02 iPad Vollverwaltung mit Intune

Vorarlberger Standardschulinstallation Verfasser: Andreas Renner, Kuno Sandholzer

© 2025 IT-Regionalbetreuer Vorarlberg 6900 Bregenz, Römerstraße 14 Alle Rechte vorbehalten

1 Quellen

Bei der vorliegenden Handreichung orientierte ich mich anfangs an einer Dokumentation von Georg Steingruber und Bernhard Köck. Einige Inhaltspassagen sind weitgehend identisch übernommen. Ich habe sie lediglich für unsere Vorarlberger RB Standardinstallation angepasst.

Der wichtigste Input ist aus einem Workshop mit der ACP Götzis eingeflossen, in dem Felix Huber eine Gesamtkonzept mit uns erarbeitete. Ich danke Jochen Oberhauser (ACP Götzis) für die Organisation und Unterstützung.

Ich danke Matthias Mair für die tolle Zusammenarbeit, die vielen Tipps und die zeitintensiven Tests mit Apple Configurator 2.

Zuletzt habe ich unsere Vorgangsweise mit Stefan Hackl und Resa Shams von Apple Österreich abgestimmt, die weitere wichtige technische Details einbrachten und mein Verständnis für Registrierungsvorgänge bei iPads schärften. Auf ihren Rat hin überarbeitete ich die konzeptionellen Bereiche der „APP Restrictions“ und der „Konfigurationseinschränkungen“. Dabei reduzierte ich meine rigiden Einschränkungen auf ein Minimum.

Schriftliche Quelle: Georg Steingruber und Bernhard Köck, https://community.eeducation.at/course/view.php?id=922, in der Draft Version vom 7.5.2021

Andreas Renner
IT-Regionalbetreuer für die Bildungsdirektion Vorarlberg Präs/1a
ARGE Leiter IT/NW für die PH Vorarlberg
Email: andreas.renner@bildung.gv.at

2 Apple Hilfe und Support

AppleCare Enrollment Support-Nummern für Apple School Manager
Österreich: 0800 070268
MO-FR 8:00-17:00 Uhr

Apple für Support und Service in Österreich (Gerätesupport)
0800 220325
https://support.apple.com/de-at/HT201232

Hilfestellungen bei Problemen beim Deployment:
0800070268 - direkte Nummer zum Deployment-Support
https://support.apple.com/de-de/apple-configurator

Telefonische Hilfe bekommt man hier:

	https://support.apple.com/de-de/education
https://support.apple.com/de-de/guide/apple-school-manager/apd098f3d709/1/web/1

2.1 Probleme mit der ASM Aktivierung

Falls es Probleme mit der ASM Aktivierung gibt, soll laut Apple mit einer E-Mail an digitaleschule@apple.com unkompliziert weitergeholfen werden!

2.2 OeAD Digitales Lernen Support

Sie haben Fragen rund um die Geräteinitiative "Digitales Lernen"? Der OeAD Digitales Lernen Support steht Ihnen für telefonische und schriftliche Anfragen zur Verfügung!

• Kontaktformular https://digitaleslernen.zendesk.com/hc/de/requests/new
• E-Mail: digitaleslernen@oead.at
• Telefon: +43 720 080356, Mo. – Fr. (werktags) von 8:00 – 14:00 Uhr

2.3 Das bmbwf hat einen Support beauftragt:

Zur Verwendung der Support-Plattform ist eine einmalige Registrierung notwendig:
https://techrent.halopsa.com/portal/anonymousticket?tickettype_id=49&key=b1cf223f-1389-4101-9b3e-07d23e88a0fe

Hier geht es zur Support-Plattform: https://techrent.halopsa.com/portal
Aleksandar Petrovic (support.eduwerk.at), Telefon: 019346065454

2.4 Gerätebörse: Tausch und Kauf

Die Gerätebörse arbeitet mit der Firma Compuritas zusammen und bietet diese Dienste:

• Nimmt (bei Schulwechsel an eine neue Schule mit anderem Gerätetyp) Geräte+Zubehör zurück.
• Bietet gebauchte Geräte+Zubehör zu fairen Preisen an.

Die Eltern können sich auch direkt (per E-Mail) an die Firma Compuritas wenden, wenn es sich um eine notwendige Neuanschaffung handelt, ohne dass ein Gerät zurückgegeben wird.

Compuritas
T: +43 316 89 03 09
E: digitaleslernen@compuritas.at
W: www.compuritas.at | shop.compuritas.at

Die E-Mails an Compuritas sind auch mit OeAD verbunden und können gemeinsam bearbeitet werden.

Hier ein paar nützliche Links für fast alle Fälle:

• https://digitaleslernen.oead.at/de/fuer-eltern/geraete-support/geraeteboerse - generelle Informationen zur Gerätetauschbörse
• https://digitaleslernen.talentify.at/geraeteboerse - die Gerätetauschbörse selbst
• https://digitaleslernen.oead.at/de/fuer-schulen/geraeteinformationen/geraete-nachbestellung-schulwechsel - generelle Informationen bzgl. Schulwechsel und Nachbestellungen
• https://shop.compuritas.at/geraeteboerse-36 – unsere Kategorie Gerätebörse im Webshop mit allen verfügbaren Modellen - je nach Lagerstand auch für Anfragen von Eltern ohne Tauschgerät

Via der Gerätebörse bekommt man auf Wunsch die Gesamtpakete mit allem Zubehör und einsatzbereit.
Die Ausstattung gleicht dem originalen Rollout der Geräteinitiative Digitales Lernen.
iPads werden auch aus dem Apple School Manager der ursprünglichen Schule entfernt.

3 Überblick

Bei vollverwalteten Geräten (wie in diesem Dokument beschrieben) können Sie mit Microsoft Intune nicht nur Apps zuweisen und Lizenzen für Windows und Microsoft Office verteilen, Sie bekommen vollen Zugriff auf persönliche Daten oder auf Geräteeinstellungen. Diese Option empfiehlt sich für Geräte im Eigentum der Schule, deren Einstellungen Sie voll administrieren möchten, insbesondere, wenn diese Geräte regelmäßig auf IT-Dienste und Services der Schulverwaltung zugreifen (Dienstgeräte). Mir ist es bisher nicht gelungen über Intune Zugriff auf die Benutzerdaten eines iPads zu erlangen. Als Administrator hatte ich aber schon immer im „on premise“ Active Directory als auch im Azure Active Directory Zugriff auf Benutzdaten.

iOS/iPadOS müssen komplett zurückgesetzt und gelöscht werden, um sie als vollverwaltete Geräte zu konfigurieren. Dieses komplette Löschen entfällt bei teilverwalteten Geräten. Windows Geräte können auch im bereits installierten Zustand als vollverwaltete Geräte konfiguriert werden, ohne dass sie gelöscht werden müssen. Mit Microsoft Intune (Teil von Office365) können Windows, iOS und Android Geräte zentral verwaltet werden. Durch die integrierte Anbindung an die Stores von Microsoft, Google und Apple wurde ein einheitliches Gerätemanagement für die drei Betriebssystemwelten (Windows, Android und iOS) geschaffen.

Zum einen werden Apps Gruppen von Personen oder Gruppen von Geräten zugewiesen, zum anderen werden Konfigurationen (WLAN, Antivirenrichtlinien, Gerätebeschränkungen wie z.Bsp. das Deaktivieren der Kameras) und Lizenzen Gruppen von Geräten zugewiesen.

Dieses Dokument beschreibt die Einrichtung vollverwalteter Geräte, die von den Schuladministrator/innen zur Gänze verwaltet werden sollen.

Die im Folgenden beschriebenen Einbindungsmethoden erlauben sowohl die Zuweisung von Apps, die Lizenzierung des Betriebssystems durch Office365 als auch die Steuerung (z.Bsp. des Hintergrundbilds), das Deaktivieren von Gerätekomponenten wie Kameras, Telefon, Mikrophon und die zentrale Zuweisung von Richtlinien (z.Bsp.: Registry-Einstellungen unter Windows, das Ausblenden von Systemanwendungen wie die Einstellungs-App unter iOS oder Android und vieles mehr). Bei vollverwalteten Geräten besteht der vollständige Zugriff auf alle Dateien, WhatsApp-Nachrichten oder SMS.

