03 iPad - ASM - Intune
| Vorarlberger Standardschulinstallation Verfasser: Andreas Renner, Kuno Sandholzer |
© 2025 IT-Regionalbetreuer Vorarlberg 6900 Bregenz, Römerstraße 14 Alle Rechte vorbehalten |
1 Einleitung und Quellen
Die vorliegende Handreichung beinhaltet eine technische Anleitung für die Konfiguration von Microsoft Intune und Apple School Manager. Sie stützt sich auf eine hervorragende Dokumentation von Georg Steingruber und Bernhard Köck. Einige Inhaltspassagen sind weitgehend identisch übernommen. Ich habe sie lediglich für unsere Vorarlberger RB Standardinstallation angepasst. Zusätzlich sind Inhalte aus einem Workshop mit der ACP Götzis eingeflossen, in dem uns Felix Huber wertvolle Tipps gab.
Quelle: Georg Steingruber und Bernhard Köck, https://community.eeducation.at/course/view.php?id=922
Hier findet ihr auch weitergehende Unterstützung und aktuelle Installationsanleitungen.
Durch ein MDM soll auf Schülergeräten insbesondere folgende technische und organisatorische Maßnahmen berücksichtigt werden:
- Automatisiertes Einspielen von Sicherheits- und Betriebssystemupdates auf den digitalen Endgeräten,
- aktueller Schutz vor Schadsoftware auf digitalen (Windows) Endgeräten zum Schutz des Schulnetzes,
- sicherer Betrieb im Schulnetz gemäß den für die jeweilige/n BenutzerIn festgelegten Zugriffsrechten,
- Aktivierung der für die Endgeräteverwaltung erforderlichen Software-Komponenten auf den verwalteten digitalen Endgeräten zumindest bei der Verwendung im Schulnetz und
- bei Verlust die Möglichkeit zur Fernlokalisierung, Fernsperre bzw. Fernlöschung der digitalen Endgeräte auf dokumentierten Wunsch der Geräteinhaberin oder des Geräteinhabers.
Weitere rechtliche Aspekte sind aktuell noch in Bearbeitung und werden nach Finalisierung in einem gesonderten Schriftstück zur Verfügung gestellt. Jedenfalls sind die Funktionen des MDM so auszugestalten, dass auf die Bereiche am Endgerät nicht über die obigen Aspekte der IT-Sicherheit (Schutz von Schadsoftware) hinausgehend zugegriffen wird, die für die persönliche Ablage von Dateien der Schüler/innen verwendet werden (etwa: Eigene Dateien, Fotos, Browserverlauf, Chat-Inhalte und Protokolle, Bewegungsdaten etc.). Auch wird darauf hingewiesen, dass im Zuge der Konfiguration AGBs und sonstige Bestimmungen bewusst zu bestätigen sind.
Es handelt sich bei diesem Dokument um eine Anleitung für jene Personen, die an den an der Geräteinitiative „Digitales Lernen“ teilnehmenden Schulen mit der Konfiguration des Mobile Device Managements betraut wurden. Die Handreichung wurde für Schulungs- und Vorbereitungszwecke erstellt, um die Konfiguration für die verantwortlichen Personen zu vereinfachen und in weiterer Folge einen pädagogisch sinnvollen Einsatz der digitalen Endgeräte an den Schulstandorten sicherzustellen. Um dieser Funktion gut nachzukommen, wird diese Handreichung laufend weiterentwickelt und durch Ihr Feedback erweitert. Sie können die unterschiedlichen Versionen anhand des auf dem Deckblatt ersichtlichen Datums sowie der dort sichtbaren Versionsnummer erkennen. Bitte prüfen Sie regelmäßig auf https://community.eeducation.at/course/view.php?id=922, ob eine aktuellere Version der Quelle verfügbar ist.
2 Hilfe
Falls es Probleme mit der ASM Aktivierung gibt, soll laut Apple mit einer E-Mail an
digitaleschule@apple.com unkompliziert weitergeholfen werden! Hinter dieser Adresse sind Stefan Hackl und Resa Shams.
AppleCare Enrollment Support-Nummern für Apple School Manager
Österreich: 0800 070268
MO-FR 8:00-17:00 Uhr
Apple für Support und Service in Österreich
0800 220325
https://support.apple.com/de-at/HT201232
Hilfestellungen bei Problemen beim Deployment:
0800070268 - direkte Nummer zum Deployment-Support
Hilfestellung zum Apple Configurator:
https://support.apple.com/de-de/apple-configurator
|
|
|
|
|
https://support.apple.com/de-de/education
|
|
https://support.apple.com/de-de/guide/apple-school-manager/apd098f3d709/1/web/1 https://support.apple.com/de-de/apple-configurator 0800070268 - direkte Nummer Deployment-Support |
|
2.1 Schulwechsel / Garantieabwicklung
Wenn Schüler die Schule wechseln, so muss das iPad in der neuen Schulen in den Apple School Manager übernommen werden.
