Kontinuierliche Verwaltung für Apple-Geräte
Alle Geräteimplementierungen erfordern eine kontinuierliche Verwaltung. Dazu gehören Aufgaben wie das Neuzuweisen von Geräten und Apps, das Abfragen von Geräten und das Zurücksetzen von Gerätecodes.
Aufgaben senden
Eine MDM-Lösung kann eine Reihe von Verwaltungsaufgaben auf verwalteten Geräten ausführen. Dazu gehören unter anderem das automatische Ändern von Konfigurationseinstellungen ohne Benutzereingriff, das Sperren oder Löschen eines Geräts per Fernzugriff und das Löschen von Codesperren, damit Benutzer ihre Passwörter zurücksetzen können.
Die folgende Liste umfasst einige Aufgaben, die im Hinblick auf den Unterricht nützlich sind:
Modus „Verloren“ aktivieren: Das Gerät wird in den Modus „Verloren“ und zeigt Informationen auf dem Sperrbildschirm an.
Gerätestandort abrufen: Das Gerät wird angewiesen, seinen Standort zu melden, wenn es sich im Modus „Verloren“ befindet.
Ton für Modus „Verloren“ wiedergeben: Das Gerät gibt den Ton für den Modus „Verloren“ aus, sodass es einfacher lokalisiert werden kann.
Gerät fernlöschen: Die Daten auf einem verlorenen oder gestohlenen Gerät werden per Fernzugriff gelöscht.
Code löschen: Bei einem Eins-zu-Eins-Szenario wird der Code auf einem Gerät gelöscht, wenn der Benutzer den Code vergessen hat, damit der Benutzer seinen Code neu festlegen kann.
Einschränkungen ändern: Die Einstellungen und Richtlinien für einen Lernenden/Studierenden oder für ein Gerät werden geändert.
Einen Benutzeraccount kontrollieren
Spezifische verwaltete Apple-IDs können kontrolliert werden. Eine Organisation kann einer Person die dafür erforderlichen Rechte und Berechtigungen für solche Accounts zuerkennen, die laut ihrer Funktion (Rolle) in der Hierarchie der Organisation unterhalb dieser Person angesiedelt sind. So können beispielsweise Personen mit der Funktion „Instructor“ (Dozent) nur Studierende kontrollieren, während Administratoren neben Studierenden auch Dozenten und das Personal kontrollieren können.
Wenn ein entsprechend autorisierter Benutzer eine verwaltete Apple-ID kontrollieren möchte, muss er in Apple School Manager spezielle Kontrollzugangsdaten für die betreffende ID erstellen. Diese Zugangsdaten können einzig und allein für den Zugriff auf die jeweilige verwaltete Apple-ID genutzt werden. In diesem Zeitraum ist der Zugriff auf Inhalte des Benutzers möglich, die in iCloud Drive oder in CloudKit-fähigen Apps gespeichert sind. Jede Zugriffsanfrage wird im Apple School Manager protokolliert. Die Protokolle enthalten den Benutzernamen (des Kontrolleurs), die jeweilige verwaltete Apple-ID, die Uhrzeit der Anfrage und die Angabe, ob die Kontrolle erfolgte oder nicht. Um der missbräuchlichen Kontrolle durch einen einzelnen Benutzer vorzubeugen, können alle Benutzer mit entsprechenden Kontrollrechten diese Zugriffsprotokolle einsehen und durchsuchen.
Weitere Informationen enthält der Abschnitt Einen Benutzer-Account in Apple School Manager kontrollieren im Apple School Manager-Benutzerhandbuch.
Streamen von Inhalten via AirPlay auf dem Apple TV
Mit AirPlay können Lernende/Studierende und Lehrkräfte Inhalte von einem iPad (oder einem Mac) drahtlos an einen Projektor oder einen HD-Fernseher im Unterrichtsraum streamen, selbst wenn sich diese beiden Geräte in unterschiedlichen Netzwerken befinden. Dadurch entfällt die Notwendigkeit, sich mit dem richtigen Netzwerk zu verbinden oder WLAN-Passwörter offenzulegen. In komplexen Netzwerkumgebungen werden so auch Probleme mit der Erreichbarkeit vermieden. und Lernende/Studierende können ihre Projekte und Arbeiten auf einem großen Bildschirm mit der Klasse teilen. Lehrkräfte können ein Brainstorming im Unterricht leiten oder eine Präsentation für alle vorführen,
Eine MDM-Lösung kann einen Benutzer auffordern, sein Gerät auf ein bestimmtes Apple TV zu spiegeln, ohne dass eine komplexe Konfiguration erforderlich ist. Auch Lehrkräfte können mithilfe der App „Classroom“ festlegen, dass Lernende/Studierende ihre Geräte auf Apple TV spiegeln.
