Relution DEP Guide - Das Apple Device Enrollment Programm

Motivation

Über das Apple DEP-Programm lassen sich iPads für den Einsatz in sicherheitskritischen Szenarien vorbereiten. Dazu gehören Funktionen wie:

• Den Supervised Mode aktivieren (dt. „Geräte überwachen“)
• Die MDM-Einschreibung verpflichtend machen
• Die MDM-Einschreibung vor dem Löschen schützen¹
• Setup-Schritte beim Einrichten des iPads überspringen

¹Bei nachträglich ins DEP aufgenommenen Geräten besteht hier eine Karenzzeit von 30 Tagen; erst nach Ablauf dieser Zeit wird die Option „Verwaltung entfernen“ aus dem entsprechenden Geräte-Menü entfernt.

Voraussetzungen

Um Relution mit DEP zu nutzen, benötigen Sie:

• Einen DEP-Zugang für Firmenkunden oder Bildungseinrichtungen, also eine spezielle Apple ID, die für das Verwalten von DEP-Geräten freigeschaltet ist
• Den Apple Configurator in der aktuellen Version (aus dem Mac App Store)

1. iPads nachträglich in DEP aufnehmen

Seit iOS11 können iPads auch nachträglich in das DEP-Programm aufgenommen werden; vorher war dies nur durch speziell berechtigte Händler oder Apple direkt möglich.

1.1 Verbinden Sie das einzuschreibende Gerät mit dem Mac über ein USB-Kabel und starten Sie den Apple Configurator.

Es erscheint der folgende Screen:

Wählen Sie mit der rechten Maustaste das Gerät aus und klicken Sie auf „Vorbereiten…“.

1.2 Im nun folgenden Dialog wählen Sie folgende Optionen aus:

Klicken Sie anschließend auf „Weiter“.

1.3 Wählen Sie dann „Neuer Server…“ aus und klicken Sie auf „Weiter“.

iOS

1.4 Geben Sie nun den Namen und die URL Ihres Relution-Servers an. Den Namen können Sie beliebig wählen. Die URL beginnt mit https:// und lautet z.B. für das Relution-Testsystem in Verbindung mit iOS Geräten https://live.relution.io/

tvOS

Für tvOS Geräte muss dieser Pfad angegeben werden: https://live.relution.io/relution/api/v1/ios/depenroll

1.5 Wählen Sie nun das angezeigte Zertifikat aus. Bei mehreren Zertifikaten wählen Sie das erste.

Damit ist der Server festgelegt und kann beim späteren Aufnehmen weiterer Geräte ausgewählt werden, d.h. der Apple Configurator speichert diese Einstellungen.

1.6 Im folgenden Dialog wählen Sie „Neue Organisation…“ aus und bestätigen die Auswahl mit „Weiter“.

1.7 Nun erfolgt die Verbindung mit dem Apple DEP-Server. Geben Sie die Apple ID und das Passwort Ihres DEP-Accounts ein.

Gegebenenfalls müssen Sie diese Anmeldung per 2-Faktor-Authentifizierung (Eingabe eines 4-stelligen Codes, den Sie per SMS erhalten) bestätigen.

1.8 Wählen Sie „Neue Betreuungsidentität erstellen“ und klicken Sie auf „Weiter“. Die Organisationsdaten werden ebenfalls vom Apple Configurator gespeichert, sodass Sie sie später wiederverwenden können und keine neue Organisation mehr anlegen müssen.

1.9 Im nun folgenden Schritt wählen Sie die Setup-Schritte aus, die bei der Einrichtung des iPads nicht übersprungen werden sollen. Hier sollten Sie unbedingt die Option „Ortungsdienste“ auswählen, andernfalls bekommen die iPads nicht die korrekte Zeitzone zugeordnet – es sei denn, Sie setzen die Geräte per Apple Configurator zurück (Siehe 5.2).

1.10 Anschließend können Sie optional ein vorher (über „Ablage-Neues Profil-WLAN) angelegtes Konfigurationsprofil für ein WLAN auswählen, das das iPad nach dem Neustart automatisch übernimmt:

Wenn Sie hier kein Profil auswählen, geben Sie nach dem Neustart des iPads die WLAN-Einstellungen von Hand ein. Klicken Sie auf „Vorbereiten“ und das iPad startet neu. Es wird dann automatisch ins DEP-Programm eingeschrieben und kann anschließend im DEP-Portal einem Relution-Server zugewiesen werden (standardmäßig wird es dem Apple Configurator zugewiesen).

1.11 Die neu hinzugefügten Geräte müssen im Apple School Manager oder Apple Business Manager einem MDM Server zuordnet werden.