Quellschule - Schule, in die der Schüler vorher gegangen ist:
- Zuordnung des iPads im Apple School Manager der alten Schule löschen
Zielschule - Schule, in die der Schüler wechselt:
- Email an einkauf@omegacom.at mit dem Inhalt
- Seriennummer des iPads
- Schulkennzahl der neuen Schule
- ASM Organisations-ID der neuen Schule
Die Durchführung erfolgt erfahrungsgemäß innerhalb von 24 Stunden.
Geräteinfos: https://digitaleslernen.oead.at/de/fuer-schulen/geraeteinformationen#c46371
Garantieabwicklung: https://www.justedu.at/
2.2 Probleme mit der ASM Aktivierung
Falls es Probleme mit der ASM Aktivierung gibt, soll laut Apple mit einer E-Mail an digitaleschule@apple.com unkompliziert weitergeholfen werden!
2.3 OeAD Digitales Lernen Support
Sie haben Fragen rund um die Geräteinitiative "Digitales Lernen"? Der OeAD Digitales Lernen Support steht Ihnen für telefonische und schriftliche Anfragen zur Verfügung!
- E-Mail: digitaleslernen@oead.at
- Telefon: +43 720 080356, Mo. – Fr. (werktags) von 9:00 – 12:00 Uhr
2.4 Das bmbwf hat einen Support beauftragt:
Zur Verwendung der Support-Plattform ist eine einmalige Registrierung notwendig:
https://techrent.halopsa.com/portal/anonymousticket?tickettype_id=49&key=b1cf223f-1389-4101-9b3e-07d23e88a0fe
Hier geht es zur Support-Plattform: https://techrent.halopsa.com/portal
Aleksandar Petrovic (support.eduwerk.at), Telefon: 019346065454
2.5 Gerätebörse: Tausch und Kauf
Die Gerätebörse arbeitet mit der Firma Compuritas zusammen und bietet diese Dienste:
- Nimmt (bei Schulwechsel an eine neue Schule mit anderem Gerätetyp) Geräte+Zubehör zurück.
- Bietet gebauchte Geräte+Zubehör zu fairen Preisen an.
Die Eltern können sich auch direkt (per E-Mail) an die Firma Compuritas wenden, wenn es sich um eine notwendige Neuanschaffung handelt, ohne dass ein Gerät zurückgegeben wird.
Compuritas
T: +43 316 89 03 09
E: digitaleslernen@compuritas.at
W: www.compuritas.at | shop.compuritas.at
Die E-Mails an Compuritas sind auch mit OeAD verbunden und können gemeinsam bearbeitet werden.
Hier ein paar nützliche Links für fast alle Fälle:
- https://digitaleslernen.oead.at/de/fuer-eltern/geraete-support/geraeteboerse - generelle Informationen zur Gerätetauschbörse
- https://digitaleslernen.talentify.at/geraeteboerse - die Gerätetauschbörse selbst
- https://digitaleslernen.oead.at/de/fuer-schulen/geraeteinformationen/geraete-nachbestellung-schulwechsel - generelle Informationen bzgl. Schulwechsel und Nachbestellungen
- https://shop.compuritas.at/geraeteboerse-36 – unsere Kategorie Gerätebörse im Webshop mit allen verfügbaren Modellen - je nach Lagerstand auch für Anfragen von Eltern ohne Tauschgerät
Via der Gerätebörse bekommt man auf Wunsch die Gesamtpakete mit allem Zubehör und einsatzbereit.
Die Ausstattung gleicht dem originalen Rollout der Geräteinitiative Digitales Lernen.
iPads werden auch aus dem Apple School Manager der ursprünglichen Schule entfernt.
2.6 Ingo Steins Video-Tutorials
Auf der Seite des OEAD habe ich diese hilfreichen Videos gefunden. Diese drei Videos zeigen genau diese ersten Schritte mit dem Apple School Manager, vor denen wir stehen.
Sie sind von Ingo Stein, der in YouTube viele sehr hilfreiche Beiträge zu iPads in der Schule veröffentlicht hat.
