Arbeiten mit Konfigurationsprofilen in macOS Server
Konfigurationsprofile sind aus Payloads bestehende XML-Dateien, mit denen Einstellungen und Informationen zur Autorisierung auf Apple-Geräte wie iPhone, iPad, iPod touch, Apple TV und Mac-Computer geladen werden.
Die Einstellungen und Informationen zur Autorisierung können Folgendes enthalten:
Gerätespezifische Sicherheitsrichtlinien und Einschränkungen
VPN-Konfigurationsinformationen
WLAN-Einstellungen
E-Mail- und Kalenderaccounts
Authentifizierungs- und Anmeldeinformationen, die iPad-, iPhone-, iPod touch- und Apple TV-Geräten sowie Mac-Computern die Zusammenarbeit mit organisationseigenen Systemen und Schulnetzwerken ermöglichen
Da Konfigurationsprofile verschlüsselt und signiert werden können, können Sie deren Verwendung auf ein bestimmtes Apple-Gerät beschränken und verhindern, dass die Einstellungen, mit Ausnahme der Benutzernamen und Passwörter, von anderen geändert werden. Sie können ein Profil auf dem Gerät auch als gesperrt markieren. In diesem Fall kann das Profil nach dem Hinzufügen nur gelöscht werden, indem alle Daten vom Gerät gelöscht werden oder alternativ ein dem Profil zugewiesenes Passwort eingegeben wird. Accounts, die durch ein Profil konfiguriert werden, wie Microsoft Exchange-Accounts, können nur durch Löschen des Profils entfernt werden.
Auch wenn es grundsätzlich möglich ist, alle für eine Organisation benötigten Payloads mit nur einem Konfigurationsprofil abzudecken, empfiehlt es sich, separate Profile mit Einstellungen, die sich selten ändern, und Einstellungen, die sich häufig ändern, zu erstellen. Zu den Einstellungen, die sich eher selten ändern, gehören z. B. Geräteeinschränkungen und die Einstellungen für WLAN, Sicherheit, LDAP, Mail und Kalender. Beispiele für Einstellungen, die sich häufiger ändern, sind die Einstellungen für VPN, Zertifikate, Webclips und Home-Bildschirm.
Sie können Apple Configurator 2 verwenden, um Gerätekonfigurationsprofile auf iPhone, iPad, iPod touch und Apple TV hinzuzufügen. Verwenden Sie den Profilmanager in Server oder der MDM-Lösung (Mobile Device Management) eines anderen Anbieters, um Konfigurationsprofile für Geräte oder Benutzer mit macOS-spezifischen Einstellungen hinzuzufügen.
Hinweis: Apple Configurator 2 installiert Gerätekonfigurationsprofile automatisch. Nach dem Anmelden beim Profilmanager oder der MDM-Lösung eines anderen Anbieters können aktualisierte Konfigurationsprofile an Geräte gesendet werden.
Benutzer können in der Regel nur Passwörter, aber keine der in einem Konfigurationsprofil festgelegten Einstellungen ändern. Accounts, die auf der Basis eines Profils konfiguriert werden, können nur entfernt werden, indem das Profil gelöscht wird. Das Löschen eines Profils kann allerdings dazu führen, dass das betreffende Gerät innerhalb Ihrer Organisation nicht mehr funktioniert und erst wieder eingesetzt werden kann, wenn das Profil neu installiert wird. Beispielsweise kann das Löschen eines Profils zur Folge haben, dass der Benutzer nicht mehr auf das Netzwerk zugreifen, keine E-Mail-Nachrichten mehr empfangen und keine Ereignisse in der App „Kalender“ mehr erstellen kann. Sie können auch iOS- und tvOS-Geräte betreuen, um andere Benutzer daran zu hindern, das Konfigurationsprofil zu entfernen.
Wichtig: Wenn der Benutzer den Code kennt, können Profile von nicht betreuten iOS-Geräten entfernt werden. Das Entfernen ist selbst dann möglich, wenn in den allgemeinen Einstellungen die Einstellung „Nie“ festgelegt wurde. macOS-Profile können entfernt werden, wenn der Benutzer den Namen und das Passwort eines Administrators kennt.
Benutzer- und Geräteprofile
Konfigurationsprofile können für Benutzer oder Geräte oder für Benutzer- und Gerätegruppen erstellt werden. Der Profilmanager passt die Payloads des Profils abhängig von Ihrer Auswahl an. Die Einstellungen eines Payload sind nur für die jeweilige Kategorie relevant. Einstellungen, die beispielsweise nur für Geräte zutreffen, sind nicht verfügbar, wenn Sie ein Konfigurationsprofil für einen Benutzer erstellen.
Wenn Sie den Profilmanager oder die MDM-Lösung eines anderen Anbieters verwenden, können Sie Konfigurationsprofile als Mail-Anhang, über einen Link auf Ihrer eigenen Webseite oder über das integrierte Benutzerportal des Profilmanagers bzw. der MDM-Lösung verteilen. Wenn ein Benutzer den E-Mail-Anhang bzw. die heruntergeladene Profildatei in einem Webbrowser öffnet, wird er aufgefordert, das Profil zu installieren.