Einführung in Geräteverwaltungsprofile
Mit einem Geräteverwaltungsdienst können Admins Geräte sicher und per Fernzugriff konfigurieren, indem sie Konfigurationen, Profile und Befehle an das Gerät senden, unabhängig davon, ob das Gerät Benutzer:innen oder der Organisation gehört. Die Verfügungen umfassen das Aktualisieren von Software und von Geräteeinstellungen, das Überwachen der Einhaltung von Organisationsrichtlinien sowie das Löschen oder Sperren von Geräten per Fernzugriff. Benutzer:innen können ihre eigenen Geräte bei einem Geräteverwaltungsdienst registrieren. Organisationen können automatisch Geräte, die der Organisation gehören, mit Apple School Manager oder Apple Business Manager registrieren.
Es gibt einige Konzepte, die du verstehen musst, wenn du einen Geräteverwaltungsdienst verwenden möchtest. Lies daher die folgenden Abschnitte, um zu erfahren, wie ein Geräteverwaltungsdienst Registrierungs- und Konfigurationsprofile, die Betreuungsfunktionalität und Payloads verwendet.
Unterstützte Apple-Geräte
Die folgenden Apple-Geräte verfügen über ein integriertes Framework, das die Geräteverwaltung unterstützt:
Ein iPhone mit iOS 4 (oder neuer)
iPad mit iOS 4.3 (oder neuer) oder iPadOS 13.1 (oder neuer)
Mac-Computern mit OS X 10.7 (oder neuer)
Apple TV mit tvOS 9 (oder neuer)
Apple Watch-Geräte mit watchOS 10 oder neuer
Apple Vision Pro mit visionOS 1.1 (oder neuer)
So werden Geräte registriert
Die Registrierung bei einem Geräteverwaltungsdienst umfasst die Registrierung von Client-Zertifikatsidentitäten mit Protokollen wie ACME (Automated Certificate Management Environment) oder SCEP (Simple Certificate Enrollment Protocol). Geräte nutzen diese Protokolle zum Erstellen eindeutiger Identitätszertifikate, die für die Authentifizierung der Dienste einer Organisation herangezogen werden.
Wenn die Registrierung nicht automatisiert ist, entscheiden die Benutzer:innen, ob sie ihre Geräte registrieren. Sie können die Zuordnung ihrer Geräte zum Dienst jederzeit aufheben. Aus diesem Grund solltest du Anreize für Benutzer in Betracht ziehen, damit sie ihre Geräte auf Dauer verwalten lassen. Beispielsweise könnte die Registrierung für den Zugriff auf WLAN-Netzwerke vorgeschrieben und hierzu der Geräteverwaltungsdienst für die automatische Bereitstellung der WLAN-Anmeldedaten verwendet werden. Wenn Benutzer:innen den Dienst verlassen, versucht das Gerät, den Geräteverwaltungsdienst darüber zu informieren, dass es nicht mehr verwaltet werden kann.
Für Geräte, die sich im Eigentum deiner Organisation befinden, kannst du Apple School Manager oder Apple Business Manager verwenden, um diese bei der Erstkonfiguration automatisch im Geräteverwaltungsdienst zu registrieren und drahtlos zu betreuen. Dieser Registrierungsvorgang wird als ADE (Automated Device Enrollment, automatische Geräteregistrierung) bezeichnet.
Geräteverwaltung und Schutz für gestohlene Geräte
Wenn der Schutz für gestohlene Geräte aktiviert ist und sich Benutzer:innen an einem unbekannten Ort befinden, verzögert das Betriebssystem die folgenden Aktionen um eine Stunde:
Gerät manuell bei einem Geräteverwaltungsdienst registrieren
Code-Profil oder -Konfiguration manuell installieren
Microsoft Exchange-Account in „Einstellungen“ oder mit einem Profil oder einer Konfiguration einrichten
Registrierungsprofile
Ein Registrierungsprofil ist eine von zwei Hauptmöglichkeiten, wie Benutzer:innen ein Gerät bei einem Geräteverwaltungsdienst registrieren können (die andere Möglichkeit ist die Benutzerregistrierung oder die accountgesteuerte Geräteregistrierung). Mit diesem Profil, das eine Payload enthält, sendet der Dienst Befehle und, falls erforderlich, zusätzliche Konfigurationsprofile an das Gerät. Darüber hinaus kann es auch Informationen vom Gerät abfragen, beispielsweise den Status der Aktivierungssperre, Batteriestatus und Name.
