Einführung in MDM-Profile (Mobile Device Management)
iOS, iPadOS, macOS, tvOS, watchOS 10 und visionOS 1.1 (oder neuer) verfügen über ein integriertes Framework, das MDM-Lösungen unterstützt. Mit der MDM-Lösung kannst du Geräte in einem abgesicherten Modus drahtlos konfigurieren, in dem du Profile und Befehle an das Gerät sendest. Dabei spielt es keine Rolle, ob die Geräte Eigentum des Benutzers oder der Organisation sind. Die Verwaltung von Geräten mittels einer MDM-Lösung umfasst das Aktualisieren von Software und von Geräteeinstellungen, das Überwachen der Einhaltung von Organisationsrichtlinien sowie das Löschen oder Sperren von Geräten per Fernzugriff. Benutzer können ihre eigenen Geräte in der MDM-Lösung registrieren. Im Besitz der Organisation befindliche Geräte können mit Apple School Manager oder Apple Business Manager automatisch registriert werden. Bei Apple Business Essentials kannst du auch die integrierte Geräteverwaltung verwenden.
Es gibt einige Konzepte, deren Kenntnis für die Mobilgeräteverwaltung wichtig ist. Im Folgenden wird erläutert, wie Registrierungs- und Konfigurationsprofile, die Betreuungsfunktionalität und Payloads für die Mobilgeräteverwaltung verwendet werden.
So werden Geräte registriert
Die Registrierung in der MDM-Lösung umfasst die Registrierung von Client-Zertifikatsidentitäten mit Protokollen wie ACME (Automated Certificate Management Environment) oder SCEP (Simple Certificate Enrollment Protocol). Geräte nutzen diese Protokolle zum Erstellen eindeutiger Identitätszertifikate, die für die Authentifizierung der Dienste einer Organisation herangezogen werden.
Wenn die Registrierung nicht automatisiert ist, entscheiden die Benutzer, ob sie ihre Geräte in der MDM-Lösung registrieren. Sie können die Zuordnung ihrer Geräte zu der MDM-Lösung jederzeit aufheben. Aus diesem Grund solltest du Anreize für Benutzer in Betracht ziehen, damit sie ihre Geräte auf Dauer verwalten lassen. Beispielsweise könnte die MDM-Registrierung für den Zugriff auf WLAN-Netzwerke vorgeschrieben und hierzu MDM für die automatische Bereitstellung der WLAN-Anmeldedaten verwendet werden. Wenn ein Benutzer die MDM-Umgebung verlässt, versucht sein Gerät, die MDM-Lösung darüber zu benachrichtigen, dass es künftig nicht mehr verwaltet werden kann.
Für Geräte, die sich im Eigentum deiner Organisation befinden, kannst du Apple School Manager, Apple Business Manager oder Apple Business Essentials verwenden, um diese bei der Erstkonfiguration automatisch in der MDM-Lösung zu registrieren und drahtlos zu betreuen. Dieser Registrierungsvorgang wird als ADE (Automated Device Enrollment, automatische Geräteregistrierung) bezeichnet.
MDM und Schutz für gestohlene Geräte
Wenn der Schutz für gestohlene Geräte aktiviert ist und sich der Benutzer an einem unbekannten Ort befindet, werden die folgenden Aktionen um eine Stunde verzögert:
Gerät in der MDM-Lösung manuell registrieren
Code-Profil oder -Konfiguration manuell installieren
Microsoft Exchange-Account in den Einstellungen oder mit einem Profil oder einer Konfiguration einrichten
Registrierungsprofile
Ein Registrierungsprofil ist eine von zwei Hauptmöglichkeiten, wie Benutzer ein persönliches Gerät in einer MDM-Lösung registrieren können (die andere Möglichkeit ist die Benutzerregistrierung). Mit diesem Profil, das eine MDM-Payload enthält, sendet die MDM-Lösung Befehle und, falls erforderlich, zusätzliche Konfigurationsprofile an das Gerät. Darüber hinaus kann es auch Informationen vom Gerät abfragen, beispielsweise den Status der Aktivierungssperre, Batteriestatus und Name.
Wenn ein Benutzer ein Registrierungsprofil entfernt, werden automatisch auch alle Konfigurationsprofile und deren Einstellungen sowie alle Apps entfernt, die auf Basis des betreffenden Registrierungsprofils verwaltet werden. Auf einem Gerät kann stets nur ein Registrierungsprofil installiert sein.
