Motivation

Über das Apple DEP-Programm (Device Enrollment Program) lassen sich iPads für den Einsatz in sicherheitskritischen Szenarien vorbereiten. Dazu gehören Funktionen wie:

  • Den Supervised Mode aktivieren (dt. „Geräte überwachen“)
  • Die MDM-Einschreibung verpflichtend machen
  • Die MDM-Einschreibung vor dem Löschen schützen¹
  • Setup-Schritte beim Einrichten des iPads überspringen
¹Bei nachträglich ins DEP aufgenommenen Geräten besteht hier eine Karenzzeit von 30 Tagen; erst nach Ablauf dieser Zeit wird die Option „Verwaltung entfernen“ aus dem entsprechenden Geräte-Menü entfernt.

Voraussetzungen

Um Relution mit DEP zu nutzen, benötigen Sie:

  • Einen DEP-Zugang (https://business.apple.com für Firmenkunden, https://school.apple.com für Bildungseinrichtungen), also eine spezielle Apple ID, die für das Verwalten von DEP-Geräten freigeschaltet ist
  • Den Apple Configurator in der aktuellen Version (aus dem Mac App Store)
    • https://itunes.apple.com/de/app/apple-configurator-2/id1037126344?mt=12

Geräte nachträglich in DEP aufnehmen

Seit iOS11 können iPads auch nachträglich in das DEP-Programm aufgenommen werden; vorher war dies nur durch speziell berechtigte Händler oder Apple direkt möglich.

  1. Verbinden Sie das einzuschreibende Gerät mit dem Mac über ein USB-Kabel und starten Sie den Apple Configurator. Es erscheint der folgender Bildschirm bei dem Sie mit der rechten Maustaste das Gerät auswählen und "Vorbereiten" anklicken:
  2. Im nun folgenden Dialog wählen Sie folgende Optionen aus und klciken auf „Weiter“:
  3. Wählen Sie „Neuer Server…“ aus und klicken Sie auf „Weiter“.
  4. Geben Sie nun den Namen und die URL Ihres Relution-Servers an. Den Namen können Sie beliebig wählen. Die URL beginnt immer mit https:// und lautet z.B. für die Relution Cloud https://live.relution.io
  5. Wählen Sie nun das angezeigte Zertifikat aus. Bei mehreren Zertifikaten wählen Sie das erste. Damit ist der Server festgelegt und kann beim späteren Aufnehmen weiterer Geräte ausgewählt werden, d.h. der Apple Configurator speichert diese Einstellungen.
  6. Im folgenden Dialog wählen Sie „Neue Organisation…“ aus und bestätigen die Auswahl mit „Weiter“.
  7. Nun erfolgt die Verbindung mit dem Apple DEP-Server. Geben Sie die Apple ID und das Passwort Ihres DEP-Accounts ein. Gegebenenfalls müssen Sie diese Anmeldung per 2-Faktor-Authentifizierung (Eingabe eines 4-stelligen Codes, den Sie per SMS erhalten) bestätigen.
  8. Wählen Sie „Neue Betreuungsidentität erstellen“ und klicken Sie auf „Weiter“. Die Organisationsdaten werden ebenfalls vom Apple Configurator gespeichert, sodass Sie sie später wiederverwenden können und keine neue Organisation mehr anlegen müssen.
  9. Im nun folgenden Schritt wählen Sie die Setup-Schritte aus, die bei der Einrichtung des iPads nicht übersprungen werden sollen. Hier sollten Sie unbedingt die Option „Ortungsdienste“ auswählen, andernfalls bekommen die iPads nicht die korrekte Zeitzone zugeordnet – es sei denn, Sie setzen die Geräte per Apple Configurator zurück.
  10. Anschließend können Sie optional ein vorher (über „Ablage-Neues Profil-WLAN) angelegtes Konfigurationsprofil für ein WLAN auswählen, das das iPad nach dem Neustart automatisch übernimmt. Wenn Sie hier kein Profil auswählen, geben Sie nach dem Neustart des iPads die WLAN-Einstellungen von Hand ein. Klicken Sie auf „Vorbereiten“ und das iPad startet neu. Es wird dann automatisch ins DEP-Programm eingeschrieben und kann anschließend im DEP-Portal einem Relution-Server zugewiesen werden (standardmäßig wird es dem Apple-Configurator zugewiesen).

Relution mit Ihrem DEP-Account verbinden

  1. Zuerst wird ein DEP-Konto in Relution angelegt, indem man unter „Einstellungen – Automatische Einschreibungen“ auf der „Device Enrollment Program“-Seite auf den Knopf „Konto anlegen“ drückt.




  2. Relution generiert dann ein Serverzertifikat, das heruntergeladen werden muss. Anschließend wird im Apple DEP-Portal ein neuer MDM-Server angelegt und das in Relution heruntergeladene Zertifikat dort hochgeladen, um den Relution-Server bekannt zu machen. Daraufhin bietet das Apple-Portal ein Token zum Download an, das wiederum in Relution hochgeladen werden muss.



