Allgemeine Einstellungen für die Mobilgeräteverwaltung
Bei Verwendung von Konfigurationsprofilen mit allgemeinen MDM-Einstellungen für den Bildungsbereich können die meisten MDM-Lösungen diese Einstellungen und Richtlinien auf Geräte anwenden, sobald diese registriert sind.
Weitere Informationen zur Sicherung von Geräten, der Ermöglichung von Kommunikation und Zusammenarbeit sowie der Personalisierung von iPad-Geräten für vielfältige Lernstile und -anforderungen enthält das Video Geräte für Lernende personalisieren.
Es gibt einige Verwaltungseinstellungen, die im Bildungsbereich häufig verwendet werden. Die nachfolgende Liste umfasst gängige Einschränkungen und Einstellungen sowie deren Auswirkungen.
Einschränkungen
Die folgenden Einschränkungen werden häufig in Bildungsumgebungen verwendet. Die meisten dieser Einschränkungen funktionieren nur mit betreuten Geräten. Weitere Informationen über die Betreuung findest du unter Apple-Gerätebetreuung im Dokument „Implementierung von Apple-Plattformen“.
Hinweis: Einige Einschränkungen erfordern eine bestimmte Version von iOS, iPadOS bzw. tvOS. Weitere Informationen zum Anzeigen der von der Einschränkung unterstützten Version findest du unter MDM-Einschränkungen für iPhone- und iPad-Geräte und MDM-Einschränkungen für Apple TV-Geräte im Dokument „Implementierung von Apple-Plattformen“.
Manuelle VPN-Erstellung erlauben: Die MDM-Lösung kann die Fähigkeit eines Benutzers zur manuellen Konfiguration von VPN-Verbindungen einschränken. Dadurch wird sichergestellt, dass die Geräte der Lernenden/Studierenden alle Internetanfragen über die organisationseigenen Dienste für die Inhaltsfilterung leiten. Benötigt iOS 11 (oder neuer).
Entfernen von Systemapps erlauben: Dies ist eine Einschränkung, die Benutzer daran hindert, integrierte Apps wie „Mail“ oder „Kalender“ zu entfernen. Benötigt iOS 11 (oder neuer).
Apps ein- oder ausblenden: Mit einer MDM-Lösung kann genau konfiguriert werden, welche Apps verwendet werden können. Alle integrierten Apps und Apps anderer Anbieter können ausgeblendet werden. Ausgenommen hiervon sind „Telefon“ (nur auf dem iPhone) und „Einstellungen“. Ausgeblendete Apps belegen möglicherweise weiterhin Speicherplatz auf dem Gerät, können jedoch nicht verwendet werden, solange sie ausgeblendet sind. Benötigt iOS 9.3 (oder neuer).
Hinweis: Beim Implementieren mehrerer Profile für ein- oder ausgeblendete Apps (z. B. ein Geräteprofil und ein Benutzerprofil für ein geteiltes iPad), entspricht die resultierende App-Gruppe der Schnittmenge der angegebenen Apps. Wenn beispielsweise ein Geräteprofil fordert, dass auf dem Gerät nur die Apps „Uhr“ und „Safari“ zu sehen sind, und ein Benutzerprofil verlangt, dass nur die Apps „Mail“ und „Safari“ angezeigt werden, wird letztlich nur die App „Safari“ auf dem Gerät angezeigt.
Installieren von Apps erlauben: Ist die Installation von Apps nicht erlaubt, wird der App Store auf dem Gerät deaktiviert und sein Symbol vom Home-Bildschirm entfernt.
Hinweis: Dies verhindert nicht, dass die MDM-Lösung Apps installieren kann.
Safari erlauben: Auf iPad-Geräten ist Safari, der integrierte Webbrowser von Apple, verfügbar. Eine MDM-Lösung kann die App „Safari“ mittels Konfigurationsprofilen deaktivieren. Wenn Safari deaktiviert ist, funktionieren unter Umständen viele iOS-Funktionen und Apps anderer Anbieter nicht. So werden beispielsweise Links in E-Mail-Nachrichten nicht geöffnet. Im Interesse des bestmöglichen Benutzererlebnisses sollte Safari nach Möglichkeit nicht deaktiviert werden. Informationen zum Einschränken unangemessener Webinhalte enthält der Abschnitt Inhaltsfilter verwenden.
Ändern von Accounteinstellungen erlauben: Wenn diese Option eingeschränkt ist, können Benutzer keine neuen Accounts konfigurieren oder ihren Benutzernamen, ihr Passwort oder andere ihrem Account zugeordneten Einstellungen nicht ändern. Für ein geteiltes iPad wird diese Option empfohlen, da auf diese Weise sichergestellt ist, dass jede(r) Lernende oder Studierende nur die jeweils ihr/ihm zugewiesene verwaltete Apple-ID verwendet.
Löschen aller Inhalte & Einstellungen erlauben: Wenn diese Option in iOS 8 (oder neuer) deaktiviert ist, können Benutzer ihr Gerät nicht löschen und über die App „Einstellungen“ auf die Werkseinstellungen zurücksetzen. Benutzer können Geräte allerdings weiterhin mit dem Finder (macOS 15 oder neuer) oder mit iTunes (macOS 10.14 oder älter) oder über eine USB-Verbindung löschen.
Konfigurieren von Beschränkungen erlauben: Wenn diese Option deaktiviert ist, können Benutzer keine eigenen Einschränkungen auf ihrem Gerät festlegen. Dadurch lässt sich verhindern, dass Benutzer Einschränkungen festlegen, die den von der Organisation definierten Einstellungen widersprechen. Eine MDM-Lösung kann auch einen Einschränkungscode per Fernzugriff löschen.