3 Konfiguration zur Inbetriebnahme von Microsoft Intune
3.1 Vorbemerkungen
- Voraussetzung für dieses Dokument: Allen Lehrkräften sowie Schülerinnen und Schülern, deren Geräte mit Microsoft Intune verwaltet werden sollen, muss die Office365 A3 Lizenz zugewiesen worden sein
- Dieses Dokument wurde auf den Office365 Tenants für@bg-gallus.at, @klex.co.at und @klusemann.at erstellt. Ersetzen Sie daher die Domänennamen @klex.co.at bzw. @klusemann.at und @bg-gallus.at in diesem Dokument mit Ihrer Domäne (z.Bsp.: z.Bsp.:@blumenstrasse.at)Die Einrichtung des Apple School Managers benötigt in etwa 5 Werktage, nach denen Apple die Verwendung bestätigt
3.2 Wichtige Links zur Verwaltung von Microsoft Intune
Office365 Admincenter https://portal.office.com
Microsoft IntuneAdministration https://aka.ms/Intune
Microsoft Intune for Education Administration https://intuneeducation.portal.azure.com/
Apple Volume Purchase Portal https://volumepurchaseprogramcredit.apple.com/itunes/index.do
Apple School Manager https://school.apple.com
3.3 Unterstützte Betriebssysteme
Folgende Betriebssysteme auf Ihren Geräten werden von Microsoft Intune unterstützt
Microsoft Betriebssysteme
• Windows 11 (Pro, Education and Enterprise versions)
• Windows 11 Enterprise 2019 LTSC
Apple
• Apple iOS 12.0 und aktueller
• Apple iPadOS 13.0 und aktueller
• Mac OS X 10.13 und aktueller
4 Vorbereitungen im MS365 Tenant
4.1 So richtest Du den CNAME Eintrag für Microsoft Intune ein
Du oder dein DNS Provider muss für die Schule folgende zwei Einträge vornehmen, wenn das nicht schon bei der Einrichtung des Tennants geschehen ist.
CNAME EnterpriseEnrollment.bg-gallus.at EnterpriseEnrollment.manage.microsoft.com
CNAME EnterpriseRegistration.bg-gallus.at EnterpriseRegistration.windows.net
Bitte ersetze bg-gallus.at durch deine DNS Domäne (z.B. blumenstrasse.at)!
4.2 Einrichtung von Zugangskonten
Alle meine Benutzer mit administrativen Zugängen beginnen mit „a.“ oder „admin“. Im Punkt Abteilung trage ich zusätzlich ihre Rolle/Funktion ein. Damit habe ich diese wichtigen Benutzer immer auf einem Haufen. Zudem vermeiden wir einen Konflikt zwischen E-Mailadressen in MS365 und Apple-IDs aus dem Apple Schoolmanager.
a.admin@bg-gallus.at Globaler Administrator mit Vorname und Nachname
a.apple@bg-gallus.at keine Verwaltungsrolle mit Vorname und Nachname
a.intune@bg-gallus.at Intune Administrator mit Vorname und Nachname
(a.mdmadmin@bg-gallus.at) Globaler Administrator mit Vorname und Nachname)
Rollenkonfiguration am Beispiel von a.intune@bg-gallus.at Intune Administrator
|
|
|
|
5 Apple Schoolmanager - ASM
Der Apple School Manager dient zu folgenden Zwecken
- dem Kauf von kostenlosen und kostenpflichtigen iOS und iPadOS Apps
- der Zuweisung von Geräteseriennummern zum MDM (Intune). Die Zuweisung der Geräteseriennummern ist notwendig, wenn du dein iOS/iPadOS Geräte komplett verwaltest.
- der Anlage von verwalteten Apple-IDs
Verwaltete Apple-IDs sind im Falle von Microsoft Intune die Office365-Benutzerkonten und werden vom Apple School Manager mit Windows Azure Active Directory synchronisiert. Sie benötigen verwaltete Apple-IDs zur Anmeldung an vollverwalteten iOS und iPadOS Geräten oder zur Verwendung der Apple Classroom App.
Man benötigt den Apple School Manager, falls Sie zusätzlich zu den kostenlosen auch kostenpflichtige iOS/iPadOS Apps verteilen möchten oder Ihre iPads als vollständig zu verwaltende Geräte konfigurieren möchten.
Falls Sie Ihre Schüler/innen oder Lehrer/innen nur mit iOS Apps versorgen möchten, reicht es, die iPads als teilverwaltete Geräte zu konfigurieren und via Intune iOS Apps zur Verfügung zu stellen.
