Einrichtung und Wartung

Um das MDM zu nutzen und insbesondere für die nachfolgend beschriebenen Funktionen, benötigen Sie einen Zugang zum Apple School Manager.

Hinweis

Firmen und andere nicht-schulische Organisationen haben keinen Zugriff auf den Apple School Manager und nutzen statt diesem den Apple Business Manager. Ansonsten verhält sich die Einrichtung, Verwaltung und Benutzung des MDMs aber identisch.

Die Zugänge zum Apple School Manager werden über die in diesem für Ihre Schule eingerichteten Organisation verwaltet. Diese Organisation kann beispielsweise Ihrer Schule oder dem jeweiligen Schulträger gehören. Die Nutzung von Apple-IDs, die nicht von Ihrer Organisation verwaltet werden, ist beim Apple School Manager nicht möglich.

Ersteinrichtung

Zur Ersteinrichtung der Mobilgeräteverwaltung (MDM) auf einem IServ sind folgende Schritte erforderlich. Sie werden im Anschluss genauer beschrieben.

1. Einrichtung des Push-Zertifikats

2. Einrichtung des MDM-Servers im Apple School Manager

3. Einrichtung des DEP-Tokens

4. Einrichtung des Standorts im Apple School Manager und des VPP-Server-Tokens (Inhaltstoken)

Um auf die Einstellungen-Seite von MDM zu gelangen, navigieren Sie in Ihrem IServ zu Verwaltung -> Netzwerk -> Mobilgeräteverwaltung. Sollten Sie dadurch noch nicht auf die MDM-Einstellungen-Seite geleitet werden, navigieren Sie bitte weiter über Mehr -> Einstellungen.

Einrichtung des Push-Zertifikats

Das Push-Zertifikat dient der sicheren Kommunikation zwischen IServ, Apple, und den Geräten, und wird für sämtliche Funktionen des MDMs benötigt.

Um das Push-Zertifikat zu verwalten, benötigen Sie einen Zugang zu Apples Push-Zertifikate-Portal. Prinzipiell kann dafür jede beliebige Apple-ID genutzt werden, es empfiehlt sich aber eine von Ihrer Organisation im Apple School Manager verwaltete Apple-ID zu verwenden.

Warnung

Push-Zertifikate gehören der für den Zugang zum Push-Zertifikate-Portal genutzten Apple-ID. Es sollte daher in der Regel nur dieselbe Apple-ID für die Erneuerung des Zertifikats wie bei der Ausstellung verwendet werden. Sobald in der Mobilgeräteverwaltung einmal ein Push-Zertifikat eingerichtet ist und Geräte danach hinzugefügt wurden, sollte dieses Push-Zertifikat immer nur erneuert werden. Grundsätzlich sollte niemals ein neues Zertifikat erstellt werden, und auch niemals die für den Zugang zum Push-Zertifikate-Portal genutzte Apple-ID gewechselt werden.

Sollte dennoch ein komplett neues Zertifikat eingerichtet werden, oder eine andere Apple-ID beim Zugang zum Push-Zertifikate-Portal genutzt werden, müssen die verwalteten Geräte erneut registriert (enrolled) werden, was je nach Anzahl der Geräte und dem verwendeten Netzwerkzugang sehr arbeitsintensiv sein kann. Dies sollte bei der Wahl des genutzten Zugangs berücksichtigt werden, weshalb es sich empfiehlt keine personenbezogene Apple-ID bei der Einrichtung des Push-Zertifikates zu verwenden, sondern eine allgemein von der Organisation dafür genutzte Apple-ID, beispielsweise apple-id@mein-iserv.de. Die Verwendung einer verwalteten Apple-ID aus dem School Manager ist ebenfalls möglich.

Die verwendete Apple-ID sollte dann an nachvollziehbarer Stelle dokumentiert werden, beispielsweise in der Knowledge-Base, um spätere Verwirrungen und Verwechselungen auszuschließen.

Sind mehrere Administratoren für die Verwaltung der Mobilgeräte zuständig, empfiehlt es sich eine verantwortliche Person für das Push-Zertifikat zu benennen, die dort den Überblick behält. Dies kann verhindern, dass aus Unwissenheit versehentlich eine falsche Apple-ID verwendet wird, was ein erneutes Registrieren (Enrollment) aller Geräte notwendig machen würde.