Bitte beachten Sie, dass der Zugriff auf persönliche Daten von SchülerInnen (z.Bsp. auch Standortdaten, Browserverlauf etc.) im Zuge der Geräteverwaltung keinesfalls zulässig ist. Daher ist im Zuge der Geräteverwaltung mit administrativen Rechten äußerst sorgsam umzugehen und durch geeignete Konfiguration der Schutz der persönlichen und personenbezogenen Schülerdaten am Gerät sicherzustellen. Bitte beachten Sie, dass der Zugriff auf persönliche Daten von Schüler/Innen einen Verstoß gegen das Dienstrecht darstellt und mit den administrativen Rechten daher äußerst sorgsam umgegangen werden muss!

1:1 Modell versus Shared-User (1:n) Modell

Bei der Verwendung von Geräten unterscheiden wir zwei Modelle, das 1:1 Modell und das Shared-User Modell oder 1:n Modell. Beim 1:1 Modell arbeitet immer dieselbe Person mit einem Gerät, wohingegen beim 1:n Modell mehrere Personen ein Gerät verwenden.

Die Geräte aus dem 8-Punkte Plan für eine Digitale Schule werden im Allgemeinen als 1:1 Geräte verwendet, da jeder Schüler und jede Schülerin ein eigenes Gerät verwendet. Ein typisches 1:n Modell stellt ein schuleigener Gerätepool dar. Lehrer/innen buchen z.Bsp. 20 iPads für den Unterricht in der 2. Stunde in der 4a. In der 3. Stunde verwendet die 3b dieselben Geräte. Windows und iOS/iPadOS Geräte unterstützen beide Modelle, da beide Betriebssysteme die Anmeldung mit eigenen Benutzerkonten (Office365 Konten) erlauben. Bei Windows funktioniert das automatisch, iOS/iPadOS Geräte müssen als sogenannte Shared iPads (siehe diese Dokumentation) eingerichtet werden.

So bindest du vollverwaltete IOS Geräte ein

DEP Device Enrollment Process

Um iOS Geräte als vollverwaltete Geräte zu registrieren, müssen die Seriennummern der Geräte in Ihrem Apple School Manager eingetragen sein. Um die Seriennummern im Apple School Manager zu registrieren, müssen Sie die iOS Geräte bei zertifizierten Händlern kaufen. Damit werden die Seriennummern im Apple School Manager registriert. Diesen Prozess nennt man DEP.

Voraussetzungen für das DEP

Bitte tragt zumindest diese zertifizierte Österreichischen Apple Händler ein:

ACP 1C2FD220

McWerk Gmbh D86E60

IT-TEAM GMBH 61ADB20

epos Computer Handels GmbH 159A3BA0

HAAI GmbH EAE760

IT-TEAM GMBH 61ADB20

Die Apple School Manager Organisations-ID ist extrem wichtig!
Du musst sie bei der Gerätebestellung über den OEAD unbedingt angeben. Damit werden deine iPads deinem Apple School Manager hinzugefügt. Diesen DEP Vorgang kann nur ein zertifizierter Apple Handler durchführen. Die Verkäufer-ID einiger für uns relevanter Apple Verkäufer werden wir später unserem ASH hinzufügen.

- Administrator - Einstellungen - Registrierungs-informationen - Info zur Organisation

Vernünftig verwalten lassen sich die Geräte im ASM nicht. Wenn ein iPad bootet, fragt es bei Apple, ob es in einem Apple School Manager verwaltet wird. In unserem Fall würde daraufhin das iPad der Geräteverwaltung von Intune übergeben. Dieses MDM kann am Gerät Konfigurationseinstellungen festlegen und Apps zuweisen.

Apple Konfigurator2

Falls du Geräte, die nicht bei zertifizierten Händlern gekauft wurden, als vollverwaltete Geräte registrieren möchtest, so funktioniert das über den Apple Konfigurator2, der ein MacOS-basiertes Gerät voraussetzt. Darum braucht jede IPad-Schule einen MAC Computer. Dieser MAC Computer muss auch den APP Caching Dienst permanent im Subnetz der iPads zur Verfügung stellen, damit die iPads an deiner Schule Softwarepakete nicht jeweils einzeln aus den Internet herunterladen.

Zum Einbinden von iPads mit dem Apple Configurator2 und dem Apple APP Caching Dienst lesen die die Kapitel gegen Schluss:

„Aktivieren des Inhaltscachings auf einem Mac Rechner“

„Vorbereiten eines Devices im Apple Configurator“

Geräteregistrierung in Intune mit Registrierungsprofil

Für die Registrierung neuer Geräte in Intune erstellen wir ein Registrierungsprofil und nennen es
REG_Profile_IOS_2021. In diesem Profil erfolgt die Registrierung mittels der Intune Unternehmensportal App, die wir zuerst „kaufen“ müssen.

Intune Unternehmensportal kaufen und per Apple Volume Purchase Programme - VPP zuweisen

ASM 🡪 Apps und Bücher	MS Endpoint Manager 🡪 Mandantenverwaltung 🡪 Connectors und Token
Apple-VPP Token 🡪 Auf die 3 Punkte rechts klicken 🡪 Synchronisieren	Jetzt haben wir die Intune Unternehmensapp in Intune – Apps – iOS/iPadOS Apps Nur iOS Volume Purchase Apps werden installiert!!

	Geräte 🡪 Geräte registrieren 🡪 Apple Registrierung 🡪 Token für Registrierungsprogramm
	Doppelklick auf den Token für Registrierungsprogramm Profil erstellen 🡪 iOS/iPadOS Wir nennen es REG_Profile_IOS_2021

Gerätename: Vorlage für Gerätename Mit dieser Vorlage könnten wir die Geräte eines Jahrgangs besser identifizieren. Gerätenamen in Windows Systemen können bei über 15 Zeichen zu Problemen führen. Die Seriennummers sind schon 12 Zeichen lang und sollten als identifizierendes Merkmal im Namen vorkommen. Wir erstellen für jedes Jahr ein neues Registrierungsprofil, das wir als Standardprofil definieren. Das Standardprofil erhalten alle neuen Geräte, die noch kein Registrierungsprofil zugewiesen haben. 21-{{SERIAL}} 22-{{SERIAL}} ... Eine Zuordnung der Geräte zu Jahrgängen, Klassen und LehrerInnen machen wir über Kategorien. Mithilfe dieser Kategorien können wir bei Bedarf dynamische Gruppen bilden. Beispiele: 1A-Schueler-2021 1B-Schueler-2021 Lehrer-2021 1A-Schueler-2022 1B-Schueler-2022 Lehrer-2022

Möglichst vieles ausblenden überprüfen und speichern. Mit den Ortungsdiensten wird die Zeitzone auf dem iPad richtig eingestellt und damit die Uhrzeit auf den iPads. Weiter – Überprüfen und Erstellen

Dieses Registrierungsprofil REG_Profil_iOS_2021 legen wir als Standard für neue Geräte fest. Wir knnten auch verschiedenen Geräten unterschiedliche Profile zuweisen.

Das Ergebnis für den Token des Registrierungsprogramms

Bestehende Geräte können wir ein Registrierungsprofil zuweisen. Neue Geräte bekommen das Standardprofil zugewiesen. 🡪 Geräte 🡪 Geräte registrieren 🡪 Apple-Registrierung 🡪 Token für Registrierungsprog. 🡪 Doppelklick auf Token 🡪 Geräte 🡪 Synchronisierung 🡪 Geräte auswählen 🡪 Profil zuweisen

Apple Configurator Registrierungsprofil (optional)

Falls du Geräte, die nicht bei zertifizierten Händlern gekauft wurden, als vollverwaltete Geräte registrieren möchtest, so funktioniert das über den Apple Konfigurator2, der ein MacOS-basiertes Gerät voraussetzt. Darum braucht jede IPad Schule einen MAC Computer. Dieser MAC Computer muss auch den APP Caching Dienst permanent im Subnetz der iPads zur Verfügung stellen, damit die iPads an deiner Schule Softwarepakete nicht jeweils einzeln aus dem Internet herunterladen.

Zum Einbinden von iPads mit dem Apple Configurator2 wird eine eigene Kurzdoku erstellt.

