Einrichtung und Wartung#
Um das MDM zu nutzen und insbesondere für die nachfolgend beschriebenen Funktionen, benötigen Sie einen Zugang zum Apple School Manager.
Hinweis
Firmen und andere nicht-schulische Organisationen haben keinen Zugriff auf den Apple School Manager und nutzen statt diesem den Apple Business Manager. Ansonsten verhält sich die Einrichtung, Verwaltung und Benutzung des MDMs aber identisch.
Die Zugänge zum Apple School Manager werden über die in diesem für Ihre Schule eingerichteten Organisation verwaltet. Diese Organisation kann beispielsweise Ihrer Schule oder dem jeweiligen Schulträger gehören. Die Nutzung von Apple-IDs, die nicht von Ihrer Organisation verwaltet werden, ist beim Apple School Manager nicht möglich.
Jedes MDM, einschließlich Ihres IServs, muss von Ihrer Organisation im Apple School Manager als Standort sowie als MDM-Server angelegt werden. Im Zuge dessen müssen Sie das Push-Zertifikat Ihres IServs im Apple School Manager hochladen. Wie Sie an die Datei kommen wird unter Einrichtung des Push-Zertifikats beschrieben, der Standort muss dafür noch nicht angelegt sein.
Ersteinrichtung im Apple School Manager#
Einrichtung des MDM-Servers#
Damit der Mobilgeräteverwaltung Geräte zugeordnet werden können, muss diese dem Apple School Manager als sogenannter MDM-Server bekannt gemacht werden. Dieser Schritt muss einmalig bei der Neueinrichtung der Mobilgeräteverwaltung pro Server durchgeführt werden.
Laden Sie das Push-Zertifikat für den entsprechenden IServ aus dem Push-Zertifikate-Portal herunter, siehe auch Einrichtung des Push-Zertifikats.
Dazu suchen Sie das Push-Zertifikat für Ihren IServ in der Liste und klicken auf der rechten Seite auf die Schaltfläche Download (1). Sie bekommen dann eine Datei
MDM_IServ GmbH_Certificate.pem
zum Herunterladen angeboten. Speichern Sie diese bei sich lokal ab.Melden Sie sich nun im Apple School Manager mit einer verwalteten Apple-ID an. Diese benötigt entweder die Funktion Administrator oder Standortmanager.
Navigieren Sie im School Manager nun zu folgender Stelle: (1) Einstellungen, (2) Einstellungen für die Geräteverwaltung und zuletzt (3) MDM-Server hinzufügen.
Füllen Sie das Formular zur Beschreibung des Servers wie folgt aus:
MDM-Servername: Wählen Sie hier eine griffige Bezeichnung, die mit dem entsprechenden IServ gut in Verbindung gebracht werden kann - insbesondere wenn Sie in derselben School-Manager-Organisation mehrere IServs oder andere MDM-Lösungen verwalten. Wir empfehlen hier der Einfachheit halber die Domain Ihres IServs zu verwenden, wie beispielsweise mein-iserv.de, schulserver.de oder lowenbergschule.de.
Die Einstellung Erlaube diesem MDM-Server, die Geräte zu entfernen. kann so belassen werden.
Unter MDM-Server-Einstellungen » Öffentlichen Schlüssel hochladen laden Sie die vorher aus dem Push-Zertifikate-Portal bezogene
MDM_IServ GmbH_Certificate.pem
hoch.
Nach dem Ausfüllen des Formulars legen Sie dann den neuen MDM-Server mittels Klick auf die Schaltfläche Sichern an.
Das DEP-Token für den eben eingerichteten MDM-Server kann nun wie in Einrichtung des DEP-Tokens beschrieben heruntergeladen und verwendet werden.
Warnung
Für jede MDM-Lösung, die Sie in Ihrer School-Manager-Organisation verwalten, muss jeweils ein MDM-Server und das diesem gehörende DEP-Token erstellt werden. Dies gilt sowohl für das IServ-MDM, als auch für MDM-Lösungen von Drittanbietern. Die Verwendung von einem Server-Eintrag oder Token für mehrere MDM-Lösungen oder IServs kann zu erheblichen Problemen im Betrieb führen, und wird nicht unterstützt.