Die Mobilgeräteverwaltung prüft beim Upload, ob es sich bei dem soeben hochgeladenen Zertifikat um ein Neues, oder um ein mit einer anderen Apple-ID erstellten Zertifikat handelt. Wird dieser Umstand als solcher erkannt, zeigt der Upload eine entsprechende Warnung an. Der Upload kann in diesem Fall nur durch erneute Bestätigung abgeschlossen werden. Bis auf bestimmte Ausnahmefälle ist dies jedoch nicht sinnvoll - eher sollte geprüft werden, ob die richtige Apple-ID verwendet und das richtige Zertifikat erneuert wurde, und dann der Upload mit dem korrekten Zertifikat wiederholt werden.

Um das Push-Zertifikat einzurichten oder zu erneuern, führen Sie bitte diese Schritte durch:

1. Klicken Sie auf der MDM-Einstellungen-Seite unter „Push-Zertifikat“ auf die Schaltfläche Zertifikats-Einrichtung oder Zertifikat erneuern (1).

   

2. Laden Sie eine vom IServ generierte Zertifikats-Anforderungs-Datei (Dateiname ios_mdm_push.csr) mit einem Klick auf Herunterladen (2) herunter.

   

3. Gehen Sie dann durch Klick auf die Schaltfläche Apples Push-Zertifikate-Portal (3) auf Apples Push-Zertifikate-Portal und melden sich mit Ihrer Apple-ID an. Auf dem Portal klicken Sie dann auf die Schaltfläche (4) Create a Certificate (bei der Ersteinrichtung) oder (5) Renew (bei der Erneuerung eines bestehenden Zertifikats). Laden Sie dann die Zertifikats-Anforderungs-Datei (ios_mdm_push.csr) hoch, die Sie zuvor von Ihrem IServ heruntergeladen haben. Danach wird automatisch eine neue Pushzertifikats-Datei (MDM_IServ GmbH_Certificate.pem) erstellt, welche Sie durch Klick auf die Schaltfläche Download herunterladen (6).

   

   Hinweis

   Wenn bereits ein Push-Zertifikat eingerichtet ist, benutzen Sie nach Möglichkeit grundsätzlich nur die Schaltfläche Renew (5), niemals Create a Certificate (4), da letzteres ein komplett neues Zertifikat erstellt und das erneute Enrollment aller verwalteten Geräte verlangt.

4. Zurück auf der Push-Zertifikate-Seite Ihres IServs aus Schritt 1 laden Sie die soeben heruntergeladene Zertifikats-Datei aus Schritt 3 hoch (7). Bei Erfolg werden Sie auf die MDM-Einstellungen-Seite zurückgeleitet, auf der nun das ein Jahr in der Zukunft liegende Ablaufdatum des neuen Push-Zertifikates angezeigt werden sollte. Dieses Datum sollte dem entsprechen, welches auch im Apple Push-Zertifikate-Portal angezeigt wird.

Bewahren Sie die heruntergeladene Pushzertifikats-Datei (MDM_IServ GmbH_Certificate.pem) auf, da Sie diese im folgenden für die Einrichtung des Servers im Apple School Manager benötigen.

Einrichtung des MDM-Servers im Apple School Manager

Damit der Mobilgeräteverwaltung Geräte zugeordnet werden können, muss diese dem Apple School Manager als sogenannter MDM-Server bekannt gemacht werden. Dieser Schritt muss einmalig bei der Neueinrichtung der Mobilgeräteverwaltung pro Server durchgeführt werden.

1. Melden Sie sich im Apple School Manager mit einer verwalteten Apple-ID an. Diese benötigt entweder die Funktion Administrator oder Standortmanager.

2. Wählen Sie links unten Ihren Accountnamen, dann Einstellungen und im Anschluss in der Auflistung „Deine MDM-Server“ die Schaltfläche Hinzufügen.

