sicherheitsaktionen die Geräteaktionen Widerrufen und Selektive Löschung nicht mehr. Sie können bei Bedarf weiterhin eine Sicherheitsaktion verwenden, um eine Vollständige Löschung durchzuführen.
iOS fügt die Wörter „Verlorenes iPad“ an das an, was Sie in das Feld Nachricht im Bildschirm Sicherheitsaktionen eingeben.
Wenn Sie die Nachricht leer lassen und eine Telefonnummer angeben, zeigt Apple die Meldung „Besitzer anrufen“ auf dem Sperrbildschirm des Geräts an.
Eine iOS-Aktivierungssperre umgehen
Die Aktivierungssperre ist eine Funktion von „Mein iPhone/iPad suchen“, die die Reaktivierung eines verlorenen oder gestohlenen überwachten Geräts verhindert. Die Aktivierungssperre erfordert die Apple-ID und das Passwort des Benutzers, bevor jemand diese Aktionen ausführen kann: „Mein iPhone/iPad suchen“ deaktivieren, das Gerät löschen oder das Gerät reaktivieren. Für Geräte, die Ihrer Organisation gehören, ist das Umgehen einer Aktivierungssperre erforderlich, um beispielsweise Geräte zurückzusetzen oder neu zuzuweisen.
Um die Aktivierungssperre zu aktivieren, konfigurieren und stellen Sie die Geräterichtlinie „MDM-Optionen“ des XenMobile Servers bereit. Sie können ein Gerät dann über die XenMobile Server-Konsole verwalten, ohne die Apple-Anmeldeinformationen des Benutzers zu benötigen. Um die Apple-Anmeldeinformationsanforderung einer Aktivierungssperre zu umgehen, führen Sie die Sicherheitsaktion „Aktivierungssperre umgehen“ über die XenMobile Server-Konsole aus.
Wenn der Benutzer beispielsweise ein verlorenes Telefon zurückgibt oder das Gerät vor oder nach einer vollständigen Löschung einrichten möchte: Wenn das Telefon nach den Anmeldeinformationen für das Apple App Store-Konto fragt, können Sie diesen Schritt umgehen, indem Sie die Sicherheitsaktion „Aktivierungssperre umgehen“ über die XenMobile Server-Konsole ausführen.
Geräteanforderungen für die Umgehung der Aktivierungssperre
- Überwacht über Apple Configurator oder Apple Deployment Program
- Konfiguriert mit einem iCloud-Konto
- „Mein iPhone/iPad suchen“ aktiviert
- Im XenMobile Server registriert
- Geräterichtlinie „MDM-Optionen“ mit aktivierter Aktivierungssperre auf Geräten bereitgestellt
So umgehen Sie eine Aktivierungssperre, bevor Sie eine vollständige Löschung eines Geräts durchführen:
- Gehen Sie zu Verwalten > Geräte, wählen Sie das Gerät aus, klicken Sie auf Sichern und dann auf Aktivierungssperre umgehen.
- Löschen Sie das Gerät. Der Aktivierungssperrbildschirm wird während der Geräteeinrichtung nicht angezeigt.
So umgehen Sie eine Aktivierungssperre, nachdem Sie eine vollständige Löschung eines Geräts durchgeführt haben:
- Setzen Sie das Gerät zurück oder löschen Sie es. Der Aktivierungssperrbildschirm wird während der Geräteeinrichtung angezeigt.
- Gehen Sie zu Verwalten > Geräte, wählen Sie das Gerät aus, klicken Sie auf Sichern und dann auf Aktivierungssperre umgehen.
- Tippen Sie auf die Zurück-Schaltfläche auf dem Gerät. Der Startbildschirm wird angezeigt.
Beachten Sie Folgendes:
- Weisen Sie Ihre Benutzer an, „Mein iPhone/iPad suchen“ nicht zu deaktivieren. Führen Sie keine vollständige Löschung vom Gerät aus durch. In beiden Fällen wird der Benutzer aufgefordert, das iCloud-Kontopasswort einzugeben. Nach der Kontovalidierung wird dem Benutzer nach dem Löschen aller Inhalte und Einstellungen kein Bildschirm „iPhone/iPad aktivieren“ angezeigt.
- Für ein Gerät mit einem generierten Aktivierungssperre-Umgehungscode und aktivierter Aktivierungssperre: Wenn Sie die Seite „iPhone/iPad aktivieren“ nach einer vollständigen Löschung nicht umgehen können, ist es nicht erforderlich, das Gerät vom XenMobile Server zu löschen. Entweder Sie oder der Benutzer können sich direkt an den Apple Support wenden, um das Gerät zu entsperren.
- Während einer Hardwareinventur fragt der XenMobile Server ein Gerät nach einem Aktivierungssperre-Umgehungscode ab. Wenn ein Umgehungscode verfügbar ist, sendet das Gerät ihn an den XenMobile Server. Um den Umgehungscode dann vom Gerät zu entfernen, senden Sie die Sicherheitsaktion „Aktivierungssperre umgehen“ über die XenMobile Server-Konsole. Zu diesem Zeitpunkt verfügen XenMobile Server und Apple über den Umgehungscode, der zum Entsperren des Geräts erforderlich ist.
- Die Sicherheitsaktion „Aktivierungssperre umgehen“ hängt von der Verfügbarkeit eines Apple-Dienstes ab. Wenn die Aktion nicht funktioniert, können Sie ein Gerät wie folgt entsperren. Geben Sie auf dem Gerät manuell die Anmeldeinformationen des iCloud-Kontos ein. Oder lassen Sie das Feld für den Benutzernamen leer und geben Sie den Umgehungscode in das Passwortfeld ein. Um den Umgehungscode nachzuschlagen, gehen Sie zu Verwalten > Geräte, wählen Sie das Gerät aus, klicken Sie auf Bearbeiten und dann auf Eigenschaften. Der Aktivierungssperre-Umgehungscode befindet sich unter Sicherheitsinformationen.