Der Apple School Manager verwaltet die Seriennummern Ihrer iPads. Diese Seriennummern werden entweder über zertifizierte Händler eingespielt (Device Enrollment Process DEP)oder können über den Apple Configurator (Voraussetzung ist ein MacOS-basiertes Gerät) eingespielt werden. Beim Installationsvorgang eines iPads wird überprüft, ob die Seriennummer des Geräts in einem Apple School Manager hinterlegt wurde und ob das Gerät auf jenes Mobile Device Management verweist, das für die Seriennummer hinterlegt wurde.
5.1 So beantragst du einen Apple School Manager für deine Schule
Videoanleitung von Ingo Stein: https://www.youtube.com/watch?v=efpOabIOscw
Um Apps für iOS (iPad/iPhone) zu verteilen, ist es notwendig, den Apple School Manager einzurichten. Die Bestätigung deiner Angaben durch Apple kann bis zu 5 Werktage dauern.
Öffne in Google Chrome den Link: https://school.apple.com
Wichtig! Gib bei Kontaktperson die Daten deiner Direktorin deines Direktors beziehungsweise deren Stellvertretung ein, da Apple die Daten durch die Direktorin bzw. den Direktor bestätigt.
Dein Standort sollte kein Sonderzeichen enthalten. Vermeide Umlaute und ß wie in Gallusstraße!
Solltest du im Standort trotz aller Vorsicht ein Sonderzeichen haben, wende dich an den Support:
|
|
Falsch
Richtig
|
|
|
|
|
|
|
|
Beim Bestätigungskontakt bitte SchulleiterIn oder Stellvertretung angeben. |
|
|
|
Die Adresse eurer Website ist ausschlaggebend für den ersten Domainnamen eures ASM und damit eurer ersten Apple-ID Aus bg-gallus.at @bg-gallusat.appleid.com
|
|
- Die Überprüfung deiner Angaben kann bis zu 5 Arbeitstage dauern, an denen dein/e Direktor/in und Du von Apple kontaktiert werden.
- Dein/e Direktor/in wird im Allgemeinen telefonisch von Apple kontaktiert und erhält eine Bestätigung der Anmeldung via E-Mail.
- In dieser E-Mail muss die Direktorin bzw. der Direktor einen Link anklicken, damit Sie
folgende E-Mail bekommen:
- Klicken Sie auf Erste Schritte
- Innerhalb von 7 Tagen müssen Sie den folgenden Registrierungsschritt abschließen
|
|
Apple-ID erstellen:
|
|
|
Es folgt eine E-Mail mit Bestätigungscode an diese Adresse.
|
|
Gib den via SMS erhaltenen Code ein und klicke auf Fortfahren. |
Dieser Administrator Account wird angelegt.
|
|
|
Ich lege gleich einen weiteren Administrator admin2@bg-gallusat.appleid.com an.
|
Jetzt habe ich zwei Administratoren:innen. Vier Administratoren:innen gibt es maximal. Sie beginnen alle mit admin, damit ich sie später unter den Hunderten Benutzern leichter finden kann.
admin@bg-gallusat.appleid.com
admin2@bg-gallusat.appleid.com
Später werde ich Administratoren:innen mit meiner Domäne anlegen @bg-gallus.at
Dazu muss ich meine Domäne zuvor mit meinem ASM verknüpfen.
admin.apple@bg-gallus.at ein allgemeiner Admin Account für alle weiteren Schritte
admin.carla@bg-gallus.at
admin.gerhard@bg-gallus.at
Den admin2@bg-gallusat.appleid.com, ein reines Sicherheitskonto, werde ich dann wieder löschen.
Videoanleitung von Ingo Stein: https://www.youtube.com/watch?v=N2eu9f1XPRE
5.2 So verifizierst du deine Domäne für den Apple School Manager
Die Domain @bg-gallusat.appleid.com ist nicht berauschend. Wir wollen unser Schuldomäne mit dem ASM verknüpfen, damit wir verwaltete Apple-ID @meineschule.at oder in meinem Fall @bg-gallus.at anlegen können. Dazu müssen wir dem ASM aber auch beweisen, dass wir Besitzer unserer Domain sind. Das machen wir mit einen TXT Eintrag, den Apple prüft.
|
|
Im ASM als Administrator
|
|
|
|
|
|
Jetzt wird der TXT Eintrag für den DNS Record erstellt. |
Eine kurze Erklärung der nächsten Schritte:
- TXT Eintrag für den DNS Record kopieren.
