Relution DEP Guide

Das Apple Device Enrollment Program

Motivation

Über das Apple DEP-Programm (Device Enrollment Program) lassen sich iPads für den Einsatz in sicherheitskritischen Szenarien vorbereiten. Dazu gehören Funktionen wie:

  • Den Supervised Mode aktivieren (dt. „Geräte überwachen“)
  • Die MDM-Einschreibung verpflichtend machen
  • Die MDM-Einschreibung vor dem Löschen schützen1
  • Setup-Schritte beim Einrichten des iPads überspringen

Bei nachträglich ins DEP aufgenommenen Geräten besteht hier eine Karenzzeit von 30 Tagen; erst nach Ablauf dieser Zeit wird die Option „Verwaltung entfernen“ aus dem entsprechenden Geräte-Menü entfernt,

Voraussetzungen

Um Relution mit DEP zu nutzen, benötigen Sie:

  • Einen DEP-Zugang (https://business.apple.com für Firmenkunden, https://school.apple.com für Bildungseinrichtungen), also eine spezielle Apple ID, die für das Verwalten von DEP-Geräten freigeschaltet ist
  • Den Apple Configurator in der aktuellen Version (aus dem Mac App Store)

Geräte nachträglich in DEP aufnehmen

Seit iOS11 können iPads auch nachträglich in das DEP-Programm aufgenommen werden; vorher war dies nur durch speziell berechtigte Händler oder Apple direkt möglich.

  1. Verbinden Sie das einzuschreibende Gerät mit dem Mac über ein USB-Kabel und starten Sie den Apple Configurator. Es erscheint der folgende Screen:
    Apple Configurator Schritt 1

    Apple Configurator Schritt 1

    Wählen Sie mit der rechten Maustaste das Gerät aus und klicken Sie auf „Vorbereiten…“.
  2. Im nun folgenden Dialog wählen Sie folgende Optionen aus und klciken auf „Weiter“:
    Apple Configurator Schritt 2

    Apple Configurator Schritt 2

  3. Wählen Sie „Neuer Server…“ aus und klicken Sie auf „Weiter“.
  4. Geben Sie nun den Namen und die URL Ihres Relution-Servers an. Den Namen können Sie beliebig wählen. Die URL begibbt immer mit https:// und lautet z.B. für die Relution Cloud https://live.relution.io
    Apple Configurator Schritt 4

    Apple Configurator Schritt 4

  5. Wählen Sie nun das angezeigte Zertifikat aus. Bei mehreren Zertifikaten wählen Sie das erste. Damit ist der Server festgelegt und kann beim späteren Aufnehmen weiterer Geräte ausgewählt werden, d.h. der Apple Configurator speichert diese Einstellungen.
  6. Im folgenden Dialog wählen Sie „Neue Organisation…“ aus und bestätigen die Auswahl mit „Weiter“.
  7. Nun erfolgt die Verbindung mit dem Apple DEP-Server. Geben Sie die Apple ID und das Passwort Ihres DEP-Accounts ein. Gegebenenfalls müssen Sie diese Anmeldung per 2-Faktor-Authentifizierung (Eingabe eines 4-stelligen Codes, den Sie per SMS erhalten) bestätigen.
    Apple Configurator Schritt 7

    Apple Configurator Schritt 7

  8. Wählen Sie „Neue Betreuungsidentität erstellen“ und klicken Sie auf „Weiter“.
    Die Organisationsdaten werden ebenfalls vom Apple Configurator gespeichert, sodass Sie sie später wiederverwenden können und keine neue Organisation mehr anlegen müssen.
  9. Im nun folgenden Schritt wählen Sie die Setup-Schritte aus, die bei der Einrichtung des iPads nicht übersprungen werden sollen. Hier sollten Sie unbedingt die Option „Ortungsdienste“ auswählen, andernfalls bekommen die iPads nicht die korrekte Zeitzone zugeordnet – es sei denn, Sie setzen die Geräte per Apple Configurator zurück.