Nachdem das Registrierungsprofil durch das Gerät oder den Benutzer akzeptiert und zugelassen wurde, werden Konfigurationsprofile mit Payloads auf das Gerät übertragen. Danach kannst du Apps und Bücher, die über Apple School Manager, Apple Business Manager oder Apple Business Essentials erworben wurden, drahtlos verteilen, verwalten und konfigurieren. Benutzer können Apps eigenständig installieren. Alternativ können Apps auch automatisch installiert werden; ausschlaggebend dafür ist, welchem Typ die App angehört, wie sie zugewiesen wird und ob es sich bei dem Gerät um ein betreutes Gerät handelt oder nicht. Weitere Informationen findest du unter Apple-Gerätebetreuung.
Konfigurationsprofile
Ein Konfigurationsprofil ist eine XML-Datei (mit der Endung .mobileconfig), die sich aus Payloads zusammensetzt, mit denen Einstellungen und Berechtigungsinformationen auf Apple-Geräte geladen werden. Konfigurationsprofile automatisieren die Konfiguration von Einstellungen, Accounts, Einschränkungen und Anmeldedaten. Diese Dateien können von einer MDM-Lösung oder von Apple Configurator für Mac erstellt werden. Darüber hinaus ist es möglich, sie manuell zu erstellen. Weitere Informationen zum Verwenden von Apple Configurator für Mac, um Konfigurationsprofile auf iPhone-, iPad- und Apple TV-Geräten zu erstellen und zu installieren, findest du unter Erstellen und Bearbeiten von Konfigurationsprofilen im Apple Configurator für Mac – Benutzerhandbuch.
Da Konfigurationsprofile verschlüsselt und signiert werden, kannst du deren Verwendung auf ein bestimmtes Apple-Gerät beschränken und verhindern, dass die Einstellungen – mit Ausnahme der Benutzernamen und Passwörter – von anderen Personen geändert werden. Ein Profil kann auch mit dem Vermerk versehen werden, dass es auf dem Gerät gesperrt ist.
Konfigurationsprofile können als Anhang einer E-Mail, über einen Link auf der Webseite oder über das integrierte Benutzerportal der MDM-Lösung verteilt werden, sofern die MDM-Lösung die genannten Methoden unterstützt. Wenn Benutzer den E-Mail-Anhang bzw. das heruntergeladene Konfigurationsprofil in einem Webbrowser öffnen, werden sie aufgefordert, das Profil zu installieren.
Du kannst ein Konfigurationsprofil bereitstellen, das Einstellungen für ein Gerät oder nur für einen einzelnen Benutzer ändern kann:
Geräteprofile können an Geräte und Gerätegruppen gesendet werden und Geräteeinstellungen auf das gesamte Gerät anwenden.
iPhone-, iPad-, Apple TV-, Apple Watch- und Apple Vision Pro-Geräte haben keine Möglichkeit, mehr als eine:n Benutzer:innen zu erkennen. Konfigurationsprofile, die für iOS, iPadOS, tvOS, watchOS 10 und visionOS 1.1 (oder neuer) erstellt werden, sind daher immer Geräteprofile. Obwohl es sich auch bei iPadOS-Profilen um Geräteprofile handelt, besteht die Möglichkeit, dass ein iPad, das als geteiltes iPad (von mehreren Personen genutztes Gerät) konfiguriert ist, Profile auf Geräte- oder auf Benutzerebene unterstützt.
Benutzerprofile können an Benutzer und (wenn die MDM-Lösung dies unterstützt) an Benutzergruppen gesendet werden und Benutzereinstellungen nur auf die jeweiligen Benutzer anwenden. Mac-Computer können mehrere Benutzer haben. Daher können Payloads und Einstellungen für macOS-Profile entweder auf Geräte- oder auf Benutzerebene angelegt werden. Der im Systemassistenten erstellte Benutzeraccount gilt als von der MDM-Lösung verwaltet und kann Profile erhalten. In macOS 11 (oder neuer) kann ein während der Registrierung von einer MDM-Lösung erstellter Administratoraccount stattdessen optional verwaltet werden. Bei Active Directory-gebundenen Implementierungen kann der aktuell angemeldete Netzwerkbenutzer von der MDM-Lösung verwaltet werden.
Die Geräte- und Benutzereinstellungen variieren je nach Ablageort: Die auf Systemebene installierten Einstellungen sind in einem Gerätekanal abgelegt. Die für einen Benutzer installierten Einstellungen sind in einem Benutzerkanal abgelegt.
Weitere Informationen über die Installation von Profilen und den Blockierungsmodus findest du im Apple Support-Artikel Informationen zum Blockierungsmodus.
