Konfigurieren des Netzwerks für MDM
Beim Installieren und Konfigurieren der MDM-Lösung gilt es, einige wichtige Aspekte hinsichtlich der Konfiguration von Netzwerk, TLS (Transport Layer Security), Infrastrukturdiensten, Apple-Diensten und Datensicherung zu berücksichtigen.
Wenn die Organisation eine lokal gehostete MDM-Lösung installiert, muss sie alle nachfolgenden Objekte und Einstellungen konfigurieren. Du solltest jede(s) dieser Objekte und Einstellungen so früh wie möglich im Prozess konfigurieren und testen, damit die Implementierung reibungslos erfolgen kann. Wenn deine MDM-Lösung an externer Stelle verwaltet oder in der Cloud gehostet wird, wird dein Anbieter mit großer Wahrscheinlichkeit viele dieser Objekte für dich konfigurieren.
Verwenden eines vollständig qualifizierten Domain-Namens
Eine MDM-Lösung muss einen vollständig qualifizierten Domain-Namen (Fully Qualified Domain Name, FQDN) verwenden, der sowohl von innerhalb als auch von außerhalb des Netzwerks der Organisation aufgelöst werden kann. Dies ist die Voraussetzung dafür, dass der Server Geräte unabhängig davon verwalten kann, ob die Geräte lokal oder remote verbunden sind. Damit die Konnektivität mit den Clients erhalten bleibt, kann dieser Domain-Name nicht geändert werden.
Verwenden einer statischen IP-Adresse
Die meisten MDM-Lösungen erfordern eine statische IP-Adresse. Der bestehende DNS-Name muss unverändert bleiben, wenn sich die IP-Adresse des Servers ändert.
Konfigurieren der MDM-Lösung mit Transport Layer Security
Die gesamte Kommunikation zwischen Apple-Geräten und der MDM-Lösung wird mit HTTPS verschlüsselt. Für die Sicherheit dieser Kommunikation ist ein TLS-Zertifikat (bisher ein SSL-Zertifikat) erforderlich. Stelle keine Geräte bereit, die nicht über ein Zertifikat einer anerkannten Zertifizierungsstelle (CA, Certificate Authority) verfügen. Notiere das Ablaufdatum und denke daran, das Zertifikat rechtzeitig vor dem Ablauf zu erneuern. Weitere Informationen findest du in folgenden Apple Support-Artikeln:
Öffnen bestimmter Firewall-Ports
Bestimmte Firewall-Ports müssen offen sein, damit der interne und externe Zugriff auf die MDM-Lösung erlaubt ist. Die meisten MDM-Lösungen akzeptieren eingehende Verbindungen über HTTPS auf Port 443. Sowohl die MDM-Lösung als auch die Geräte müssen mit dem Apple-Dienst für Push-Benachrichtigungen kommunizieren. Bis November 2020 nutzten MDM-Lösungen für APNs die Ports 2195 und 2196, Clients den Port 5223. Seit November 2020 verwenden MDM-Lösungen den Port 2197.
Migrationsassistent
Um die korrekte Migration und erneute Registrierung in einer MDM-Lösung zu gewährleisten, erlauben Mac-Computer, auf denen macOS 13 (oder neuer) installiert ist und die in einer MDM-Lösung registriert sind, es nicht mehr, die folgenden Einstellungen mithilfe des Migrationsassistenten zu übertragen:
System
Netzwerk
Drucker
Damit diese Einstellungen während des Migrationsprozesses übersprungen werden können, muss der Ziel-Mac in der MDM-Lösung registriert sein.
Tipp: Es kann sein, dass die verwendete MDM-Lösung die Wiederherstellungsschlüssel und Umgehungscodes für die Aktivierungssperre, Bootstrap Tokens von macOS und andere eindeutige Daten hostet, die für den kontinuierlichen Gerätezugriff wichtig sind. Aus diesem Grund sollte sichergestellt werden, dass bei schwerwiegenden Problemen eine robuste Wiederherstellungsstrategie für die MDM-Installation vor Ort vorhanden ist. Es wird empfohlen, dass Backups und Wiederherstellungen regelmäßig getestet werden.