Workspace ONE und Apple Device Enrollment Program

Betroffene Produkte:

• Workspace ONE

Betroffene Versionen:

• v7.1 und höher

Betroffene Betriebssysteme:

• Mac
• iOS v7 und höher

Das Device Enrollment Program (DEP) von Apple wurde entwickelt, um Unternehmen und Bildungseinrichtungen bei der Vereinfachung des Registrierungsprozesses für das Mobilgerätemanagement (MDM) für IT-Abteilungen und Endnutzer zu unterstützen. Das Device Enrollment Program ermöglicht es Unternehmen, während des anfänglichen Geräteeinrichtungsprozesses automatisch MDM-Profile auf Geräten zu installieren und iOS-Geräte drahtlos zu überwachen. Vor der Einführung des Device Enrollment Program mussten Geräte über USB an einen Computer mit Apple Configurator angeschlossen werden. Weitere Informationen zu diesem Programm finden Sie im Handbuch zum Apple Device Enrollment Program.

Voraussetzungen

Eine wichtige Voraussetzung für die Verwendung des DEP ist, dass die Unternehmensinformationen beim Apple DEP registriert werden müssen. Weitere Informationen zu anderen Voraussetzungen und zum Registrieren der Unternehmensinformationen finden Kunden unter https://deploy.apple.com.

Webbrowser Safari, Firefox oder Chrome (Internet Explorer wird nicht unterstützt): Stellen Sie sicher, dass Sie alle Schritte in diesem Leitfaden in derselben Browsersitzung durchlaufen. Der APN-Erzeugungsprozess bei Apple umfasst aus Sicherheitsgründen zeitbasierte und browserbasierte Anmeldedaten. Diese Vorgehensweise macht es erforderlich, alle Schritte in derselben Browsersitzung von Anfang bis Ende durchzuführen, um sicherheits- oder sitzungsbezogene Fehler zu vermeiden. Wenn ein Browser das Zertifikat nicht erzeugt, versuchen Sie es mit einem anderen Browser, aber stellen Sie sicher, dass Sie alle Schritte in einer Sitzung wiederholen oder abschließen.

About (Info)

Das Device Enrollment Program erfüllt verschiedene wichtige Anforderungen für unternehmenseigene Geräte. Eine Hauptsorge der IT ist die Befähigung des Benutzers, MDM von seinen iOS-Geräten zu entfernen. Mit DEP können Unternehmen jetzt nicht entfernbare MDM-Profile installieren, sodass Nutzer die Registrierung des Geräts nicht aufheben können.

Mit Apple haben Administratoren mehr Kontrolle über Geräte, die sie in den überwachten Modus versetzen. Vor dem Device Enrollment Program mussten Unternehmen, die Geräte überwachen wollten, das Gerät über USB mit einem Haupt-Mac verbinden. Nachdem ein Gerät angeschlossen wurde, konnte es über den Apple Configurator überwacht werden. Jetzt können Geräte mit dem Device Enrollment Program über die Verwaltungskonsole von Air Watch drahtlos (over the air, OTA) in den überwachten Modus versetzt werden. Da die MDM-Registrierung bereits bei der Ersteinrichtung des Geräts beginnt, können Unternehmen bestimmte Einrichtungsoptionen komplett überspringen und sogar von Endnutzern registriert werden. Da die Registrierung bei MDM Teil der Geräteeinrichtung ist, vereinfacht das Geräteregistrierungsprogramm den gesamten Registrierungsprozess, sodass sich auch technisch weniger versierte EndnutzerInnen beim MDM anmelden können. Beispielsweise können Schüler, denen ein Gerät im Eigentum der Schule überlassen wurde, es einfach auspacken und den Einrichtungsvorgang abschließen, um sich beim MDM anzumelden.

Vorteile für Endnutzer

Für Anwender wird die MDM-Registrierung jetzt zu einer vertrauten Benutzererfahrung und Teil der anfänglichen Einrichtung des Geräts. Außerdem reduziert das Device Enrollment Program die Anzahl der Schritte nach der Registrierung durch die Verwendung von automatischen Anwendungsinstallationen erheblich. Administratoren können auch Eingabeaufforderungen anpassen oder Einrichtungsschritte während der Registrierung eliminieren, um sie an die Anforderungen ihrer Organisation anzupassen.

Vorteile für die IT

Für die IT ist die manuelle Registrierung von Tausenden von Geräten zeitaufwendig. Dank der automatisierten Registrierung während der Einrichtung des Geräts können sich EndnutzerInnen jetzt bei MDM anmelden, nachdem das Gerät bereits ausgeliefert wurde. Mithilfe des Device Enrollment Program kann die Notwendigkeit eines Staging- oder Bereitstellungsprozesses vollständig eliminiert werden und Geräte können direkt an Endnutzer gesendet werden. Das Geräteregistrierungsprogramm ermöglicht es der IT-Abteilung, die erweiterten Funktionen der Überwachung zu nutzen, ohne ein Gerät physisch an einen primären Computer mit Apple Configurator anschließen zu müssen. Die Überwachung kann mit einem Klick auf eine Schaltfläche OTA eingeschaltet werden. Die IT profitiert außerdem von den vermiedenen Risiken im Zusammenhang mit nicht gemanagten Geräten. Mit dem Device Enrollment Program kann die IT nicht entfernbare MDM-Profile nutzen und sogar die erneute Registrierung von Geräten nach dem Löschen oder Zurücksetzen erzwingen.

