Eine Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM) auswählen
Was bedeutet Mobilgeräteverwaltung?
iOS, iPadOS, macOS und tvOS verfügen über ein integriertes Framework, das MDM unterstützt. Mit der MDM-Lösung kannst du Geräte in einem abgesicherten Modus drahtlos konfigurieren, in dem du Profile und Befehle an das Gerät sendest. Dabei spielt es keine Rolle, ob die Geräte Eigentum des Benutzers oder der Organisation sind. Die Verwaltung von Geräten mittels einer MDM-Lösung umfasst das Aktualisieren von Software und von Geräteeinstellungen, das Überwachen der Einhaltung von Organisationsrichtlinien sowie das Löschen oder Sperren von Geräten per Fernzugriff. Benutzer können eigene Geräte in der MDM-Lösung registrieren. Im Besitz der Organisation befindliche Geräte können mit Apple School Manager automatisch in der MDM-Lösung registriert werden.
Wie funktioniert eine MDM-Lösung?
Nachdem das Registrierungsprofil – durch das Gerät oder den Benutzer – akzeptiert und zugelassen wurde, werden Konfigurationsprofile mit Payloads auf das Gerät transferiert. Danach können Apps und Bücher, die über Apple School Manager erworben wurden, drahtlos verteilt, verwaltet und konfiguriert werden. Benutzer können die Apps eigenständig installieren. Alternativ können bestimmte Apps auch automatisch installiert werden; ausschlaggebend dafür ist, welchem Typ die App angehört, wie sie zugeordnet ist und ob das jeweilige Gerät betreut wird.
Was bedeutet Betreuung?
Die Betreuung bedeutet generell, dass das Gerät im Besitz der Organisation ist, was die erweiterte Kontrolle der Konfiguration und Einschränkungen ermöglicht.
Weitere Informationen findest du unter Apple-Gerätebetreuung im Dokument „Implementierung von Apple-Plattformen“.
Überlegungen hinsichtlich der Auswahl einer MDM-Lösung
Es gibt eine Reihe von MDM-Lösungen von verschiedenen Drittanbietern. Vor der Entscheidung für eine bestimmte Lösung sollte abgewogen werden, welche Aspekte einer MDM-Lösung aus Sicht der Organisation am wichtigsten sind; in diese Überlegungen müssen insbesondere auch die Hosting-Optionen und die Preise einbezogen werden. Die nachfolgenden Hinweise sind als Entscheidungshilfe gedacht.
Tipp: Es ist besonders wichtig, die geeignete MDM-Lösung vor der Implementierung auszuwählen. Ein Wechsel bei laufender Implementierung kann dazu führen, dass jedes Gerät gelöscht und wieder neu registriert werden muss.
Hosting – lokal oder in der Cloud: Eine MDM-Lösung kann auf einem lokalen Server oder in der Cloud gehostet werden. MDM ist ein „Lightweight“-Protokoll auf HTTPS-Basis, mit dem Geräte an beliebigen Orten weltweit verwaltet werden können, ohne dass sich dies in nennenswerter Weise auf den Datenverkehr auswirkt. Dies macht die Lösung besonders geeignet für das Cloud-Hosting. Bei der Entscheidung für eine Lösung mit Cloud- oder Internet-Hosting lassen sich viele der in diesem Handbuch beschriebenen Schritte für die MDM-Konfiguration reduzieren oder ganz überspringen.
Geräteunterstützung: In manchen MDM-Lösungen ist eine detaillierte Unterstützung für bestimmte Apple-Geräte integriert, z. B. nur Mac-Computer oder iPhone-Geräte, während andere plattformübergreifenden Support bieten. Dementsprechend kann eine Kombination von MDM-Anbietern gewählt werden, um jeden Gerätetypen mit einer spezialisierten Lösung zu unterstützen. Dank der automatischen Zuordnung nach Gerätetyp in Apple School Manager ist dies einfach. Oder du wählst einen MDM-Anbieter, der alle in der Organisation verwendeten Apple-Gerätetypen unterstützt.
Auf Bildungseinrichtungen fokussierte Funktionalität: Einige MDM-Anbieter bieten Funktionen, die speziell für Bildungseinrichtungen konzipiert und entwickelt wurden. Es sollte speziell darauf geachtet werden, dass der MDM-Anbieter Lösungen wie Apple School Manager, Classroom, Schoolwork, Geteiltes iPad und alle anderen Bildungsfunktionen unterstützt, die mit den neuesten Versionen der Apple-Betriebssysteme am Tag der Freigabe eingeführt wurden.