1.12 Die DEP Geräte müssen in der entsprechenden Relution Organisation synchronisiert werden.

1.13 Es muss ein DEP-Profil zugewiesen werden, sofern ein Standardprofil eingerichtet ist, oder ein abweichendes Profil gewählt werden soll.

2. Relution mit Ihrem DEP-Account verbinden

2.1 Zuerst wird ein DEP-Konto in Relution angelegt, indem man unter „Einstellungen – Automatische Einschreibungen“ auf der „Device Enrollment Program“-Seite auf den Knopf „Konto anlegen“ drückt:

2.2 Relution generiert dann ein Serverzertifikat, das heruntergeladen werden muss. Anschließend wird im Apple DEP-Portal ein neuer MDM-Server angelegt und das in Relution heruntergeladene Zertifikat dort hochgeladen, um den elution-Server bekannt zu machen. Daraufhin bietet das Apple-Portal ein Token zum Download an, das wiederum in Relution hochgeladen werden muss:

Damit ist die erstmalige Konfiguration des DEP-Kontos abgeschlossen und das DEP-Konto wird dargestellt:

2.3 Anschließend muss mindestens ein DEP-Profil angelegt werden. Dies geschieht unter „Geräte – DEP-Profile“:

Ein DEP-Profil legt fest, welche Optionen auf dem iOS-Gerät vorkonfiguriert werden, bevor das MDM-Enrollment (Einschreibung) passiert. Durch Anklicken des „Erstellen“-Knopfes erhalten Sie folgende Ansicht:

Besonders wichtig ist die Sektion mit den Schaltflächen „Gerät überwachen (supervise)“ und „Benutzer darf MDM-Einschreibung entfernen“.

Der Supervised-Modus ist Voraussetzung dafür, dass ein MDM-Profil nicht mehr entfernt werden kann.

Im unteren Teil der Maske definieren Sie die beim Zurücksetzen des iOS-Geräts zu überspringenden Screens. Damit können die Geräte „Zero Touch“ zurückgesetzt werden (siehe Punkt 5.2).

Speichern Sie das DEP-Profil durch Drücken des „Speichern“-Knopfes oben rechts ab.

2.4 Unter „Geräte – Auto-Einschreibungen“ werden nun alle Ihrem DEP-Konto zugeordneten Geräte aufgelistet:

Damit diese Geräte beim ersten Einschalten (oder nach einem Reset) automatisch vorkonfiguriert werden und anschließend Verbindung zum Relution-Server aufnehmen, um sich einzuschreiben, muss jedem Gerät ein DEP-Profil zugewiesen werden. Außerdem kann hier die Angabe des Geräte-Benutzers erfolgen.

Optional kann hier auch gleich eine Richtlinie (Policy) und ein Regelwerk (Ruleset) ausgewählt werden, wie bei einem „normalen“ Relution-Enrollment auch. Durch Druck auf den „Speichern“-Knopf wird die Gerätekonfiguration abgespeichert.

Durch Druck auf den „Speichern“-Knopf wird die Gerätekonfiguration an Apple übertragen. Ab sofort wird das Gerät nach dem ersten Einschalten oder einem Reset entsprechend konfiguriert.

Solange die Zuordnung des DEP-Profils nicht geändert wird, hat ein Zurücksetzen des iOS-Geräts nun lediglich zur Folge, dass eine erneute Einschreibung erfolgt.

Hinweis: Zum erfolgreichen Einschreiben von Mobilgeräten ist die Relution Client App erforderlich, diese kann über VPP (siehe nächstes Kapitel) bezogen werden.

3. Relution für die Verteilung von VPP-Apps vorbereiten

Um Apps aus dem Apple AppStore über Relution verteilen zu können, ohne eine Apple-ID auf dem Mobilgerät zu benötigen, gibt es das Apple Volume Purchase Program (VPP). Es wird genauso wie DEP im Apple School Manager / Apple Business Manager konfiguriert, und dort werden auch die App-Lizenzen gekauft. Dies gilt sowohl für kostenlose als auch für zu bezahlende Apps.

Die Kopplung von VPP mit Relution erfolgt, indem im Apple-Portal unter „Einstellungen“ der Punkt „Apps und Bücher“ ausgewählt wird. Dort lässt sich für jeden Standort ein VPP-Token herunterladen:

Dieser Token wird dann in Relution unter „Einstellungen -> Volume Purchase Program“ hochgeladen:

Anschließend erscheint Im Apps-Menü von Relution der neue Punkt „Gekaufte Apps“, dort werden die VPP-Apps und ihre Lizenzen aufgelistet.

