Verwaltete Geräte zu einem anderen Geräteverwaltungsdienst migrieren
Apple School Manager und Apple Business Manager unterstützen die Migration zu einem neuen Geräteverwaltungsdienst. Dazu gehören die folgenden Funktionen:
Benutzer:innen mit den Rollen „Administrator:in“, „Standortmanager:in“ (nur Apple School Manager) und „Geräteregistrierungsmanager:in“ können eine Frist für die Abschluss der Registrierung festlegen und die Mitteilung über ausstehende Migrationen auf der Geräteübersichtsseite anzeigen lassen.
Wenn Benutzer:innen nicht handeln, kann die Organisation die Migration und erneute Registrierung erzwingen. Hierzu gehört ein Neustart auf einem iPhone oder iPad und eine nicht schließbare Vollbildaufforderung auf einem Mac.
iPhone- und iPad-Geräte haben die Option, Apps und zugehörige Daten zu behalten, wenn der neue Geräteverwaltungsdienst die Apps bereitstellt, bevor der Befehl
DeviceConfiguredgesendet wird.Nach der erneuten Registrierung erstellt der neue Geräteverwaltungsdienst die Umgehungscodes für die Aktivierungssperre.
Wichtig: Um weiterhin Zugriff auf Dienste zu haben und eine nahtlose Benutzererfahrung zu gewährleisten, müssen Admins sicherstellen, dass der neue Geräteverwaltungsdienst Konfigurationen anwendet, die mit denen des vorherigen Geräteverwaltungsdienstes übereinstimmen, und den Schlüssel await_device_configured für Konfigurationen verwalteter Apps, FileVault und der Aktivierungssperre verwenden.
Voraussetzungen
Um von einem Geräteverwaltungsdienst zu einem anderen zu migrieren, müssen deine Geräte die folgenden Anforderungen erfüllen. Wenn sie die Anforderungen nicht erfüllen, können sie die Option „Frist“ nicht anzeigen und Massenaktionen führen zu Fehlern (die im Aktivitätsprotokoll angezeigt werden).
Geräte mit iOS, iPadOS oder macOS 26.
Das Gerät muss dir gehören und mit der automatischen Geräteregistrierung angemeldet sein. Darüber hinaus unterstützt macOS 26 die Migration für Mac-Computer, die abgemeldet und mit der profilbasierten Registrierung erneut registriert wurden.
Wenn du das Gerät manuell mit dem Apple Configurator registrierst, muss dies nach dem 30-tägigen vorläufigen Zeitraum erfolgen.
Die Migration zum und vom Geräteverwaltungsdienst innerhalb von Apple Business Essentials wird derzeit nicht unterstützt.
VPP-Apps
Wenn VPP-Apps Teil der Bereitstellung sind, lege keine Migrationsfrist fest, die länger als 30 Tage ist. Um dich vor einer Migration vorzubereiten, die VPP-Apps umfasst:
1. Entferne das Inhalts-Token vom aktuellen Geräteverwaltungsdienst.
2. Lade ein neues Inhalts-Token auf den Ziel-Geräteverwaltungsdienst hoch.
Abhängig von deinem aktuellen Geräteverwaltungsdienst hast du möglicherweise die Option, die App sofort nach dem Entfernen der Lizenz zu entfernen.
Wenn du nicht auf den aktuellen Geräteverwaltungsdienst zugreifen kannst, kann die Zuweisung der Apps nicht widerrufen werden. Sie bleiben zugewiesen und Benutzer:innen können sie folgendermaßen verwenden:
Bis zu 30 Tage oder bis das Entwicklungsteam der App einen Belegprüfung durchführt.
Bis der neue Geräteverwaltungsdienst die Zuweisung widerruft.
Irgendwann läuft das Inhalts-Token ab und der vorherige Geräteverwaltungsdienst verliert den Zugriff auf den Apple Business Manager-Standort. Es sind noch Aufgaben vorhanden.
Mitteilungen
Nach Festlegung des Migrationszeitraums erhalten Benutzer:innen Mitteilungen, um die erneute Registrierung zu bestätigen. Je näher das Ende des Zeitrahmens rückt, desto häufiger werden die Mitteilungen gesendet. Mitteilungen werden täglich sowie 24 Stunden vor dem Ablauf der Frist stündlich angezeigt. In der letzten Stunde vor Ablauf der Frist erhält die Person Mitteilungen in Intervallen von 60, 30, 10 und 1 Minute(n). Wenn das Gerät nach der Abmeldung keine Internetverbindung hat, wird der WLAN-Auswahlbereich angezeigt, damit Benutzer:innen manuell eine Verbindung herstellen können, um fortzufahren. Wenn ein Registrierungsfehler aufgrund eines Netzwerkproblems auftritt, wird auf dem Registrierungsbildschirm über „Dieses [iPhone][iPad] registrieren“ der Link „WLAN-Netzwerk auswählen“ angezeigt.
