Einstellungen der MDM-Payload „Lights Out Management (LOM)“ für Apple-Geräte
Du kannst LOM-Einstellungen (Lights Out Management) konfigurieren, um bestimmte Geräte nach der Registrierung in einer MDM-Lösung per Fernzugriff zu starten, herunterzufahren und neu zu starten.
Mac mini (M2, 2023) mit einer 10 GBit-Ethernetkarte
Mac Studio (2022)
Mac mini (M1, 2020) mit einer 10 GBit-Ethernetkarte
Mac Pro (2019)
Der Befehl „Lights Out Management (LOM)“ wird von einer MDM-Lösung mithilfe des MDM-Protokolls an den Mac gesendet, der als Controller fungiert. Der als Controller fungierende Mac sendet den Befehl gemäß der Angabe in der Payload mithilfe eines sicheren und proprietären Protokolls wiederum an einen anderen konfigurierten Mac (der als Gerät fungiert). Für alle Mac-Computer, die als Controller oder Geräte fungieren, gilt:
Sie müssen macOS 11 (oder neuer) verwenden.
Sie müssen sich im gleichen lokalen Subnetz befinden und Ethernet verwenden (die Kommunikation erfolgt über IPv6).
Sie müssen das CA-Zertifikatsvertrauen für ein Gerät haben (sofern sie als Controller konfiguriert sind).
Sie müssen das CA-Zertifikatsvertrauen für einen Controller haben (sofern sie als Gerät konfiguriert sind).
Sie müssen in derselben MDM-Lösung registriert sein.
Auf ihnen muss die Payload „Lights Out Management (LOM)“ installiert sein.
Eine statische IP-Adresse für die Kommunikation ist nicht erforderlich.
Die Kommunikation zwischen der MDM-Lösung und dem Controller erfolgt über den Apple-Dienst für Push-Benachrichtigungen (APNs). Für die Kommunikation zwischen den als Controller und den als Gerät konfigurierten Computern werden TCP/IP (IPv6) und TLS verwendet, wobei die Verschlüsselung auf der Basis der Zertifikate, die von der Payload „Lights Out Management (LOM)“ auf allen Geräten bereitgestellt werden, und die Auswertung durch ein proprietäres Protokoll und mTLS erfolgt.
Zertifikate
Für die LOM-Kommunikation auf Controllern oder Geräten konfigurierte Zertifikate können als PKCS #12-Dateien hinzugefügt oder mit einer SCEP-Payload ausgestellt werden. Alle müssen die folgenden zertifikatspezifischen Konfigurationen enthalten:
x509 Schlüsselverwendung: Digitale Signatur, Schlüsselverschlüsselung und Datenverschlüsselung
x509 erweiterte Schlüsselverwendung: Serverauthentifizierung, Clientauthentifizierung
x509 Subject CN
x509 SubjectAltName, dNSName
Ein Mac mit LOM-Unterstützung (Lights Out Management) kann sowohl Controller als auch Gerät sein. Dies wird durch Aufnahme der UUID der Gerätezertifikat-Payload für die Schlüssel ControllerCertificateUUID und DeviceCertificateUUID in der Payload „com.apple.lom“ konfiguriert.
Die Payload „Lights Out Management (LOM)“ unterstützt Folgendes. Weitere Informationen findest du unter Payload-Informationen.
Unterstützte Installationsmethode: Erfordert eine MDM-Lösung für die Installation.
Nicht unterstützte Payload-ID: com.apple.lom
Unterstützte Betriebssysteme und Kanäle: macOS-Gerät.
Unterstützte Registrierungstypen: Geräteregistrierung, Automatische Geräteregistrierung.
Duplikate erlaubt: Falsch – nur eine Payload „Lights Out Management (LOM)“ kann an ein Gerät gesendet werden.
Du kannst die Einstellungen in der folgenden Tabelle mit der Payload „Lights Out Management (LOM)“ verwenden.
Einstellung | Beschreibung | Erforderlich | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
Payload „ | Konfiguriert ein Gerät für LOM. | Ja | |||||||||
Controller-Zertifikat | Dies ist das Zertifikat des LOM-Controllers. | Wenn der Mac als Controller verwendet wird. | |||||||||
Gerätezertifikat | Dies ist das Zertifikat für das LOM-Gerät. | Wenn der Mac als Gerät verwendet wird. | |||||||||
CA-Zertifikat des Controllers | Dies ist das CA-Zertifikat für den Controller. | Wenn der Mac als Gerät verwendet wird. | |||||||||
CA-Zertifikat des Geräts | Dies ist das CA-Zertifikat für das Gerät. | Wenn der Mac als Controller verwendet wird. | |||||||||
Hinweis: Jeder MDM-Anbieter implementiert diese Einstellungen auf unterschiedliche Weise. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, wie verschiedene Einstellungen für Lights Out Management (LOM) auf Geräte angewendet werden.