Geräte Geräte registrieren Apple Registrierung Apple Configurator Profile Erstellen

	REG_Profil_AppleConfigurator Weiter
	Mit Benutzeraffinität registrieren Unternehmensportal Weiter Erstellen

Profil URL

https://appleconfigurator2.manage.microsoft.com/MDMServiceConfig?id=b6ff8fa6-311a-400a-accb-4010abd56c2b&AADTenantId=ec5846b8-a48f-473b-bc11-1cec9d5e681a

Registrierungsbeschränkungen

Geräte - Registrierungsbeschränkungen – Gerätelimit – Standard – Eigenschaften - Bearbeiten Per Standard soll jeder Benutzer 15 Geräte in Intune registrieren können.

Geräte - Registrierungsbeschränkungen -Geräteplattform – Standard – Eigenschaften - Bearbeiten Hier verhindern wir die Registrierung von diversen privaten Geräten. Das könnte eventuell zum Problem werden, wenn wir die privaten Notebooks der SchülerInnen teilverwalten müssen.

Gerätekategorien

Wird ein iPad erstmalig in Betrieb genommen und erstmalig registriert, muss man im Registrierungsprozess eine Kategorie auswählen. Beispiele: 1A-Schueler-2021 1B-Schueler-2021 Lehrer-2021 1A-Schueler-2022 1B-Schueler-2022 Lehrer-2022 Mit Hilfe dieser Gerätekategorien lassen sich (dynamische) Gerätegruppen bilden, die zur Verwaltung hilfreich sind. Mehr dazu in einem eigenen Kapitel weiter unten. Der Weg dorthin ist verschlungen. Im Endpoint Manager Geräte im linken Menu Im mittleren Menu ganz nach unten scrollen Andere Gerätekategorien

Konfigurationsprofile

Konfigurationsprofile erlauben dir bei vollverwalteten Geräten diverse Einstellungen auf den iPads zu machen. Diese Profile können wir grob vereinfacht mit Gruppenrichtlinien im Active Directory einer Windows Domäne vergleichen.

IOS-Standardgeräterichtlinie für EDU deaktivieren:

Diese Richtline ist standardmäßig drinnen – brauchen wir aber nicht.

Mit Doppelklick bearbeiten wir die Richtlinie.

Wir bearbeiten die Zuweisung und entfernen alle Gruppen.

Synchronisieren und Testen

Um die Auswirkungen von Profilen etc zu testen, kann man ein oder mehrere Geräte sofort synchronisieren.

Über Massengeräteaktionen kann man auch mehrere Geräte über das Betriebsystem auswählen und eine Aktion durchführen.

iPads_SafeSearch

Wir weisen den Apple SafeSearch Filter nur unseren SchülerInnen zu – grpSchueler_individuell

🡪 Erstellen 🡪 Weiter

🡪 weiter 🡪 überprüfen und speichern

iPads-Passwort

Wir legen ein Passwort Profil an, das wir zumindest der grpLehrer oder allen Geräten zuweisen. Das Passwort erscheint am Sperrbildschirm und kann maximal auf 15 Minuten in den iPad Einstellungen festgelegt werden. Diese Passwörter könnten Arbeit machen, wenn sie von Benutzern häufig vergessen werden. Die Passwörter kann man in Intune zurücksetzen.

🡪 Erstellen
		und dann

iPads-App-Restrictions

🡪 weiter	🡪 weiter
Die folgenden Screenshots zeigen die fertigen Profile mit Konfigurationen und nicht mehr den Erstellungsprozess, durch den ein Assistent führt. Einschränkungen mit Vorsicht und Zurückhaltung vornehmen. Apple Österreich warnt vor Einschränkungen an Geräten im Besitz der SchülerInnen.	App Name | Bundle ID --------------------------------- Activity | com.apple.Fitness App Store | com.apple.AppStore Apple Store | com.apple.store.Jolly Books | com.apple.iBooks Calculator | com.apple.calculator Calendar | com.apple.mobilecal Camera | com.apple.camera Clips | com.apple.clips Clock | com.apple.mobiletimer Compass | com.apple.compass Contacts | com.apple.MobileAddressBook FaceTime | com.apple.facetime Files | com.apple.DocumentsApp Find My | com.apple.findmy GarageBand | com.apple.mobilegarageband Health | com.apple.Health Home | com.apple.Home iCloud Drive | com.apple.iCloudDriveApp iMovie | com.apple.iMovie iTunes Store | com.apple.MobileStore iTunes U | com.apple.itunesu Mail | com.apple.mobilemail Maps | com.apple.Maps Messages | com.apple.MobileSMS Measure | com.apple.measure Music | com.apple.Music News | com.apple.news Notes | com.apple.mobilenotes Phone | com.apple.mobilephone Photos | com.apple.mobileslideshow Photo Booth | com.apple.Photo-Booth Podcasts | com.apple.podcasts Reminders | com.apple.reminders Safari | com.apple.mobilesafari Settings | com.apple.Preferences Shortcuts | com.apple.shortcuts Stocks | com.apple.stocks Tips | com.apple.tips TV | com.apple.tv Videos | com.apple.videos Voice Memos | com.apple.VoiceMemos Wallet | com.apple.Passbook Watch | com.apple.Bridge Weather | com.apple.weather
Ergebnis: Ich blende hier nur die Aktien com.apple.stocks aus. Das Feld Apple Store URL lasse ich unkonfiguriert. Auf Rat von Apple Österreich, lasse ich nur die Aktien APP ausblenden – wenn überhaupt. Die verfügbaren Bundle-IDs und App Namen findest du rechts. Weiter unten in diesem Dialog findest du auch den Punkt zuweisen.
Die Zuweisung kann auf Geräte- oder Benutzerebene erfolgen. Eine Zuweisung an alle oder bestimmte Gruppen (z.B. grpLehrer oder grpSchueler_individuell) wäre möglich.

iPads-Konfig-Restrictions

Einschränkungen mit Vorsicht und Zurückhaltung vornehmen. Apple Österreich warnt vor Einschränkungen an Geräten im Besitz der SchülerInnen.

Optional: iPads-Single-Sign-On

Microsoft Authenticator App

	Im Apple School Manager kaufen wir die Microsoft Authenticator App für unseren Standort in ausreichender Anzahl.
	In Intune weisen wir die Microsoft Authenticator App allen Geräten zu. Beim entfernen des Geräts soll diese App nicht deinstaliert werden.

Geräte iOS/iPad Geräte Konfigurationsprofile + Profil erstellen Plattform: iOS/iPadOS Profiltyp: Gerätefunktionen	Name: iPads-Single-Sign-On
	URLs für einmaliges Anmelden https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.de https://login.microsoftonline.us https://login.usgovcloudapi.net https://login-us.microsoftonline.com
	Zuweisung der Richtlinie an alle Geräte

iPads-WLAN-Konfig

WLAN Profile

Die Erstinstallation des iPads sollte über das gedrosselte Schueler WLAN erfolgen, dessen Zugangsdaten den SchülerInnen bekannt sind.

Danach sollte man per Profil ein eigenes ungedrosseltes WLAN zuweisen, dessen Passphrase die SchülerInnen nicht kennen.

	Das WLAN Profil weisen wir allen Geräten zu. Natürlich wäre es auch möglich unterschiedliche WLAN Profile unterschiedlichen Gruppen zuzuweisen. Das macht die Netzwerkkonfiguration inklusibe HDMI Dongels nicht leichter.

iPads_Startbildschirm

Wir können den Startbildschirm unserer iPads einstellen und Apps in Gruppen ordnen – eigentlich eine Aufgabe von DGB. Die Kids sollten ihr Arbeitsgerät selbst im Griff haben und die meisten MDM-Betreuer haben fundamentalere Sorgen. Eventuell schaffen wir so Begehrlichkeiten, die wir mit unseren begrenzten Ressourcen nicht bedienen können.
Eventuell schaffen wir so Begehrlichkeiten, die wir mit unseren begrenzten Ressourcen nicht bedienen können. Ich möchte aber auch dieser Anfrage nicht ausweichen.

iPads Konformitätsrichtlinie

Eine Schule berichtet, dass OneDrive nur funktionierte, wenn eine Konformitätsrichtlinie eingerichtet wurde. Der Zusammenhang ist mir rätselhaft.

	Im Beispiel lege ich eine iPad-Konformitätsrichtlinie_Gallus für meine Schule an:
	🡪 weiter 🡪 allen Benutzern zuweisen 🡪 speichern

Betriebssystem Updates

Wir wollen unsere iPads mit den aktuellen iPadOS Updates versorgen. Dazu legen wir eine entsprechende Richtlinie namens iPads_Updates an.

