iOS

Zum Verwalten von iOS-Geräten in XenMobile Server müssen Sie ein Zertifikat von Apple für den Apple-Dienst für Push-Benachrichtigungen (Apple Push Notification service, APNs) einrichten. Weitere Informationen finden Sie unter APNs-Zertifikate.

Registrierungsprofile bestimmen, ob iOS-Geräte bei MDM+MAM registriert werden und die Benutzer ggf. MDM abwählen können. XenMobile Server unterstützt die folgenden Authentifizierungstypen für iOS-Geräte in MDM+MAM. Weitere Informationen finden Sie unter Zertifikate und Authentifizierung.

  • Domäne
  • Domäne plus Sicherheitstoken
  • Clientzertifikat
  • Clientzertifikat plus Domäne
  • Abgeleitete Anmeldeinformationen

Anforderungen für vertrauenswürdige Zertifikate in iOS 13:

Apple hat neue Anforderungen für TLS-Serverzertifikate. Stellen Sie sicher, dass alle Zertifikate den neuen Apple-Anforderungen entsprechen. Siehe Apple-Veröffentlichung https://support.apple.com/en-us/HT210176. Hilfe zum Verwalten von Zertifikaten finden Sie unter Hochladen von Zertifikaten in XenMobile Server.

Weitere Informationen zu unterstützten Betriebssystemen finden Sie unter Unterstützte Gerätebetriebssysteme.

Apple-Hostnamen, die offen bleiben müssen

Einige Apple-Hostnamen müssen offen bleiben, um den ordnungsgemäßen Betrieb von iOS, macOS und Apple App Store sicherzustellen. Das Blockieren dieser Hostnamen kann sich auf die Installation, Aktualisierung und den ordnungsgemäßen Betrieb von iOS, iOS-Apps, MDM-Betrieb und Geräte- und App-Registrierung auswirken. Weitere Informationen finden Sie unter https://support.apple.com/en-us/HT201999.

Unterstützte Registrierungsmethoden

In der folgenden Tabelle sind die Registrierungsmethoden aufgelistet, die XenMobile Server für iOS-Geräte unterstützt:

Methode Unterstützt
Apple Deployment Program Ja
Apple School Manager Ja
Apple Configurator Ja
Manuelle Registrierung Ja
Registrierungseinladungen Ja

Apple bietet Programme zur Geräteregistrierung (DEP = Device Enrollment Program) für Unternehmen und Bildungseinrichtungen an. Für Unternehmenskonten müssen Sie sich beim Apple-Bereitstellungsprogramm registrieren, um das Apple-DEP zum Registrieren und Verwalten von Geräten in XenMobile Server zu verwenden. Das Programm wird für iOS-, macOS- und Apple TV-Geräte angeboten. Siehe Bereitstellen von Geräten über das Apple Deployment Program.

Für Bildungskonten erstellen Sie ein Apple School Manager-Konto. Bei Apple School Manager sind das Deployment Program und Volume Purchase kombiniert. Apple School Manager ist ein Apple Deployment Program für Bildungseinrichtungen. Siehe Integration von Apple Bildung-Features.

Sie können das Apple Deployment Program für die Massenregistrierung von iOS-, macOS- und Apple TV-Geräten verwenden. Sie können diese Geräte direkt bei Apple, einem autorisierten Apple-Vertriebspartner oder einem Netzbetreiber zu kaufen. Sie können auch den Apple Configurator zum Registrieren von iOS-Geräten verwenden. Dabei spielt es keine Rolle, ob die Geräte direkt bei Apple erworben wurden. Siehe Massenregistrierung von Apple-Geräten.

Manuelles Hinzufügen eines iOS-Geräts

Führen Sie folgende Schritte aus, um ein iOS-Gerät manuell hinzuzufügen (beispielsweise zu Testzwecken).

  1. Klicken Sie in der XenMobile Server-Konsole auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.

    Seite "Geräte"

  2. Klicken Sie auf Hinzufügen. Die Seite Gerät hinzufügen wird angezeigt.

    Seite "Gerät hinzufügen"

  3. Konfigurieren Sie folgende Einstellungen:

    • Plattform wählen: Klicken Sie auf iOS.
    • Seriennummer: Geben Sie die Seriennummer des Geräts ein.
  4. Klicken Sie auf Hinzufügen. Die Tabelle Geräte wird angezeigt. Das hinzugefügte Gerät befindet sich am Ende der Liste. Um die Gerätedetails zu überprüfen, wählen Sie das hinzugefügte Gerät aus und klicken Sie in dem nun angezeigten Menü auf Bearbeiten.