Einrichtung des Standorts#
Für die Verwaltung der Lizenzen für Apps und weiterere Ressourcen benötigt jede Instanz der Mobilgeräteverwaltung einen eigenen Standort im Apple School Manager. Dieser Schritt muss einmalig bei der Neueinrichtung der Mobilgeräteverwaltung pro Server durchgeführt werden.
Melden Sie sich im Apple School Manager mit einer verwalteten Apple-ID an. Diese benötigt entweder die Funktion Administrator oder Standortmanager.
Navigieren Sie im School Manager nun zu folgender Stelle: (1) Standorte und wählen Sie dort die (2) Schaltfläche
Einen neuen Standort hinzufügen.
Füllen Sie das Formular zum Hinzufügen des Standorts wie folgt aus:
Standortname: Wählen Sie hier eine griffige Bezeichnung, die mit der entsprechenden Schule/Organisation und dem entsprechenden IServ gut in Verbindung gebracht werden kann - insbesondere wenn Sie in derselben School-Manager-Organisation mehrere IServs oder andere MDM-Lösungen verwalten. Wir empfehlen hier der Einfachheit halber die Domain Ihres IServs in Kombination mit dem Organisationsnamen zu verwenden, wie beispielsweise Löwenbergschule (loewenbergschule.de).
Unter Adresse tragen Sie eine für die Organisation sinnvolle Postanschrift ein.
Als Standardmäßige Passwortrichtlinie für Schüler/Studenten kann meistens die Auswahl Standard verwendet werden. Für die Mobilgeräteverwaltung hat die Einstellung gegenwärtig keine Relevanz.
Alle anderen Angaben sind optional und können entweder mit sinnvollen Angaben über die Organisation gefüllt oder auch weggelassen werden.
Nach dem Ausfüllen des Formulares legen Sie den neuen Standort mittels der Schaltfläche Sichern nun an.
Das VPP-Server-Token für den eben eingerichteten Standort kann nun, wie in Einrichtung des VPP-Server-Tokens beschrieben wird, heruntergeladen und verwendet werden.
Warnung
Für jede MDM-Lösung, die Sie in Ihrer School-Manager-Organisation verwalten, muss jeweils ein Standort und das zu diesem gehörende VPP-Server-Token erstellt werden. Dies gilt sowohl für das IServ-MDM, als auch für MDM-Lösungen von Drittanbietern. Die Verwendung von einem Standort oder Token für mehrere MDM-Lösungen oder IServs kann zu erheblichen Problemen im Betrieb führen, und wird daher grundsätzlich nicht unterstützt.
Warnung
Die Mobilgeräteverwaltung entzieht unbekannten (nicht von ihr verwalteten) Geräten die App-Lizenzen. Andere parallel am selben Standort betriebene MDM-Lösungen können mit diesem Umstand möglicherweise nicht vernünftig umgehen. Je nach MDM-Lösung kann das beispielsweise dazu führen, dass App-Lizenzen nicht mehr zuweisbar oder entfernbar sind, was das für den Betrieb nutzbare Lizenz-Kontingent effektiv verringert.
Hinweis
Nach dem Anlegen des Standortes können einige Minuten vergehen, bis Lizenzen an ihn transferiert können oder dessen VPP-Token unter Einstellungen » Apps und Bücher auftaucht.
Zertifikate und Tokens#
Damit das MDM mit den verwalteten Geräten und zentralen Apple-Diensten kommunizieren kann, werden diverse Zertifikate und Tokens benötigt. Dies sind allgemein Dateien die Sie von Apple herunterladen können, und die genau nur für Ihren IServ genutzt werden können.
Alle diese Dateien haben ein Ablaufdatum, das meist auf genau ein Jahr nach dem Erstellen der Datei fällt. Sollte das Ablaufdatum näherrücken oder gar überschritten sein, wird Sie Ihr IServ in der Verwaltungs-Übersicht sowie auf der Einstellungen-Seite des MDMs darauf hinweisen. In diesem Fall muss die Datei erneuert werden; grundsätzlich sind dabei dieselben Schritte zu befolgen wie bei der initialen Einrichtung.
Um auf die Einstellungen-Seite zu gelangen, navigieren Sie in Ihrem IServ zu Verwaltung -> Netzwerk -> Mobilgeräteverwaltung. Sollten Sie dadurch noch nicht auf die Einstellungen-Seite geleitet werden, navigieren Sie bitte weiter über Mehr -> Einstellungen.
