Startseite
Insight19.10.2022

Supervisionszertifikat für DEP-Geräte

Lassen sich DEP-Geräte vor unerlaubten Zugriffen schützen?

Um DEP-Geräte zu schützen und unerlaubte Zugriffe auf die Geräte zu unterbinden, ermöglicht Relution im DEP-Profil die Deaktivierung der Einstellung „Verbinden mit Macs oder PCs und Konfigurieren mit Apple Configurator erlauben“. Damit besteht keine Möglichkeit, mit dem Apple-Gerät eine Verbindung zu einem Mac oder PC herzustellen und eine nachträgliche Konfiguration über den Apple Configurator durchzuführen. So wird beispielsweise verhindert, dass Benutzer:innen das MDM-Profil entfernen können. Diese Konfiguration kann nicht nachträglich geändert werden, ohne dass das Gerät zurückgesetzt wird.

insight-supervisiom-certificate_01_de

Worauf sollte geachtet werden, wenn diese Einstellung verwendet wird?

Unter Umständen kann ein gesperrter Zugriff über einen Mac oder PC dazu führen, dass dem Administrator die Möglichkeit genommen wird, ein Gerät manuell über einen Computer zurückzusetzen. Dies kann beispielsweise eintreten, wenn die WLAN-Einstellungen falsch konfiguriert sind oder der MDM-Server kaputt geht. Das Gerät ist dann über Relution nicht mehr erreichbar und kann nicht verwaltet oder zurückgesetzt werden. Man spricht auch von einem Lock-in-Effekt.

insight-supervision-certificate_03_de.png

Wie können erlaubte Zugriffe mit Relution sichergestellt werden?

Mit der Server Version 5.13 ermöglicht Relution die Verbindung mit Macs oder PCs, auch wenn dies über das DEP-Profil untersagt wird. Bei der Einschreibung von DEP-Geräten in Relution wird automatisch ein Supervisionszertifikat erzeugt. Mittels dieses Zertifikats kann der Administrator das Gerät trotz Restriktion mit einem Mac oder PC verbinden. Hierzu wird das Zertifikat von Relution heruntergeladen und bei der Verbindung mit dem Apple Configurator initial einmalig angegeben. Das Zertifikat steht in den Gerätedetails zum Download bereit. Anschließend kann wieder auf das Gerät zugegriffen werden.

Was muss beim Entsperren des Gerätes beachtet werden?

Nachfolgend wird der Prozess bei der Entsperrung über den Apple Configurator beschrieben:

  1. Herunterladen des Supervisionszertifikats und Zwischenkopieren des Passworts
insight-supervision-certificate_02_de.png

  1. Über die Apple Configurator Einstellungen eine neue Organisation erstellen und die Apple-ID sowie den Verifizierungscode eingeben

  2. Bestehende Betreuungsidentität auswählen und weiter klicken

insight-supervision-certificate_04_de.png

  1. Anschließend das heruntergeladene Supervisionszertifikat auf dem Computer mit dem Passwort aus Relution öffnen. Die Keychain mit dem Zertifikat öffnet sich

  2. Anschließend taucht das Zertifikat im Apple Configurator Dialog unter Betreuungsidentitäten zur Auswahl auf

insight-supervision-certificate_05_de.png
  1. Organisation erstellen
insight-supervision-certificate_06_de.png
  1. Nun ist das Gerät wieder freigeschaltet und kann über den Apple Configurator verwaltet werden
insight-supervision-certificate_07_de.png

Was ist bei der Verwendung des Supervisionszertifikates zu beachten?

Das Zertifikat wird nur erzeugt, wenn DEP-Geräte neu eingeschrieben werden. Während der DEP-Einschreibung wird das Zertifikat automatisch erstellt und auf das Gerät gespielt. Die Funktionalität findet nicht bei bereits eingeschriebenen Geräten Anwendung und für Bestandsgeräte wird kein Zertifikat erzeugt.