    Hinweis:

    Wenn Sie das Kontrollkästchen neben einem Gerät aktivieren, wird das Menü mit den Optionen oberhalb der Liste angezeigt. Wenn Sie an eine andere Stelle in der Liste klicken, wird das Menü mit den Optionen rechts daneben angezeigt.

    • LDAP konfiguriert

    • Bei Verwendung lokaler Gruppen und Benutzer:

      • Eine oder mehrere lokale Gruppen

      • Lokale Benutzer, die lokalen Gruppen zugewiesen sind

      • Bereitstellungsgruppen, die lokalen Gruppen zugeordnet sind

    • Bei Verwendung von Active Directory:

      • Bereitstellungsgruppen, die Active Directory-Gruppen zugeordnet sind

      Gerätedetailliste

  5. Auf der Seite Allgemein werden Gerätekennungen aufgeführt, z. B. die Seriennummer und weitere plattformspezifische Informationen. Wählen Sie für Gerätebesitz die Option Unternehmen oder BYOD.

    Auf der Seite Allgemein werden zudem Sicherheitseigenschaften aufgeführt, z. B. starke ID, Gerätesperrung, Umgehen der Aktivierungssperre und weitere plattformspezifische Informationen. Das Feld Gerät vollständig löschen enthält den Benutzer-PIN-Code. Der Benutzer muss den Code eingeben, anschließend erfolgt die Löschung. Wenn der Benutzer den Code vergessen hat, können Sie ihn hier nachsehen.

  6. Auf der Seite Eigenschaften werden die von XenMobile Server bereitgestellten Geräteeigenschaften aufgeführt. Diese Liste enthält alle in der beim Hinzufügen des Geräts verwendeten Provisioningdatei enthaltenen Geräteeigenschaften. Wenn Sie eine Eigenschaft hinzufügen möchten, klicken Sie auf Hinzufügen und wählen Sie eine Eigenschaft in der Liste aus. Gültige Werte für jede Eigenschaft finden Sie in der PDF Namen und Werte von Geräteeigenschaften.

    Wenn Sie eine Eigenschaft hinzufügen, wird sie zunächst in der Kategorie angezeigt, in der Sie sie hinzufügen. Wenn Sie anschließend auf Weiter klicken und dann zu der Seite Eigenschaften zurückkehren, wird die Eigenschaft in der richtigen Liste angezeigt.

    Zum Löschen einer Eigenschaft zeigen Sie auf die Auflistung und klicken Sie dann auf das X auf der rechten Seite. XenMobile Server löscht das Element sofort.

