Automatische Geräteregistrierung und MDM
Die automatische Geräteregistrierung ist für alle Apple-Geräte konzipiert, die Eigentum der jeweiligen Organisation sind. Die automatische Geräteregistrierung bietet Organisationen die Möglichkeit, Geräte ab dem Moment, in dem sie aus ihrer Verpackung genommen werden, zu konfigurieren und zu verwalten. Außerdem können auch alle von Apple definierten, verfügbaren Payloads und Einschränkungen verwendet werden. Optional lässt sich zudem verhindern, dass Benutzer das MDM-Registrierungsprofil entfernen können.
Für diese Geräte können die folgenden MDM-Registrierungsoptionen konfiguriert werden.
Option | Verwendung | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Verhindern der Deregistrierung | Benutzer können ein betreutes Gerät nicht deregistrieren. Auf Mac-Computern wird dadurch die Deregistrierung über die Systemeinstellungen unter macOS 13 (oder neuer) oder macOS 12.0.1 (oder älter) sowie das Befehlszeilenprogramm | ||||||||||
Automatisch durch den Systemassistenten gehen | Ein betreuter Mac-Computer mit macOS 11 (oder neuer) oder ein betreutes Apple TV-Gerät wird automatisch, d. h. ohne Eingriff durch einen Benutzer konfiguriert, sofern keine anderen Bildschirmbereiche des Systemassistenten aktiviert wurden. | ||||||||||
Sprache | Die Sprache, die auf dem Gerät festgelegt werden soll, wenn „Automatisches Einrichten“ verwendet wird. | ||||||||||
Region | Die Region, die auf dem Gerät festgelegt werden soll, wenn „Automatisches Einrichten“ verwendet wird. | ||||||||||
Gerät im Systemassistenten halten | Hält das Gerät im Systemeassistenten, um es der MDM zu ermöglichen, alle essenziellen Konfigurationen anzuwenden oder essenzielle Apps zu installieren. Das Gerät kann anschließend fortfahren oder den Systemassistenten verlassen, nachdem dies von der MDM-Lösung veranlasst wurde. Eine ähnliche Option kann für geteilte iPad-Geräte verwendet werden, um sie nach der Benutzerauthentifizierung im Systemassistenten zu halten und so sicherzustellen, dass das Gerät einsatzbereit ist, sobald dem Benutzer der Home-Bildschirm angezeigt wird. | ||||||||||
Web-URL für die Konfiguration | URL, die das Gerät im Systemassistenten laden soll. Dies kann für die Authentifizierung, ein eigenes Erscheinungsbild, Einverständniserklärungen und mehr verwendet werden. | ||||||||||
Bildschirmbereiche des Systemassistenten überspringen | Optional: Welche Bildschirmbereiche sollen im Systemassistenten übersprungen werden, um den Konfigurationsprozess des Geräts für den Benutzer zu beschleunigen. | ||||||||||
FileVault durchsetzen | Eine MDM-Lösung kann voraussetzen, dass ein Mac-Computer mit macOS 14 (oder neuer) verwendet muss, um FileVault im Systemassistenten zu aktivieren. So wird gewährleistet, dass der interne Speicher vor der Verwendung immer verschlüsselt wird. Organisationen können dann entscheiden, ob der Wiederherstellungsschlüssel angezeigt werden soll und ihn optional in der MDM-Lösung hinterlegen. Diese Funktionen sollte in Verbindung mit dem Halten des Geräts im Systemassistenten verwendet werden, um sicherzustellen, dass die MDM-Lösung vor dem Fortfahren über alle nötigen Informationen verfügt. | ||||||||||
Als geteiltes iPad konfigurieren (nur bei der Option „Geteiltes iPad“) | Aktiviert die Option „Geteiltes iPad“. | ||||||||||
Anzahl von Benutzern für ein geteiltes iPad (nur bei der Option „Geteiltes iPad“) | Gib die Anzahl der Lernenden ein, die dieses iPad-Gerät potenziell verwenden werden. Die besten Ergebnisse erzielst du mit einer möglichst geringen Anzahl von Lernenden. |
Auto Advance und automatische Geräteregistrierung (macOS)
„Automatisches Einrichten“ ist eine Zusatzfunktion für die automatische Geräteregistrierung, mit der alle Bildschirmbereiche des Systemassistenten auf Mac-Computern, die per Ethernet verbunden sind, automatisch übersprungen werden können. Wenn in der MDM-Lösung die Auto Advance-Implementierung konfiguriert ist, können Organisationen von ihnen bestellte Mac-Computer nach der Auslieferung in Betrieb nehmen, einfach indem sie die Geräte mit einem Ethernet-Netzwerk verbinden und einschalten. Die Mac-Computer erkennen die ihnen zugewiesene MDM-Lösung und werden automatisch auf der Basis der von der MDM-Lösung vorgegebenen Einstellungen konfiguriert; dies führt dazu, dass auf den Geräten alle Bildschirmbereiche des Systemassistenten übersprungen werden. Benutzer müssen im Anmeldebildschirm nur einen ihnen bekannten Benutzernamen und das zugehörige Passworte eingeben. Damit ein Mac die Funktion „Automatisch fortfahren“ nutzen kann, muss macOS 11 (oder neuer) installiert sein und es müssen alle der folgenden Kriterien erfüllt sein:
Die Seriennummer des Computers muss sich in Apple School Manager, Apple Business Manager oder Apple Business Essentials befinden.
