Mit dem Device Enrollment Program von Apple, kurz DEP, lässt sich die Geräteeinschreibung in einem MDM-System automatisieren und die erstmalige Einrichtung von Apple-Geräten vereinfachen. So können iOS-, macOS- und tvOS-Geräte in Relution automatisch und mit sehr geringem manuellem Aufwand bei der initialen Inbetriebnahme vorkonfiguriert werden.
Folgende Vorteile ergeben sich für eingeschriebene DEP-Geräte:
Apple DEP-Geräte lassen sich mit Relution für den Einsatz in sicherheitskritischen Szenarien komfortabel vorbereiten.
Um von den Vorteilen profitieren zu können, muss im Vorfeld mit einer Apple-ID ein kostenfreier Zugang für den Apple Business Manager (Firmenkunden) oder den Apple School Manager (Bildungseinrichtungen) eingerichtet werden.
Apple Geräte können dann in das Apple Device Enrollment Program aufgenommen werden.
Hierzu stehen grundsätzlich zwei Möglichkeiten zur Verfügung:
Die Apple-Geräte müssen als DEP-Geräte beschafft werden. Dies ist entweder direkt über Apple oder autorisierte Apple-Händler möglich.
Apple-Geräte, die nicht als DEP-Geräte beschafft wurden, können seit iOS 11 auch nachträglich in das DEP-Programm aufgenommen werden. Hierfür wird der Apple Configurator 2 in der aktuellen Version benötigt. Das nachträgliche Hinzufügen von Geräten ist im Insight DEP-Geräte mit Apple Configurator 2 hinzufügen beschrieben. Das nachträgliche Hinzufügen von macOS Geräte ist derzeit von Apple nicht vorgesehen.
Es wird empfohlen die Geräte bei einem autorisierten Apple-Händler zu beziehen, um die Aufwände für das nachträgliche Hinzufügen zu vermeiden.
Das Einschreiben von DEP-Geräten wird im weiteren Verlauf dieses Insights beschrieben. Damit ist die automatische Geräteregistrierung mit folgenden Geräten möglich:
Zuerst wird unter „Einstellungen“ -> „Apple Automated Device Enrollment“ ein DEP-Konto angelegt.
Relution generiert ein Serverzertifikat, das heruntergeladen werden muss. Anschließend wird im Apple Business Manager bzw. Apple School Manager unter “Einstellungen für die Geräteverwaltung“ ein neuer MDM-Server angelegt.
Um den Relution-Server bekannt zu machen, wird das aus Relution heruntergeladene Zertifikat im Apple Business Manager bzw. Apple School Manager hochgeladen. Bei der Benennung des MDM-Servers empfiehlt es sich die Domain und die Relution Organisation zu verwenden, um bei mehreren MDM-Servern die Übersicht zu gewährleisten.
Nach diesem Schritt kann jetzt für den neuen MDM-Server ein Apple Token heruntergeladen werden.
Zum Abschluss der Kopplung von Relution mit dem Apple Business Manager bzw. Apple School Manager zur Nutzung von DEP, wird dieser in Relution unter „Token hochladen“ hinterlegt.
Damit ist die erstmalige Konfiguration von DEP in Relution abgeschlossen und das eingerichtete DEP-Konto wird dargestellt.
Derzeit ist der Token von Apple mit einem Ablaufdatum versehen und sollte deshalb vor dem Ablauf rechtzeitig aktualisiert werden. Relution zeigt anstehende Aktualisierungen im Notification Center rechtzeitig vor dem Ablauf an.
Damit DEP-Geräte in Relution angezeigt werden, müssen die Geräte im Apple Business Manager bzw. Apple School Manager im Bereich „Geräte“ noch dem neu angelegten MDM-Server zugewiesen werden. Sofern nur ein MDM-Server im Apple Business Manager bzw. Apple School Manager konfiguriert wurde, empfiehlt es sich neue DEP-Geräte automatisch diesem MDM-Server zuzuordnen. Hierzu kann in den Einstellungen vom Apple Business Manager bzw. Apple School Manager eine automatische Geräte-Zuweisung konfiguriert werden.