Integrations- und Registrierungsanforderungen

• Workspace ONE (ehemals VMware AirWatch) ab Version 7.1
• iOS 7+

Integration

Workspace ONE lässt sich in das Programm für die Geräteregistrierung integrieren, um die Registrierungs- und Managementvorteile zu optimieren. Workspace ONE ermöglicht es Unternehmen, Geräte direkt aus der Apple-Bestellhistorie in Workspace ONE zu importieren. Über Workspace ONE können Administratoren die DEP konfigurieren, DEP-Profile erstellen und die konfigurierten Einstellungen je nach Anwendungsfall auf verschiedene Geräte anwenden.

Die Schritte zum Konfigurieren des DEP für die Integration in Workspace ONE sind:

1. Registrieren Sie Ihre Organisation bei DEP, indem Sie https://deploy.apple.com aufrufen.
2. Melden Sie sich bei der Workspace ONE Admin Console an und gehen Sie zu Gruppen & Einstellungen > Alle Einstellungen > Geräte & Nutzer > Apple > DEP und wählen Sie Konfigurieren aus, um die Einstellungen für Apple zu konfigurieren
3. Laden Sie den öffentlichen Schlüssel herunter, indem Sie MDM_DEP_PublicKey.pem auswählen.
4. Wählen Sie Apple-Bereitstellungsprogramme, um https://deploy.apple.com aufzurufen und sich mit Ihrer registrierten Apple-ID und Ihrem Passwortanzumelden.
5. Fügen Sie den MDM-Server hinzu und laden Sie den öffentlichen Schlüssel auf das Apple DEP hoch.
6. Laden Sie die Apple Server Token-Datei von Apple DEP herunter.
7. Registrieren von Geräten beim MDM-Server
8. Laden Sie die Apple-Servertokendatei in der Workspace ONE Admin Console hoch, indem Sie auf Hochladen klicken.
9. Definieren Sie die DEP-Profileinstellungen in der Workspace ONE Admin Console.

Workspace ONE ermöglicht außerdem Folgendes über das Device Enrollment Program:

• Unterstützung für Staging-Workflows
• Automatisches Zuweisen von Eigentumstypen zu unterschiedlichen Geräten
• Vorab Zuweisen von Geräten zu Nutzern und Gruppen, um die Authentifizierung zu umgehen und Geräte automatisch zu organisieren
• Vollständige Unterstützung für andere standardmäßige Geräte-Lifecycle- und MDM-Funktionen

Registrierung

Nachdem DEP konfiguriert wurde, werden die DEP-Profileinstellungen in der AirWatch Admin-Konsole definiert, die dann den registrierten Geräten zugewiesen werden. Der Gerätebenutzer führt die Maßnahmen des Setup Assistenten auf dem Gerät aus, nach dem das Gerät in MDM registriert wurde.

• AirWatch sendet eine Anfrage an den Apple-Server. Die Anfragen können z. B. ein Profil definieren, ein Profil zuweisen, Geräte abrufen und synchronisieren oder ein Gerät löschen.
• Das Gerät startet den Setup-Assistenten-Prozess, kommuniziert mit dem Apple-Server und empfängt die DEP-Profileinstellungen vom Apple-Server.
• Das Gerät wird zum AirWatch-Server umgeleitet, um das MDM Profil zu erhalten.

Registrieren von Geräten

Sie können Geräte, die entweder auf der Bestellnummer oder der Seriennummer basieren, auf der Seite "Volume Services" von Apple zuweisen.

Überlegungen zu Apple Configurator

Organisationen, die Apple Configurator verwenden, können auf Wunsch zum Geräteregistrierungsprogramm wechseln. Allerdings ist es nicht zulässig, dass Unternehmen ein Gerät mit Configurator überwachen, wenn das Gerät in einem Device Enrollment Program-Profil registriert ist. Geräte, die zuvor im AirWatch-MDM mit Apple Configurator registriert waren, können gelöscht und erneut in das Device Enrollment Program eingetragen werden. Sie sollten jedoch nur ein Profil für das Device Enrollment Program erhalten, wenn ein Unternehmen die Registrierung von Geräten über das Programm starten möchte.

Verwenden mehrerer MDM-Anbieter

Kunden können mehrere MDM-Anbieter nutzen. Dies wird bei den Volume Services von Apple eingerichtet, indem Gruppen von Seriennummern mit bestimmten MDM-Instanzen verknüpft werden.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.