  7. Die verbleibenden Abschnitte mit Gerätedetails enthalten zusammenfassende Informationen zu dem Gerät.

    • Benutzereigenschaften: Zeigt RBAC-Rollen, Gruppenmitgliedschaften, Volume Purchase-Konten und Eigenschaften des Benutzers an. Auf dieser Seite können Sie ein Volume Purchase-Konto deaktivieren.
    • Zugewiesene Richtlinien: zeigt die Anzahl der zugewiesenen bereitgestellten, ausstehenden und fehlgeschlagenen Richtlinien an. Für die einzelnen Richtlinien werden Name, Typ und letzte Bereitstellung angezeigt.
    • Apps: zeigt die Anzahl der installierten, ausstehenden und fehlgeschlagenen App-Bereitstellungen der letzten Bestandsaufnahme an. Es werden App-Name, ID, Typ und weitere Informationen angezeigt. Eine Beschreibung von iOS- und macOS-Bestandsschlüsseln, z. B. HasUpdateAvailable, finden Sie unter Mobile Device Management (MDM) Protocol.
    • Medien: zeigt die Anzahl der erfolgreichen, ausstehenden und fehlgeschlagenen Medienbereitstellungen der letzten Bestandsaufnahme an.
    • Aktionen: zeigt die Anzahl der bereitgestellten, ausstehenden und fehlgeschlagenen Aktionen an. Es werden Aktionsname und Uhrzeit der letzten Bereitstellung angezeigt.
    • Bereitstellungsgruppen: zeigt die Anzahl der erfolgreichen, ausstehenden und fehlerhaften Bereitstellungsgruppen an. Für jede Bereitstellung werden der Name der Bereitstellungsgruppe und die Uhrzeit der Bereitstellung angezeigt. Wählen Sie eine Bereitstellungsgruppe aus, um weitere Informationen (Status, Aktion und Kanal oder Benutzer) anzuzeigen.
    • iOS-Profile: zeigt den aktuellen iOS-Profilbestand mit Namen, Typ, Unternehmen und Beschreibung an.
    • iOS-Provisioningprofil: zeigt Informationen zum Provisioningprofil für die Verteilung im Unternehmen an, z. B. UUID, Ablaufdatum und Verwaltungsstatus.
    • Zertifikate: zeigt Informationen für gültige, abgelaufene und gesperrte Zertifikate an, z. B. Typ, Anbieter, Herausgeber, Seriennummer und Zeit in Tagen bis zum Ablauf.
    • Verbindungen: zeigt den ersten und letzten Verbindungsstatus an. Für jede Verbindung werden zudem der Benutzername und der Zeitpunkt der vorletzten und letzten Authentifizierung angezeigt.
    • MDM-Status: zeigt Informationen wie MDM-Status, Zeitpunkt der letzten Pushbenachrichtigung und letzte Geräteantwortzeit an.

Konfigurieren von iOS-Geräterichtlinien

Verwenden Sie diese Richtlinien, um zu konfigurieren, wie XenMobile Server mit Geräten mit iOS interagiert. In dieser Tabelle sind alle für iOS-Geräte verfügbaren Geräterichtlinien aufgeführt.

     
AirPlay-Synchronisierung AirPrint APN
App-Zugriff App-Attribute App-Konfiguration
App-Bestand App-Sperre App-Netzwerkauslastung
App-Deinstallation App-Benachrichtigungen Kalender (CalDAV)
Mobilfunk Kontakte (CardDAV) OS-Update steuern
Anmeldeinformationen Gerätename Bildungseinrichtung - Konfiguration
Exchange Schriftart Layout für Homebildschirm
Importieren von iOS- und macOS-Profilen LDAP Standort
E-Mail Verwaltete Domänen MDM-Optionen
Informationen zum Unternehmen Passcode Persönlicher Hotspot
Profilentfernung Provisioningprofil Entfernen des Provisioningprofils
Proxy Einschränkungen Roaming
SCEP Geteiltes iPad - maximale Anzahl residenter Benutzer Geteiltes iPad - Kulanzzeitraum für Passcodesperre
SSO-Konto Store Abonnierte Kalender
AGB VPN Hintergrundbild
Webinhaltsfilter Webclip Wi-Fi

Registrieren von iOS-Geräten

In diesem Abschnitt wird erläutert, wie Benutzer iOS-Geräte (12.2 oder höher) in XenMobile Server registrieren. Weitere Informationen zur iOS-Registrierung finden Sie in folgendem Video:

Video zur iOS-Registrierung

Weitere Informationen zur Registrierung mit abgeleiteten Anmeldeinformationen finden Sie unter Geräteregistrierung.

