Netzwerk für die Geräteverwaltung konfigurieren
Beim Installieren und Konfigurieren deines Geräteverwaltungsdienstes musst du einige wichtige Aspekte hinsichtlich der Konfiguration von Netzwerk, TLS (Transport Layer Security), Infrastrukturdiensten, Apple-Diensten und Datensicherung berücksichtigen.
Beim Installieren eines lokal gehosteten Geräterverwaltungsdienstes musst du alle folgenden Objekte konfigurieren. Du solltest jede(s) dieser Objekte und Einstellungen so früh wie möglich im Prozess konfigurieren und testen, damit die Implementierung reibungslos erfolgen kann. Wenn dein Dienst an externer Stelle verwaltet oder in der Cloud gehostet wird, wird das Entwicklungsteam mit großer Wahrscheinlichkeit viele dieser Objekte für dich konfigurieren.
Verwenden eines vollständig qualifizierten Domain-Namens
Ein Geräteverwaltungsdienst muss einen vollständig qualifizierten Domainnamen (FQDN) verwenden, der sowohl von innerhalb als auch von außerhalb des Netzwerks der Organisation aufgelöst werden kann. Hierdurch kann der Server Geräte unabhängig davon verwalten, ob die Geräte lokal oder per Fernzugriff verbunden sind. Damit die Konnektivität mit den Clients erhalten bleibt, kann dieser Domain-Name nicht geändert werden.
Verwenden einer statischen IP-Adresse
Die meisten Geräteverwaltungsdienste erfordern eine statische IP-Adresse. Der bestehende DNS-Name muss unverändert bleiben, wenn sich die IP-Adresse des Servers ändert.
Einen Geräteverwaltungsdienst mit Transport Layer Security konfigurieren
Die gesamte Kommunikation zwischen Apple-Geräten und dem Geräteverwaltungsdienst ist mit HTTPS verschlüsselt. Für die Sicherheit dieser Kommunikationen ist ein TLS-Zertifikat (bisher ein SSL-Zertifikat) erforderlich. Stelle keine Geräte bereit, die nicht über ein Zertifikat einer anerkannten Zertifizierungsstelle (CA, Certificate Authority) verfügen. Notiere das Ablaufdatum und denke daran, das Zertifikat rechtzeitig vor dem Ablauf zu erneuern. Weitere Informationen findest du in folgenden Apple Support-Artikeln:
Öffnen bestimmter Firewall-Ports
Um sowohl internen als auch externen Zugriff auf den Geräteverwaltungsdienst zu erlauben, müssen bestimmte Firewall-Ports geöffnet sein. Die meisten Dienste akzeptieren eingehende Verbindungen über HTTPS auf Port 443. Sowohl der Geräteverwaltungsdienst als auch die Geräte müssen mit dem Apple-Dienst für Push-Benachrichtigungen (APNs) kommunizieren. Geräteverwaltungsdienste verwenden mit APNs den Port 2197, Clients den Port 5223.
Migrationsassistent
Um die korrekte Migration und erneute Registrierung in einem Geräteverwaltungsdienst zu gewährleisten, erlauben Mac-Computer mit macOS 13 (oder neuer), die bei einem Geräteverwaltungsdienst registriert sind, es nicht mehr, die folgenden Einstellungen mithilfe des Migrationsassistenten zu übertragen:
System
Netzwerk
Drucker
Um diese Einstellungen während der Migration zu überspringen, muss der Ziel-Mac beim Geräteverwaltungsdienst registriert sein.
Tipp: Es kann sein, dass dein Geräteverwaltungsdienst die Wiederherstellungsschlüssel und Umgehungscodes für die Aktivierungssperre, Bootstrap Tokens von macOS und andere eindeutige Daten hostet, die für den kontinuierlichen Gerätezugriff wichtig sind. Aus diesem Grund sollte sichergestellt werden, dass bei schwerwiegenden Problemen eine robuste Wiederherstellungsstrategie für die Installation des Geräteverwaltungsdienstes vor Ort vorhanden ist. Es wird empfohlen, Backups und Wiederherstellungen regelmäßig zu testen.