Apple Benutzer-Einschreibung
Was ist die Benutzer-Einschreibung von Apple?
Mit der Benutzer-Einschreibung, auch User Enrollment genannt, lassen sich private Apple Geräte einschreiben, ohne dass die Besitzer:innen die gesamte Kontrolle über das Gerät abgeben müssen. So lassen sich basierend auf dem Bring Your Own Device (BYOD) Ansatz private Geräte von Schüler:innen oder Mitarbeiter:innen im Schul- bzw. Unternehmenskontext unter Einhaltung des Schutzes privater Daten einbinden und nutzen.
Wie funktioniert die Apple Benutzer-Einschreibung?
Bei der Benutzer-Einschreibung der privaten Geräte über Relution wird ein sogenanntes „Arbeitsprofil“ erzeugt. Damit sind alle MDM-Berechtigungen auf das Arbeitsprofil beschränkt und die volle Kontrolle über das Gerät durch die Organisation ist nicht gegeben. Analog hierzu bietet Android-Enterprise ebenfalls eine Einschreibung mit Arbeitsprofil an.
Welche Vorteile hat die Apple Benutzer-Einschreibung?
Da der volle Zugriff des MDM-Systems auf das Gerät nicht gegeben ist, sind Restriktionen und Aktionen auf das Arbeitsprofil begrenzt. So wird eine Separierung privater und dienstlicher Daten und Apps gewährleistet. Das Auslesen von Gerätedetails über Relution bezieht sich ebenfalls lediglich auf das Arbeitsprofil. Private Daten auf dem Gerät oder in verwendeten Apps können durch Relution grundsätzlich nicht ausgelesen werden.
Wenn eine Schüler:in oder Mitarbeiter:in die Schule bzw. das Unternehmen verlässt, kann das Profil jederzeit remote entfernt werden, wodurch alle vorhandenen Daten in dem Arbeitsprofil automatisch gelöscht werden.
Welche Plattformen werden in Relution für die Apple Benutzer-Einschreibung unterstützt?
Es können iPhones und iPads über die Plattform iOS sowie Macbooks über macOS mit der Benutzer-Einschreibung in Relution eingeschrieben werden.
Wie wird ein Apple-Gerät über die Benutzer-Einschreibung in Relution eingeschrieben?
Ausgehend von der Relution Organisation kann klassisch eine manuelle Einschreibung für iOS bzw. macOS angelegt und der Einschreibungslink an die gewünschten Schüler:in oder Mitarbeiter:in gesendet werden.
Grundvoraussetzung für die Erstellung einer Benutzer-Einschreibung ist die Zuordnung einer Benutzer:in. Für diese muss entweder eine Managed-Apple-ID oder E-Mail-Adresse in den Benutzer-Details hinterlegt werden. Anschließend kann die entsprechende Benutzer:in hinzugefügt und die Einschreibung abgeschlossen werden. Einem Gerät zugewiesene Benutzer:innen lassen sich bei eingeschriebenen Geräten via Benutzer-Einschreibung nicht mehr ändern bzw. entfernen.
Anschließend wird über den empfangenen Einschreibungslink die Geräteeinschreibung auf dem iOS- bzw. macOS-Gerät unter Verwendung der Managed-Apple-ID der Benutzer:in durchgeführt und das Gerät erscheint im Geräteinventar der entsprechenden Relution Organisation.
Kann sich eine Benutzer:in auch über die kontogesteuerte Benutzer-Einschreibung einschreiben?
Relution unterstützt die accountbasierte Benutzerregistrierung von iOS-Geräten, die sich nicht im Zustand „Überwacht“ (Supervised) befinden.
Voraussetzung hierfür ist entweder eine manuell erzeugte Benutzer-Einschreibung für einen entsprechenden Benutzer:in in der jeweiligen Relution Organisation oder die Aktivierung von „Kontogesteuerte Apple-Benutzerregistrierung für alle Benutzer zulassen“ in den Einstellungen für die Geräteverwaltung der jeweiligen Relution Organisation.
Mit Option 2 wird die Registrierung von persönlichen Geräten in Relution erheblich erleichtert.
Sobald sich ein Relution Benutzer:in über die Option „Bei Arbeits- oder Schulaccount anmelden…“ in „VPN & Geräteverwaltung“ der allgemeinen Einstellungen auf dem privaten Gerät registriert, wird in Relution automatisch eine Benutzer-Einschreibung erzeugt. Über die Managed-Apple-ID des jeweiligen Benutzers wird die Registrierungs-URL der MDM-Lösung automatisch identifiziert.