Weitere Informationen zu AirPlay und Apple TV findest du unter Verwenden von AirPlay mit Apple-Geräten im Dokument „Implementierung von Apple-Plattformen“.
Informationen von Apple-Geräten abfragen
Eine MDM-Lösung kann die unterschiedlichsten Informationen zu Apple-Geräten abfragen. Dazu gehören u. a. die Hardware-Seriennummer, die Geräte-UDID, die WLAN-MAC-Adresse (Media Access Control) und der FileVault-Verschlüsselungsstatus (bei Mac-Computern). Die Lösung kann auch Softwareinformationen, Einschränkungen und eine detaillierte Liste aller Apps abfragen, die auf einem Gerät installiert sind. Mithilfe dieser Informationen kann sichergestellt werden, dass Benutzer die geeigneten Apps nutzen. Einige MDM-Lösungen unterstützen innovative und nützliche Funktionen, die auf diesen Daten basieren, z. B. Benachrichtigungen bei zu geringem Speicherplatz auf einem Gerät. Diese Daten können verwendet werden, um Inhalte zu verwalten und die Einhaltung von Richtlinien zu überwachen.
Einstellungen und Richtlinien aktualisieren
Nachdem die Geräte implementiert wurden, können Konfigurationseinstellungen mithilfe der MDM-Lösung drahtlos geändert werden. Bei großen Implementierungen sollten derartige Änderungen jedoch sorgfältig geplant, um zu verhindern, dass der Lernbetrieb und die Lernenden/Studierenden beeinträchtigt werden.
Softwareaktualisierungen verwalten
Es kann festgelegt werden, wie Softwareaktualisierungen auf betreuten iPhone-, iPad-, Mac- und Apple TV-Geräten angezeigt werden, die in einer MDM-Lösung registriert sind. Dies sorgt dafür, dass alle Geräte einer Organisation weiterhin eine bereits genutzte Softwareversion verwenden, und gibt Zeit und Flexibilität für die sorgfältige Zertifizierung der neuen Version für die Umgebung der jeweiligen Bildungseinrichtung.
Geräte können daran gehindert werden, Benutzern drahtlose Softwareupdates anzubieten, bis ein bestimmter Zeitraum nach der Veröffentlichung dieser Updates durch Apple verstrichen ist. Wenn diese Einschränkung implementiert wird, beträgt die Standardverzögerung 30 Tage ab der Veröffentlichung des Updates, bevor das Update für verwaltete betreute Geräte sichtbar ist. Es ist jedoch auch möglich, einen eigenen Wert zwischen 1 bis 90 Tagen festzulegen. Diese Verzögerung betrifft alle Systemaktualisierungen; die MDM-Lösung kann aber ungeachtet der oben beschriebenen Einschränkung bestimmte Aktualisierungen an Geräte senden.
Nachdem ein Update so lange verfügbar war, bis die festgelegte Verzögerung verstrichen ist, wird es den Benutzern als Teil der Standardbenachrichtigungen über Softwareupdates und des Aktualisierungsvorgangs angeboten. Dies erfolgt vollautomatisch, wenn das Gerät:
in Apple School Manager erscheint
in einer MDM-Lösung registriert ist
nicht durch einen Code geschützt ist
betreut wird
auf einem geteilten iPad der Anmeldebildschirm angezeigt wird
Hinweis: Bei Geräten, die mit einem Code gesperrt sind, muss der Benutzer den Code eingeben, um das Update abzuschließen. Geräte, die nicht in Apple School Manager registriert sind, setzen voraus, dass der Benutzer die Bestimmungen akzeptiert, um das Update abzuschließen.
Weitere Informationen findest du unter Verwalten von Softwareaktualisierungen für Apple-Geräte im Dokument „Implementierung von Apple-Plattformen“.