  1. Rufen Sie auf dem iOS-Gerät den Apple-Store auf, laden Sie die Citrix Secure Hub-App herunter und tippen Sie auf die App.
  2. Wenn Sie aufgefordert werden, die App zu installieren, tippen Sie auf Weiter und dann auf Installieren.
  3. Wenn Secure Hub installiert ist, tippen Sie auf Öffnen.
  4. Geben Sie Ihre geschäftlichen Anmeldeinformationen ein, z. B. den Namen des XenMobile Server-Servers, Ihren Benutzerprinzipalnamen oder Ihre E-Mail-Adresse. Klicken Sie dann auf Weiter. Geben Sie Ihre Anmeldeinformationen ein.
  5. Tippen Sie auf Ja, Registrieren, um Ihr iOS-Gerät zu registrieren. Registrieren des Geräts
  6. Eine Liste der von XenMobile Server erfassten Daten wird angezeigt. Klicken Sie auf Weiter. Eine Erläuterung, wie die Daten von der Organisation verwendet werden, wird angezeigt. Klicken Sie auf Weiter. Zugang zu Informationen
  7. Nach Eingabe der Anmeldeinformationen tippen Sie auf Zulassen, wenn Sie dazu aufgefordert werden, um das Konfigurationsprofil herunterzuladen. Tippen Sie nach dem Herunterladen des Konfigurationsprofils auf Schließen. Herunterladen des Profils
  8. Installieren Sie das iOS-Zertifikat in den Geräteeinstellungen und fügen Sie das Gerät der Vertrauensliste hinzu.
    • Zum Hinzufügen des Profils gehen Sie zu Einstellungen > Allgemein > Profil > XenMobile Profile Service und tippen auf Installieren.
    • Tippen Sie im Benachrichtigungsfenster auf Vertrauensstellung, um Ihr Gerät bei der Remoteverwaltung zu registrieren. Hinzufügen des Profils
  9. Öffnen Sie nach erfolgreicher Registrierung Secure Hub. Wenn Sie sich bei MDM+MAM registrieren, werden zunächst Ihre Anmeldeinformationen überprüft. Danach werden Sie aufgefordert, Ihre Citrix-PIN zu erstellen und diese zu bestätigen.
  10. Nach Abschluss des Workflows ist das Gerät registriert. Sie können nun auf den App-Store zugreifen und Apps für die Installation auf dem iOS-Gerät anzeigen.

Sicherheitsaktionen

iOS unterstützt die folgenden Sicherheitsaktionen. Eine Beschreibung der einzelnen Sicherheitsaktionen finden Sie unter Sicherheitsaktionen.

     
Aktivierungssperre umgehen App-Sperre App löschen
ASM-Aktivierungssperre Zertifikaterneuerung Einschränkungen deaktivieren
Modus “Verloren” aktivieren/deaktivieren Tracking aktivieren/deaktivieren Vollständig löschen
Suchen Sperren Klingeln
AirPlay-Synchronisierung anfordern/beenden Neustart/Herunterfahren Wiederrufen/Autorisieren
Selektiv löschen Entsperren  

Sperren von iOS-Geräten

Sie können ein verlorenes iOS-Gerät sperren und eine entsprechende Nachricht und Telefonnummer auf dem Sperrbildschirm anzeigen lassen.

Zum Anzeigen einer Nachricht und Telefonnummer auf einem gesperrten Gerät muss die Richtlinie Passcode in der XenMobile Server-Konsole auf wahr festgelegt werden. Alternativ können Benutzer den Passcode auf dem Gerät auch manuell aktivieren.

  1. Klicken Sie auf Verwalten > Geräte. Die Seite Geräte wird angezeigt.

    Seite "Geräte"

  2. Wählen Sie das iOS-Gerät aus, das Sie sperren möchten.

    Aktivieren Sie das Kontrollkästchen neben einem Gerät, um das Menü mit den Optionen oberhalb der Liste anzuzeigen. Klicken Sie an eine andere Stelle in der Liste, um das Menü mit den Optionen rechts daneben anzuzeigen.

    Menü "Optionen"

    Menü "Optionen"

  3. Wählen Sie im Menü “Optionen” die Option Sicherheit. Das Dialogfeld Sicherheitsaktionen wird angezeigt.

    Dialogfeld "Sicherheitsaktionen"

  4. Klicken Sie auf Sperren. Das Bestätigungsdialogfeld Sicherheitsaktionen wird angezeigt.

    Sicherheitsaktionenbestätigung

  5. Geben Sie optional eine Meldung und Telefonnummer ein, die auf dem Sperrbildschirm des Geräts angezeigt werden sollen.

    iOS hängt die Wörter “Lost iPad” an alles an, was Sie im Feld Nachricht eingeben.

    Wenn Sie das Feld Nachricht leer lassen und eine Telefonnummer angeben, wird die Meldung “Besitzer anrufen” auf dem Sperrbildschirm des Geräts angezeigt.