Der IT-Betreuer oder IT-Regionalbetreuer oder Internetprovider hat einen Zugang zu eurem DNS Server Record. - Im DNS Server Verwaltungstool für den DNS Record (hier eine Webapplikation namens PLESK):
- TXT Eintrag einfügen
- Im ASM als Administrator – Einstellungen – Accounts - Domains
- Jetzt prüfen
Bei dieser Prüfung schaut Apple, ob im DNS Record eurer Internet Domäne diese Zeile eingetragen ist. Falls Apple diesen Eintrag findet, gehen sie davon aus, dass ihr für diese Domäne autorisiert seid.
|
Schritt 1 -2 - im ASM: Schritt 3 Schritt 4 TXT Eintrag einfügen Schritt 5 |
|
5.3 Domain Verknüpfung aktivieren
Zum Aktivieren der Verknüpfung mit der Schuldomäne auf Bearbeiten klicken.
Jetzt muss man sich mit einem MS365 Konto anmelden.
Nach Anmeldung kommt es oft zu Fehlermeldungen. Grund sind eventuelle private Apple IDs, die auf eure Schuldomain ausgestellt sind. (Beispiel: rudi.ratlos@meineSchule.at Man sollte hier Benutzer informieren lassen. Sie müssen dann ihre private AppleID ändern. Empfehlung für alle MS365 Admin Accounts: Erst jetzt kann man sich mit seiner Schuladresse am iPad anmelden. |
|
5.4 Organisations-ID deines Apple School Managers
Die Apple School Manager Organisations-ID ist extrem wichtig!
Du musst sie bei der Gerätebestellung über den OEAD unbedingt angeben. Damit werden deine iPads deinem Apple School Manager hinzugefügt. Diesen DEP Vorgang kann ein zertifizierter Apple Handler durchführen. Die Verkäufer-ID einiger für uns relevanter Apple Verkäufer werden wir später unserem ASM hinzufügen. Die Verkäufer-ID des aktuellen Lieferanten des Ministeriums muss hinzugefügt werden.
iPads können auch mit einem Mac und der App "Apple Configurator 2" sowie einem iPhone oder iPad mit Hilfe der App "Configurator" in den ASM eingebunden werden.
|
|
- Administrator - Einstellungen - Registrierungs-informationen - Info zur Organisation |
5.5 Steuerinformationen
Diese Informationen verlangt Apple, damit wir im Apple School Manager Apps – auch kostenlose Apps - einkaufen können. Leider hat sich die Oberfläche verändert und ich kann diesen Schritt nur in der Einrichtungsphase, aber nicht nachträglich, demonstrieren. So machte man es bis Mai 2022:
|
|
Seit Mai 2022 völlig neue Oberfläche!
Apple bestätigt diese Einstellung, wobei dieser Vorgang bis zu 5 Werktage dauern kann.
Zum Erwerb kostenpflichtiger Apps muss eine Rechnungsadresse hinterlegt werden. Als Zahlungsmittel ist "Keines" gültig. |
In den Registrierungsinformationen muss schlussendlich der Steuerstatus auf genehmigt stehen.
5.6 Händlernummern:
Damit zertifizierte Apple Händler deinem Apple School Manager per DEP Geräte zuweisen können, müssen die Händlernummern in deinem ASM eingetragen sein. Ohne DEP Zuweisung bekommt ihr eure iPads nur sehr mühsam über den Apple Configurator 2 in euren Apple School Manager.
Administrator – Einstellungen MDM-Server-Zuweisung
- Kundennummern
- Bearbeiten
- Händlernummern
- Hinzufügen
Bitte tragt zumindest diese zertifizierte Österreichischen Apple Händler ein:
| ACP | 1C2FD220 |
| McWerk Gmbh | D86E60 |
| IT-TEAM GMBH | 61ADB20 |
| epos Computer Handels GmbH | 159A3BA0 |
| HAAI GmbH | EAE760 |
6 Verwaltete Apple-IDs
Verwaltete Apple-IDs sind von Grund auf für die Bedürfnisse und die rechtlichen Anforderungen von Bildungseinrichtungen vor allem im Hinblick auf die DSGVO konzipiert. Anders als persönliche Apple‑IDs, die eine Altersbeschränkung haben, gehören verwaltete Apple‑IDs der Schule oder dem Schulbezirk und werden von dieser/diesem verwaltet. Mit dem Apple School Manager ist es für Schulen einfach, diese Accounts bedarfsgerecht zu erstellen und zu verwalten, einschließlich dem Zurücksetzen von Passwörtern bzw. den Kauf- und Kommunikationseinschränkungen.
Schüler/innen und Lehrer/innen können mit diesen IDs auf Apple-Dienste zugreifen und haben die Möglichkeit, die Geräte zu personalisieren. Sie werden auch für den Zugriff auf Dienste von Apple – darunter iCloud (inkl. 200 GB kostenlosen Speicher), die Schoolwork App und die Zusammenarbeit mit iWork und Notizen - verwendet. Weiters können Daten auf den iPads über die Funktion iCloud-Backup gesichert werden. Administratorinnen, Administratoren und Mitarbeiter/innen verwenden sie, um sich bei Apple School Manager anzumelden.
