Workspace ONE und Apple Device Enrollment Program

Betroffene Produkte:

• Workspace ONE

Betroffene Versionen:

• v7.1 und höher

Betroffene Betriebssysteme:

• Mac
• iOS v7 und höher

Das Device Enrollment Program (DEP) von Apple wurde entwickelt, um Unternehmen und Bildungseinrichtungen bei der Vereinfachung des Registrierungsprozesses für das Mobilgerätemanagement (MDM) für IT-Abteilungen und Endnutzer zu unterstützen. Das Device Enrollment Program ermöglicht es Unternehmen, während des anfänglichen Geräteeinrichtungsprozesses automatisch MDM-Profile auf Geräten zu installieren und iOS-Geräte drahtlos zu überwachen. Vor der Einführung des Device Enrollment Program mussten Geräte über USB an einen Computer mit Apple Configurator angeschlossen werden. Weitere Informationen zu diesem Programm finden Sie im Handbuch zum Apple Device Enrollment Program.

Nicht zutreffend

Voraussetzungen

Eine wichtige Voraussetzung für die Verwendung des DEP ist, dass die Unternehmensinformationen beim Apple DEP registriert werden müssen. Weitere Informationen zu anderen Voraussetzungen und zur Registrierung der Unternehmensinformationen finden Kunden unter https://deploy.apple.com.

Webbrowser Safari, Firefox oder Chrome (Internet Explorer wird nicht unterstützt): Stellen Sie sicher, dass Sie alle Schritte in diesem Leitfaden in derselben Browsersitzung durchlaufen. Der APN-Erzeugungsprozess bei Apple umfasst aus Sicherheitsgründen zeitbasierte und browserbasierte Anmeldedaten. Diese Vorgehensweise macht es erforderlich, alle Schritte in derselben Browsersitzung von Anfang bis Ende durchzuführen, um sicherheits- oder sitzungsbezogene Fehler zu vermeiden. Wenn ein Browser das Zertifikat nicht erzeugt, versuchen Sie es mit einem anderen Browser, stellen Sie jedoch sicher, dass Sie alle Schritte in einer Sitzung wiederholen oder abschließen.

About (Info)

Das Device Enrollment Program erfüllt verschiedene wichtige Anforderungen für unternehmenseigene Geräte. Eine Hauptsorge der IT ist die Befähigung des Benutzers, MDM von seinen iOS-Geräten zu entfernen. Mit DEP können Unternehmen jetzt nicht entfernbare MDM-Profile installieren, sodass Nutzer die Registrierung des Geräts nicht aufheben können.

Mit Apple haben Administratoren mehr Kontrolle über Geräte, die sie in den überwachten Modus versetzen. Vor dem Device Enrollment Program mussten Unternehmen, die Geräte überwachen wollten, das Gerät über USB mit einem Haupt-Mac verbinden. Nachdem ein Gerät angeschlossen wurde, konnte es über den Apple Configurator überwacht werden. Jetzt können Geräte mit dem Device Enrollment Program über die Verwaltungskonsole von Air Watch drahtlos (Over the Air, OTA) in den überwachten Modus versetzt werden. Da die MDM-Registrierung während der anfänglichen Geräteeinrichtung beginnt, können Unternehmen bestimmte Einrichtungsoptionen vollständig überspringen und sogar von Endnutzern verlangen, diese zu registrieren. Durch die Registrierung im MDM-Teil des Geräte-Setups vereinfacht das Device Enrollment Program den gesamten Registrierungsprozess, sodass sich nicht technische Endbenutzer bei MDM anmelden können. Beispielsweise können Schüler, denen ein Gerät im Eigentum der Schule überlassen wurde, es einfach auspacken und den Einrichtungsvorgang abschließen, um sich beim MDM anzumelden.

Vorteile für Endnutzer

Für Anwender wird die MDM-Registrierung jetzt zu einer vertrauten Benutzererfahrung und Teil der anfänglichen Einrichtung des Geräts. Außerdem reduziert das Device Enrollment Program die Anzahl der Schritte nach der Registrierung durch die Verwendung von automatischen Anwendungsinstallationen erheblich. Administratoren können während der Registrierung auch einfach die Eingabeaufforderungen anpassen oder Einrichtungsschritte ausschließen, um den Anforderungen des Unternehmens gerecht zu werden.

Vorteile für die IT

Für die IT ist die manuelle Registrierung von Tausenden von Geräten zeitaufwendig. Allerdings können sich Anwender mit der automatischen Registrierung während der Einrichtung des Geräts einfach beim MDM anmelden, sobald das Gerät aus der Verpackung herausgenommen wurde. Mithilfe des Device Enrollment Program kann die Notwendigkeit eines Staging- oder Bereitstellungsprozesses vollständig eliminiert werden und Geräte können direkt an Endnutzer gesendet werden. Das Device Enrollment Program ermöglicht es, die erweiterten Funktionen der Überwachung einfach zu nutzen, ohne dass ein Gerät physisch an einen Hauptcomputer angeschlossen werden muss, auf dem Apple Configurator ausgeführt wird. Die Überwachung kann mit einem Klick auf eine Schaltfläche drahtlos aktiviert werden. Die IT profitiert außerdem von den vermiedenen Risiken im Zusammenhang mit nicht gemanagten Geräten. Mit dem Device Enrollment Program kann die IT nicht entfernbare MDM-Profile nutzen und sogar die erneute Registrierung von Geräten nach dem Löschen oder Zurücksetzen erzwingen.