Wenn ein Benutzer ein Registrierungsprofil entfernt, werden automatisch auch alle Konfigurationsprofile und deren Einstellungen sowie alle Apps entfernt, die auf Basis des betreffenden Registrierungsprofils verwaltet werden. Auf einem Gerät kann stets nur ein Registrierungsprofil installiert sein.
Nachdem das Registrierungsprofil durch das Gerät oder den Benutzer akzeptiert und zugelassen wurde, werden Konfigurationsprofile mit Payloads auf das Gerät übertragen. Danach kannst du Apps und Bücher, die über Apple School Manager oder Apple Business Manager erworben wurden, drahtlos verteilen, verwalten und konfigurieren. Benutzer können Apps eigenständig installieren. Alternativ können Apps auch automatisch installiert werden; ausschlaggebend dafür ist, welchem Typ die App angehört, wie sie zugewiesen wird und ob es sich bei dem Gerät um ein betreutes Gerät handelt oder nicht. Weitere Informationen findest du unter Apple-Gerätebetreuung.
Konfigurationsprofile
Ein Konfigurationsprofil ist eine XML-Datei (mit der Endung .mobileconfig), die sich aus Payloads zusammensetzt, mit denen Einstellungen und Berechtigungsinformationen auf Apple-Geräte geladen werden. Mit Konfigurationsprofilen kann die Konfiguration von Einstellungen, Accounts, Einschränkungen und Anmeldedaten automatisiert werden. Diese Dateien können von einem Geräteverwaltungsdienst erstellt werden oder du kannst sie manuell oder mit Apple Configurator für den Mac erstellen. Weitere Informationen zum Verwenden von Apple Configurator für Mac, um Konfigurationsprofile auf iPhone-, iPad- und Apple TV-Geräten zu erstellen und zu installieren, findest du unter Erstellen und Bearbeiten von Konfigurationsprofilen im Apple Configurator für den Mac – Benutzerhandbuch.
Da Konfigurationsprofile verschlüsselt und signiert werden können, kannst du deren Verwendung auf ein bestimmtes Apple-Gerät beschränken und verhindern, dass die Einstellungen – mit Ausnahme der Benutzernamen und Passwörter – von anderen Personen geändert werden. Ein Profil kann auch mit dem Vermerk versehen werden, dass es auf dem Gerät gesperrt ist.
Konfigurationsprofile können als Anhang einer E-Mail, über einen Link auf der Webseite oder über das integrierte Benutzerportal des Dienstes verteilt werden, sofern der Geräteverwaltungsdienst diese Methoden unterstützt. Wenn Benutzer:innen den E-Mail-Anhang öffnen bzw. das Konfigurationsprofil in einem Webbrowser laden, werden sie aufgefordert, das Profil zu installieren.
Du kannst ein Konfigurationsprofil bereitstellen, das Einstellungen für ein Gerät oder nur für einen einzelnen Benutzer ändern kann:
Geräteprofile: Geräteprofile können an Geräte und Gerätegruppen gesendet werden und Geräteeinstellungen auf das ganze Gerät anwenden.
iPhone-, iPad-, Apple TV-, Apple Watch- und Apple Vision Pro-Geräte haben keine Möglichkeit, mehr als eine Person zu erkennen. Konfigurationsprofile, die für unterstützte Apple-Geräte erstellt wurden, sind daher immer Geräteprofile. Obwohl es sich auch bei iPadOS-Profilen um Geräteprofile handelt, besteht die Möglichkeit, dass ein iPad, das als geteiltes iPad (von mehreren Personen genutztes Gerät) konfiguriert ist, Profile auf Geräte- oder auf Benutzerebene unterstützt.
Benutzerprofile: Du kannst Benutzerprofile an Benutzer:innen und (falls der Geräteverwaltungdienst sie unterstützt) an Benutzergruppen senden und Benutzereinstellungen nur auf die jeweiligen Benutzer:innen anwenden. Mac-Computer können mehrere Benutzer:innen haben. Daher können Payloads und Einstellungen für macOS-Profile entweder auf Geräte- oder auf Benutzerebene angelegt werden. Der Benutzeraccount, der vom Systemassistenten erstellt wird, gilt als durch den Geräteverwaltungsdienst verwaltet und kann Profile empfangen. Bei einem Mac mit macOS 11 (oder neuer) kann ein während der Registrierung von einem Geräteverwaltungsdienst erstellter Adminaccount stattdessen optional verwaltet werden. Bei Active Directory-gebundenen Implementierungen werden aktuell angemeldete Netzwerkbenutzer:innen zu verwalteten Benutzer:innen.