  6. Klicken Sie auf Gerät sperren.

Versetzen von iOS-Geräten in den Modus “Verloren”

Die Geräteeigenschaft “XenMobile Server-Modus ‘Verloren’” versetzt iOS-Geräte in den Modus “Verloren”. Im Gegensatz zum von Apple verwalteten Modus “Verloren” muss ein Benutzer beim Modus “Verloren” in XenMobile Server keine der folgenden Aktionen ausführen, um sein Gerät zu suchen: Konfigurieren der Einstellung Find My iPhone/iPad oder Aktivieren der Ortungsdienste für Citrix Secure Hub.

Im XenMobile Server-Modus “Verloren” kann ein Gerät nur über XenMobile Server entsperrt werden. (Wenn Sie hingegen das XenMobile Server-Feature zum Sperren von Geräten verwenden, können die Benutzer Geräte direkt durch Eingabe eines von Ihnen bereitgestellten PIN-Codes entsperren.)

Aktivieren oder Deaktivieren des Modus “Verloren”: Gehen Sie zu Verwalten > Geräte, wählen Sie ein betreutes iOS-Gerät aus und klicken Sie auf Sicherheit. Klicken Sie dann auf Modus ‘Verloren’ aktivieren oder Modus ‘Verloren’ deaktivieren.

Optionen für den Modus "Verloren"

Wenn Sie auf Modus ‘Verloren’ aktivieren klicken, geben Sie die Informationen ein, die auf dem Gerät angezeigt werden sollen, wenn es im Modus “Verloren” ist.

Informationsanzeige auf dem Gerät

Verwenden Sie eine der folgenden Methoden, um den Status des Modus “Verloren” zu überprüfen:

  • Überprüfen Sie im Fenster Sicherheitsaktionen, ob die Schaltfläche auf Modus ‘Verloren’ deaktivieren gesetzt ist.
  • Zeigen Sie über Verwalten > Geräte auf der Registerkarte Allgemein unter Sicherheit die letzte Aktion zum Aktivieren oder Deaktivieren des Modus “Verloren” an.

Registerkarte "Allgemein"

  • Überprüfen Sie unter Verwalten > Geräte auf der Registerkarte Eigenschaften, ob die Einstellung MDM-Modus “Verloren” aktiviert richtig festgelegt ist.

Einstellung "MDM-Modus "Verloren" aktiviert"

Wenn Sie den XenMobile Server-Modus “Verloren” auf iOS-Geräten aktivieren, ändert sich die XenMobile Server-Konsole wie folgt:

  • In der über Konfigurieren > Aktionen aufgerufenen Liste Aktionen sind die folgenden automatisierten Aktionen nicht enthalten: Gerät widerrufen, Gerät selektiv löschen und Gerät vollständig löschen.
  • In der über Verwalten > Geräte aufgerufenen Liste Sicherheitsaktionen sind die Geräteaktionen Widerrufen und Selektiv löschen nicht mehr enthalten. Sie können weiterhin eine Sicherheitsaktion verwenden, um die Aktion Vollständig löschen nach Bedarf auszuführen.

iOS hängt die Wörter “Lost iPad” an alles an, was Sie im Feld Nachricht des Bildschirms Sicherheitsaktionen eingeben.

Wenn Sie das Feld Nachricht leer lassen und eine Telefonnummer angeben, wird die Meldung “Besitzer anrufen” auf dem Sperrbildschirm des Geräts angezeigt.

Umgehen einer iOS-Aktivierungssperre

Die Aktivierungssperre ist ein Feature von “Mein iPhone/iPad suchen”, mit dem das Reaktivieren von verlorenen oder gestohlenen betreuten Geräten verhindert wird. Die Aktivierungssperre erfordert die Eingabe der Apple-ID und des Benutzerkennworts, bevor ein beliebiger Benutzer “Mein iPhone/iPad suchen” deaktivieren, die Daten auf dem Gerät löschen oder das Gerät neu aktivieren kann. Für Geräte im Besitz Ihres Unternehmens kann ein Umgehen der Aktivierungssperre erforderlich sein, um Geräte zurückzusetzen oder neu zuzuweisen.

Zum Einrichten der Aktivierungssperre müssen Sie die XenMobile Server-Geräterichtlinie “MDM-Optionen” konfigurieren und bereitstellen. Dann können Sie ein Gerät über die XenMobile Server-Konsole ohne Eingabe der Apple-Anmeldeinformationen des Benutzers verwalten. Aktivieren Sie auf der XenMobile Server-Konsole die Sicherheitsaktion “Aktivierungssperre umgehen”, um trotz Aktivierungssperre keine Apple-Anmeldeinformationen eingeben zu müssen.