Einrichtung des Push-Zertifikats#
Das Push-Zertifikat dient der sicheren Kommunikation zwischen IServ, Apple, und den Geräten, und wird für sämtliche Funktionen des MDMs benötigt.
Um das Push-Zertifikat zu verwalten, benötigen Sie einen Zugang zu Apples Push-Zertifikate-Portal. Prinzipiell kann dafür jede beliebige Apple-ID genutzt werden, es empfiehlt sich aber eine von Ihrer Organisation im Apple School Manager verwaltete Apple-ID zu verwenden.
Warnung
Push-Zertifikate gehören der für den Zugang zum Push-Zertifikate-Portal genutzten Apple-ID. Es sollte daher in der Regel nur dieselbe Apple-ID für die Erneuerung des Zertifikats wie bei der Ausstellung verwendet werden. Sobald in der Mobilgeräteverwaltung einmal ein Push-Zertifikat eingerichtet ist und Geräte danach hinzugefügt wurden, sollte dieses Push-Zertifikat immer nur erneuert werden. Grundsätzlich sollte niemals ein neues Zertifikat erstellt werden, und auch niemals die für den Zugang zum Push-Zertifikate-Portal genutzte Apple-ID gewechselt werden.
Sollte dennoch ein komplett neues Zertifikat eingerichtet werden, oder eine andere Apple-ID beim Zugang zum Push-Zertifikate-Portal genutzt werden, müssen die verwalteten Geräte erneut enrollt werden, was je nach Anzahl der Geräte und dem verwendeten Netzwerkzugang sehr arbeitsintensiv sein kann.
Dies sollte bei der Wahl des genutzten Zugangs berücksichtigt werden, weshalb es sich empfiehlt keine personenbezogene Apple-ID bei der Einrichtung des Push-Zertifikates zu verwenden, sondern eine allgemein von der Organisation dafür genutzte Apple-ID, beispielsweise apple-id@mein-iserv.de
.
Die Verwendung einer verwalteten Apple-ID aus dem School Manager ist ebenfalls möglich.
Die verwendete Apple-ID sollte dann an nachvollziehbarer Stelle dokumentiert werden, beispielsweise in der Knowledge-Base, um spätere Verwirrungen und Verwechselungen auszuschließen.
Sind mehrere Administratoren für die Verwaltung der Mobilgeräte zuständig, empfiehlt es sich eine verantwortliche Person für das Push-Zertifikat zu benennen, die dort den Überblick behält. Dies kann verhindern, dass aus Unwissenheit versehentlich eine falsche Apple-ID verwendet wird, was ein erneutes Enrollment aller Geräte notwendig machen würde.
Die Mobilgeräteverwaltung prüft beim Upload, ob es mit einem neuen (nicht erneuerten) Zertifikat zu tun hat, oder einem bei dem eine andere Apple-ID für dessen Erzeugung genutzt wurde. Wird dieser Umstand als solcher erkannt, zeigt der Upload eine entsprechende Warnung an. Der Upload kann in diesem Fall nur durch erneute Bestätigung abgeschlossen werden. Bis auf bestimmte Ausnahmefälle ist dies jedoch nicht sinnvoll - eher sollte geprüft werden, ob die richtige Apple-ID verwendet und das richtige Zertifikat erneuert wurde, und dann der Upload mit dem korrekten Zertifikat wiederholt werden.
Um das Push-Zertifikat einzurichten oder zu erneuern, führen Sie bitte diese Schritte durch:
Klicken Sie auf der Einstellungen-Seite unter „Push-Zertifikat“ auf die Schaltfläche Zertifikats-Einrichtung oder Zertifikat erneuern (1).
Laden Sie eine vom IServ generierte Zertifikats-Anforderungs-Datei (Dateiname ios_mdm_push.csr) mit einem Klick auf Herunterladen (2) herunter.
Gehen Sie dann durch Klick auf die Schaltfläche Apples Push-Zertifikate-Portal (3) auf Apples Push-Zertifikate-Portal und melden sich mit Ihrer Apple-ID an. Auf dem Portal klicken Sie dann auf die Schaltfläche (4) Create a Certificate (bei der Ersteinrichtung) oder (5) Renew (bei der Erneuerung eines bestehenden Zertifikats). Laden Sie dann die Zertifikats-Anforderungs-Datei (ios_mdm_push.csr) hoch, die Sie zuvor von Ihrem IServ heruntergeladen haben. Danach wird automatisch eine neue Pushzertifikats-Datei erstellt, welche Sie durch Klick auf die Schaltfläche Download herunterladen (6).