Damit in Relution automatisch eingeschriebene DEP-Geräte beim Einschreibevorgang direkt alle notwendigen Konfigurationsinformationen erhalten, muss unter „Geräte“ -> „DEP-Profile“ im Vorfeld zwingend ein DEP-Profil erstellt werden. Dieses legt fest, welche Einstellungen auf den Apple-Geräten vorkonfiguriert werden, bevor die eigentliche Geräteeinschreibung bei der initialen Inbetriebnahme automatisch durchgeführt wird. Wichtige Optionen sind:
Besonders wichtig sind die Optionen „Gerät überwachen (supervise)“ und „Benutzer darf MDM-Einschreibung entfernen“. Der Supervised-Modus ist Voraussetzung dafür, dass ein MDM-Profil auf dem Gerät nicht mehr manuell durch Benutzer:innen entfernt werden kann. Dadurch wird verhindert, dass das MDM die Gerätekontrolle verliert.
Des Weiteren kann im unteren Bereich der Eingabemaske des DEP Profils definiert werden, welche Setup-Schritte während der initialen Inbetriebnahme der Geräte übersprungen werden sollen. Dabei sollte die Option zum Überspringen der Ortungsdienste nicht ausgewählt werden, da das Apple-Gerät sonst nicht automatisch der richtigen Zeitzone zugeordnet wird. Alternativ kann die Zeitzone über eine Richtlinie auch gesetzt werden.
Ein DEP-Profil kann als Standard-Profil für alle neu einzuschreibenden DEP-Geräte definiert werden. Änderungen an den Einstellungen für ein DEP-Profil wirken sich nicht auf eingeschriebene Geräte aus, es sei denn, sie werden zurückgesetzt und erneut über DEP eingeschrieben.
Eine Übersicht aller mit dem DEP-Konto synchronisierten DEP-Geräte für den entsprechenden MDM-Server werden unter „Geräte“ -> „Auto-Einschreibung“ aufgelistet. Die Geräteliste wird regelmäßig in Relution mit dem Apple Business Manager bzw. Apple School Manager abgeglichen. Alternativ kann die Gerät-Synchronisation manuell angestoßen werden. Sofern ein Gerät nicht in Relution angezeigt wird, sollte im Apple Business Manager bzw. Apple School Manager geprüft werden, ob das Geräte dem entsprechenden MDM-Server zugewiesen wurde.
Damit diese Geräte beim ersten Einschalten (oder nach einem Reset) automatisch vorkonfiguriert werden und anschließend eine Verbindung zum Relution-Server aufnehmen, um sich automatisch einzuschreiben, muss jedem Gerät ein DEP-Profil zugewiesen werden. Zusätzlich kann hier ein Geräte-Benutzer hinterlegt, der Gerätename gesetzt und Richtlinien sowie Regelwerke zugewiesen werden.
Nach der Zuweisung des DEP-Profils werden Geräte bei der initialen Inbetriebnahme oder nach einem Zurücksetzen auf den Werkszustand entsprechend konfiguriert und automatisch in Relution eingeschrieben. Solange die Zuordnung des DEP-Profils nicht geändert wird, hat das Zurücksetzen eines Apple-Gerätes zur Folge, dass eine erneute Einschreibung erfolgt. Im Zuge der Einschreibung werden Konfigurationen über Richtlinen wieder eingespielt. Bei dem Zurücksetzen sollte selbstverständlich beachtet werden, dass alle Daten, Apps oder manuell angepasste Einstellungen auf dem Gerät gelöscht werden und nicht automatisch aus einem gegebenenfalls vorhandenen Backup wiederhergestellt werden können.
Durch das Anlegen des Relution-Servers im Apple Business Manager bzw. Apple School Manager, die Zuordnung der DEP-Geräte zu diesem und anschließendes Zurücksetzen der Geräte in den Werkszustand kann von einem anderen MDM-System komfortabel auf Relution gewechselt werden. Beim Zurücksetzen der DEP-Geräte in den Auslieferungszustand werden alle Apps, Daten und Einstellungen auf dem Gerät gelöscht. Die Geräte schreiben sich bei Neustart automatisch bei Relution ein und erhalten die zugeordneten Konfigurationen über das entsprechend zugewiesene DEP-Profil aus Relution.
Über diesen Mechanismus lassen sich auch Geräte einfach von einem Relution Server auf einen anderen Relution Server umziehen.
Apple-Geräte lassen sich in Relution in die Geräte-Inventarliste über die Aktion „Gerät auf Werkszustand zurücksetzen“ zurücksetzen:
Alternativ können Geräte auch mit der Apple Configurator 2 App auf einem Mac über USB zurückgesetzt werden.
Kostenlos und zeitlich unbegrenzt für bis zu 5 Geräte & 5 Apps. Keine Zahlungsinformationen notwendig.