Nach Anmeldung mit den Logindaten des Benutzers aus Relution taucht das Gerät nach erfolgreicher Authentifizierung automatisch in der Inventarliste der entsprechenden Relution Organisation auf.
Welche Möglichkeiten bestehen zur Konfiguration der privaten Apple Geräte in Relution?
Alle iOS- und macOS-Konfigurationen und Restriktionen, die auf das Arbeitsprofil eines privaten Gerätes angewendet werden können, sind in Relution mit dem Badge „Unterstützt Benutzerregistrierung“ gekennzeichnet.
Können Apps der Organisation auf eingeschriebene private Geräte installiert werden?
Apps lassen sich auf eingeschriebenen privaten Geräten für das Arbeitsprofil bereitstellen, ohne dass eine persönliche Apple-ID der Benutzer:innen auf dem Gerät benötigt wird. Hierzu müssen VPP-Lizenzen der Organisation zugewiesen werden. Die Zuweisung erfolgt im Kontext der Benutzer-Einschreibung allerdings nicht an die Geräte selbst sondern die VPP-Lizenzen sind an einzelne Benutzer:innen gebunden. Nutzt eine Benutzer:in mehrere Geräte und hat sie eine VPP-Lizenz der Organisation erhalten, kann die entsprechende App auf allen Geräten genutzt werden. Zugewiesene VPP-Lizenzen können Benutzer:innen über Relution auch wieder entzogen werden.
Wird für die Zuweisung von VPP-Lizenzen eine Managed-Apple-ID benötigt?
Um VPP-Lizenzen einer Organisation privaten Benutzer:innen zuzuweisen, müssen die Benutzer:innen mit dem verwendeten VPP-Token der jeweiligen Organisation verknüpft werden. Hierzu muss für die entsprechenden Benutzer:innen in Relution eine Managed-Apple-ID im jeweiligen Benutzerprofil hinterlegt werden. Die Managed-Apple-ID wird im jeweiligen Apple School Manager bzw. Apple Business Manager Account der Organisation für eine Benutzer:in angelegt.
Findet die Verknüpfung eines VPP-Tokens der Organisation mit Benutzer:innen automatisch statt?
Wird ein privates Gerät über die Benutzer-Einschreibung einschrieben, meldet sich die Benutzer:in mit der vorbefüllten Managed-Apple-ID an und das Gerät wird in Relution eingeschrieben.
Sollte für die Benutzer:in mit der Managed-Apple-ID noch keine Verbindung zu einem VPP-Token bestehen, übernimmt Relution die Verknüpfung automatisch und der Benutzer erscheint anschließend unter VPP-Benutzer im Status „Zugewiesen“.
Sind für die Organisation mehrere VPP-Tokens vorhanden, wird immer der erste VPP-Token in der Reihenfolge hinterlegter VPP-Tokens unter VPP-Benutzerkonten in den Relution Einstellungen verwendet.
Anschließend lassen sich in Relution VPP-Lizenzen über Gekaufte-Apps an die VPP-Benutzer im Status „Zugewiesen“ übertragen, um Apps über den VPP-Token der Organisation auf den privaten Geräten installieren zu können.
Können auch Benutzer:innen, die keine Managed-Apple-ID im Benutzerprofil hinterlegt haben, zu VPP-Benutzer:innen werden?
Benutzer:innen können auch manuell zu VPP-Benutzer über eine Einladung hinzugefügt werden. Hierzu wird an die entsprechende Benutzer:in eine E-Mail-Einladung über Relution verschickt, bei der vorher der zu verwendete Token ausgewählt wird.
Die Benutzer:in wird im Status „Registriert“ angezeigt. Die Empfänger:in der E-Mail klickt anschließend den Link in der E-Mail-Einladung, um sich über iTunes anzumelden.
Nach der Anmeldung bei iTunes mit der persönlichen Apple-ID der Benutzer:in müssen die AGBs akzeptiert werden.
In Relution wird die jeweilige Benutzer:in unter VPP-Benutzer nun im Status „Zugewiesen“ angezeigt.
Ab sofort kann diese Benutzer:in für die Zuordnung von VPP-Lizenzen gekaufter Apps unter „Benutzer“ ausgewählt werden.
Anschließend ist die VPP-Lizenz zugeordnet und die App lässt sich unter Verwendung des gewählten VPP-Tokens der Organisation auf dem Gerät der Benutzer:in installieren.