Hinweis
Wenn bereits ein Push-Zertifikat eingerichtet ist, benutzen Sie nach Möglichkeit grundsätzlich nur die Schaltfläche Renew (5), niemals Create a Certificate (4), da letzteres ein komplett neues Zertifikat erstellt und das erneute Enrollment aller verwalteten Geräte verlangt.
Zurück auf der Push-Zertifikate-Seite Ihres IServs aus Schritt 1 laden Sie die soeben heruntergeladene Zertifikats-Datei aus Schritt 3 hoch (7). Bei Erfolg werden Sie auf die Einstellungen-Seite zurückgeleitet, auf der nun das ein Jahr in der Zukunft liegende Ablaufdatum des neuen Push-Zertifikates angezeigt werden sollte.
Einrichtung des VPP-Server-Tokens#
Das VPP-Server-Token wird für die Verwendung von Volumenlizenzprogramm-Funktionen benötigt. Dies umfasst unter anderem die Verwaltung von Lizenzen und das Installieren von Apps auf den Geräten. Um das VPP-Server-Token einzurichten oder zu erneuern, führen Sie bitte diese Schritte durch:
Melden Sie Sich im Apple School Manager mit Ihrer Apple-ID an. Klicken Sie auf (1) Einstellungen/Settings, dann auf (2) Apps und Bücher/Apps and Books (in der mittleren Spalte, nicht links), und zuletzt beim passenden Eintrag für ihren IServ auf (3) Laden/Download, um das aktuelle VPP-Server-Token herunterzuladen.
Warnung
Der ausgewählte Standort darf nur von Ihrem IServ exklusiv verwendet werden und nicht parallel von anderen MDM-Instanzen, egal ob IServ Mobilgeräteverwaltung oder Drittanbieter-Lösungen.
Zurück auf Ihrem IServ, navigieren Sie zur MDM-Einstellungen-Seite, und klicken Sie unter „VPP-Server-Token“ auf die Schaltfläche Token-Einrichtung oder Token erneuern. Laden Sie dort das in Schritt 1 heruntergeladene Token hoch. Bei Erfolg werden Sie auf die Einstellungen-Seite zurückgeleitet, auf der nun das ein Jahr in der Zukunft liegende Ablaufdatum des neuen VPP-Server-Tokens angezeigt werden sollte.
Einrichtung des DEP-Tokens#
Das DEP-Token wird für die Verwaltung und Steuerung der Geräte benötigt. Um das DEP-Token einzurichten oder zu erneuern, führen Sie bitte diese Schritte durch:
Melden Sie Sich im Apple School Manager mit Ihrer Apple-ID an. Klicken Sie auf (1) Einstellungen/Settings, klicken Sie dann auf (2) den passenden Eintrag für Ihren IServ, und schließlich auf (3) Token laden/Download Token, um das DEP-Token herunterzuladen.
Zurück auf Ihrem IServ, navigieren Sie zur MDM-Einstellungen-Seite, und klicken Sie unter „DEP-Token“ auf die Schaltfläche Token-Einrichtung oder Token erneuern. Laden Sie dort das in Schritt 1 heruntergeladene Token hoch. Bei Erfolg werden Sie auf die Einstellungen-Seite zurückgeleitet, auf der nun das ein Jahr in der Zukunft liegende Ablaufdatum des neuen DEP-Tokens angezeigt werden sollte.
Hinweis
Nach der Einrichtung eines komplett neuen Push-Zertifikats muss das DEP-Token ersetzt werden. Das MDM kann Probleme, die durch Verwendung des dann veralteten DEP-Tokens auftreten, nicht immer als solche erkennen. Eine Ersetzung ist nicht nötig, wenn das alte Push-Zertifikat nur erneuert wurde (siehe weiter oben unter „Push-Zertifikat“).
Hinweis
Wenn ein komplett neues (nicht nur erneuertes) Push-Zertifikat hochgeladen wird, ist das alte DEP-Token nicht mehr gültig. In diesem Fall muss das neue Push-Zertifikat im Apple School Manager in den Einstellungen für Ihren Standort hochgeladen werden. Folgen Sie danach denselben Schritten um das DEP-Token neu einzurichten.