Startseite
Insight24.02.2022

Apple Device Enrollment Program (DEP)

Was ist das Device Enrollment Program (DEP) von Apple und welche Vorteile bringt es?

Mit dem Device Enrollment Program von Apple, kurz DEP, lässt sich die Geräteeinschreibung in einem MDM-System automatisieren und die erstmalige Einrichtung von Apple-Geräten vereinfachen. So können iOS-, macOS- und tvOS-Geräte in Relution automatisch und mit sehr geringem manuellem Aufwand bei der initialen Inbetriebnahme vorkonfiguriert werden.

Folgende Vorteile ergeben sich für eingeschriebene DEP-Geräte:

  • Das Einschreiben der Geräte über ein MDM-System verpflichtend machen
  • Betrieb der Apple-Geräte im Supervised Mode („Geräte überwachen“), um erweiterte Konfigurationsmöglichkeiten zu erhalten
  • Die Geräteeinschreibung schützen und die Löschung des MDM-Profils auf dem Gerät verbieten
  • Die Geräte in den „Geteiltes iPad“ Modus versetzen
  • Die Setup-Schritte bei der initialen Einrichtung des Gerätes überspringen

Apple DEP-Geräte lassen sich mit Relution für den Einsatz in sicherheitskritischen Szenarien komfortabel vorbereiten.

Welche Voraussetzungen müssen für die Nutzung von DEP erfüllt sein?

Um von den Vorteilen profitieren zu können, muss im Vorfeld mit einer Apple-ID ein kostenfreier Zugang für den Apple Business Manager (Firmenkunden) oder den Apple School Manager (Bildungseinrichtungen) eingerichtet werden. Apple Geräte können dann in das Apple Device Enrollment Program aufgenommen werden.

Hierzu stehen grundsätzlich zwei Möglichkeiten zur Verfügung:

  1. Die Apple-Geräte müssen als DEP-Geräte beschafft werden. Dies ist entweder direkt über Apple oder autorisierte Apple-Händler möglich.

  2. Apple-Geräte, die nicht als DEP-Geräte beschafft wurden, können seit iOS 11 auch nachträglich in das DEP-Programm aufgenommen werden. Hierfür wird der Apple Configurator 2 in der aktuellen Version benötigt. Das nachträgliche Hinzufügen von Geräten ist im Insight DEP-Geräte mit Apple Configurator 2 hinzufügen beschrieben. Das nachträgliche Hinzufügen von macOS Geräte ist derzeit von Apple nicht vorgesehen.

Es wird empfohlen die Geräte bei einem autorisierten Apple-Händler zu beziehen, um die Aufwände für das nachträgliche Hinzufügen zu vermeiden.

Das Einschreiben von DEP-Geräten wird im weiteren Verlauf dieses Insights beschrieben. Damit ist die automatische Geräteregistrierung mit folgenden Geräten möglich:

  • iOS-Geräte mit iOS 7 oder neuer
  • iPadOS-Geräte
  • macOS-Geräte mit OS X Mavericks 10.9 oder neuer
  • Apple TV-Geräte (4. Generation oder neuer) mit tvOS 10.2 oder neuer

Wie wird Relution mit einem DEP-Account verknüpft?

Zuerst wird unter „Einstellungen“ -> „Apple Automated Device Enrollment“ ein DEP-Konto angelegt.

insight-apple_device_enrollment_program_relution-01-de.png

Relution generiert ein Serverzertifikat, das heruntergeladen werden muss. Anschließend wird im Apple Business Manager bzw. Apple School Manager unter “Einstellungen für die Geräteverwaltung“ ein neuer MDM-Server angelegt.

insight-apple_device_enrollment_program_relution-02-de.png

Um den Relution-Server bekannt zu machen, wird das aus Relution heruntergeladene Zertifikat im Apple Business Manager bzw. Apple School Manager hochgeladen. Bei der Benennung des MDM-Servers empfiehlt es sich die Domain und die Relution Organisation zu verwenden, um bei mehreren MDM-Servern die Übersicht zu gewährleisten.

insight-apple_device_enrollment_program_relution-03-de.png

Nach diesem Schritt kann jetzt für den neuen MDM-Server ein Apple Token heruntergeladen werden.

insight-apple_device_enrollment_program_relution-04-de.png

Zum Abschluss der Kopplung von Relution mit dem Apple Business Manager bzw. Apple School Manager zur Nutzung von DEP, wird dieser in Relution unter „Token hochladen“ hinterlegt.

insight-apple_device_enrollment_program_relution-05-de.png

Damit ist die erstmalige Konfiguration von DEP in Relution abgeschlossen und das eingerichtete DEP-Konto wird dargestellt.

insight-apple_device_enrollment_program_relution-06-de.png

Derzeit ist der Token von Apple mit einem Ablaufdatum versehen und sollte deshalb vor dem Ablauf rechtzeitig aktualisiert werden. Relution zeigt anstehende Aktualisierungen im Notification Center rechtzeitig vor dem Ablauf an.

Damit DEP-Geräte in Relution angezeigt werden, müssen die Geräte im Apple Business Manager bzw. Apple School Manager im Bereich „Geräte“ noch dem neu angelegten MDM-Server zugewiesen werden. Sofern nur ein MDM-Server im Apple Business Manager bzw. Apple School Manager konfiguriert wurde, empfiehlt es sich neue DEP-Geräte automatisch diesem MDM-Server zuzuordnen. Hierzu kann in den Einstellungen vom Apple Business Manager bzw. Apple School Manager eine automatische Geräte-Zuweisung konfiguriert werden.

