iPad - Aktualisierung der Zertifikate und Token
| Vorarlberger Standardschulinstallation Verfasser: Kuno Sandholzer |
© 2025 IT-Regionalbetreuer Vorarlberg |
1. Vorwort
Um die Zusammenarbeit des Apple School Managers mit Intune im Rahmen der iPad-Geräteverwaltung sicherzustellen, ist es notwendig, drei verschiedene Zertifikate bzw. Token regelmäßig zu aktualisieren.
Die Gültigkeit der Zertifikate bzw. Token beträgt jeweils ein Jahr. Der Einfachheit halber empfehlen wir, die Zertifikate bzw. Token zwei Mal im Jahr zu aktualisieren. Abgelaufene Zertifikate und Token können unter Umständen zu großen Problemen bei der Geräteverwaltung führen. Daher: better be safe than sorry.
Die Ersteinrichtung der Zertifikate und Token ist in der Anleitung "iPad - Einrichtung des ASM mit Intune" beschrieben. Dieses Dokument bezieht sich ausschließlich auf die Verlängerung bestehender Zertifikate bzw. Token.
Diese Kurzanleitung basiert auf der Dokumentation "Einrichtung des ASM mit Intune" von Andreas Renner (BD Vorarlberg) sowie der Dokumentation "Apple Token Erneuerung" von Andreas Steingruber, BSc (BD Stmk).
2. Erneuerung des MDM-Push-Zertifikats
Das MDM-Push-Zertifikat ist für die Verbindung der im ASM registrierten iPads mit der MDM-Verwaltung in Intune verantwortlich.
Dieses Zertifikat darf nur erneuert und nicht ersetzt werden. Wird ein neues Zertifikat erstellt, so verliert Intune die Verbindung zu den bereits registrierten Geräten. In diesem Fall müssen alle Geräte komplett zurückgesetzt und neu eingerichtet werden.
Die empfohlene Vorgehensweise ist die Verwendung eines Browsers und das Öffnen der einzelnen Webseiten in eigenen Tabs.
Anmeldung in Intune mit einem Administratorkonto: Geräte - Registrierung - Apple - Apple-MDM-Push-Zertifikat
CSR herunterladen
Im eingestellten oder angegebenen Downloadverzeichnis befindet sich nun die Datei "IntuneCSR.csr".
Eigenes MDM-Push-Zertifikat erstellen
Auf der sich öffnenden Webseite mit der ursprünglich verwendeten Apple-ID anmelden:
Beim bestehenden Zertifikat "Renew" auswählen:
Über "Datei auswählen" die gespeicherte IntuneCSR.csr suchen und auswählen:
... und auf "Upload" klicken:
Nun das erstellte MDM-Zertifikat via "Download" herunterladen.
Im eingestellten oder angegebenen Downloadverzeichnis befindet sich nun die Datei "MDM_ Microsoft Corporation_Certificate.pem".
Diese Datei nun in Intune im geöffneten Dialog unter Angabe der korrekten Apple-ID angeben und hochladen.
Abschließend kann das Fenster nun geschlossen werden.
3. Erneuerung des "Token für Registrierungsprogramm"
Der Token für Registrierungsprogramm ist für die Einrichtung der im ASM registrierten iPads mit der MDM-Verwaltung in Intune verantwortlich. Über diesen Token können die entsprechenden Registrierungsprofile zugeordnet werden.
Dieses Zertifikat sollte nur erneuert und nicht ersetzt werden. Wird ein neues Zertifikat erstellt, so verliert das jeweilige Registrierungsprofil die Verbindung zu den bereits eingerichteten iPads und wird nicht mehr periodisch angewendet.
Die empfohlene Vorgehensweise ist die Verwendung eines Browsers und das Öffnen der einzelnen Webseiten in eigenen Tabs.
Anmeldung in Intune mit einem Administratorkonto: Geräte - Registrierung - Apple - Token für Registrierungsprogramm
Den bestehenden Token auswählen:
"Token erneuern" auswählen:
Über den Link "Neues Token für Apple School Manager generieren" oder direkt im ASM anmelden, dabei die bisher verwendete Apple-ID verwenden:
In den Einstellungen des ASM den entsprechenden Geräteverwaltungsdienst auswählen (Hier "Endpoint Manager ...") und den "Token laden".
Den folgenden Dialog mit "Token laden" bestätigen.
Im Downloadverzeichnis wird nun der neue Token gespeichert, der Name besteht aus der Bezeichnung des Geräteverwaltungsdienstes, Datum und Uhrzeit sowie der Endung "_smime.p7m".
In Intune kann dieser Token nun eingebunden werden:
Mit "Weiter" und "Erstellen" wird der neue Token aktiviert.
Sobald aus dem Apple School Manager ein neuer Token heruntergeladen wird, verliert der alte Token seine Gültigkeit.
4. Erneuerung des Apple-VPP-Token
Der Apple-VPP-Token ist für die Lizenzverwaltung der Apps zuständig, die über den Apple School Manager erworben werden.
Im Gegensatz zum "MDM-Push-Zertifikat" und zum "Token für Registrierungsprogramm" ist es hier nicht zwingend notwendig, die gleiche Apple-ID wie bisher zu verwenden - aber natürlich empfehlenswert.
Die empfohlene Vorgehensweise ist die Verwendung eines Browsers und das Öffnen der einzelnen Webseiten in eigenen Tabs.
Anmeldung in Intune mit einem Administratorkonto: Mandantenverwaltung - Connectors and Token
Nun Apple-VPP-Token und den bereits bestehenden Token auswählen:
Nun erfolgt der Wechsel in den Apple School Manager. Dieser ist von der Erneuerung des "Token für Registrierungsprogramm" eventuell noch geöffnet.
Unter Einstellungen - Zahlungen und Rechnungen den bestehenden Inhaltstoken "Laden":
Dieser liegt dann im Downloadverzeichnis und trägt den Namen "sToken_for_<schule>.vpptoken".
Zurück in Intune werden nun die Grundeinstellungen bearbeitet, da dort der Token definiert ist:
Den neuen Token auswählen
und mit "Überprüfen und Speichern" sowie "Speichern" finalisieren.
Keine Kommentare vorhanden
Keine Kommentare vorhanden