3. Füllen Sie das Formular zur Beschreibung des Servers wie folgt aus:

   • MDM-Servername: Wählen Sie hier eine griffige Bezeichnung, die mit dem entsprechenden IServ gut in Verbindung gebracht werden kann - insbesondere wenn Sie in derselben School-Manager-Organisation mehrere IServs oder andere MDM-Lösungen verwalten. Wir empfehlen hier der Einfachheit halber die Domain Ihres IServs zu verwenden, wie beispielsweise mein-iserv.de, schulserver.de oder lowenbergschule.de.

   • Die Einstellung Erlaube diesem MDM-Server, die Geräte zu entfernen. kann so belassen werden.

   • Unter MDM-Server-Einstellungen » Öffentlichen Schlüssel hochladen laden Sie die zuvor während der Einrichtung des Push-Zertifikats aus dem Push-Zertifikate-Portal bezogene Pushzertifikats-Datei (MDM_IServ GmbH_Certificate.pem) hoch.

4. Nach dem Ausfüllen des Formulars legen Sie dann den neuen MDM-Server mittels Klick auf die Schaltfläche Sichern an.

Das DEP-Token für den eben eingerichteten MDM-Server kann nun wie in Einrichtung des DEP-Tokens beschrieben heruntergeladen und verwendet werden.

Warnung

Für jede MDM-Lösung, die Sie in Ihrer School-Manager-Organisation verwalten, muss jeweils ein MDM-Server und das diesem gehörende DEP-Token erstellt werden. Dies gilt sowohl für das IServ-MDM, als auch für MDM-Lösungen von Drittanbietern. Die Verwendung von einem Server-Eintrag oder Token für mehrere MDM-Lösungen oder IServs kann zu erheblichen Problemen im Betrieb führen, und wird nicht unterstützt.

Einrichtung des DEP-Tokens

Das DEP-Token wird für die automatische Geräteregistrierung (Enrollment) benötigt. Um das DEP-Token einzurichten oder zu erneuern, führen Sie bitte diese Schritte durch:

1. Melden Sie sich im Apple School Manager mit Ihrer Apple-ID an.

2. Wählen Sie links unten Ihren Accountnamen, dann Einstellungen, und in der Auflistung „Deine MDM-Server“ den passenden Eintrag für Ihren IServ.

3. Laden Sie anschließend mittels Token laden (oben) das DEP-Token herunter. Der Name der heruntergeladenen Token-Datei entspricht dem Schema mein-iserv.de_Token_2023-03-16T15-08-17Z_smime.p7m.

4. Zurück auf Ihrem IServ, navigieren Sie zur MDM-Einstellungen-Seite, und klicken Sie unter „DEP-Server-Token“ auf die Schaltfläche Token-Einrichtung oder Token erneuern. Laden Sie dort das in Schritt 3 heruntergeladene Token hoch. Bei Erfolg werden Sie auf die MDM-Einstellungen-Seite zurückgeleitet, auf der nun das ein Jahr in der Zukunft liegende Ablaufdatum des neuen DEP-Tokens angezeigt werden sollte.

   Hinweis

   Nach der Einrichtung eines komplett neuen Push-Zertifikats muss auch das DEP-Token ersetzt werden. Das MDM kann Probleme, die durch Verwendung des dann veralteten DEP-Tokens auftreten, nicht immer als solche erkennen. Eine Ersetzung ist nicht nötig, wenn das alte Push-Zertifikat nur erneuert wurde (siehe weiter oben unter Einrichtung des Push-Zertifikats).

Einrichtung des Standorts im Apple School Manager und des VPP-Server-Tokens (Inhaltstoken)

Für die Verwaltung der Lizenzen für Apps und Bücher (Volumenlizenzprogramm) benötigt jede Instanz der Mobilgeräteverwaltung einen eigenen Standort im Apple School Manager sowie ein von dort herunterladbares VPP-Server-Token (Inhaltstoken). Dieser Schritt muss einmalig bei der Neueinrichtung der Mobilgeräteverwaltung pro Server durchgeführt werden.

1. Melden Sie sich im Apple School Manager mit einer verwalteten Apple-ID an. Diese benötigt entweder die Funktion Administrator oder Standortmanager.

2. Navigieren Sie im School Manager in der linken Seitenleiste zu Standorte und wählen Sie dann oberhalb der „Deine Standorte“-Liste die Schaltfläche Hinzufügen.