Wie wird in Relution ein DEP-Profil angelegt und wozu wird es benötigt?

Damit in Relution automatisch eingeschriebene DEP-Geräte beim Einschreibevorgang direkt alle notwendigen Konfigurationsinformationen erhalten, muss unter „Geräte“ -> „DEP-Profile“ im Vorfeld zwingend ein DEP-Profil erstellt werden. Dieses legt fest, welche Einstellungen auf den Apple-Geräten vorkonfiguriert werden, bevor die eigentliche Geräteeinschreibung bei der initialen Inbetriebnahme automatisch durchgeführt wird. Wichtige Optionen sind:

  • MDM-Einschreibung erzwingen
  • Benutzerauthentifizierung bei der Einschreibung erzwingen
  • Gerät überwachen (supervise) - siehe hierzu Insight Überwachte iOS Geräte
  • Benutzer darf MDM-Einschreibung entfernen
  • Aktiviere „Geteiltes iPad“- siehe hierzu Insight Relution mit Apple Geteiltes iPad

Besonders wichtig sind die Optionen „Gerät überwachen (supervise)“ und „Benutzer darf MDM-Einschreibung entfernen“. Der Supervised-Modus ist Voraussetzung dafür, dass ein MDM-Profil auf dem Gerät nicht mehr manuell durch Benutzer:innen entfernt werden kann. Dadurch wird verhindert, dass das MDM die Gerätekontrolle verliert.

insight-apple_device_enrollment_program_relution-07-de.png

Des Weiteren kann im unteren Bereich der Eingabemaske des DEP Profils definiert werden, welche Setup-Schritte während der initialen Inbetriebnahme der Geräte übersprungen werden sollen. Dabei sollte die Option zum Überspringen der Ortungsdienste nicht ausgewählt werden, da das Apple-Gerät sonst nicht automatisch der richtigen Zeitzone zugeordnet wird. Alternativ kann die Zeitzone über eine Richtlinie auch gesetzt werden.

Ein DEP-Profil kann als Standard-Profil für alle neu einzuschreibenden DEP-Geräte definiert werden. Änderungen an den Einstellungen für ein DEP-Profil wirken sich nicht auf eingeschriebene Geräte aus, es sei denn, sie werden zurückgesetzt und erneut über DEP eingeschrieben.

Wo werden die DEP-Geräte aus dem verknüpften DEP-Konto in Relution angezeigt?

Eine Übersicht aller mit dem DEP-Konto synchronisierten DEP-Geräte für den entsprechenden MDM-Server werden unter „Geräte“ -> „Auto-Einschreibung“ aufgelistet. Die Geräteliste wird regelmäßig in Relution mit dem Apple Business Manager bzw. Apple School Manager abgeglichen. Alternativ kann die Gerät-Synchronisation manuell angestoßen werden. Sofern ein Gerät nicht in Relution angezeigt wird, sollte im Apple Business Manager bzw. Apple School Manager geprüft werden, ob das Geräte dem entsprechenden MDM-Server zugewiesen wurde.

insight-apple_device_enrollment_program_relution-08-de.png

Damit diese Geräte beim ersten Einschalten (oder nach einem Reset) automatisch vorkonfiguriert werden und anschließend eine Verbindung zum Relution-Server aufnehmen, um sich automatisch einzuschreiben, muss jedem Gerät ein DEP-Profil zugewiesen werden. Zusätzlich kann hier ein Geräte-Benutzer hinterlegt, der Gerätename gesetzt und Richtlinien sowie Regelwerke zugewiesen werden.

insight-apple_device_enrollment_program_relution-09-de.png

Nach der Zuweisung des DEP-Profils werden Geräte bei der initialen Inbetriebnahme oder nach einem Zurücksetzen auf den Werkszustand entsprechend konfiguriert und automatisch in Relution eingeschrieben. Solange die Zuordnung des DEP-Profils nicht geändert wird, hat das Zurücksetzen eines Apple-Gerätes zur Folge, dass eine erneute Einschreibung erfolgt. Im Zuge der Einschreibung werden Konfigurationen über Richtlinen wieder eingespielt. Bei dem Zurücksetzen sollte selbstverständlich beachtet werden, dass alle Daten, Apps oder manuell angepasste Einstellungen auf dem Gerät gelöscht werden und nicht automatisch aus einem gegebenenfalls vorhandenen Backup wiederhergestellt werden können.

Können DEP-Geräte aus einem anderen MDM-System in Relution umgezogen werden?

Durch das Anlegen des Relution-Servers im Apple Business Manager bzw. Apple School Manager, die Zuordnung der DEP-Geräte zu diesem und anschließendes Zurücksetzen der Geräte in den Werkszustand kann von einem anderen MDM-System komfortabel auf Relution gewechselt werden. Beim Zurücksetzen der DEP-Geräte in den Auslieferungszustand werden alle Apps, Daten und Einstellungen auf dem Gerät gelöscht. Die Geräte schreiben sich bei Neustart automatisch bei Relution ein und erhalten die zugeordneten Konfigurationen über das entsprechend zugewiesene DEP-Profil aus Relution.

Über diesen Mechanismus lassen sich auch Geräte einfach von einem Relution Server auf einen anderen Relution Server umziehen.

Apple-Geräte lassen sich in Relution in die Geräte-Inventarliste über die Aktion „Gerät auf Werkszustand zurücksetzen“ zurücksetzen:

insight-apple_device_enrollment_program_relution-10-de.png

Alternativ können Geräte auch mit der Apple Configurator 2 App auf einem Mac über USB zurückgesetzt werden.