Über das Apple DEP-Programm lassen sich iPads für den Einsatz in sicherheitskritischen Szenarien vorbereiten. Dazu gehören Funktionen wie:
1Bei nachträglich ins DEP aufgenommenen Geräten besteht hier eine Karenzzeit von 30 Tagen; erst nach Ablauf dieser Zeit wird die Option „Verwaltung entfernen“ aus dem entsprechenden Geräte-Menü entfernt.
Um Relution mit DEP zu nutzen, benötigen Sie:
Seit iOS11 können iPads auch nachträglich in das DEP-Programm aufgenommen werden; vorher war dies nur durch speziell berechtigte Händler oder Apple direkt möglich.
Es erscheint der folgende Screen:
Wählen Sie mit der rechten Maustaste das Gerät aus und klicken Sie auf „Vorbereiten…“.
Klicken Sie anschließend auf „Weiter“.
https://
und lautet z.B. für das Relution-Testsystem in Verbindung mit iOS Geräten https://live.relution.io/
https://live.relution.io/relution/api/v1/ios/depenroll
Damit ist der Server festgelegt und kann beim späteren Aufnehmen weiterer Geräte ausgewählt werden, d.h. der Apple Configurator speichert diese Einstellungen.
Gegebenenfalls müssen Sie diese Anmeldung per 2-Faktor-Authentifizierung (Eingabe eines 4-stelligen Codes, den Sie per SMS erhalten) bestätigen.
Wenn Sie hier kein Profil auswählen, geben Sie nach dem Neustart des iPads die WLAN-Einstellungen von Hand ein. Klicken Sie auf „Vorbereiten“ und das iPad startet neu. Es wird dann automatisch ins DEP-Programm eingeschrieben und kann anschließend im DEP-Portal einem Relution-Server zugewiesen werden (standardmäßig wird es dem Apple Configurator zugewiesen).
Damit ist die erstmalige Konfiguration des DEP-Kontos abgeschlossen und das DEP-Konto wird dargestellt:
Ein DEP-Profil legt fest, welche Optionen auf dem iOS-Gerät vorkonfiguriert werden, bevor das MDM-Enrollment (Einschreibung) passiert. Durch Anklicken des „Erstellen“-Knopfes erhalten Sie folgende Ansicht:
Besonders wichtig ist die Sektion mit den Schaltflächen „Gerät überwachen (supervise)“ und „Benutzer darf MDM-Einschreibung entfernen“.
Der Supervised-Modus ist Voraussetzung dafür, dass ein MDM-Profil nicht mehr entfernt werden kann.
Im unteren Teil der Maske definieren Sie die beim Zurücksetzen des iOS-Geräts zu überspringenden Screens. Damit können die Geräte „Zero Touch“ zurückgesetzt werden (siehe Punkt 5.2).
Speichern Sie das DEP-Profil durch Drücken des „Speichern“-Knopfes oben rechts ab.
Damit diese Geräte beim ersten Einschalten (oder nach einem Reset) automatisch vorkonfiguriert werden und anschließend Verbindung zum Relution-Server aufnehmen, um sich einzuschreiben, muss jedem Gerät ein DEP-Profil zugewiesen werden. Außerdem kann hier die Angabe des Geräte-Benutzers erfolgen.
Optional kann hier auch gleich eine Richtlinie (Policy) und ein Regelwerk (Ruleset) ausgewählt werden, wie bei einem „normalen“ Relution-Enrollment auch. Durch Druck auf den „Speichern“-Knopf wird die Gerätekonfiguration abgespeichert.
Durch Druck auf den „Speichern“-Knopf wird die Gerätekonfiguration an Apple übertragen. Ab sofort wird das Gerät nach dem ersten Einschalten oder einem Reset entsprechend konfiguriert.
Solange die Zuordnung des DEP-Profils nicht geändert wird, hat ein Zurücksetzen des iOS-Geräts nun lediglich zur Folge, dass eine erneute Einschreibung erfolgt.
Hinweis: Zum erfolgreichen Einschreiben von Mobilgeräten ist die Relution Client App erforderlich, diese kann über VPP (siehe nächstes Kapitel) bezogen werden.
Um Apps aus dem Apple AppStore über Relution verteilen zu können, ohne eine Apple-ID auf dem Mobilgerät zu benötigen, gibt es das Apple Volume Purchase Program (VPP). Es wird genauso wie DEP im Apple School Manager / Apple Business Manager konfiguriert, und dort werden auch die App-Lizenzen gekauft. Dies gilt sowohl für kostenlose als auch für zu bezahlende Apps.
Die Kopplung von VPP mit Relution erfolgt, indem im Apple-Portal unter „Einstellungen“ der Punkt „Apps und Bücher“ ausgewählt wird. Dort lässt sich für jeden Standort ein VPP-Token herunterladen:
Dieser Token wird dann in Relution unter „Einstellungen -> Volume Purchase Program“ hochgeladen:
Anschließend erscheint Im Apps-Menü von Relution der neue Punkt „Gekaufte Apps“, dort werden die VPP-Apps und ihre Lizenzen aufgelistet.
