Durchsetzen von Richtlinien mit Konfigurationsprofilen
Bei einer MDM-Lösung sind Konfigurationsprofile die erste Wahl, wenn es darum geht, Richtlinien und Einschränkungen zu verwalten und sie an verwaltete Geräte zu übermitteln. Konfigurationsprofile sind eine sichere und verlässliche Methode, um eine große Anzahl von Geräten zu konfigurieren oder spezifische E-Mail-Einstellungen, Netzwerkeinstellungen oder Zertifikate auf einer großen Anzahl von Geräten bereitzustellen.
Konfigurationsprofile
Ein Konfigurationsprofil ist eine XML-Datei (mit der Endung .mobileconfig), die sich aus Payloads zusammensetzt, mit denen Einstellungen und Berechtigungsinformationen auf Apple-Geräte geladen werden. Mit Konfigurationsprofilen kann die Konfiguration von Einstellungen, Accounts, Einschränkungen und Anmeldedaten automatisiert werden. Diese Dateien können von einer MDM-Lösung oder von Apple Configurator für den Mac erstellt werden. Darüber hinaus ist es möglich, sie manuell zu erstellen. Damit ein Konfigurationsprofil an ein Apple-Gerät gesendet werden kann, muss das Gerät vorab mithilfe eines Registrierungsprofils in der MDM-Lösung registriert werden.
Registrierungsprofile
Ein Registrierungsprofil ist ein Konfigurationsprofil mit einer MDM-Payload, mit der ein Gerät in der MDM-Lösung registriert wird, die für das Gerät angegeben wurde. Danach ist die MDM-Lösung in der Lage, Befehle und Konfigurationsprofile an das Gerät zu senden und bestimmte Informationen und Aspekte vom Gerät abzurufen. Wenn ein Benutzer ein Registrierungsprofil entfernt, werden automatisch auch alle Konfigurationsprofile und deren Einstellungen sowie alle Apps entfernt, die auf Basis des betreffenden Registrierungsprofils verwaltet werden. Auf einem Gerät kann stets nur ein Registrierungsprofil installiert sein.
Einstellungen in Konfigurationsprofilen
Ein Konfigurationsprofil enthält eine Reihe von Einstellungen in spezifischen Payloads, mit denen u. a. Folgendes festgelegt werden kann (ohne darauf beschränkt zu sein):
Richtlinien für Codes und Passwörter
Einschränkungen hinsichtlich Gerätefunktionen (z. B. Deaktivieren der Kamera)
Netzwerk- und VPN-Einstellungen
Einstellungen für Microsoft Exchange
Einstellungen für Mail
Accounteinstellungen
Einstellungen für LDAP-Verzeichnisdienst
Einstellungen für CalDAV-Kalenderdienst
Anmeldedaten und Schlüssel
Softwareaktualisierungen
Signieren und Verschlüsseln von Profilen
Konfigurationsprofile können signiert werden, um ihre Quelle zu validieren, und verschlüsselt werden, um ihre Integrität zu wahren und ihren Inhalt zu schützen. Konfigurationsprofile für iOS und iPadOS werden gemäß RFC 5652 (weitere Informationen sind hier verfügbar https://www.ietf.org/rfc/rfc5652.txt; bitte beachte, dass es sich dabei um eine von Dritten betriebene Webseite handelt) unter Verwendung von Cryptographic Message Syntax (CMS) verschlüsselt, sodass 3DES und AES-128 unterstützt werden.
Installieren von Profilen
Benutzer können Konfigurationsprofile mithilfe von Apple Configurator für den Mac direkt auf ihren Geräten installieren. Profile können alternativ auch in Safari geladen, als Anhang einer E-Mail gesendet und empfangen, via AirDrop oder über die App „Dateien“ auf iOS- und iPadOS-Geräte transferiert oder drahtlos mithilfe einer Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM) gesendet werden. Wenn ein Benutzer ein Gerät in Apple School Manager oder Apple Business Manager einrichtet, lädt und installiert das Gerät ein Profil für die Registrierung in der MDM-Lösung. Weitere Informationen zum Entfernen von Profilen sind unter Einführung in MDM (Mobile Device Management) auf der Website für die Implementierung von Apple-Plattformen zu finden.
Hinweis: Bei betreuten Geräten können Konfigurationsprofile auch gesperrt und fest mit einem Gerät verknüpft werden. So soll verhindert werden, dass sie überhaupt nicht oder nur bei Eingabe eines Codes entfernt werden können. Da vielfach Organisationen im Besitz der iOS- und iPadOS-Geräte sind, können Konfigurationsprofile, die ein Gerät fest an eine MDM-Lösung binden, entfernt werden. Allerdings werden dabei zugleich auch alle verwalteten Konfigurationsinformationen, Daten und Apps entfernt.