Abfragen und Berichtsdienste: Eine MDM-Lösung kann unterschiedlichste Informationen zu Apple-Geräten abfragen. Dazu gehören u. a. die Hardware-Seriennummer, die Geräte-UDID, das WLAN, die MAC-Adresse und der FileVault-Verschlüsselungsstatus (bei Mac-Computern). Sie kann auch Softwareinformationen abfragen, etwa die Geräteversion, Einschränkungen und eine detaillierte Liste aller Apps, die auf dem Gerät installiert sind. Mit diesen Informationen kann sichergestellt werden, dass Benutzer die richtigen Apps nutzen. iOS und iPadOS ermöglichen Anfragen dazu, wann ein Gerät das letzte Mal in iCloud gesichert wurde, sowie zum Hashwert des Accounts für die App-Zuordnung des angemeldeten Benutzers. In tvOS kann die MDM-Lösung registrierte Apple TV-Geräte auf Ressourceninformationen wie Sprache, Ländereinstellung und Organisation hin abfragen.
Zugriff auf Unterstützungsangebote des Anbieters: MDM ist ein missionskritischer Dienst. Daher muss das Angebot des MDM-Anbieters im Hinblick auf Support, Dienste und Training sorgsam geprüft und bewertet werden.
Ausgehend von ihren Bedürfnissen können Bildungseinrichtungen eine engere Auswahl von MDM-Lösungen treffen und mit wenigen Geräten testen, um vor der endgültigen Auswahl herauszufinden, welche Lösungen die Anforderungen am besten erfüllen. Apple School Manager ermöglicht Verbindungen zu mehr als einer MDM-Lösung. Geräte können nach Bedarf verschiedenen Servern zugewiesen werden. Weitere Informationen enthält das Video Eine MDM-Lösung wählen.
Netzwerkvoraussetzungen für eine MDM-Lösung
Beim Installieren und Konfigurieren der MDM-Lösung gilt es, einige wichtige Aspekte hinsichtlich der Konfiguration von Netzwerk, TLS (Transport Layer Security), Infrastrukturdiensten, Apple-Diensten und Datensicherung zu berücksichtigen.
Wenn die Organisation eine lokal gehostete MDM-Lösung installiert, muss sie alle nachfolgenden Objekte und Einstellungen konfigurieren. Jede(s) dieser Objekte und Einstellungen sollte so früh wie möglich im Prozess konfiguriert und getestet werden, damit die Implementierung reibungslos erfolgen kann. Wenn eine MDM-Lösung an externer Stelle verwaltet oder in der Cloud gehostet wird, wird sehr wahrscheinlich der Anbieter viele dieser Objekte konfigurieren:
DNS: Eine MDM-Lösung muss einen vollständig qualifizierten Domain-Namen verwenden, der sowohl von innerhalb als auch von außerhalb des Netzwerks der Organisation aufgelöst werden kann. Dies ist die Voraussetzung dafür, dass der Server Geräte unabhängig davon verwalten kann, ob die Geräte lokal oder remote verbunden sind. Damit die Konnektivität mit den Clients aufrechterhalten bleibt, kann dieser Domainname nicht geändert werden.
IP-Adresse: Die meisten MDM-Lösungen erfordern eine statische IP-Adresse. Der bestehende DNS-Name muss unverändert bleiben, wenn sich die IP-Adresse des Servers ändert.
Konfigurieren von MDM mit TLS: Die gesamte Kommunikation zwischen Apple-Geräten und der MDM-Lösung wird mit HTTPS verschlüsselt. Für die Sicherheit dieser Kommunikation ist ein TLS-Zertifikat (bisher ein SSL-Zertifikat) erforderlich. Es sollten keine Geräte bereitgestellt werden, die nicht über ein Zertifikat einer anerkannten Zertifizierungsstelle (CA, Certificate Authority) verfügen. Das Zertifikat sollte rechtzeitig vor dem Ablauf erneuert werden; der Ablauftermin sollte daher notiert und die Notiz sorgsam aufbewahrt werden.
Firewall-Ports: Bestimmte Firewall-Ports müssen geöffnet sein, damit der interne und externe Zugriff auf die MDM-Lösung gewährleistet ist. Die meisten MDM-Lösungen akzeptieren eingehende Verbindungen über HTTPS auf Port 443. Sowohl die MDM-Lösung als auch die Geräte müssen mit dem Apple-Dienst für Push-Benachrichtigungen kommunizieren. Bis November 2020 nutzten MDM-Lösungen für APNs die Ports 2195 und 2196, Clients den Port 5223. Seit November 2020 verwenden MDM-Lösungen den Port 2197.
Tipp: Deine MDM-Lösung kann Schlüssel und Umgehungscodes für Aktivierungssperren, macOS-Bootstrap Token und weitere Daten umfassen, die für die Kontinuität des Gerätezugriffs wichtig sind. Aus diesem Grund ist es wichtig, für die lokale MDM-Installation eine zuverlässige Strategie für den Katastrophenfall verfügbar zu haben. Es wird dringend empfohlen, Backups und Wiederherstellungen regelmäßig zu testen.