Hinweis: Auch die Relution Client App ist im Apple AppStore verfügbar; da sie für die Einschreibung von Mobilgeräten in Relution erforderlich ist, können die dafür erforderlichen Lizenzen ebenfalls über VPP erworben werden.

Ab Relution Version 4.70 ist es möglich, unter "Einstellungen" -> "Volume Purchase Program" mehrere VPP-Tokens zu hinterlegen. Dies bietet sich an, wenn eine Organisation von einer anderen Organisation App-Lizenzen erhält und gleichzeitig ihre eigenen App-Lizenzen verwaltet. Die Summe aller App-Lizenzen von mehreren VPP-Tokens wird unter „Apps" -> "Gekaufte Apps“ angezeigt. Die verfügbaren App Lizenzen können nach verwendetem VPP-Token gefiltert werden. Wenn eine App-Lizenz unter „Gekaufte Apps“ einem Gerät manuell zugewiesen wird, kann ausgewählt werden, von welchem der hinterlegten VPP-Tokens die App-Lizenz verwendet werden soll.

Wenn Apps automatisch über Auto-Deployments an Geräte verteilt werden, prüft Relution, ob für diese App Lizenz ein VPP-Token hinterlegt ist. Ist dies der Fall, wird die App-Lizenz automatisch dem Gerät zugewiesen. Wenn mehrere VPP-Tokens für die Organisation gespeichert sind und die App-Lizenz in allen vorhanden ist, wird die Lizenz des ersten in der Liste verfügbaren VPP-Tokens verwendet. Unter "Einstellungen" -> "Volume Purchase Program" kann die Reihenfolge der hinterlegten VPP Tokens geändert werden. Damit lässt sich festlegen, von welchem VPP-Token die App-Lizenz verwendet wird.

4. Umziehen von Geräten von einem anderen MDM-System

Durch Anlegen des Relution-Servers, Zuordnen der Geräte zu diesem und anschließendes Zurücksetzen der iOS-Geräte in den Auslieferungszustand kann von einem anderen MDM-System auf Relution gewechselt werden.

5. Zurücksetzen der Geräte

Beim Zurücksetzen der iOS-Geräte in den Auslieferungszustand werden alle Apps, Daten und Einstellungen auf dem Gerät gelöscht. Als DEP-Gerät schreibt es sich danach automatisch wieder bei Relution ein und erhält so wieder die zugeordnete Konfiguration samt Apps.

Zurücksetzen lassen sich iOS-Geräte auf mehrere Arten:

5.1 Im Relution-Portal (over the air)

Diese Art des Zurücksetzens eigner sich für einzelne Geräte bzw. solche, die nicht lokal verfügbar sind. Wählen Sie das Gerät in der Inventar-Liste aus und rufen die Aktion „Gerät auf Werkszustand zurücksetzen“ auf.

Anmerkung: Dabei ist es wichtig, im zugeordneten DEP-Profil (siehe Punkt 2.3.) die Option zum Überspringen der Ortungs-dienste NICHT ausgewählt wird, weil das iOS-Gerät sonst in der falschen Zeitzone landet. Dies kann nachträglich am Gerät nicht korrigiert werden.

5.2 Mit dem Apple Configurator (USB, Zero Touch)

Diese Variante eignet sich immer dann, wenn viele iOS-Geräte gleichzeitig zurückgesetzt werden sollen (z.B. Tabletkoffer), die per USB-Hub an einen Mac angeschlossen sind.

Am Mac sollte dazu unter Systemeinstellungen-Freigaben das Inhaltscaching samt Teilen der Internetverbindung aktiviert sein.

Das Teilen der Internetverbindung funktioniert nicht über WLAN, der Mac muss per Ethernet-Kabel angeschlossen sein.

Am iOS-Gerät braucht dann kein WLAN konfiguriert zu werden, und die zu installierenden Apps kommen aus dem Cache des Macs, was die Installationszeiten erheblich verkürzt.

Anmerkung: Bei dieser Methode sollte die Option zum Überspringen der Ortungsdienste ausgewählt sein, weil die richtige Zeitzone über den angeschlossenen Mac automatisch eingestellt wird.



Wählen Sie das/die zurückzusetzende(n) Gerät(e) aus und dann „Vorbereiten“ – „Automatische Registrierung“:

Die darauffolgenden Dialoge bestätigen Sie ohne weitere Änderungen. Beim Zurücksetzen der Geräte sind nun keinerlei Eingaben am Gerät selbst mehr erforderlich („Zero Touch Installation“).

Fragen und Antworten

» Welche Geräte können nachträglich ins DEP aufgenommen werden?

» Mein Gerät taucht nicht in den Auto-Einschreibungen in Relution auf.