3. Füllen Sie das Formular zum Hinzufügen des Standorts wie folgt aus:

   • Standortname: Wählen Sie hier eine griffige Bezeichnung, die mit der entsprechenden Schule/Organisation und dem entsprechenden IServ gut in Verbindung gebracht werden kann - insbesondere wenn Sie in derselben School-Manager-Organisation mehrere IServs oder andere MDM-Lösungen verwalten. Wir empfehlen hier der Einfachheit halber die Domain Ihres IServs in Kombination mit dem Organisationsnamen zu verwenden, wie beispielsweise Löwenbergschule (loewenbergschule.de).

   • Unter Adresse tragen Sie eine für die Organisation sinnvolle Postanschrift ein.

   • Als Standardmäßige Passwortrichtlinie für Schüler/Studenten kann meistens die Auswahl Standard verwendet werden. Für die Mobilgeräteverwaltung hat die Einstellung gegenwärtig keine Relevanz.

   • Alle anderen Angaben sind optional und können entweder mit sinnvollen Angaben über die Organisation gefüllt oder auch weggelassen werden.

4. Nach dem Ausfüllen des Formulars legen Sie den neuen Standort mittels der Schaltfläche Sichern an.

5. Wählen Sie links unten Ihren Accountnamen, dann Einstellungen und im Anschluss Zahlungen und Rechnungen.

6. Laden Sie im Tab Apps und Bücher im Abschnitt „Inhaltstoken“ mittels der Schaltfläche Laden den passenden Token für ihren IServ herunter. Der Name des Downloads entspricht dem Schema sToken_for_Standortname.vpptoken.

7. Auf Ihrem IServ, navigieren Sie zur MDM-Einstellungen-Seite, und klicken Sie unter „VPP-Server-Token“ auf die Schaltfläche Token-Einrichtung oder Token erneuern. Laden Sie dort das in Schritt 6 heruntergeladene Token hoch. Bei Erfolg werden Sie auf die MDM-Einstellungen-Seite zurückgeleitet, auf der nun das ein Jahr in der Zukunft liegende Ablaufdatum des neuen VPP-Server-Tokens angezeigt werden sollte.

Warnung

Für jede MDM-Lösung, die Sie in Ihrer School-Manager-Organisation verwalten, muss jeweils ein Standort und das zu diesem gehörende VPP-Server-Token erstellt werden. Dies gilt sowohl für das IServ-MDM, als auch für MDM-Lösungen von Drittanbietern. Die Verwendung desselben Standorts bzw. Tokens für mehrere MDM-Lösungen oder IServs kann zu erheblichen Problemen im Betrieb führen, und wird daher grundsätzlich nicht unterstützt.

Warnung

Die Mobilgeräteverwaltung entzieht unbekannten (nicht von ihr verwalteten) Geräten die App-Lizenzen. Andere parallel am selben Standort betriebene MDM-Lösungen können mit diesem Umstand möglicherweise nicht vernünftig umgehen. Je nach MDM-Lösung kann das beispielsweise dazu führen, dass App-Lizenzen nicht mehr zuweisbar oder entfernbar sind, was das für den Betrieb nutzbare Lizenz-Kontingent effektiv verringert.

Hinweis

Nach dem Anlegen des Standortes können einige Minuten vergehen, bis Lizenzen an ihn transferiert können oder dessen VPP-Server-Token unter Apps und Bücher auftaucht.

Hinweis

Für die spätere Zuweisung von Apps im Apple School Manager ist die Rolle „Inhaltsmanager:in“ erforderlich.

Zertifikate und Tokens aktualisieren

Das Push-Zertifikat, das DEP-Token und das VPP-Server-Token (Inhaltstoken) haben ein Ablaufdatum, das meist auf genau ein Jahr nach dem Erstellen der Datei fällt.

Sollte das Ablaufdatum näherrücken oder gar überschritten sein, wird Sie Ihr IServ in der Verwaltungs-Übersicht sowie auf der MDM-Einstellungen-Seite darauf hinweisen. In diesem Fall muss die Datei erneuert werden. Entnehmen Sie die zu befolgenden Schritte bitte den Erklärungen in den obigen Abschnitten.