Verwaltete Apple-IDs sind die Voraussetzung, damit im Zusammenhang mit Microsoft Intune die Classroom App und die Schoolwork App funktionsfähig sind.
Die Anmeldung am iPad mit der verwalteten Apple-ID erfolgt entweder beim erstmaligen Einrichten eines iPads oder später über die Einstellungen des iPads.
Verwaltete Apple-IDs können auf folgende Arten erstellt werden
- direkt im Apple School Manager über Accounts
- über eine Verknüpfung mit Microsoft 365 Azure Active Directory
- über einen SFTP Import von CSV Dateien (mühsam)
Wir machen die Verknüpfung mit Microsoft 365 Azure Active Directory, da sich Ihre Schüler/innen und Lehrer/innen mit dem Office365 Konto und dem Office365 Kennwort am iPad anmelden können. Diese Verknüpfung nennt man Federation Process.
7 Apple School Manager (ASM) mit Office365 Domäne verknüpfen
Achtung! Sobald du deine Office365 Domäne (meineschule.at) mit dem Apple School Manager verknüpfst, müssen alle privaten Apple-IDs, die sich mit deinem Domänennamen registriert haben (z.B. andreas.renner@bg-gallus.at) auf den privaten Geräten geändert werden. Dafür haben die Benutzer einen Zeitraum von 60 Tagen, in denen sie auf ihren iPhones/iPads aufgefordert werden, ihre Apple-ID zu ändern.
|
|
Einstellungen Accounts Verknüpfte Authentifizierung Verbinden |
Für diesen Schritt braucht es einen Benutzer, der folgende Voraussetzungen erfüllt:
- Globaler Administrator in Microsoft 365
- Einen Vornamen.Nachnamen hat.
- Als Anmeldedomäne und Emailadresse die öffentliche Schuldomäne – meineSchule.at
Dazu haben wir im Kurs einen Benutzer a.mdmadmin@meineschule.at angelegt.
Es geht auch mit jedem anderen globalen Administrator zB. admin@meineSchule.at
|
|
|
|
|
|
Ergebnis:
8 So verbindest du den Apple School Manager mit Intune
Wichtig: Werden die folgenden drei Zertifikate und Token nicht jährlich erneuert, gibt es Probleme. So müssen beim Ablauf des Apple-MDM-Push-Zertifikats alle Geräte neu installiert werden!
8.1 Apple Push Zertifikat für die Kommunikation zw. Intune - iPads
Um iPhones und iPads mit MS Intune Mobile Device Management (MDM) zu verwalten, muss erst ein Apple Push-Zertifikat erstellt werden und dieses dann ins Intune MDM-Portal hochladen werden. Dadurch kann Intune MDM Anweisungen, Profile und Richtlinien an die iPADs im ASM übertragen.
Um ein Apple Push-Zertifikat zu erstellen, benötigst du eine Apple-ID.
Zuerst wird in Intune ein öffentlicher Schlüssel erzeugt – das ist eine *.csr Datei.
Dieser öffentliche Schlüssel – die *.csr Datei – wird dann im Apple School Manager signiert und es entsteht eine *.pem Datei. Dieser signierte Schlüssel wird jetzt wieder nach Intune hochgeladen. Somit haben wir eine sichere Kommunikation zwischen unserem Intune und unseren iPads.
Wichtig: Wir sind in einem Browserfenster mit einem Tab als Admin im ASM und in einem anderen Tab als Admin in Intune. Die Fenster darf man während der Zertifikatserstellung nie schließen.
|
Geräte registrieren > |
Apple-Registrierung > Apple-MDM-Push-Zertifikat,
|
|
|
Klicke auf
|
|
|
*.pem Datei herunterladen
|
|
|
Achtung! Das Pushzertifikat, das für die Verteilung von Apps auf iOS/iPadOS Geräten verantwortlich ist, läuft jedes Jahr ab. Daher müssen Sie diesen Schritt jedes Jahr wiederholen. Beim Ablauf des Apple-MDM-Push-Zertifikats müssen alle Geräte neu installiert werden! |
8.2 Erneuern eines Apple-MDM-Push-Zertifikats
Das Apple-MDM-Pushzertifikat ist für ein Jahr gültig und muss jährlich erneuert werden, um die Geräteverwaltung von iOS/iPadOS und macOS beizubehalten. Wenn Ihr Zertifikat abläuft, können registrierte Apple-Geräte nicht kontaktiert werden.