Softwareaktualisierungen testen
Die Teilnahme am Programm „AppleSeed for IT“ ermöglicht es, Apple-Geräte (iPhone, iPad, iPod touch, Mac-Computer, Apple TV und Apple Watch) sowie vorinstallierte Apps wie „Mail“ und „Kalender“ zu testen. Im Rahmen des Programms „AppleSeed for IT“ können Mitarbeiter und Technologiemanager die neuesten Vorabversionen von Software in ihren jeweiligen Arbeitsumgebungen testen und den Engineering-Teams von Apple direkt Feedback geben. Darüber hinaus nimmt das Team an einem speziellen Verfahren für das Einsenden von Fehlerberichten, an detaillierten Testplänen und an Foren mit anderen Teilnehmern teil.
Organisationseigenes SMS-System verwalten
Nachdem eine Verbindung zwischen Apple School Manager und dem SIS-System (Student Information System) der Organisation hergestellt wurde, akzeptiert Apple School Manager automatisch Aktualisierungen von diesem SIS-System. Es ist wichtig, dass das SIS-System stets auf dem aktuellen Stand ist, da Apple School Manager es als Aufzeichnungssystem ansieht. Wenn sich die API-Token oder die URL des SIS-Systems ändert, müssen die Angaben umgehend in Apple School Manager aktualisiert werden, um Verbindungsprobleme zu vermeiden.
Aktualisierungen per .csv-Dateien planen
Abhängig vom jährlichen Lehrplan einer Organisation sollten bestimmte Informationen regelmäßig aktualisiert werden (z. B. Angaben zu Lehrkräften, Klassen und Lernenden/Studierenden); dies geschieht mithilfe von CSV-Dateien. Dadurch bleiben alle Informationen auf dem aktuellen Stand und veraltete Accounts werden entfernt.
Verwaltete Apple-ID-Accounts des Kernteams verwalten
Die verwaltete Apple-ID, die für jeden Aspekt einer Implementierung maßgeblich ist, sollte sorgfältig aufbewahrt werden. Werden die Anmeldeinformationen eines Accounts vergessen, können grundlegende Informationen möglicherweise nicht mehr aktualisiert, verschoben oder verwaltet werden. Beispielsweise sollten die folgenden Informationen notiert und die Notiz an einem sicheren Ort verwahrt werden:
Dienst | Person | Verwaltete Apple-ID | Datum des Zertifikatsablaufs | ||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Administrator | Anna Frost | af@tsschools.org | NA | ||||||||
Geräteregistrierungsmanager | Andrew Dean | ad@tsschools.org | 29.9.2022 | ||||||||
Personalmanager | Cecilia Dantas | cd@tsschools.org | 29.9.2022 | ||||||||
Inhaltsmanager | Shannon Serbe | ss@tsschools.org | 29.9.2022 |
Wichtig: Wird eine verwaltete Apple-ID geändert, die mit dem Passwort eines dieser Dienste in Verbindung steht, müssen sofort im Anschluss die entsprechenden Token aktualisiert werden.
Neues Token aus Apple School Manager laden
Ein neues Token kann aus Apple School Manager geladen und in die MDM-Lösung importiert werden. Wenn das Token für Apple School Manager abgelaufen ist, ist die MDM-Lösung nicht mehr in der Lage, Registrierungseinstellungen für Geräte zu ändern oder Lehrplaninformationen zu empfangen. Dies ist erst wieder möglich, nachdem ein aktualisiertes Token installiert wurde. Weitere Anleitungen befinden sich in der Dokumentation des jeweiligen MDM-Anbieters.
Neues Token für Apps und Bücher laden
Für „Apps und Bücher“ kann ein neues Token aus Apple School Manager geladen und in die MDM-Lösung importiert werden. Wenn das Token für „Apps und Bücher“ abgelaufen ist, ist die MDM-Lösung nicht mehr in der Lage, Benutzer einzuladen, Benutzern Apps oder Bücher zuzuweisen oder Benutzern Apps zu entziehen. Dies ist erst wieder möglich, nachdem ein aktualisiertes Token installiert wurde. Weitere Anleitungen befinden sich in der Dokumentation des jeweiligen MDM-Anbieters.