	Im Beispiel lege ich eine iPad „Richtlinie für iOS/iPadOS aktualisieren“ an. iOS/iPadOS Richtlinien für iOS/iPadOS aktualisieren Profil erstellen iPads_Updates
	Ein wöchentlicher Zeitplan mit benutzerdefinierten Start- und Endzeiten soll vermeiden, dass Updates während der Schulzeit und in der Schule installiert werden. Updates sollten so am Abend/Nacht und am Wochenende installiert werden. Diese Updates haben ein beachtliches Volumen und dauern ihre Zeit.
	Diese Richtlinie iPads_Updates weisen wir allen Geräten zu.

Benutzer verwalten

Nach einer ersten Anmeldung am iPad mit ihrem 0ffice365 Account, finden wir die Benutzer im Apple School Manager. Zumindest den LehrerInnen müssen wir die entsprechende Rolle zuweisen, damit sie z.B. Classroom ... verwenden können.

	LehrerInnen auswählen Account-Daten hinzufügen Funktion auswählen

Upload von Benutzern per CSV Datei (nicht empfohlen)

Ich habe versucht die LehrerInnen zuvor per CSV Datei hochzuladen. Dabei kann man Vorlagen für die 6 CSV Dateien herunterladen, die man alle ausfüllen, dann in ein zip Archiv packen muss und per sftp hochlädt. Ich habe lange herumgetestet und war mit dem Ergebnis gar nicht zufrieden. Somit habe ich diese Methode ad Acta gelegt.

Klassen

Im Apple School Manager kann man Klassen anlegen und LehrerInnen wie SchülerInnen hinzufügen – ein mühsamer Prozess!

Apple Classroom

Nur Benutzer mit der Funktion LehrerInnen in Apple School Manager, können über Classroom Klassen anlegen und verwalten. Die Klassen aus Classroom erscheinen dann auch als Klassen im Apple School Manager.

Dies wird die bevorzugte Methode zum Anlegen von Klassen und Gruppen werden. Sie wird durch die LehrerInnen/Klassenvorstände/innen selbst erfolgen.

	Wir „kaufen“ Classroom Lizenzen
	Mandanten-verwaltung Connectors und Token Apple VPP Token Rechtsklick auf Token Synchronisieren

	Apps iOS/iPads Apps Classroom Eigenschaften Zuweisung bearbeiten Wer soll die App bekommen? Benutzergruppen? Alle Geräte?

Required Gruppe hinzufügen Gruppe wählen

Nur Benutzer mit der Funktion LehrerInnen in Apple School Manager, können über Classroom Klassen anlegen und verwalten. Die Klassen aus Classroom erschein dann auch als Klassen im Apple School Manager. Dies wird die bevorzugte Methode zum Anlegen von Klassen und Gruppen werden. Sie wird durch die LehrerInnen/Klassenvorstände/innen selbst erfolgen.

Apps

Die Intune-Unternehmensportal APP muss im ASM gekauft, nach Intune synchronisiert und bei Inbetriebnahme der Geräte oder beim Zurücksetzen installiert werden.

Philipp Varga hat dazu ein Video gedreht:

https://youtube.com/playlist?list=PLAyHkCi8gPmQ9tERu0scTxzUWaLZepQ_0

Apps im Apple School Manager kauften

Es wurde bereits in den vorigen Kapiteln mehrfach gezeigt wie Apps im Apple School Manager gekauft werden. Hier wird die Zuweisung von Apps aus dem Apple School Manager gezeigt. Diese Apps werden in Intune 🡪 Apps 🡪 iOS/iPadOS-Apps als Apps vom Typ iOS Volume Purchase Programme angezeigt.

Im speziellen Fall von Outlook wird die App zusätzlich durch eine Konfigurationsrichtlinie angepasst. Das ist selten nötig.

Für kostenpflichtige APPS braucht es ein Guthaben, das über einen lizensierten Apple Händler gekauft werden kann. Das Guthaben wird einem Benutzer zugeordnet. Wird dieser Benutzer gelöscht, ist auch das Guthaben weg. Hier kann ev. der Apple Support helfen.
Es ist sinnvoll für APP Kaufe und Guthaben einen eigenen Account im ASM anzulegen, der die Rolle „Inhaltsmanager“ innehat.

	Wir „kaufen“ eine Classroom Lizenz
	Mandanten-verwaltung Connectors und Token Apple VPP Token Rechtsklick auf Token Synchronisieren

Apps in Intune zuweisen

Jetzt müssen wir die Zuweisung bearbeiten:

Wer soll die App erhalten?

Wird die App automatisch installiert: required? Das verzögert die Erstregistrierung und das Zurücksetzen der Geräte, da die Apps heruntergeladen und installiert werden müssen.

Als Alternative dazu kann man die App im Intune Unternehmensportal für registrierte Geräte verfügbar machen. Dabei erfolgt die Zuweisung auf Benutzerebene (alle Benutzer oder Benutzergruppen)

Die Lizensierung nach Möglichkeit auf Gerät!

Jetzt müssen wir die Zuweisung bearbeiten: Wer soll die App erhalten? Wird die App automatisch installiert: required? Ist die App im Intune Unternehmensportal für registrierte Geräte verfügbar? Die Lizensierung nach Möglichkeit auf Gerät!

Wir machen Outlook für alle Benutzer im Intune Unternehmensportal verfügbar. Gleichzeitig machen wir eine Gerätelizensierung.

Bei vollverwalteten Geräten immer Gerätelizensierung wählen und nicht Benutzerlizensierung. Nur Gerätelizensierung greift!

Outlook ist so im Intune Unternehmensportal für jeden Benutzer verfügbar, wird aber nicht automatisch bei der Erstregistrierung das Gerätes installiert.

App Konfigurationsrichtlinien für Spezialfälle

Für einige Apps kann man auch spezielle Konfigurationsrichtlinien festlegen. Das zeige ich hier am Beispiel von MS Outlook: Für die Outlook App Konfiguration brauchen wir spezielle Einstelllungen. Outlook dient hier als Musterbeispiel für solch eine Richtlinie.

	Für die Outlook App Konfiguration brauchen wir spezielle Einstelllungen.
	Name: Appconfig-IOS-Outlook Geräteregistrierungstyp: Verwaltete Geräte Ziel-App Microsoft Outlook

Automatische App Installation: Required Apps

Die Intune-Unternehmensportal APP (Intune Company Portal) habe ich zweimal zuweisen müssen:

Einmal als App, die ich im Intune Apps Store gekauft habe und

vor allem als Intune-Unternehmensportal App, die ich über den Apple School Manager gekauft habe und als Typ iOS Volume Purchase Program-App zur Verfügung steht!!

Wir weisen beide Intune Apps allen Geräten als Required zu. Zusätzlich verweigern wir das Deinstallieren dieser Intune Apps.

Nachdem auch die Microsoft OneDrive App für unsere Benutzer essentiell ist, kaufen wir diese App über den Apple School Manager und habe sie nach der VSS Synchronisation als Typ iOS Volume Purchase Program-App zur Verfügung.

Bei vollverwalteten Geräten immer Gerätelizensierung wählen und nicht Benutzerlizensierung. Nur Gerätelizensierung greift!

Apps im Unternehmensstore verfügbar machen

Einige Apps wie OneNote ... müssen nicht automatisch auf den iPads installiert werden. Sie sind also nicht „required“ sondern über die Unternehmensportal App und damit über den Unternehmensstore verfügbar. Von dort aus können sie jederzeit installiert werden.

Apps im Überblick

iOS/iPadOS Apps

App	Typ	Zuweisung	Benutzer	Lizenztyp	entfern-bar
Intune-Unternehmensport. Microsoft Authenticator Microsoft OneDrive	iOS Volume Purchase	required	alle Geräte	Geräte-registrierung	nein
Classroom	iOS Volume Purchase	für registrierte Geräte	grpLehrer	Geräte-registrierung	ja
GeoGebra Classic Google Chrome Microsoft Excel Microsoft Office Microsoft Office Lens|PDF Scan Microsoft OneNote Microsoft Outlook Microsoft Teams Microsoft Whiteboard Microsoft Word Moodle Quizlet Schoolwork Untis Mobile	iOS Volume Purchase	für registrierte Geräte	Alle Benutzer	Geräte-registrierung	ja

Private Apps verfügbar machen

Für private Apps brauchen die iPad Benutzer eine private Apple-ID

Sollte ein Benutzer direkt Apps herunterladen wollen braucht er für seinen „Privaten“-Teil vom iPad eine Persönliche Apple ID. Diese kann man ganz normal über appleid.apple.com anlegen oder direkt am iPad anmelden.