    Apple Configurator Schritt 9

  10. Anschließend können Sie optional ein vorher (über „Ablage-Neues Profil-WLAN) angelegtes Konfigurationsprofil für ein WLAN auswählen, das das iPad nach dem Neustart automatisch übernimmt. Wenn Sie hier kein Profil auswählen, geben Sie nach dem Neustart des iPads die WLAN-Einstellungen von Hand ein. Klicken Sie auf „Vorbereiten“ und das iPad startet neu. Es wird dann automatisch ins DEP-Programm eingeschrieben und kann anschließend im DEP-Portal einem Relution-Server zugewiesen werden (standardmäßig wird es dem Apple-Configurator zugewiesen).
    Apple Configurator Schritt 10

    Apple Configurator Schritt 10

Relution mit Ihrem DEP-Account verbinden

  1. Zuerst wird ein DEP-Konto in Relution angelegt, indem man unter „Einstellungen – Automatische Einschreibungen“ auf der „Device Enrollment Program“-Seite auf den Knopf „Konto anlegen“ drückt.
    Relution DEP Schritt 1

    Relution DEP Schritt 1

  2. Relution generiert dann ein Serverzertifikat, das heruntergeladen werden muss. Anschließend wird im Apple DEP-Portal ein neuer MDM-Server angelegt und das in Relution heruntergeladene Zertifikat dort hochgeladen, um den Relution-Server bekannt zu machen. Daraufhin bietet das Apple-Portal ein Token zum Download an, das wiederum in Relution hochgeladen werden muss.

    Relution DEP Schritt 2 a

    Damit ist die erstmalige Konfiguration des DEP-Kontos abgeschlossen und das DEP-Konto wird dargestellt:

    Relution DEP Schritt 3

    Relution DEP Schritt 2 b

  3.  Anschließend muss mindestens ein DEP-Profil angelegt werden. Dies geschieht unter „Geräte – DEP-Profile“.
    Relution DEP Schritt 4

    Relution DEP Schritt 3 a

    Ein DEP-Profil legt fest, welche Optionen auf dem iOS-Gerät vorkonfiguriert werden, bevor das MDM-Enrollment (Einschreibung) passiert. Durch Anklicken des „Erstellen“-Knopfes erhalten Sie folgende Ansicht:

    Relution DEP Schritt 4 b

    Relution DEP Schritt 3 b

    Besonders wichtig ist die Sektion mit den Schaltflächen „Gerät überwachen (supervise)“ und „Benutzer darf MDM-Einschreibung entfernen“. Der Supervised-Modus ist Voraussetzung dafür, dass ein MDM-Profil nicht mehr entfernt werden kann. Im unteren Teil der Maske definieren Sie die beim Zurücksetzen des iOS-Geräts zu überspringenden Screens. Damit können die Geräte „Zero Touch“ zurückgesetzt werden (siehe Punkt 6.2). Speichern Sie das DEP-Profil durch Drücken des „Speichern“-Knopfes oben rechts ab.

  4.  Unter „Geräte – Auto-Einschreibungen“ werden nun alle Ihrem DEP-Konto zugeordneten Geräte aufgelistet.
    Relution DEP Schritt 4

    Relution DEP Schritt 4 a

    Damit diese Geräte beim ersten Einschalten (oder nach einem Reset) automatisch vorkonfiguriert werden und anschließend Verbindung zum Relution-Server aufnehmen, um sich einzuschreiben, muss jedem Gerät ein DEP-Profil zugewiesen werden.
    Außerdem braucht Relution noch die Angabe des Geräte-Benutzers. Optional kann hier auch gleich eine Richtlinie (Policy) und ein Regelwerk (Ruleset) ausgewählt werden, wie bei einem „normalen“ Relution-Enrollment auch. Durch Druck auf den „Speichern“-Knopf wird die Gerätekonfiguration abgespeichert.

