Einführung in die Geräteverwaltungsdienste in Apple Business
Übersicht
iOS, iPadOS, macOS, tvOS, visionOS und watchOS verfügen über ein integriertes Framework, das die Geräteverwaltung unterstützt. Mit einem Geräteverwaltungsdienst kann eine Organisation Geräte sicher und aus der Entfernung konfigurieren, indem Konfigurationen, Profile und Befehle an das Gerät gesendet werden, unabhängig davon, ob es Benutzer:innen oder deinem Unternehmen gehört. Außerdem kann das Gerät asynchron Einstellungen übernehmen und den Status an den Geräteverwaltungsdienst ohne ständige Abfrage zurückmelden. Dies ist ideal für Leistung und Skalierbarkeit. Die deklarative Geräteverwaltung gibt Organisationen mehr Gewissheit, dass sich die Geräte im gewünschten Zustand befinden und dass wichtige Daten sicher aufbewahrt werden, auch ohne Internetverbindung. Aus Benutzersicht sorgt sie für ein deutlich reaktionsschnelleres Erlebnis. Zu den Funktionen gehören das Aktualisieren von Software und Geräteeinstellungen, das Überwachen der Einhaltung von Organisationsrichtlinien und das Löschen oder Sperren von Geräten aus der Ferne.
Du kannst Geräte einem Geräteverwaltungsdienst zuweisen, um festzulegen, welche Dienste für die Geräte-Registrierung und die automatische Geräte-Registrierung verwendet werden sollen. Die Zuweisung eines Geräteverwaltungsdienstes hat keinen Einfluss auf die aktuelle Registrierung eines Geräts. Die beiden Registrierungsmethoden unterscheiden sich wie folgt:
Geräte-Registrierung: Geräte werden durch die Benutzer:innen registriert, nachdem sie den Konfigurationsassistenten abgeschlossen haben.
Automatische Geräte-Registrierung: Geräte werden im Konfigurationsassistenten angezeigt.
Du kannst einem Dienst auch automatisch Geräte je nach Plattform, Gerätetyp auf der Geräteseite, in einer größeren Menge und mit Apple Configurator für iPhone zuweisen.
Anhand deiner Kriterien kannst du eine Auswahlliste mit Geräteverwaltungsdiensten erstellen und diese zunächst mit nur wenigen Testgeräten probeweise einrichten, um zu prüfen, welche Lösung deinen Anforderungen am besten entspricht, bevor du eine endgültige Entscheidung triffst. Mit Apple Business kannst du eine Verbindung zu mehr als einem Geräteverwaltungsservice herstellen und Geräte je nach Bedarf verschiedenen Services zuweisen.
Erste Schritte
Bevor du eine Verbindung zu einem externen Geräteverwaltungsdienst herstellst, lies dir die folgenden Informationen durch:
Sicherheit: Alle externen Geräteverwaltungsdienste müssen Apple bekannt sein und mithilfe eines zweistufigen Bestätigungsverfahrens sicher autorisiert werden. Das Bestätigungsverfahren umfasst die Erstellung und Installation eines Geräteverwaltungsdienst-Tokens in deinem Geräteverwaltungsdienst. Das Zertifikat verschlüsselt den Token. Informationen zum Übertragen des Tokens findest du in der Dokumentation deines Geräteverwaltungsdienstes.
Zertifikate: Bevor du einen externen Geräteverwaltungsdienst hinzufügst, musst du den:die Entwickler:in deines Geräteverwaltungsdienstes für jeden Dienst, den du hinzufügen möchtest, um die Zertifikatsdatei (Dateiendung .pem oder .der) für den öffentlichen Schlüssel (Public Key) bitten. Informationen zum Erhalt der Zertifikate für die öffentlichen Schlüssel (Public-Key-Zertifikate) findest du in der Dokumentation des Geräteverwaltungsdienstes.
Hinweis: Du kannst nicht mehr als 250 Zertifikatsdateien mit öffentlichem Schlüssel hochladen.
Namen: Wenn du die externen Geräteverwaltungsdienste benennst, musst du nicht den vollständig qualifizierten Domainnamen verwenden. Du kannst beispielsweise anhand eines bestimmten Gebäudes, Standorts, Raumes oder einer bestimmten Funktion einen Namen auswählen. (Du kannst allerdings nicht denselben Namen für mehrere Dienste verwenden). Du kannst deinen Diensten auch nicht die Namen „Unassigned“ oder „Reassigned“ geben.
Geräteunterstützung: Einige Geräteverwaltungsdienste sind speziell auf bestimmte Apple-Gerätetypen ausgerichtet – zum Beispiel ausschließlich auf Mac‑Computer oder auf iPhone- und iPad-Geräte –, während andere plattformübergreifende Unterstützung bieten. Du kannst eine Kombination aus verschiedenen Entwickler:innen wählen, sodass jeder Gerätetyp durch eine spezifische Lösung unterstützt wird. Die automatische Zuordnung nach Gerätetyp macht das zum Kinderspiel. Alternativ kannst du eine:n Entwickler:in auswählen, der:die alle in deiner Organisation verwendeten Apple-Gerätetypen unterstützt.