Migration des Geräteverwaltungsdienstes und Aktivierungssperre
Der Migrationsprozess behandelt die Aktivierungssperre abhängig von mehreren Faktoren unterschiedlich, wie die folgende Tabelle zeigt:
Phase | Beschreibung |
|---|---|
Wenn vor der Migration keine Aktivierungssperre auf dem Gerät vorhanden ist. | Der neue Dienst kann festlegen, ob das Gerät während der Migration gesperrt werden soll. |
Wenn durch den aktuellen Dienst vor der Migration eine Aktivierungssperre auf dem Gerät vorhanden ist. | Der neue Dienst kann festlegen, ob das Gerät während der Migration gesperrt werden soll. Hinweis: In jedem Fall wird die Aktivierungssperre des vorherigen Dienstes durch den Migrationsprozess entfernt und sämtliche Umgehungscodes für Geräte, die mit diesem Dienst verknüpft sind, sind ungültig. |
Wenn der neue Dienst die Aktivierungssperre während der Migration anwenden möchte. | Um sicherzustellen, dass das Gerät während der Migration in den Status „Konfiguration abwarten“ wechselt, muss der Dienst dem Gerät vor dem Start der Migration ein Nachdem sich das Gerät beim neuen Dienst registriert und den Status „Konfiguration abwarten“ erreicht hat, muss der Dienst eine Anfrage für die Aktivierungssperre an Apple School Manager oder Apple Business Manager senden, um das Gerät zu sperren, bevor der Befehl |
Wenn die Migration fehlschlägt. | Apple School Manager oder Apple Business Manager sperrt das Gerät und die:der Admin kann es entsperren. Der Migrationsprozess entfernt alle vor der Migration vorhandenen Sperren und zugehörige Umgehungscodes sind ungültig. |
Verwaltete Apps sichern
Ein Geräteverwaltungsdienst kann verwaltete Apps auf iPhone- und iPad-Geräten während der Migration sichern. Wenn eine Organisation möchte, dass Benutzer:innen nach der Migration dieselben verwalteten Apps haben wie vor der Migration, stellt das Behalten von Apps während der Migration sicher, dass keine Daten verloren gehen und die Migration schneller erfolgt, da das Gerät keine zuvor installierten, verwalteten Apps laden muss.
Aus einem Paket installierte verwaltete Apps
Die Betriebssysteme verwalten Apps, die von einem Geräteverwaltungsdienst installiert werden, unterschiedlich, je nachdem, ob die Markierung „Verwaltet“ festgelegt ist:
Wenn die Markierung gesetzt wurde: Die App ist eine verwaltete App und wird vom Betriebssystem entfernt, aber alle zusätzlichen Dateien außerhalb des Ordners „/Programme“ bleiben erhalten, z. B. ein Launch Agent.
Wenn die Markierung nicht gesetzt wurde: Die App wird nicht als verwaltet betrachtet und bleibt zusammen mit zusätzlichen Dateien außerhalb des Ordners „/Programme“ auf dem Gerät.
Verwaltete Apps, die aus einem Paket mithilfe der deklarativen Geräteverwaltung installiert werden, können im Deinstallationsskript, das mit dem Paket verknüpft ist, festlegen, was entfernt werden soll, sodass der Geräteverwaltungsdienst alle mit der App verknüpften Objekte entfernt.
Phase | Beschreibung |
|---|---|
Bevor die Migration beginnt. | Um sicherzustellen, dass das Gerät während der Migration in den Status „Konfiguration abwarten“ wechselt, muss der Dienst dem Gerät vor dem Start der Migration ein |
Wenn die Migration startet. |
|
Wenn das Gerät registriert wird und den Status „Konfiguration warten“ erreicht. | Der neue Dienst führt die folgenden Schritte aus, bevor der Befehl
Hinweis: Das Betriebssystem bewahrt bei der Migration nur die verwalteten App-Daten. |
Wenn die Migration abgeschlossen ist. |
Hinweis: Der neue Geräteverwaltungsdienst muss sicherstellen, dass jeder erhaltenen App Store-App in Apple School Manager oder Apple Business Manager eine gültige App Store-Lizenz zugeordnet ist. |
Hinweise zur Mac-Migration
Auf einem Mac autorisieren verwaltete Benutzer:innen die Migration. Wenn es keine verwalteten Benutzer:innen gibt, erhalten alle eine Aufforderung und können die Migration starten. Nach Abschluss der Migration und abhängig vom neuen Geräteverwaltungsdienst:
Benutzer:innen, die die Migration abschließen, sind nun verwaltete Benutzer:innen.
Der Mac hat möglicherweise immer noch keinen verwalteten Benutzeraccount.
Mac-Computer haben auch die Option für eine weitere FileVault-Hinterlegungskonfiguration, die der neue Geräteverwaltungsdienst installiert. Dadurch wird der persönliche Wiederherstellungsschlüssel automatisch mithilfe eines Bootstrap-Tokens (das der neue Dienst unterstützen muss) rotiert.
Wenn der ursprüngliche Dienst einen Wiederherstellungsschlüssel für die vollständige Festplattenverschlüsselung von FileVault durch Installieren einer com.apple.security.FDERecoveryKeyEscrow-Profil-Payload festlegt, verbleibt dieser Schlüssel nach der Migration auf dem Gerät, bis der neue Dienst seine eigene com.apple.security.FDERecoveryKeyEscrow-Profil-Payload sendet.
In diesem Fall erstellt das Gerät einen weiteren Wiederherstellungsschlüssel. Zum Erreichen der besten Sicherheit muss der neue Dienst die Profil-Payload com.apple.security.FDERecoveryKeyEscrow während des Konfigurationsstatus „Warten“ installieren.