Am iPad in den Einstellungen ist der Benutzer mit seiner Schul-Apple-ID angemeldet:

	Jetzt meldet man sich einfach mit der persönlichen Apple-ID an und kann Apps im Appstore einfach herunterladen und installieren. Danach könnte/sollte man diese private AppleID wieder entfernen.

Geräte gruppieren und verwalten

Gerätegruppen können wir im größeren Stil verwalten. So können wir allen Geräten einer Gruppe Konfigurationsprofile oder Apps zuweisen. Damit wird unsere Arbeit mit den Geräten wesentlich effizienter und wir müssen nicht einzelne Geräte anhand von Serialnummern aus hunderten iPads herausfischen.

Während wir unsere Benutzergruppen über das Active Directory nach Intune synchronisiert bekommen, müssen wir unsere Gerätegruppen anlegen. Dabei gilt folgende Regel:

Benutzergruppen

Sicherheitsgruppen werden aus dem Active Directory, der lokalen Windows Domäne, nach Intune synchronisiert. Sie beginnen immer mit grp... In der Regel arbeiten wir mit diesen Gruppen. Wollen wir z.B. Apple Classroom unseren LehrerInnen zuweisen, machen wir das über die Gruppe grpLehrer.

grpSchueler_individuell

grpLehrer

grp-1a

...

Microsoft365 Gruppen sind Gruppen, die durch Teams ... entstehen. Sie sind sehr dynamisch und teils nicht dauerhaft.

Gerätegruppen

Unsere Gerätegruppen müssen wir hier in Intune erstellen. Um sie leichter zu finden, beginnen all Gerätegruppen mit C_
Sie sind meist dynamische Gruppen, die wir nach bestimmten Regeln und Kriterien erstellen lassen.

Gruppe	Inhalt	Gruppe	Inhalt
C_iPad_VVW	Vollverwaltete iPads	C_iPad_Leher	Vollverw. iPads d. LuL
C_iPad_TVW	Teilverwaltete iPads	C_iPad_Schueler	Vollverw. iPads d. SuS
C_iPad_VVW_2020	Vollverw. iPads v. 2020	C_iPad_1A_2021	Vollverw. iPads der 1a aus Einschulungsjahr 2021

Hier können wir mit einem Ausdruckseditor einfach verschiedene Eigenschaften kombinieren.

Gruppe	Dynamische Abfrage
C_iPad_VVW	(device.deviceOwnership -eq "company") and (device.deviceOSType -eq "iPad")
C_iPad_TVW	(device.deviceOwnership -eq "personal") and (device.deviceOSType -eq "iPad")
C_iPad_VVW_2020	((device.displayName -startsWith "L20") or (device.displayName -startsWith "S20")) and (device.deviceOSType -eq "iPad") and (device.deviceOwnership -eq "Company"
C_iPad_VVW_2020	(device.deviceCategory -contains "2020") and (device.deviceOwnership -eq "Company
C_iPad_1a_2021	(device.deviceCategory -eq "1A-Schueler-2021")
C_iPad_Leher	(device.displayName -startsWith "L") or (device.deviceCategory -startsWith “Lehrer”)

Aktivieren des Inhaltscachings auf einem Mac Rechner

Inhaltscaching beschleunigt das Laden von Software, die von Apple verteilt wird, und von Daten, die Benutzer in iCloud ablegen, da Inhalte, die bereits von anderen lokalen Mac-Computern, iOS- und iPad-Geräten sowie Apple TV-Geräten geladen wurden, gesichert werden. Die gesicherten Inhalte werden in einem Inhaltscache auf einem Mac abgelegt, sind dort für andere Geräte verfügbar und können von diesen ohne Internetverbindung abgerufen werden.

Wichtig: Es wird empfohlen, Inhaltscaching auf einem Mac-Computer mit einer Ethernet-Kabelverbindung als einziger Verbindung zum Netzwerk bereitzustellen. Inhaltscaching kann anstelle von Ethernet eine WLAN-Verbindung verwenden, wodurch sich jedoch die Leistung reduzieren kann.

MAC Angebot der ACP Götzis vom Juni 2021:

Apple Mac mini PC mit M1 CPU, 8GB RAM, 512GB SSD, MacOS BigSur 11.0

785,00 €

Funktionsweise

Nachdem du Inhaltscaching auf einen Mac aktiviert hast, hält es eine Kopie aller Inhalte vor, die Geräte im lokalen Netzwerk (Clients genannt) herunterladen.

Wenn beispielsweise ein erster Client in deinem Netzwerk ein macOS-Update lädt, hält der Inhaltscache eine Kopie dieses Updates vor. Wenn ein zweiter Client im Netzwerk die Verbindung zum App Store herstellt, um dieses Update zu laden, muss das Update nicht erneut aus dem App Store abgerufen werden, sondern kann direkt vom Inhaltscache auf den Client kopiert werden.

Da ein lokales Netzwerk in der Regel sehr viel schneller ist als das Internet, wird das geladene Objekt für den zweiten Client (und alle weiteren Clients) sehr viel schneller verfügbar.

Aktivieren der Inhaltscache-Erkennung über mehrere öffentliche IP-Adressen auf dem Mac - Apple Support

Abbildung 1: Aktivieren des Inhaltscaching auf einem Apple Gerät im Schul-WLAN

Kontrolle des Inhalstcachings:

Damit das Inhaltscaching funktioniert, müssen sich die Apple Geräte im Netzwerk finden. Das macht Apple mit dem Bonjour Dienst, der an den Access Points eingeschalten werden muss. Bei Aruba Instant Controllern macht man das unter dem Menüpunkt Dienste. Diese AirGroup Dienste sind oft deaktiviert, da sie die Netzwerke sehr belasten.

Erstanmeldung am iPad

Beschriftung

Bevor du mit den SchülerInnen das iPad erstmalig in Betrieb nimmst, musst du folgende Gegenstände klar markieren, damit sie den SchülerInnen oder LehrerInnen klar zuordenbar sind:

Die Seriennummern sollten wir in digitaler Form von den Lieferanten bekommen. Wir könnten sie auch aus dem Apple School Manager oder Intune herausbekommen. Auf jeden Fall müssen wir festhalten, wer welches Gerät bekommen hat.

Gegenstände	Beschriftung
iPad Schachtel iPad iPad Tastatur/Hülle	Name der Schülerin / des Schülers Seriennummer des iPads Eintrittsklasse und Eintrittsjahr

Ich mache das mit folgenden permanent Klebeetiketten von AVERY Artnr.: L6011-20 https://www.avery-zweckform-fachshop.de/L6011-20-Typenschildetiketten-63-5x29-6-mm-20-Boegen-Polyester-silber-ar167.aspx

Erstes Hochfahren des iPads – Registrierung im Unternehmensportal von Intune

Im Zuge des ersten Hochfahrens bei Erstinbetriebnahme oder beim Zurücksetzen eines iPads wird das iPad im Unternehmensportal von Intune registriert.

Bitte entschuldige die Qualität der Bilder - diese Vorgänge habe ich fotografiert.

Home Button drücken	Sprache
Land	Anrede einstellen
WLAN konfigurieren	WLAN Passphrase
In der entfernten MDM Verwaltung registrieren	Mit der E-Mailadresse der Schule anmelden.
Kennwort eingeben
Anmelden – rechts oben	Fortfahren
	Angemeldet bleiben!
Unternehmensportal App öffnen und Anmelden	Emailadresse und danach Passwort eingeben
	Die richtige Kategorie (Klasse) auswählen

OneDrive als Cloud Speicher festlegen

wir befinden uns auf einem Apple Gerät und darum ist standardmäßig der iCloud Drive als Cloud Speicher eingestellt. Die Mehrzahl unserer Cloud Anwendungen dürfte weiterhin im Office365 Portal liegen. So wird es Sinn machen, OneDrive als Cloudspeicher zur Verfügung zu stellen.