    Damit ist die erstmalige Konfiguration des DEP-Kontos abgeschlossen und das DEP-Konto wird dargestellt:



  3. Anschließend muss mindestens ein DEP-Profil angelegt werden. Dies geschieht unter „Geräte – DEP-Profile“.



    Ein DEP-Profil legt fest, welche Optionen auf dem iOS-Gerät vorkonfiguriert werden, bevor das MDM-Enrollment (Einschreibung) passiert. Durch Anklicken des „Erstellen“-Knopfes erhalten Sie folgende Ansicht:



    Besonders wichtig ist die Sektion mit den Schaltflächen „Gerät überwachen (supervise)“ und „Benutzer darf MDM-Einschreibung entfernen“. Der Supervised-Modus ist Voraussetzung dafür, dass ein MDM-Profil nicht mehr entfernt werden kann. Im unteren Teil der Maske definieren Sie die beim Zurücksetzen des iOS-Geräts zu überspringenden Screens. Damit können die Geräte „Zero Touch“ zurückgesetzt werden (siehe Punkt 6.2). Speichern Sie das DEP-Profil durch Drücken des „Speichern“-Knopfes oben rechts ab.


  4. Unter „Geräte – Auto-Einschreibungen“ werden nun alle Ihrem DEP-Konto zugeordneten Geräte aufgelistet.



    Damit diese Geräte beim ersten Einschalten (oder nach einem Reset) automatisch vorkonfiguriert werden und anschließend Verbindung zum Relution-Server aufnehmen, um sich einzuschreiben, muss jedem Gerät ein DEP-Profil zugewiesen werden. Außerdem braucht Relution noch die Angabe des Geräte-Benutzers. Optional kann hier auch gleich eine Richtlinie (Policy) und ein Regelwerk (Ruleset) ausgewählt werden, wie bei einem „normalen“ Relution-Enrollment auch. Durch Druck auf den „Speichern“-Knopf wird die Gerätekonfiguration abgespeichert.



    Durch Druck auf den „Speichern“-Knopf wird die Gerätekonfiguration an Apple übertragen. Ab sofort wird das Gerät nach dem ersten Einschalten oder einem Reset entsprechend konfiguriert. Solange die Zuordnung des DEP-Profils nicht geändert wird, hat ein Zurücksetzen des iOS-Geräts nun lediglich zur Folge, dass eine erneute Einschreibung erfolgt.
  5. Zurücksetzen der Geräte

    Beim Zurücksetzen der iOS-Geräte in den Auslieferungszustand werden alle Apps, Daten und Einstellungen auf dem Gerät gelöscht. Als DEP-Gerät schreibt es sich danach automatisch wieder bei Relution ein und erhält so wieder die zugeordnete Konfiguration samt Apps. Zurücksetzen lassen sich iOS-Geräte auf mehrere Arten:

    Im Relution Portal (over-the-air)

    Diese Art des Zurücksetzens eigner sich für einzelne Geräte bzw. solche, die nicht lokal verfügbar sind. Wählen Sie das Gerät in der Inventar-Liste aus und rufen die Aktion „Gerät auf Werkszustand zurücksetzen“ auf.

    Anmerkung: Dabei ist es wichtig, im zugeordneten DEP-Profil (siehe Punkt 5.3.) die Option zum Überspringen der Ortungs-dienste NICHT ausgewählt wird, weil das iOS-Gerät sonst in der falschen Zeitzone landet. Dies kann nachträglich am Gerät nicht korrigiert werden.

    Mit dem Apple Configurator (USB, Zero Touch)

    Diese Variante eignet sich immer dann, wenn viele iOS-Geräte gleichzeitig zurückgesetzt werden sollen (z.B. Tabletkoffer), die per USB-Hub an einen Mac angeschlossen sind. Am Mac sollte dazu unter Systemeinstellungen-Freigaben das Inhaltscaching samt Teilen der Internetverbindung aktiviert sein.



    Das Teilen der Internetverbindung funktioniert nicht über WLAN, der Mac muss per Ethernet-Kabel angeschlossen sein. Am iOS-Gerät braucht dann kein WLAN konfiguriert zu werden, und die zu installierenden Apps kommen aus dem Cache des Macs, was die Installationszeiten erheblich verkürzt. Anmerkung: Bei dieser Methode sollte die Option zum Überspringen der Ortungsdienste ausgewählt sein, weil die richtige Zeitzone über den an-geschlossenen Mac automatisch eingestellt wird. Wählen Sie das/die zurückzusetzende(n) Gerät(e) aus und dann „Vorbereiten“ – „Automatische Registrierung“



    Die darauffolgenden Dialoge bestätigen Sie ohne weitere Änderungen. Beim Zurücksetzen der Geräte sind nun keinerlei Eingaben am Gerät selbst mehr erforderlich („Zero Touch Installation“).

    FAQ

    Geräte können nachträglich ins DEP (Device Enrollment Program) aufgenommen werden? iPads und iPhones, die nicht älter als ca. 2 Jahre sind und unter iOS11 oder höher laufen.

    Mein Gerät taucht nicht in den Auto-Einschreibungen in Relution auf. Was kann ich tun? Sie müssen den Relution-Server im Apple DEP-Portal als MDM-Server anlegen und dann das Gerät diesem zuweisen.

Mobile Device & App Management mit Relution

Kostenlos und zeitlich unbegrenzt für bis zu 10 Geräte & 5 Apps. Keine Zahlungsinformationen notwendig.