Das Zertifikat ist mit der Apple-ID verknüpft, die verwendet wurde, um es zu erstellen. Erneuern Sie das MDM-Push-Zertifikat mit derselben Apple-ID, mit der es erstellt wurde.
- Melden Sie sich beim Microsoft Endpoint Manager Admin Center an, und navigieren Sie zu Geräte > Geräte registrieren > Apple-Registrierung > Apple-MDM-Push-Zertifikat.
- Wählen Sie CSR herunterladen aus, um die CSR-Datei herunterzuladen und lokal zu speichern. Die Datei wird verwendet, um ein Vertrauensstellungszertifikat vom Apple Push Certificates-Portal anzufordern.
- Wählen Sie Eigenes MDM-Push-Zertifikat erstellen aus, um zum Apple Push Certificates Portal zu gelangen.
Suchen Sie das Zertifikat, das Sie erneuern möchten, und wählen Sie Erneuern aus -
- Schreiben Sie auf dem Bildschirm Push-Zertifikat erneuern Notizen, die Ihnen zukünftig bei der Identifizierung des Zertifikats helfen. Klicken Sie auf Datei auswählen, um die neue Anforderungsdatei zu durchsuchen, die Sie heruntergeladen haben und dann auf Hochladen.
Tipp
Ein Zertifikat kann durch die Benutzer-ID identifiziert werden. Überprüfen Sie die Antragsteller-ID in den Zertifikatdetails, um den GUID-Teil der Benutzer-ID zu finden. Wenn Sie ein registriertes iOS-/iPadOS-Gerät verwenden, klicken Sie auf Einstellungen > Allgemein > Gerät Verwaltung > Verwaltungsprofil > Weitere Details > Verwaltungsprofil. Das zweite Zeilenelement Thema, enthält die eindeutige GUID, die Sie mit dem Zertifikat im Apple Push Certificates-Portal vergleichen können. - Wählen Sie auf dem Bildschirm Bestätigen die Option Herunterladen aus, und speichern Sie die PEM-Datei lokal.
- Wählen Sie in Intune das Symbol zum Durchsuchen des Apple-MDM-Push-Zertifikats aus, wählen Sie die PEM-Datei, die Sie von Apple heruntergeladen haben und anschließend Hochladen aus.
- Ihr Apple MDM-Push-Zertifikat erscheint als aktiv und läuft in 365 Tagen ab.
8.3 Token für das Registrierungsprogramm:
Wichtig: Werden die Zertifikate nicht erneuert, gibt es Probleme. So müssen beim Ablauf des Apple-MDM-Push-Zertifikats alle Geräte neu installiert werden!
Wir wollen, dass sich iPads über den Apple School Manager bei Intune automatisch registrieren. Ähnlich wie zuvor beim Apple-MDM-Push-Zertifikat braucht es dazu wieder verschlüsselte Verbindungen und wir müssen die nötigen Schlüssel erzeugen.
Dazu braucht es wieder einen Austausch von Token. Ein *.pem Token kommt von Intune und ein *.p7m Token vom ASM. Dieser *.p7m Token erlaubt es Intune Informationen über ASM Geräte zu synchronisieren.
Im Intune Registrierungsprogramm für iOS/iPadOS erzeugen wir zuerst eine *.pem Datei.
Die *.pem Datei brauchen wir um eine Vertrauenszertifikat im Apple School Manager, eine *.p7m Datei, zu erzeugen.
Mit diesem *.p7m Zertifikat können wir ASM mit Intune verbinden.
Wichtig: Wir sind in einem Browserfenster mit einem Tab als Admin im ASM und in einem anderen Tab als Admin in Intune. Die Fenster darf man während der Zertifikatserstellung nie schließen.
|
Im Microsoft Endpoint Manager admin center,
|
|
|
Browserfenster nicht schließen! Wir verwenden dasselbe Browserfenster: In einem Tab Intune und im anderen Tab ASM und in beiden sind wir als Administratoren angemeldet. |
|
|
Schritt 1 Kreuze Ich stimme zu an Schritt 2 Klicken Sie auf Laden Sie Ihren öffentlichen Schlüssel herunter (*.pem Datei) Schritt 3 Klicken Sie auf Token über School Manager erstellen (*.p7m Datei) Browserfenster nicht schließen! |
|
|
Token über ASM erstellen Wir wechseln in den ASM. Schritt 7: MDM Server Name: Wähle einen Namen mit dem du dein MDM identifizierst. Das ist nicht die URL des Microsoft Intune Servers Schritt 9: Intune Zertifikat mit öffentlichem Schlüssel (*.pem Datei) in den ASM hochladen. Schritt 10+11 Apple Token (*.p7m Datei) sichern. |
|
|
Wir wechseln wieder nach Intune Browserfenster nicht schließen! Schritt 12 Wir geben eine Apple-Id eines ASM Admins ein (der den Token in Schritt 7-11 erstellt hat). Schritt 13 Wir laden den Apple Token (*.p7m Datei) nach Intune. Schritt 14 Weiter |
|
|
Browserfenster nicht schließen! Das Ergebnis |
|
8.4 So weist du Geräten dein Intune MDM zu
8.4.1 Standard MDM-Zuweisung für neue Geräte im ASM
Wir sollen nur iPads mit unserem Intune verwalten
8.4.2 MDM-Zuweisung für Geräte im ASM bearbeiten
Du kannst mehrere MDMs dem ASM zuweisen.