Nehmen wir folgendes Beispiel: Ein Benutzer bringt ein verlorenes Telefon zurück oder möchte ein Gerät vor oder nach einem vollständigen Löschen einrichten. Die dabei geforderte Eingabe der Anmeldeinformationen für das Apple App Store-Konto können Sie umgehen, indem Sie in der XenMobile Server-Konsole die Sicherheitsaktion “Aktivierungssperre umgehen” aktivieren.

Geräteanforderungen für das Umgeben der Aktivierungssperre

  • Betreuter Modus mit Apple Configurator oder Apple-Bereitstellungsprogramm
  • Konfiguration mit iCloud-Konto
  • “Mein iPhone/iPad suchen” ist aktiviert
  • Bei XenMobile Server registriert
  • Bereitgestellte Geräterichtlinie “MDM-Optionen” mit aktivierter Aktivierungssperre

Umgehen einer Aktivierungssperre vor dem vollständigen Löschen eines Geräts:

  1. Wählen Sie unter Verwalten > Geräte das Gerät, klicken Sie auf Sicherheit und dann auf Aktivierungssperre umgehen.
  2. Löschen Sie das Gerät. Die Aktivierungssperre wird während des Gerätesetups nicht angezeigt.

Umgehen einer Aktivierungssperre nach dem vollständigen Löschen eines Geräts:

  1. Setzen Sie das Gerät zurück oder löschen Sie es. Die Aktivierungssperre wird während des Gerätesetups angezeigt.
  2. Wählen Sie unter Verwalten > Geräte das Gerät, klicken Sie auf Sicherheit und dann auf Aktivierungssperre umgehen.
  3. Tippen Sie auf dem Gerät auf die Taste “Zurück”. Der Homebildschirm wird angezeigt.

Beachten Sie Folgendes:

  • Fordern Sie die Benutzer auf, “Mein iPhone/iPad suchen” nicht zu deaktivieren. Löschen Sie das Gerät nicht vollständig. In beiden Fällen wird der Benutzer aufgefordert, das Kennwort des iCloud-Kontos einzugeben. Nach der Kontovalidierung wird dem Benutzer kein Bildschirm zum Aktivieren des iPhones/iPads angezeigt, nachdem alle Inhalte und Einstellungen gelöscht wurden.
  • Für Geräte mit generiertem Code zum Umgehen der Aktivierungssperre und aktivierter Aktivierungssperre: Wenn Sie das Gerät vollständig löschen und danach die Aktivierungsseite für das iPhone/iPad nicht umgehen können, müssen Sie das Gerät nicht aus XenMobile Server löschen. Sie oder der Benutzer können sich direkt an den Apple-Support wenden, um das Gerät entsperren zu lassen.
  • Während einer Hardwareinventur ruft XenMobile Server den Code zum Umgehen der Aktivierungssperre von einem Gerät ab. Wenn ein Umgehungscode verfügbar ist, wird er vom Gerät an XenMobile Server gesendet. Um den Umgehungscode dann vom Gerät zu entfernen, aktivieren Sie in der XenMobile Server-Konsole die Sicherheitsaktion “Aktivierungssperre umgehen”. Damit haben XenMobile Server und Apple den erforderlichen Umgehungscode, um das Gerät zu entsperren.
  • Die Sicherheitsaktion “Aktivierungssperre umgehen” stützt sich auf die Verfügbarkeit eines Apple-Diensts. Wenn die Aktion nicht funktioniert, können Sie ein Gerät auf folgende Weise entsperren. Geben Sie auf dem Gerät manuell die Anmeldeinformationen des iCloud-Kontos ein. Alternativ können Sie das Feld “Benutzername” leer lassen und den Umgehungscode im Feld “Kennwort” eingeben. Zum Ermitteln der Umgehungscodes wählen Sie das Gerät unter Verwalten > Geräte aus, klicken auf Bearbeiten und dann auf Eigenschaften. Der Code zum Umgehen der Aktivierungssperre steht unter Sicherheitsinformationen.