Neues APNS-Zertifikat importieren
Push-Zertifikate werden auf der Basis einer verwalteten Apple-ID oder einer Apple-ID im Apple-Portal für Push-Zertifikate erneuert. Wenn der Zugriff auf die verwaltete Apple-ID oder Apple-ID verloren geht, mit der ursprünglich das Push-Zertifikat für die MDM-Lösung erstellt wurde, müssen u. U. die Geräte erneut registriert werden, um die Verbindung für Verwaltungsaufgaben wiederherzustellen. Wenn das APNS-Zertifikat abläuft, können die Clients keine Aktualisierungen mehr von der MDM-Lösung empfangen. Damit dies wieder möglich ist, muss ein aktualisiertes Zertifikat in der MDM-Lösung installiert werden. Eine genaue Anleitung zum Importieren des erneuerten Zertifikats enthält die Dokumentation des jeweiligen MDM-Anbieters.
Wichtig: Um den Zugriff auf diesen Account zu wahren, sollte eine in Apple School Manager erstellte verwaltete Apple-ID verwendet werden. Weitere Informationen enthält das Apple Push Certificates Portal.
TLS-Zertifikat erneuern
Wenn das TLS-Zertifikat abgelaufen ist, kann der Client keine Aktualisierungen mehr von der MDM-Lösung empfangen. Damit dies wieder möglich ist, muss ein aktualisiertes Zertifikat in der MDM-Lösung installiert werden. Informationen zum Erneuern des TLS-Zertifikats für die MDM-Lösung enthalten die Dokumentation des jeweiligen MDM-Anbieters und der Zertifizierungsstelle.
Aktualisierten Bestimmungen zustimmen
Gelegentlich können sich die Bestimmungen für Apple School Manager ändern. Diese Änderungen können mit größeren Releaseversionen des Betriebssystems zusammenfallen. Bei solchen Änderungen kann es erforderlich sein, sich bei Apple School Manager anzumelden und den neuen Bestimmungen zuzustimmen. In diesem Zusammenhang muss sichergestellt sein, dass die E-Mail-Adresse des Administrators aktiv ist und dass die empfangenen E-Mails regelmäßig gelesen werden, damit solche Änderungen rechtzeitig zur Kenntnis genommen werden.
Eigene MDM-Lösung migrieren
Für den Wechsel von einer MDM-Lösung zu einer anderen müssen die Geräte in Apple School Manager vom ersten MDM-Server abgemeldet (d. h. ihre Registrierung aufgehoben) und beim neuen MDM-Server neu registriert werden. Geräte, die mit einer MDM-Registrierung implementiert wurden, die nicht entfernt werden kann (d. h. mit einer Einstellung, die verhindert, dass der Benutzer ein Gerät aus der MDM-Lösung entfernt), müssen per Fernzugriff aus der ursprünglichen MDM-Lösung abgemeldet und entfernt werden.
Beim Aufheben der Registrierung in der MDM-Lösung werden möglicherweise Apps entfernt, die von der ursprünglichen MDM-Lösung implementiert wurden, und die mit diesen Apps erstellten Inhalte gelöscht.
Es ist daher sehr wichtig, die richtige und passende MDM-Lösung auszuwählen, bevor eine umfangreiche Implementierung in Angriff genommen wird.
Weitere Informationen enthält der Abschnitt Eine Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM) auswählen.
Geräte aktualisieren
Eine Organisation kann sich dafür entscheiden, die Geräte eines Eins-zu-Eins-Szenarios im Verlauf des Schuljahrs/Semesters (per Upgrade) zu aktualisieren. Für diesen Vorgang sollten die Geräte nach einem Schema eingesammelt werden, das Einsammeln am Ende des Schuljahrs/Semesters ähnelt. Bei diesem Vorgang kann die Organisation die vorhandenen Geräte von den Benutzern einsammeln und ihnen neue Geräte aushändigen. Die Benutzer können danach ihre Daten aus einem iCloud-Backup wiederherstellen, um wieder in den Besitz ihrer persönlichen Daten und Apps zu gelangen. Mithilfe der MDM-Lösung kann zu diesem Zweck der Wiederherstellungsbildschirm des Systemassistenten angezeigt werden, um Benutzern die Möglichkeit zu geben, ihr iCloud-Backup auf den neuen Geräten wiederherzustellen. Der Wiederherstellungsvorgang erfordert möglicherweise zusätzliche Netzwerkressourcen. Deshalb sollte die Aktualisierung gestaffelt erfolgen, damit das organisationseigene Netzwerk gleichmäßig ausgelastet wird.