    Relution DEP Schritt 4 b

    Relution DEP Schritt 4 b

    Durch Druck auf den „Speichern“-Knopf wird die Gerätekonfiguration an Apple übertragen. Ab sofort wird das Gerät nach dem ersten Einschalten oder einem Reset entsprechend konfiguriert.
    Solange die Zuordnung des DEP-Profils nicht geändert wird, hat ein Zurücksetzen des iOS-Geräts nun lediglich zur Folge, dass eine erneute Einschreibung erfolgt. 

Zurücksetzen der Geräte

Beim Zurücksetzen der iOS-Geräte in den Auslieferungszustand werden alle Apps, Daten und Einstellungen auf dem Gerät gelöscht. Als DEP-Gerät schreibt es sich danach automatisch wieder bei Relution ein und erhält so wieder die zugeordnete Konfiguration samt Apps. Zurücksetzen lassen sich iOS-Geräte auf mehrere Arten:

  1. Im Relution Portal (over-the-air)
    • Diese Art des Zurücksetzens eigner sich für einzelne Geräte bzw. solche, die nicht lokal verfügbar sind. Wählen Sie das Gerät in der Inventar-Liste aus und rufen die Aktion „Gerät auf Werkszustand zurücksetzen“ auf.

      Zurücksetzen über Relution

      Zurücksetzen über Relution

    • Anmerkung: Dabei ist es wichtig, im zugeordneten DEP-Profil (siehe Punkt 5.3.) die Option zum Überspringen der Ortungs-dienste NICHT ausgewählt wird, weil das iOS-Gerät sonst in der falschen Zeitzone landet. Dies kann nachträglich am Gerät nicht korrigiert werden.

  2. Mit dem Apple Configurator (USB, Zero Touch)
    • Diese Variante eignet sich immer dann, wenn viele iOS-Geräte gleichzeitig zurückgesetzt werden sollen (z.B. Tabletkoffer), die per USB-Hub an einen Mac angeschlossen sind. Am Mac sollte dazu unter Systemeinstellungen-Freigaben das Inhaltscaching samt Teilen der Internetverbindung aktiviert sein.

      Zurücksetzen über Apple Configurator

      Zurücksetzen über Apple Configurator a

    • Das Teilen der Internetverbindung funktioniert nicht über WLAN, der Mac muss per Ethernet-Kabel angeschlossen sein. Am iOS-Gerät braucht dann kein WLAN konfiguriert zu werden, und die zu installierenden Apps kommen aus dem Cache des Macs, was die Installationszeiten erheblich verkürzt.

    • Anmerkung: Bei dieser Methode sollte die Option zum Überspringen der Ortungsdienste ausgewählt sein, weil die richtige Zeitzone über den an-geschlossenen Mac automatisch eingestellt wird. Wählen Sie das/die zurückzusetzende(n) Gerät(e) aus und dann „Vorbereiten“ – „Automatische Registrierung“

      Zurücksetzen über Apple Configurator

      Zurücksetzen über Apple Configurator b

    • Die darauffolgenden Dialoge bestätigen Sie ohne weitere
      Änderungen. Beim Zurücksetzen der Geräte sind nun keinerlei Eingaben am Gerät selbst mehr erforderlich („Zero Touch Installation“).

      Zurücksetzen über Apple Configurator

      Zurücksetzen über Apple Configurator c

FAQ’s

Welche Geräte können nachträglich ins DEP (Device Enrollment Program) aufgenommen werden?
iPads und iPhones, die nicht älter als ca. 2 Jahre sind und unter iOS11 oder höher laufen.

Mein Gerät taucht nicht in den Auto-Einschreibungen in Relution auf. Was kann ich tun?
Sie müssen den Relution-Server im Apple DEP-Portal als MDM-Server anlegen und dann das Gerät diesem zuweisen.

Erleben Sie Relution kostenlos – jetzt registrieren!

Garantiert kostenlos bis zu 10 Benutzer. Keine zeitliche Begrenzung. Keine Zahlungsinformationen notwendig.

Please be patient. We're preparing an awesome product for you! This could take up to 30 seconds.