Verbindung mit Hosts ohne Apple Configurator erlauben: Wenn diese Option deaktiviert ist, ist es Benutzern nicht möglich, ihr iPad mit einem Computer zu verbinden. Damit Benutzer betreute Geräte mit einem Host-Computer verbinden können, muss die Verbindungsmöglichkeit bei der Aktivierung eingeschaltet werden.
Installation von Konfigurationsprofilen erlauben: Wenn diese Option deaktiviert ist, können Konfigurationsprofile nicht manuell von den Benutzern installiert werden. Dadurch lässt sich verhindern, dass Benutzer Profile installieren, die Einstellungen der Organisation widersprechen.
Weitere MDM-Einstellungen
Einige MDM-Lösungen bieten möglicherweise zusätzliche Einstellungen:
Bestimmte verwaltete Apps als nicht entfernbar markieren: Auf Geräten mit iOS 14 (oder neuer) und iPadOS 14 (oder neuer) kann mit dieser Einstellung sichergestellt werden, dass wichtige Apps wie Inhaltsfilter-Apps immer auf Geräten von Lernenden/Studierenden installiert sind.
Zeitzone einstellen: In iOS 14 (oder neuer) und iPadOS 14 (oder neuer) stellt dieser MDM-Befehl sicher, dass alle Geräte auf die richtige Zeitzone eingestellt sind, ohne dass sie manuell auf allen Geräten eingestellt werden muss. Wenn diese Option nicht aktiviert ist, müssen Benutzer sie in den Ortungsdiensten einstellen.
eSIM EID beziehen: In iOS 14 (oder neuer) und iPadOS 14 (oder neuer) kann die MDM-Lösung den eSIM Identifier (EID) abrufen, der – zusätzlich zur IMEI – eine wichtige Identifikationsmöglichkeit bei der Fehlerbehebung auf Mobilgeräten darstellt.
Layout des Home-Bildschirms: Mit iOS 9.3 (oder neuer) kann MDM den Ort der App-Symbole auf dem Home-Bildschirm konfigurieren, einschließlich des Inhalts von Ordnern und Dock auf betreuten Geräten. Symbole können von den Benutzern nicht neu angeordnet werden.
WLAN-Einstellungen: Die MDM-Lösung kann WLAN-Einstellungen – WPA/WPA2-PSK, WPA/WPA2 Enterprise und 802.1X auf einem Gerät konfigurieren. Geräte, die nur über die WLAN-Funktionalität verfügen (z. B. bestimmte iPad-Modelle und iPod touch) müssen eine Verbindung zu einem WLAN-Netzwerk herstellen, damit sie mittels Apple School Manager in der MDM-Lösung registriert werden können. Dafür ist möglicherweise ein vorübergehendes Implementierungsnetzwerk erforderlich, wenn das Netzwerk der Bildungseinrichtung normalerweise ein Konfigurationsprofil für das Verbinden mit dem Netzwerk erfordert. Zum Ändern eines WLAN-Profils per Fernzugriff und zum Implementieren eines neuen Profils muss zunächst das vorhandene Profil vom Gerät entfernt werden, wodurch das Gerät möglicherweise aber vom WLAN getrennt wird. Deshalb sollte diese Funktionalität sorgfältig getestet werden, bevor ein aktualisiertes WLAN-Profil in größerem Rahmen implementiert wird.
Coderichtlinie: Wenn ein iPad mit einem Code gesperrt ist, kann außer dem Benutzer niemand (auch nicht die Organisation) auf das Gerät zugreifen; die Daten auf dem Gerät sind geschützt. Eine MDM-Lösung kann auf einem iPad die Eingabe eines Code anfordern und unterschiedliche Komplexitätsstufen für den Code voraussetzen, z. B. im Hinblick auf die Länge des Codes, den Einsatz von Sonderzeichen und die Gültigkeitsdauer.
Hinweis: Eine MDM-Lösung kann einen Code per Fernzugriff löschen, wenn das Gerät mit dem Internet verbunden ist. Wird ein iPad neu gestartet, kann es sich erst wieder mit sicheren WLAN-Netzwerken verbinden, wenn der Code eingegeben wird; dadurch wird möglicherweise das Löschen des Codes per Fernzugriff verhindert.
Webclips: Ein Webclip ist ein Symbol auf dem Home-Bildschirm eines Geräts mit einem Link zu einer Website oder URL-Adresse. Webclips können optional bildschirmfüllende Web-Apps starten und offline unter Verwendung von lokalem HTML5-Speicher ausgeführt werden. Konfigurationsprofile können Webclips enthalten, die einen eigenen Titel und ein eigenes Symbol aufweisen und optional auch nicht entfernbar sind. Webclips können die Lernende/Studierende auf bestimmte Websites mit Lerninhalten verweisen. Weitere Informationen zum Konfigurieren von Webclips auf einem Gerät findest du unter WebClip profile page in der Apple Developer-Dokumentation.
Aufheben der Benutzerregistrierung: Viele MDM-Lösungen bieten Self-Service-Apps oder Webclips mit Funktionen, die über die in iOS und iPadOS integrierten standardmäßigen MDM-Funktionen hinausgehen. Einige Self-Service-Oberflächen erlauben es Benutzern, die Registrierung ihrer Geräte in der MDM-Lösung per Fernzugriff aufzuheben. Diese Funktionalität sollte deaktiviert werden, wenn eine Organisation verhindern möchte, dass ihre Benutzer die Registrierung in der MDM-Lösung aufheben können. Weitere Informationen dazu, wie sich das Aufheben der Anmeldung durch die Benutzer verhindern lässt, enthält die Dokumentation des MDM-Anbieters.