Wir lassen auch die iCloud aktiviert. Es soll mittlerweile einige wenige Apps geben, die ohne den iCloud Drive nicht richtig funktionieren. An fast allen weiterführenden Schulen ist die Apple Cloud kein Thema. Dort wird ein geübter Umgang mit Office365 – OneDrive erwartet.

Apps aus dem Unternehmensstore installieren

Wie schon zuvor im Kapitel Apps beschrieben, gibt es im Unternehmensstore zwei Gruppen von Apps:

• Required: Werden automatisch auf den iPads installiert. Nachteil: Kann zu sehr viel Download Traffic im Netz führen.
• Verfügbar: Können von Hand aus dem Unternehmensstore installiert werden.

iPad in justedu-Schutzhülle einsetzen und Bluetooth Tastatur verbinden

Video von Philipp Varga

iPad in justedu-Schutzhülle einsetzen und Bluetooth Tastatur verbinden - YouTube

iPads mit Apple Configurator 2 in die ASM Verwaltung

Wir wollen ein iPad, das nicht per DEP vom Händler unserem Apple School Manager zugeordnet wurde, in die Verwaltung unseres ASMs (Apple School Managers) und in Folge unseres Mobile Devise Managements (hier Intune) transferieren. Dazu müssen wir folgende Schritte erledigen:

• Voraussetzung: Auf einem Apple Gerät mit MAC OS Betriebssystem die App Apple Configurator 2 installieren.
• Voraussetzung: Wir verbinden unser iPad mit dem Apple Computer über USB Kabel. Mittels eines USB HUBs können auch mehrere iPads mit dem Apple Computer verbunden werden. Unsere iPads erscheinen im Apple Configurator 2.
• Im Apple Configurator 2 tragen wir unsere Organisation (ASM) ein.
• Im Apple Configurator 2 über den Menüpunkt Vorbereiten transferieren wir das iPad in unseren ASM (Apple School Manager).
• Im ASM weisen wir dann über den Menüpunkt Gerätezuweisung diesem iPad unser Intune als Mobile Device Management zu.
• In Intune kontrollieren wir die Einschränkungen bei Gerätezuweisungen: iPads dürfen nicht blockiert werden.
• In Intune sollte nach einer Synchronisierung das Gerät erscheinen und wir weisen dem Gerät das richtige Registrierungsprofil zu.
• Wenn wir jetzt das iPad zurücksetzen, sollte sich unser Gerät in Intune (MS Endpoint Manager) registrieren: am iPad Einstellungen 🡪 Allgemein 🡪 Zurücksetzen 🡪 Alle Inhalte & Einstellungen löschen.
• Das iPad verhält sich wie ein Gerät, das per DEP vom Händler unserem ASM zugewiesen wurde.
• Eventuell müssen wir nach dem erfolgreichen Zurücksetzen des iPads das Intune Unternehmensportal auf dem iPad von Hand starten und uns mit unserer verwalteten Apple ID (schulische Emailadresse aus Office365) im Unternehmensportal anmelden.

MAC Angebot der ACP Götzis vom Juni 2021:

Apple Mac mini PC mit M1 CPU, 8GB RAM, 512GB SSD, MacOS BigSur 11.0

785,00 €

Voraussetzung: Apple Gerät mit MAC OS Betriebssystem und installierter Apple Configurator 2 APP. Verbindung des Apple Geräts mit dem iPADS über USB Kabel. Im Apple Configurator 2 muss zuerst unter Einstellungen die Organisation angelegt werden. Dazu reicht ein Login mit der Apple ID, die zum ASM (Apple School Manager) gehört.

Apple Gerät mit MAC OS Betriebssystem und installierter Apple Configurator 2 APP	Wir fügen unsere Organisation (ASM) hinzu.
	Über die Apple ID unseres ASM Admin Accounst fügen wir unseren ASM als Organisation hinzu.

Wir wählen im Apple Configurator 2 das iPad aus 🡪 Rechtsklick 🡪vorbereiten
	Wir geben als MDM Server nicht unser Intune ein sondern irgendeinen Blödsinn. Das Gerätemanagement (MDM) weisen wir im ASM (Apple School Manager) zu.
Diese Warnung kommt nicht überraschend, da das MDM irgendeinblödsinn mit der URL nicht erkannt wurde.

Wir wählen die zuvor in den Einstellungen konfigurierte Organisation (unseren ASM) aus. Im Beispiel hier das BRG & BORG Schoren, an dem wir mit Matthias Mair getestet und entwickelt haben.
Im nächsten Fenster bekommen wir eine Fehlermeldung: Falls das iPad schon aktiviert oder vorbereitet war, lassen wir das iPad komplett löschen.
	Bei diesem iPad trat obige Fehlermeldung auf. Abhilfe: iPad zuerst mit WLAN verbinden, anschließend ging es tadellos weiter. siehe dieser Link
	Das iPad erscheint nun in unserem Apple School Manager und seine Quelle ist der Apple Configurator. Jetzt können wir dem iPad im ASM eine Geräteverwalteung – ein MDM – unser Intune – zuweisen.
	Jetzt sehen wir im ASM die gewünschte Gerätezuweisung zu Intune.
		In Intune kontrollieren wir die Einschränkungen bei Gerätezuweisungen: iPads dürfen nicht blockiert werden. Geräte 🡪 Geräte registrieren 🡪 Registrierungsbeschränkungen 🡪 Einschränkungen zum Gerätetyp 🡪 Alle Benutzer

In Intune sollte nach einer Synchronisierung das Gerät erscheinen und wir weisen dem Gerät das richtige Registrierungsprofil zu.

	Geräte mit ASM synchronisieren
Wir weisen dem Gerät unser Registrierungsprofil für iPads zu.

• Wenn wir jetzt das iPad zurücksetzen, sollte sich unser Gerät in Intune (MS Endpoint Manager) registrieren: am iPad Einstellungen 🡪 Allgemein 🡪 Zurücksetzen 🡪 Alle Inhalte & Einstellungen löschen.
• Das iPad verhält sich wie ein Gerät, das per DEP vom Händler unserem ASM zugewiesen wurde.
• Eventuell müssen wir nach dem erfolgreichen Zurücksetzen des iPads das Intune Unternehmensportal auf dem iPad von Hand starten und uns mit unserer verwalteten Apple ID (schulische Emailadresse aus Office365) im Unternehmensportal anmelden.

Eventuell müssen wir nach dem erfolgreichen Zurücksetzen des iPads das Intune Unternehmensportal auf dem iPad von Hand starten und uns mit unserer verwalteten Apple ID (schulische Emailadresse aus Office365) im Unternehmensportal anmelden. Dabei können wir das Gerät auch einer zuvor definierten Gerätekategorie zuweisen. Diese Gerätekategorien sind wichtig für die Geräteverwaltung über dynamische Gruppen – siehe einige Kapitel weiter oben.

Optional und vorläufig nicht erforderlich: Apple Configurator – Registrierungsprofil.

			Geräte Geräte registrieren Apple Registrierung Apple Configurator Profile
		REG_Profil_AppleConfigurator
		Profil exportieren

Configurator als iPhone App

Erleichterung: Configurator als iPhone App - funktioniert am iPad leider (noch) nicht

Configurator App im Appstore herunterladen (auf einem anderen als das einzubindende Gerät) Das neue iPad starten und bis zur Einstellung des WLANS navigieren (dort keines auswählen!) Die Configurator App starten Beim ersten Starten der App mit einem Admin Account des Schoolmanagers einsteigen.
Nun das iPhone/iPad in die Nähe des neuen Gerätes bringen Jetzt kann man den "Schwarm" auf dem neuen Gerät mit der Kamera scannen. Fertig! Das neue Gerät ist im Apple Schoolmanager eingebunden. Im letzten Schritt muss man das neu eingebundenen iPad im Apple Schoolmanager auswählen und dem richtigen MDM zuordnen (Eure Schule)

Hilfestellungen bei Problemen:

• Doku: https://support.apple.com/de-de/apple-configurator

• 0800070268 - direkte Nummer zum Deployment-Support

Ich danke Dominik Dalfollo, MS-Schendlingen

iPads umbenennen ermöglichen

Airdrop und andere Apple Dienste identifizieren Geräte nach Geräte- und nicht Benutzernamen. Unsere Seriennummern als Namen sind dabei sperrige Vehikel. Die Möglichkeit iPads umzubenennen, muss gut überlegt sein:

• Ein manuelles Umbenennen der Geräte durch den MDM Admin ist unzumutbar.
• Eine Automatisierung per Powershell Skript wird MDM Admins überfordern.
• Das Umbenennen der Geräte durch die Schüler:innen wird – hoffentlich selten – zu Problemen führen. Was machen wir mit Schüler:innen, die das Gerät nach einer:em anderen Schüler:in benennen und Unfug bis hin zu Mobbing treiben?
• Wer sich bei Problemen in die Tiefen der MS365 LOGs stürzt, wird Tage (nicht Stunden!) mit Recherchen verbringen.