Auf dem Mac müssen mithilfe einer MDM-Lösung Einstellungen für die automatische Geräteregistrierung inklusive der Schlüssel für die Auto Advance-Implementierung angewendet sein.
Der Mac muss an das Stromnetz angeschlossen sein (dies wird empfohlen, ist aber nicht zwingend erforderlich).
Der Mac muss mit einem aktiven Ethernet-Netzwerk verbunden sein (nur für die Erstkonfiguration).
Der Mac muss über ein internes Netzwerk oder das Internet Zugriff auf die MDM-Lösung haben.
Durchsetzung einer Mindestversion von iOS, iPadOS und macOS
MDM-Lösungen können bei Verwendung der automatischen Geräteregistrierung eine Mindestversion für das Betriebssystem auf dem zu registrierenden Gerät durchsetzen. Verfügt das Gerät nicht über die von der MDM-Lösung erwartete Mindestversion, wird der Benutzer durch ein Softwareupdate oder -upgrade geführt, bevor er mit dem Systemassistenten fortfahren kann. Das stellt sicher, dass organisationseigene Geräte vor der Inbetriebnahme über die nötige Version verfügen.
Durchsetzung der automatischen Geräteregistrierung
Wenn in macOS 14 (oder neuer) ein in Apple School Manager oder Apple Business Manager registrierter Mac nicht bei der Ersteinrichtung in der Geräteverwaltung registriert wird, wird eine Vollbildmitteilung angezeigt.
Benutzer können „Später“ wählen, woraufhin dieser Bildschirm für 8 Stunden deaktiviert wird. Während dieser 8 Stunden wird Benutzern eine Option zum Starten der Registrierung in den Systemeinstellungen angezeigt. Nach Ablauf der Zeit muss ein Administrator das Gerät registrieren.
Dies ersetzt die aktuelle Mitteilungsmethode und stellt sicher, dass das Gerät in der Geräteverwaltung registriert werden muss, um verwendet werden zu können. Das Durchsetzen der Geräteregistrierung führt zu einer geringeren Anzahl unverwalteter organisationseigener Geräte.
Trennung von Benutzer- und Organisationsdaten durch Apple
Die folgende Tabelle zeigt, wie Apple Benutzer- und Organisationsdaten mit der automatischen Geräteregistrierung trennt.
Mit MDM möglich | Mit MDM nicht möglich |
---|---|
Gerätenamen anzeigen und festlegen | Persönliche E-Mails, Kalender, Kontakte anzeigen |
Telefonnummer abrufen | SMS oder iMessages anzeigen |
Seriennummer abrufen | Safari-Verlauf anzeigen |
Modellname und -nummer abrufen | Protokolle von FaceTime- oder Telefonanrufen anzeigen |
Verfügbare Kapazität und freier Speicherplatz anzeigen | Persönliche Erinnerungen und Notizen anzeigen |
Nummer der Betriebssystemversion abrufen | Häufigkeit der App-Nutzung sammeln |
Verwaltete Apps installieren |
|
Alle Einschränkungen konfigurieren |
|
Globalen HTTP-Proxy konfigurieren |
|
Den gesamten Inhalt und alle Einstellungen auf dem Gerät löschen |
|
Aktivierungssperre verwalten |
|
Auf den Roaming-Status zugreifen |
|
Modus „Verloren“ aktivieren |
|