Arbeiten mit Konfigurationsprofilen in macOS Server
Konfigurationsprofile sind aus Payloads bestehende XML-Dateien, mit denen Einstellungen und Informationen zur Autorisierung auf Apple-Geräte wie iPhone, iPad, iPod touch, Apple TV und auf Mac-Computer geladen werden.
Die Einstellungen und Informationen zur Autorisierung können Folgendes enthalten:
Gerätespezifische Sicherheitsrichtlinien und Einschränkungen
VPN-Konfigurationsinformationen
WLAN-Einstellungen
E-Mail- und Kalenderaccounts
Authentifizierungs- und Anmeldeinformationen, die iPad-, iPhone-, iPod touch- und Apple TV-Geräten sowie Mac-Computern die Zusammenarbeit mit organisationseigenen Systemen und Schulnetzwerken ermöglichen
Da Konfigurationsprofile verschlüsselt und signiert werden können, kannst du deren Verwendung auf ein bestimmtes Apple-Gerät beschränken und verhindern, dass die Einstellungen, mit Ausnahme der Benutzernamen und Passwörter, von anderen Personen geändert werden. Du kannst ein Profil auf dem Gerät auch als gesperrt markieren. In diesem Fall kann das Profil nach dem Hinzufügen nur gelöscht werden, indem alle Daten vom Gerät gelöscht werden oder alternativ ein dem Profil zugewiesenes Passwort eingegeben wird. Accounts, die durch ein Profil konfiguriert werden, wie Microsoft Exchange-Accounts, können nur durch Löschen des Profils entfernt werden.
Auch wenn es grundsätzlich möglich ist, alle für eine Organisation benötigten Payloads mit nur einem Konfigurationsprofil abzudecken, empfiehlt es sich, separate Profile mit Einstellungen, die sich selten ändern, und Einstellungen, die sich häufig ändern, zu erstellen. Zu den Einstellungen, die sich eher selten ändern, gehören z. B. Geräteeinschränkungen und die Einstellungen für WLAN, Sicherheit, LDAP, Mail und Kalender. Beispiele für Einstellungen, die sich häufiger ändern, sind die Einstellungen für VPN, Zertifikate, Web-Clips und Home-Bildschirm.
Du kannst Apple Configurator für den Mac verwenden, um Gerätekonfigurationsprofile auf iPhone, iPad, iPod touch und Apple TV hinzuzufügen. Du kannst den Profilmanager in Server oder der MDM-Lösung (Mobile Device Management) eines anderen Anbieters verwenden, um Konfigurationsprofile für Geräte oder Benutzer mit macOS-spezifischen Einstellungen hinzuzufügen.
Hinweis: Apple Configurator für den Mac installiert Profile zur Gerätekonfiguration automatisch. Nach dem Anmelden beim Profilmanager oder der MDM-Lösung eines anderen Anbieters können aktualisierte Konfigurationsprofile an Geräte gesendet werden.
Benutzer können in der Regel nur Passwörter, aber keine der in einem Konfigurationsprofil festgelegten Einstellungen ändern. Accounts, die auf der Basis eines Profils konfiguriert werden, können nur entfernt werden, indem das Profil gelöscht wird. Das Löschen eines Profils kann allerdings dazu führen, dass das betreffende Gerät innerhalb deiner Organisation nicht mehr funktioniert und erst wieder eingesetzt werden kann, wenn das Profil neu installiert wird. Beispielsweise kann das Löschen eines Profils zur Folge haben, dass der Benutzer nicht mehr auf das Netzwerk zugreifen, keine E-Mail-Nachrichten mehr empfangen und keine Ereignisse in der App „Kalender“ mehr erstellen kann. Du kannst iOS-, iPadOS- und tvOS-Geräte auch betreuen, um andere Benutzer daran zu hindern, das Konfigurationsprofil zu entfernen.
Wichtig: Wenn der Benutzer den Code kennt, können Profile von nicht betreuten iOS- und iPadOS-Geräten entfernt werden. Das Entfernen ist selbst dann möglich, wenn in den allgemeinen Einstellungen die Einstellung „Nie“ festgelegt wurde. macOS-Profile können entfernt werden, wenn der Benutzer den Namen und das Passwort eines Administrators kennt.
Benutzer- und Geräteprofile
Konfigurationsprofile können für Benutzer oder Geräte oder für Benutzer- und Gerätegruppen erstellt werden. Der Profilmanager passt die Payloads des Profils abhängig von deiner Auswahl an. Die Einstellungen eines Payload sind nur für die jeweilige Kategorie relevant. Einstellungen, die beispielsweise nur für Geräte zutreffen, sind nicht verfügbar, wenn du ein Konfigurationsprofil für einen Benutzer erstellst.
Wenn du den Profilmanager oder die MDM-Lösung eines anderen Anbieters verwendest, kannst du Konfigurationsprofile als Mail-Anhang, über einen Link auf deiner eigenen Webseite oder über das integrierte Benutzerportal des Profilmanagers bzw. der MDM-Lösung verteilen. Wenn ein Benutzer den E-Mail-Anhang bzw. die heruntergeladene Profildatei in einem Webbrowser öffnet, wird er aufgefordert, das Profil zu installieren.