Lösungsansätze:

• Information der Direktion und Autorisierung durch die Direktion.
• Temporäres Öffnen dieser Möglichkeit und Umbenennen der Geräte in einem definierten Zeitraum durch die Schüler:innen nach einem stringenten Muster z.B.: vorname.nachname.sj
  SJ steht für das Schuljahr (21, 22 ...)

Technische Umsetzung:

Änderungen im Registrierungsprofil:
Auswahl der Registrierungsprofils:
	In diesem Zustand könnte der MDM-Admin die Geräte in Intune von Hand umbenennen. Das halte ich für unzumutbar und eine Automatisierung per Powershell Skript wird überfordern. Es ginge so: Gerät suchen – Eigenschaften – Umbenennen.

(Temporäres) Öffnen der Möglichkeit zum Umbenennen der Geräte durch die Schüler:innen nach einen stringenten Muster z.B.: vorname.nachname

iOS/iPadOS Geräte - Konfigurationsprofile	iPads-Konfig-Restrictions
	Im Bereich Allgemein: Änderung des Gerätenamens blockieren auf „nicht konfiguriert“.
Zum Testen kann man die Einstellungen sofort auf ein Gerät synchronisieren und ev. das Gerät neu starten. Im Beispiel habe ich erfolgreich meinem bisherigen Gerätnamen die Initialen AR vorangestellt. Das Ausführen der Befehle auf dem iPad kann Minuten bis Stunden dauern.

Will man die Änderung des Gerätenamens wieder blockieren, setze man die entsprechende Einstellung im Konfigurationsprofil wieder auf ja.
Wenn ich die Vorlage für den Gerätenamen auch im Registrierungsprofil wieder aktivierte, wurden in meinen Tests die Geräte nach einiger Zeit wieder nach Vorlage umbenannt.

Alle iPads per Powershell umbenennen

Führt wie oben beschrieben die Änderungen im Registrierungsprofil durch.

In unserem Konfigurationsprofil iPad-Konfig-Restrictions belassen wir die Einstellungen. Damit können die iPad Benutzer den Namen des iPads nicht umbenennen. Das machen wir zentral per PowerShell Skript.

Die PowerShell ist kein Tool für MDM-Verantwortliche. Diese Arbeiten muss ein
- IT-Systembetreuer,
- IT-Kustos oder
- IT-Regionalbetreuer
erledigen.

Die nötigen Erklärungen sind in den Kommentaren des Skripts.

#------------------------------Skript Beginn --------------------------------------------------------------------------

# Für die Installation der benötigten PowerShell Module führen sie bitte folgende Schritte auf einem Windows 10 Rechner aus:

# Öffnen sie eine administrative PowerShell

# Entfernen sie dazu die Kommentarzeichen #

#---------------------------------Modul Installation Anfang---------------------------------

#Set-Executionpolicy RemoteSigned

#Install-Module -Name Microsoft.Graph

#Import-Module Microsoft.Graph

#---------------------------------Installation Ende ----------------------------------------

# Berechtigungen für intune-graph-apis https://learn.microsoft.com/en-us/mem/intune/developer/intune-graph-apis

Connect-MgGraph "User.Read.All","Group.Read.All","DeviceManagementManagedDevices.ReadWrite.All","DeviceManagementManagedDevices.PrivilegedOperations.All"

# Zum Testen die folgende Zeile auskommentieren EmailAddress konfigurieren

#$devices = Get-MgDeviceManagementManagedDevice -Filter "model eq 'ipad'"

# Zum Testen die folgende Zeile aktivieren und

$devices = Get-MgDeviceManagementManagedDevice -Filter "EmailAddress eq 'vname.nname@m.at'"

foreach ($device in $devices) {

$DeviceID = $device.id

# $DisplayName = $device.userDisplayName

$DisplayName = $device.userDisplayName + "04" + $device.deviceCategoryDisplayName.substring($device.deviceCategoryDisplayName.length-4)

$Ressource = "deviceManagement/managedDevices('$DeviceID')/setDeviceName"

$graphAPIVersion="Beta"

$uri="https://graph.microsoft.com/$graphAPIVersion/$($Ressource)"

$JSONName = @"

{

deviceName:"$DisplayName"

}

"@

$ausgabe=$device.id + "," + $DisplayName + "," + $device.deviceCategoryDisplayName

echo $ausgabe

Invoke-MgGraphRequest -Method POST -Uri $uri -Body $JSONName -Verbose

}

Disconnect-MgGraph

#------------------------------Skript Ende --------------------------------------------------------------------------

Synchronisation erzwingen

Den Erfolg der Synchronisierung unserer Konfigurationseinstellungen sieht man im Endpoint Manager - Geräte - iOS/iPadOS - Konfigurationsprofile - Auswahl eines Profils - Bericht anzeigen

Wir wollen eine Synchronisation aller iPads erzwingen. Per Default findet diese nur alle 8 Stunden statt. Ist das iPad nicht erreichbar, sehr beschäftigt oder gesperrt, wird nicht synchronisiert.

In einer administrativen Powershell müssen wir die Installation von Microsoft.Graph.Intune durchführen.

Install-Module -Name Microsoft.Graph.Intune

Kopiere in eine Textdatei sync_ipads.ps1

# Den Erfolg der Synchronisierung unserer Konfigurationseinstellungen sieht man im
# Endpoint Manager - Geräte - iOS/iPadOS - Konfigurationsprofile - Auswahl eines Profils –

# Bericht anzeigen

# In einer Admin PS Shell die Installation von Microsoft.Graph.Intune

# Install-Module -Name Microsoft.Graph.Intune

Import-Module -Name Microsoft.Graph.Intune

Connect-MSGraph

# ohne Rueckmeldung

# Get-IntuneManagedDevice -Filter "contains(operatingsystem,'ios')" | Invoke-IntuneManagedDeviceSyncDevice

# mit Rueckmeldung

$Devices = Get-IntuneManagedDevice -Filter "contains(operatingsystem, 'iOS')"

Foreach ($Device in $Devices) {

Write-Host "Sending Sync request to Device with DeviceID $($Device.managedDeviceId)"

Invoke-IntuneManagedDeviceSyncDevice -managedDeviceId $Device.managedDeviceId

}

Schulwechsel - Geräte aus Verwaltung entfernen

Wir haben nun über den ASM und Intune Geräte in unserer MDM Verwaltung. Wie werde ich sie gegebenenfalls aber wieder los? Wir müssen zwei Szenarien unterscheiden:

• Schulwechsel an eine andere iPad Schule mit iPad Geräteverwaltung.
• Schulwechsel an eine Schule ohne iPad Geräteverwaltung / Austritt aus dem Schulsystem.

Schulwechsel an eine andere iPad Schule

Bei einem Schulwechsel müssen die iPads aus dem Apple School Manager der alten Schule und aus der Intune Registrierung der alten Schule entfernt werden. An der neuen Schule setzt man das iPad zurück. Es sollte sich nun in die Verwaltung der neuen Schule integrieren - wie jedes neue Gerät.

Vorsicht:
Wurde ein iPad aus Intune entfernt, kann man den Code und das Gerät über Intune nicht mehr zurücksetzen. Stelle sicher, dass du dich am iPad anmelden kannst und zur Not das Zurücksetzen über die Einstellungen – Allgemein iPad übertragen/zurücksetzen erledigst.
Beim Abkoppeln eines Gerätes bleiben die Daten und Apps (je nach Installationsmodus) auf dem Gerät erhalten. Für all diese MDM Operationen (Abkoppeln, Zurücksetzen, Code zurücksetzen) braucht das eingeschaltete iPad eine Internetverbindung.
Solltest du vor diesem Problem stehen, lies bitte das Kapitel „iPad reagiert nicht auf Intune Befehle“

Das Gerät muss auch aus dem Apple School Manager der alten Schule entfernt werden. In der neuen Schule können diese Geräte per Apple Configurator 2 (siehe dazu ein Kapitel weiter unten) in den ASM der neuen Schule eingebunden werden oder weitaus besser über DEP. Das können aber nur einige zertifizierte Händler und ist die präferierte Methode!

