Geräteregistrierung und MDM
Die Geräteregistrierung ermöglicht es Organisationen, Geräte durch die Benutzer manuell bei einer MDM-Lösung registrieren zu lassen und danach verschiedene Aspekte der Gerätenutzung zu verwalten, zum Beispiel die Möglichkeit, das Gerät zu löschen. Auf einem Mac-Computer mit macOS 11 (oder neuer) erzwingt die Benutzerregistrierung auch die Betreuung des Mac.
Wenn ein Benutzer ein Registrierungsprofil entfernt, werden automatisch auch alle Konfigurationsprofile und deren Einstellungen sowie alle Apps entfernt, die auf Basis des betreffenden Registrierungsprofils verwaltet werden.
Die Geräteregistrierung bietet eine größere Anzahl an Payloads, die auf das Gerät angewendet werden können. Die vollständige Liste findest du unter MDM-Payload-Liste für die Geräteregistrierung.
Accountgesteuerte Geräteregistrierung
In iOS 17, iPadOS 17, macOS 14 und visionOS 1.1 (oder neuer) können Organisationen einen accountgesteuerten Geräteregistrierungsprozess verwenden, der in die Apps „Einstellungen“ und „Systemeinstellungen“ integriert ist und Benutzer:innen die Geräteregistrierung erleichtert.
Dazu müssen Benutzer „Einstellungen“ > „Allgemein“ > „VPN und Geräteverwaltung“ oder „Systemeinstellungen“ > „Datenschutz & Sicherheit“ > „Profile“ öffnen und die Option „Bei Arbeits- oder Schulaccount anmelden“ wählen.
Nach dem Eingeben des verwalteten Apple Accounts identifiziert die Diensterkennung die Registrierungs-URL der MDM-Lösung. Die Benutzer geben dann ihren Benutzernamen und das zugehörige Passwort von ihrer Organisation ein. Nachdem die Authentifizierung erfolgreich durchgeführt wurde, wird das Registrierungsprofil an das Gerät gesendet. Für das Gerät wird ebenfalls ein Sitzungstoken ausgestellt, das eine kontinuierliche Authentifizierung erlaubt. Das Gerät startet den MDM-Registrierungsprozess und fordert den Benutzer auf, sich mit seinem verwalteten Apple Account anzumelden. Auf dem iPhone, iPad und der Apple Vision Pro kann der Authentifizierungsprozess durch die Verwendung der SSO-Registrierung (Single Sign-on) optimiert werden, um wiederholte Authentifizierungsaufforderungen zu reduzieren. Nach der Anmeldung des Benutzers wird der neue verwaltete Account gut sichtbar in der App „Einstellungen“ und in den Systemeinstellungen angezeigt.
Wie bei der Benutzerregistrierung werden Organisationsdaten kryptografisch von persönlichen Daten getrennt (siehe Trennung von Benutzer- und Organisationsdaten durch Apple). Aufgrund dieser Trennung sind einige Änderungen bei der Handhabung von Apps und Backups erforderlich. Zum Beispiel:
Vor der MDM-Registrierung installierte Apps können nicht in verwaltete Apps umgewandelt werden.
Verwaltete Apps werden bei der Deregistrierung immer entfernt.
Die MDM-Registrierung wird durch das Wiederherstellen eines Backups nicht wiederhergestellt.
Benutzer, die sich mit ihrem persönlichen Apple Account anmelden, können keine Einladungen für die Verteilung verwalteter Apps annehmen.
Da der Erkennungsprozess dieselbe com.apple.remotemanagement
-Erkennungsdatei wie die Benutzerregistrierung verwendet, können Organisation auf der Grundlage des Gerätemodells und des verwalteten Apple Accounts eines Benutzers wählen, welcher accountgesteuerte Registrierungstyp (Benutzerregistrierung oder Geräteregistrierung) verwendet werden soll.
Trennung von Benutzer- und Organisationsdaten durch Apple
Die folgende Tabelle zeigt, wie Apple Benutzerdaten mittels Geräteregistrierung von den Daten der Organisation trennt.
Daten | Kann MDM dies erkennen? | Unterstützte Betriebssysteme |
---|---|---|
Verfügbare Kapazität und freier Speicherplatz | Ja | iOS iPadOS macOS visionOS 1.1 |
Gerätename | Ja | iOS iPadOS macOS tvOS visionOS 1.1 |
Installierte Apps | Ja | iOS iPadOS macOS tvOS visionOS 1.1 |
Modellname und -nummer | Ja | iOS iPadOS macOS tvOS visionOS 1.1 |
Nummer der Betriebssystemversion | Ja | iOS iPadOS macOS tvOS visionOS 1.1 |
Telefonnummer | Ja | iOS |
Seriennummer | Ja | iOS iPadOS macOS tvOS visionOS 1.1 |
Gerätestandort | Nein | iOS (betreut) iPadOS (betreute Geräte) |
Protokolle von FaceTime- oder Telefonanrufen | Nein | iOS iPadOS macOS visionOS 1.1 |
Häufigkeit der App-Nutzung | Nein | iOS iPadOS macOS tvOS visionOS 1.1 |
iMessage- oder SMS-Nachrichten | Nein | iOS iPadOS macOS visionOS 1.1 |
Persönliche Kalender, Kontakte, E-Mails, Notizen, Erinnerungen | Nein | iOS iPadOS macOS visionOS 1.1 |
Safari-Verlauf | Nein | iOS iPadOS macOS visionOS 1.1 |