Integrations- und Registrierungsanforderungen

• Workspace ONE (ehemals VMware AirWatch) ab Version 7.1
• iOS 7+

Integration

Workspace ONE kann in das Device Enrollment Program integriert werden, um die Registrierungs- und Managementvorteile zu rationalisierten. Workspace ONE ermöglicht es Unternehmen, Geräte direkt aus der Apple-Bestellhistorie in Workspace ONE zu importieren. Über Workspace ONE können Administratoren das DEP konfigurieren, DEP-Profile erstellen und die konfigurierten Einstellungen je nach Anwendungsbeispiel auf verschiedene Geräte anwenden.

Die Schritte zum Konfigurieren des DEP für die Integration in Workspace ONE sind:

1. Registrieren Sie Ihre Organisation bei DEP, indem Sie https://deploy.apple.com aufrufen.
2. Melden Sie sich bei der Workspace ONE Admin-Konsole an und navigieren Sie zu Groups & Settings > All Settings > Devices & Users > Apple > DEP und wählen Sie „Configure“ zum Konfigurieren der Einstellungen für Apple.
3. Laden Sie den öffentlichen Schlüssel herunter, indem Sie MDM_DEP_PublicKey.pem auswählen.
4. Wählen Sie Apple Deployment Programs aus, um zu https://deploy.apple.com zu wechseln und sich mit Ihrer registrierten Apple-ID und Ihrem Kennwortanzumelden.
5. Fügen Sie den MDM-Server hinzu und laden Sie den öffentlichen Schlüssel zum Apple DEP hoch.
6. Laden Sie die Apple Server Token-Datei von Apple DEP herunter.
7. Registrieren von Geräten beim MDM-Server
8. Laden Sie die Apple Server-Tokendatei in der Workspace ONE Admin-Konsole hoch, indem Sie auf Hochladen klicken.
9. Definieren Sie die DEP-Profileinstellungen in der Workspace ONE Admin-Konsole.

Workspace ONE ermöglicht außerdem Folgendes über das Device Enrollment Program:

• Unterstützung für Staging-Workflows
• Automatisches Zuweisen von Eigentumstypen zu unterschiedlichen Geräten
• Vorab Zuweisen von Geräten zu Nutzern und Gruppen, um die Authentifizierung zu umgehen und Geräte automatisch zu organisieren
• Vollständige Unterstützung für andere standardmäßige Geräte-Lifecycle- und MDM-Funktionen

Registrierung

Nachdem DEP konfiguriert wurde, werden die DEP-Profileinstellungen in der AirWatch Admin-Konsole definiert, die dann den registrierten Geräten zugewiesen werden. Der Gerätebenutzer führt die Maßnahmen des Setup Assistenten auf dem Gerät aus, nach dem das Gerät in MDM registriert wurde.

• AirWatch sendet eine Anfrage an den Apple-Server. Die Anfragen können z. B. ein Profil definieren, ein Profil zuweisen, Geräte abrufen und synchronisieren oder ein Gerät löschen.
• Das Gerät startet den Setup Assistant-Prozess, kommuniziert mit dem Apple Server und empfängt die DEP-Profileinstellungen vom Apple-Server.
• Das Gerät wird zum AirWatch-Server umgeleitet, um das MDM Profil zu erhalten.

Registrieren von Geräten

Sie können Geräte basierend auf der Bestellnummer oder Seriennummer auf der Seite "Volume Services" von Apple zuweisen.

Überlegungen zu Apple Configurator

Unternehmen, die Apple Configurator verwenden, können bei Bedarf auf das Geräteregistrierungsprogramm umsteigen. Allerdings ist es nicht zulässig, dass Unternehmen ein Gerät mit Configurator überwachen, wenn das Gerät in einem Device Enrollment Program-Profil registriert ist. Geräte, die zuvor im AirWatch-MDM mit Apple Configurator registriert waren, können gelöscht und erneut in das Device Enrollment Program eingetragen werden. Sie sollten jedoch nur ein Profil für das Device Enrollment Program erhalten, wenn ein Unternehmen die Registrierung von Geräten über das Programm starten möchte.

Verwenden mehrerer MDM-Anbieter

Kunden können mehrere MDM-Anbieter nutzen. Dies wird in den Volume Services von Apple eingerichtet, indem Gruppen von Seriennummern mit bestimmten MDM-Instanzen verknüpft werden.

Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.