Löschen eines Profils
Die Art und Weise, wie Profile entfernt werden können, hängt davon ab, wie sie installiert wurden. Der folgenden Schrittfolge kannst du entnehmen, wie ein Profil gelöscht werden kann:
1. Alle Profile können entfernt werden, indem alle Daten von einem Gerät gelöscht werden.
2. Wenn ein Gerät mithilfe von Apple School Manager, Apple Business Manager oder Apple Business Essentials in der MDM-Lösung registriert wurde, kann der Administrator entscheiden, ob das Registrierungsprofil auch durch den Benutzer oder ausschließlich durch den MDM-Server entfernt werden kann.
3. Ein Profil, das mithilfe einer MDM-Lösung installiert wurde, kann durch die betreffende MDM-Lösung entfernt werden; es kann auch vom Benutzer entfernt werden, indem er das Konfigurationsprofil von dem Gerät entfernt und damit die Registrierung in der MDM-Lösung beendet.
4. Ein Profil, das mithilfe von Apple Configurator auf einem betreuten Gerät installiert wurde, kann durch die betreuende Instanz von Apple Configurator entfernt werden.
5. Bei einem Profil, das manuell oder mithilfe von Apple Configurator auf einem betreuten Gerät installiert wurde und das eine Payload mit einem Passwort zum Entfernen umfasst, muss der Benutzer dieses Passwort eingeben, um das Profil zu entfernen.
6. Alle anderen Profile können vom Benutzer entfernt werden.
Ein Account, der durch ein Konfigurationsprofil installiert wurde, kann entfernt werden, indem das betreffende Profil entfernt wird. Ein Account von Microsoft Exchange ActiveSync – dies schließt auch einen Account ein, der mithilfe eines Konfigurationsprofils erstellt wurde – kann durch den Microsoft Exchange Server mithilfe eines auf den Account beschränkten Fernlöschbefehls entfernt werden.
Wichtig: Wenn Benutzer den Gerätecode kennen, können sie manuell installierte Konfigurationsprofile von nicht betreuten iPhone- und iPad-Geräten entfernen, auch wenn für die Option „Nie“ ausgewählt ist. Benutzer vom Mac können dies nur durchführen, wenn sie den Benutzernamen und das Passwort eines Administrators kennen. Sie können dies mit dem Befehlszeilenprogramm profiles
, in den Systemeinstellungen unter macOS 13 (oder neuer) oder in den Systemeinstellungen unter macOS 12.0.1 (oder neuer) durchführen. Ab macOS 10.15 (oder neuer) sowie mit iOS und iPadOS müssen mit MDM installierte Profile mittels MDM entfernt werden, oder sie werden bei der Deregistrierung von der MDM-Lösung automatisch entfernt.
Voraussetzungen für die MDM-Kommunikation
Die erfolgreiche Kommunikation zwischen der MDM-Lösung eines Drittanbieters und Apple-Geräten ist am wahrscheinlichsten, wenn Folgendes gilt:
Die MDM-Lösung wurde eingerichtet, erfolgreich getestet und funktioniert ordnungsgemäß
Das APNs-Zertifikat ist gültig und nicht abgelaufen
Das Gerät ist eingeschaltet
Das Gerät ist in der MDM-Lösung registriert
Das mit dem Gerät verbundene Netzwerk kann auf das Internet zugreifen (für APNs-Kommunikation)
Das mit dem Gerät verbundene Netzwerk kann auf MDM-relevante Apple-Hosts zugreifen
Weitere Informationen findest du im Apple Support-Artikel Apple-Produkte in Unternehmensnetzwerken verwenden.
Hinweis: Apple hat keine Kontrolle über MDM-Lösungen von Drittanbietern. Weitere Probleme, wie etwa eine fehlerhaft konfigurierte MDM-Payload, können ebenfalls dazu beitragen, das die MDM-Kommunikation fehlschlägt.
Unterstützte Apple-Geräte
Die folgenden Apple-Geräte verfügen über ein integriertes Framework zur Unterstützung der Mobilgeräteverwaltung per MDM-Lösung:
Ein iPhone mit iOS 4 (oder neuer)
iPad mit iOS 4.3 (oder neuer) oder iPadOS 13.1 (oder neuer)
Mac-Computern mit OS X 10.7 (oder neuer)
Apple TV mit tvOS 9 (oder neuer)
Apple Watch-Geräte mit watchOS 10 (oder neuer)
Apple Vision Pro mit visionOS 1.1 (oder neuer)
Hinweis: Nicht alle Optionen sind in allen MDM-Lösungen verfügbar. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, welche MDM-Optionen für die verwendeten Geräte unterstützt werden.