Hinweis: Auch die Relution Client App ist im Apple AppStore verfügbar; da sie für die Einschreibung von Mobilgeräten in Relution erforderlich ist, können die dafür erforderlichen Lizenzen ebenfalls über VPP erworben werden.
Ab Relution Version 4.70 ist es möglich, unter "Einstellungen" -> "Volume Purchase Program" mehrere VPP-Tokens zu hinterlegen. Dies bietet sich an, wenn eine Organisation von einer anderen Organisation App-Lizenzen erhält und gleichzeitig ihre eigenen App-Lizenzen verwaltet. Die Summe aller App-Lizenzen von mehreren VPP-Tokens wird unter „Apps" -> "Gekaufte Apps“ angezeigt. Die verfügbaren App Lizenzen können nach verwendetem VPP-Token gefiltert werden. Wenn eine App-Lizenz unter „Gekaufte Apps“ einem Gerät manuell zugewiesen wird, kann ausgewählt werden, von welchem der hinterlegten VPP-Tokens die App-Lizenz verwendet werden soll.
Wenn Apps automatisch über Auto-Deployments an Geräte verteilt werden, prüft Relution, ob für diese App Lizenz ein VPP-Token hinterlegt ist. Ist dies der Fall, wird die App-Lizenz automatisch dem Gerät zugewiesen. Wenn mehrere VPP-Tokens für die Organisation gespeichert sind und die App-Lizenz in allen vorhanden ist, wird die Lizenz des ersten in der Liste verfügbaren VPP-Tokens verwendet. Unter "Einstellungen" -> "Volume Purchase Program" kann die Reihenfolge der hinterlegten VPP Tokens geändert werden. Damit lässt sich festlegen, von welchem VPP-Token die App-Lizenz verwendet wird.
Durch Anlegen des Relution-Servers, Zuordnen der Geräte zu diesem und anschließendes Zurücksetzen der iOS-Geräte in den Auslieferungszustand kann von einem anderen MDM-System auf Relution gewechselt werden.
Beim Zurücksetzen der iOS-Geräte in den Auslieferungszustand werden alle Apps, Daten und Einstellungen auf dem Gerät gelöscht. Als DEP-Gerät schreibt es sich danach automatisch wieder bei Relution ein und erhält so wieder die zugeordnete Konfiguration samt Apps.
Zurücksetzen lassen sich iOS-Geräte auf mehrere Arten:
Diese Art des Zurücksetzens eigner sich für einzelne Geräte bzw. solche, die nicht lokal verfügbar sind. Wählen Sie das Gerät in der Inventar-Liste aus und rufen die Aktion „Gerät auf Werkszustand zurücksetzen“ auf.
Anmerkung: Dabei ist es wichtig, im zugeordneten DEP-Profil (siehe Punkt 2.3.) die Option zum Überspringen der Ortungs-dienste NICHT ausgewählt wird, weil das iOS-Gerät sonst in der falschen Zeitzone landet. Dies kann nachträglich am Gerät nicht korrigiert werden.
Diese Variante eignet sich immer dann, wenn viele iOS-Geräte gleichzeitig zurückgesetzt werden sollen (z.B. Tabletkoffer), die per USB-Hub an einen Mac angeschlossen sind.
Am Mac sollte dazu unter Systemeinstellungen-Freigaben das Inhaltscaching samt Teilen der Internetverbindung aktiviert sein.
Das Teilen der Internetverbindung funktioniert nicht über WLAN, der Mac muss per Ethernet-Kabel angeschlossen sein.
Am iOS-Gerät braucht dann kein WLAN konfiguriert zu werden, und die zu installierenden Apps kommen aus dem Cache des Macs, was die Installationszeiten erheblich verkürzt.
Anmerkung: Bei dieser Methode sollte die Option zum Überspringen der Ortungsdienste ausgewählt sein, weil die richtige Zeitzone über den angeschlossenen Mac automatisch eingestellt wird.
Wählen Sie das/die zurückzusetzende(n) Gerät(e) aus und dann „Vorbereiten“ – „Automatische Registrierung“:
Die darauffolgenden Dialoge bestätigen Sie ohne weitere Änderungen. Beim Zurücksetzen der Geräte sind nun keinerlei Eingaben am Gerät selbst mehr erforderlich („Zero Touch Installation“).
» Welche Geräte können nachträglich ins DEP aufgenommen werden?
» Mein Gerät taucht nicht in den Auto-Einschreibungen in Relution auf.
Kostenlos und zeitlich unbegrenzt für bis zu 5 Geräte & 5 Apps. Keine Zahlungsinformationen notwendig.