Welches Gerät bekommt welches MDM?
MDM Zuweisung der bestehenden Geräte wird angezeigt.
Es können mehrere Geräte ausgewählt werden, um ein MDM zuzuweisen.
Die Zuweisung ginge auch per CSV Datei
9 So bereitest du den iOS Store für iOS/iPadOS Geräte vor
Wichtig: Werden die Zertifikate nicht erneuert, gibt es Probleme. So müssen beim Ablauf des Apple-MDM-Push-Zertifikats alle Geräte neu installiert werden!
|
|
Im Microsoft Endpoint Manager
|
|
|
Wir brauchen eine _e.vpptoken Datei aus dem ASM Dazu wechseln wir als Admin in den ASM |
|
|
Seit Mai 2022 völlig neue Oberfläche! Wahrscheinlich hast du diese „Steuerpflicht-Schritte“ schon gemacht. Ich habe sie zuvor schon beschrieben.
Apple bestätigt diese Einstellung, wobei dieser Vorgang bis zu 5 Werktage dauern kann. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
10 Token und Zertifikate jährlich erneuern
Die drei Token und Zertifikate müssen jährlich erneuert werden.
- Apple-MDM-Push-Zertifikats – Kommunikation mit den iPads
- Token für das Registrierungsprogramm- Registrierung beim Endpoint Manager (Intune)
- Apple VPP Token – Synchronisierung der APP und Bücher aus dem ASM in den Endpoint Manager (Intune)
Wichtig: Werden die Zertifikate nicht erneuert, gibt es Probleme. So müssen beim Ablauf des Apple-MDM-Push-Zertifikats alle Geräte neu installiert werden!
Schließe nie die Browser und arbeite mit Google Chrome oder Microsoft Edge
10.1 Erneuern eines Apple-MDM-Push-Zertifikats
|
Geräte registrieren > Sie auch Kapitel vorher 8.2 Erneuern eines Apple-MDM-Push-Zertifikats |
Apple-Registrierung > Apple-MDM-Push-Zertifikat,
|
|
|
|
|
Jetzt wieder zurück in den Microsoft Endpoint Manager Nicht vergessen: Browser nie schließen! |
|
Im Apple Push Certificates Portal
Ihr Apple MDM-Push-Zertifikat erscheint als aktiv und läuft in 365 Tagen ab.
Tipp
Ein Zertifikat kann durch die Benutzer-ID identifiziert werden. Überprüfen Sie die Antragsteller-ID in den Zertifikatdetails, um den GUID-Teil der Benutzer-ID zu finden. Wenn Sie ein registriertes iOS-/iPadOS-Gerät verwenden, klicken Sie auf Einstellungen > Allgemein > Geräteverwaltung > Verwaltungsprofil > Weitere Details > Verwaltungsprofil. Das zweite Zeilenelement Thema, enthält die eindeutige GUID, die Sie mit dem Zertifikat im Apple Push Certificates-Portal vergleichen können.
10.2 Token für das Registrierungsprogramm erneuern
|
|
|
|
|
Token erneuern |
|
|
Es öffnet sich der Apple School Manager (ASM) Mit diesem ASM Admin beim ASM anmelden |
|
|
Im Apple Schoolmanager:
Vorsicht: Der alte Token wird jetzt inaktiv und eine neue p7m Datei wird erzeugt. Diese Datei ins Intune hochladen. |
|
|
|
|
|
Ergebnis |
10.3 Apple VPP Token
... für das Volume Purchase Programme um Apps aus dem Apple Schoolmanager in MS Endpoint Manager (Intune) zu synchronisieren.
|
|
Im ASM:
|
|
|
|
|
|
Token Doppelklicken und Grundeinstellungen bearbeiten |
|
|
|
|
|
|
|
|