Abfrage- und Berichtsdienste: Geräteverwaltungsdienste können Apple-Geräte nach verschiedenen Informationen abfragen, darunter die Hardware-Seriennummer, die Geräte‑UDID, das WLAN, die MAC (Media Access Control)-Adresse sowie den FileVault-Verschlüsselungsstatus (bei Mac‑Computern). Auch Software-Informationen wie die Geräteversion und Einschränkungen können abgefragt sowie die auf dem Gerät installierten Apps aufgelistet werden. Diese Informationen können verwendet werden, um sicherzustellen, dass die Benutzer:innen die entsprechenden Apps nutzen. iOS und iPadOS ermöglichen Abfragen zum letzten Zeitpunkt, zu dem ein Gerät in iCloud gesichert wurde, sowie zum App-Zuweisungs-Account-Hash des:der angemeldeten Benutzer:in. In tvOS kann ein Geräteverwaltungsdienst registrierte Apple TV-Geräte nach Asset-Informationen wie Sprache, Ländereinstellung und Organisation abfragen.
Zugriff und Richtlinien des Anbieter-Supports: Ein Geräteverwaltungsdienst ist ein geschäftskritischer Dienst. Du solltest den Support, die Dienstleistungen und etwaige Schulungen prüfen, die das Entwicklungsteam deines Geräteverwaltungsdienstes anbietet.
Netzwerkanforderungen für deinen Geräteverwaltungsdienst
Überlege dir bei der Installation und Konfiguration deines Geräteverwaltungsdienstes, wie du das Netzwerk, Transport Layer Security (TLS), Infrastrukturdienste, Apple-Dienste und die Datensicherung einrichten wirst.
Wenn du einen lokal gehosteten Geräteverwaltungsdienst installierst, musst du alle folgenden Elemente konfigurieren. Konfiguriere und teste jede einzelne Funktion frühzeitig im Prozess, um eine reibungslose Bereitstellung zu gewährleisten. Wenn dein Geräteverwaltungsdienst extern verwaltet oder in der Cloud gehostet wird, übernimmt der:die Entwickler:in möglicherweise viele dieser Punkte für dich:
DNS: Ein Geräteverwaltungsdienst muss einen vollqualifizierten Domainnamen verwenden, der sowohl innerhalb als auch außerhalb des Netzwerks der Organisation aufgelöst werden kann. Dadurch kann der Dienst Geräte verwalten, unabhängig davon, ob sie lokal oder remote verbunden sind. Um die Verbindung zu den Clients aufrechtzuerhalten, darf sich dieser Domainname nicht ändern.
IP-Adresse: Die meisten Geräteverwaltungsdienste erfordern eine statische IP-Adresse. Der bestehende DNS-Name muss beibehalten werden, wenn die IP-Adresse des Servers geändert wird.
Konfiguration mit TLS: Die gesamte Kommunikation zwischen Apple-Geräten und dem Geräteverwaltungsdienst wird mit HTTPS verschlüsselt. Zur Sicherung dieser Kommunikation ist ein TLS-Zertifikat (früher SSL) erforderlich. Stelle keine Geräte ohne ein Zertifikat einer anerkannten Zertifizierungsstelle (CA) bereit. Beachte das Ablaufdatum und stelle sicher, dass du die Verlängerung des Zertifikats vor Ablauf durchführst.
Firewall-Ports: Um sowohl internen als auch externen Zugriff auf den Geräteverwaltungsdienst zu ermöglichen, müssen bestimmte Firewall-Ports geöffnet sein. Die meisten Geräteverwaltungsdienste akzeptieren eingehende Verbindungen über HTTPS auf Port 443. Apple-Geräte müssen sich mit bestimmten Ports auf bestimmten Hosts verbinden können:
TCP-Port 443 während der Geräteaktivierung und danach als Fallback, falls Geräte APNS nicht über Port 5223 erreichen können
TCP-Port 5223 für die Kommunikation mit APNS
TCP-Port 443 oder 2197, um Benachrichtigungen vom Geräteverwaltungsdienst an APNS zu senden
Hinweis: Dein Geräteverwaltungsdienst hostet möglicherweise Aktivierungssperre-Treuhandschlüssel und Bypass-Codes, macOS-Bootstrap-Token und andere einzigartige Daten, die für die Kontinuität des Gerätezugriffs wichtig sind. Stelle aus diesem Grund sicher, dass du über eine robuste Notfallwiederherstellungsstrategie für deinen On-Premises-Geräteverwaltungsdienst verfügst. Es wird empfohlen, Backups und Wiederherstellungen regelmäßig zu testen.
Zusätzliche Geräteverwaltung
Betreuung bedeutet generell, dass das Gerät Eigentum der Organisation ist, was die erweiterte Kontrolle der Konfiguration und Einschränkungen ermöglicht. Es gibt verschiedene Möglichkeiten, wie Organisationen Geräte überwachen können; einige davon variieren je nach Plattform. Siehe Apple-Geräteverwaltung in der Implementierung von Apple-Plattformen.