Die Geräte- und Benutzereinstellungen variieren je nach Ablageort: Die auf Systemebene installierten Einstellungen sind in einem Gerätekanal abgelegt. Die für einen Benutzer installierten Einstellungen sind in einem Benutzerkanal abgelegt.
Weitere Informationen über die Installation von Profilen und den Blockierungsmodus findest du im Apple Support-Artikel Informationen zum Blockierungsmodus.
Löschen eines Profils
Die Art und Weise, wie Profile entfernt werden können, hängt davon ab, wie sie installiert wurden. Der folgenden Schrittfolge kannst du entnehmen, wie ein Profil entfernt werden kann:
1. Du kannst alle Profile entfernen, indem du alle Daten von einem Gerät löschst.
2. Wenn ein Gerät bei einem Geräteverwaltungsdienst registriert wurde, der mit Apple School Manager oder Apple Business Manager verknüpft ist, können Admins entscheiden, ob Benutzer:innen das Registrierungsprofil entfernen können oder ob dies nur der Geräteverwaltungsdienst kann.
3. Wenn ein Geräteverwaltungsdienst das Profil installiert, kann dieser Dienst es entfernen oder Benutzer:innen können es entfernen, indem sie die Registrierung beim Dienst beenden (durch Entfernen des Registrierungskonfigurationsprofils).
4. Wenn Apple Configurator das Profil installiert, kann die betreuende Instanz von Apple Configurator das Profil entfernen.
5. Wenn Apple Configurator das Profil installiert oder du es manuell auf einem betreuten Gerät installierst und das Profil eine Payload mit einem Passwort zum Entfernen enthält, müssen Benutzer:innen dieses Passwort eingeben, um das Profil zu entfernen.
6. Benutzer:innen können alle anderen Profile entfernen.
Ein Account, der durch ein Konfigurationsprofil installiert wurde, kann entfernt werden, indem das betreffende Profil entfernt wird. Ein Account von Microsoft Exchange ActiveSync – dies schließt auch einen Account ein, der mithilfe eines Konfigurationsprofils erstellt wurde – kann durch den Microsoft Exchange Server mithilfe eines auf den Account beschränkten Fernlöschbefehls entfernt werden.
Wichtig: Wenn Benutzer:innen den Gerätecode kennen, können sie manuell installierte Konfigurationsprofile von nicht betreuten iPhone- und iPad-Geräten entfernen, auch wenn für die Option „Nie“ ausgewählt ist. Benutzer:innen vom Mac können dies nur durchführen, wenn sie den Admin-Benutzernamen und das dazugehörige Passwort kennen. Sie können dies mit dem Befehlszeilenprogramm profiles, in den Systemeinstellungen unter macOS 13 (oder neuer) oder in den Systemeinstellungen unter macOS 12.0.1 (oder neuer) durchführen. Bei einem Mac mit macOS 10.15 (oder neuer) sowie mit iOS und iPadOS kann ein Geräteverwaltungsdienst, der ein Profil installiert, dieses auch entfernen. Alternativ wird das Profil beim Abmelden vom Dienst automatisch vom Betriebssystem entfernt.
Kommunikationsanforderungen für den Geräteverwaltungsdienst
Die Kommunikation des Geräteverwaltungsdienstes mit Apple-Geräten ist unter den folgenden Umständen am wahrscheinlichsten:
Der Geräteverwaltungsdienst konfiguriert das Gerät, testet es erfolgreich und stellt sicher, dass es ordnungsgemäß funktioniert.
Das APNs-Zertifikat ist gültig und nicht abgelaufen.
Das Gerät ist eingeschaltet.
Das Gerät ist derzeit beim Dienst registriert.
Das mit dem Gerät verbundene Netzwerk kann auf das Internet zugreifen (für APNs-Kommunikation).
Das mit dem Gerät verbundene Netzwerk muss auf Dienst-relevante Apple-Hosts zugreifen können.
Weitere Informationen findest du im Apple Support-Artikel Apple-Produkte in Unternehmensnetzwerken verwenden.
Hinweis: Apple hat keine Kontrolle über Geräteverwaltungsdienste von Drittanbietern. Weitere Probleme, wie etwa eine fehlerhaft konfigurierte Payload, können ebenfalls dazu beitragen, das die Kommunikation fehlschlägt.