Dazu habe ich mit ACP Techrent (vormals ACP-Omega) eine Vorgehensweise abgestimmt:

Schritte

1. Entfernen eines Gerätes aus dem Apple School Manager:

2. Email an Susanne Schlögel: susanne.schloegel@acptechrent.at Telefonnummer: +43(1)8130000

Inhalt:

- Schulkennzahl der neuen Schule

- Seriennummer des iPads

- Apple Organisations-ID der neuen Schule

Die Durchführung könnte taggleich erfolgen.

Weiter Infos zur eventuellen Garantieabwicklungen:

Geräteinfos: https://digitaleslernen.oead.at/de/fuer-schulen/geraeteinformationen#c46371

Garantieabwicklung: https://www.justedu.at/

3. iPad zurücksetzen direkt am Gerät oder über das Intune der alten Schule: Das iPad sollte sich an der neuen Schule registrieren, da es ja per DEP der neuen Schule zugeordnet wurde.

4. Entfernen eines Gerätes aus der Intune Verwaltung der alten Schule.

Schulwechsel an eine Schule ohne iPad Geräteverwaltung / Austritt aus dem Schulesystem

1. Entfernen des Gerätes aus dem Apple School Manager – siehe oben. 2. Abkoppeln des Gerätes in MS Intune: Daten und Apps (je nach Installationseinstellung) bleiben erhalten). 3. Entfernen des Gerätes aus MS Intune.

iPads sperren und orten

iPads werden verlegt, gehen verloren oder werden entwendet. In diesem Fall kann man die iPads in Intune sperren, sodass sie nicht mehr verwendbar sind. Gesperrte iPads kann man dann auch orten.

Diese Intune Befehle erhält das iPad natürlich nur, wenn es auch eine Verbindung ins Internet hat.

Wir suchen unser iPad in Intune	iPad auswählen und auf die 3 Punkte ganz rechts klicken.
Infos auf dem Sperrbildschirm festlegen:	Es kann dauern, bis der Sperrbefehl das iPad erreicht. Diese Intune Befehle erhält das iPad natürlich nur, wenn es auch eine Verbindung ins Internet hat.
Jetzt ist das iPad gesperrt und schaut so aus. Mit dem iPad kann man nichts mehr anfangen. Ich vermute es gibt irgendwelche Methoden (Jailbreak ...) um das Geräte zu knacken – ich kenne sie nicht.

Wurde das iPad erfolgreich gesperrt, kann man es auch orten.
Die Ortung funktionier recht gut.
So kann man das iPad wieder entsperren.

Problemsammlung

Nie Handy Hotspot verwenden

Bei der Erstregistrierung/Erststart eines iPads nie einen Handy Hotspot verwenden, sondern ein stabiles und leistungsfähiges WLAN.

Gemanagte Apple IDs aus den Office365 Adressen erzeugen.

Die Voraussetzungen für diesen Federation Prozess zeige ich in den beiden Screenshots unten:

Im nächsten Schritt braucht es einen Benutzer, der folgende Voraussetzungen erfüllt:

• Globaler Administrator in Microsoft 365
• Einen Vornamen.Nachnamen hat.
• Als Anmeldedomäne und Emailadresse die offentliche schuldomäne – meineSchule.at
  Dazu haben wir im Kurs einen Benutzer a.mdmadmin@meineschule.at angelegt.

Den Geräten müsst ihr in Intune das Registrierungsprofil zuweisen:

Hier stehen alle Geräte, denen dieses Profil noch nicht zugewiesen wurde.
In den meisten Fällen sollten hier keine Geräte stehen.
verwendet man unterschiedliche Registrierungsprofile, kann man sie hier gezielt den jeweiligen Geräten zuweisen.

Es gibt einen Punkt „Standardprofil zuweisen“ über den man allen Geräten das Profil zuweisen kann.

Geräte warten endlos auf das Registrierungsprofil

Eine Anzahl an Geräten konnte ohne Problem die Registrierung durchmachen. Irgendwann stockt der Prozess und Geräte warten endlos auf das Registrierungsprofil. Zuvor wurde den Geräten das richtige WLAN zugewiesen.

Fehlerquellen:

- Gerätebeschränkung im WLAN (SSID)

- DHCP Server kann keine IP Adressen mehr ausliefern, weil er keine freien Adressen mehr hat.

- Firewall Ports

	Bei Aruba IAPs stellt ihr im Controller eine Max. Anzahl Clients hoch ein z.B. 1000
	Im DHCP Server sorge ich für genügend IP Adressen In meinem Beispiel gehen die Leases von 10.1.1.99 10.1.15.250. Das sind in Richtung 4000 Adressen. Auf Anraten von Apple habe ich die Lease-Dauer von 60 auf 600 Minuten gestellt. Somit sollte ein Gerät für den ganzen Tag die IP Lease behalten. Wechselnde IP Adressen können bei Apple Programmen (Classroom, Bonjour ...) Probleme machen.

Ports an der Firewall

An einer Schule blieb die Seite mit "Konfiguration der MS-xySchule" ewig stehen. 

Grund: im WLAN bzw. an der Firewall waren notwendige Ports gesperrt.

Folgende Info zu Intune:

Allow access to all hosts via port 80 (HTTP), 443 (HTTPS), and 123 (UDP/NTP)

Siehe:https://social.technet.microsoft.com/wiki/contents/articles/54286.intune-network-ports-requirements.aspx

Und communications with APNS servers TCP 5223 and 443

Siehe:https://docs.microsoft.com/en-us/mem/intune/fundamentals/intune-endpoints

Azure Active Directory – Geräte – Geräteeinstellungen

Mehrstufige Authentifizierung zum Registrieren oder Einbinden von Geräten 🡪 NEIN

Apps lassen sich nicht mehr deinstallieren:

iPad reagiert nicht auf Intune Befehle

Passcode entfernen geht nicht

iPad zurücksetzen geht nicht

Zurücksetzen, Passcode entfernen ... und das Gerät reagiert nicht.

Oft ist das iPad gesperrt und hat keine WLAN Verbindung.

Auf einem Gerät mit MacOS (z.B. unser obligatorischer MAC Mini) machen wir eine Freigabe der Internetverbindung, sodas sie mit anderen Geräten, die per USB angeschlossen sind, geteilt wird. Damit erhält ein per USB ans Apple Gerät angeschlossene iPad eine Internetverbinden und führt die Intune Befehle von oben aus.

Apple Logo – Systemeinstellungen – Freigaben – Internetfreigabe
Alles abhaken außer ev. WLAN, wenn das Gerät per Ethernet Kabel am Internet hängt wie unser MAC Mini.

Wenn jetzt ein iPad per USB am MAC Computer hängt, bekommt es eine Internetverbindung und kann die Intune Befehle ausführen.

Geräte in iTunes wiederherstellen

iPad per USB an einen MAC oder WindowsPC (mit installiertem iTunes) anschließen.

	1) Musik (ehemaliges iTunes) -> Gerät in der Leiste auswählen, dann auf „Sync-Einstellungen“ klicken.  2) Dann öffnet sich das iPad im Finder -> dort auf die neuste Software aktualisieren (da fehlt leider der Screenshot) 3) Wenn die Software auf dem neuesten Stand ist -> „iPad wiederherstellen“ -> „Kein Backup erstellen“ -> laufen lassen und das war’s :)

Code für dein iPad vergessen oder dein iPad ist deaktiviert oder iPad wiederherstellen

Quelle: https://support.apple.com/de-de/HT211078

Hier erfährst du, was du tun kannst, wenn du den Code für dein iPad vergessen hast oder wenn eine Meldung darauf hinweist, dass dein iPad deaktiviert ist.

• Wenn du deinen iPhone-Code vergessen hast

Wenn du deinen Code für iPod touch vergessen hast

Wenn du zu häufig einen falschen Code eingibst, wirst du in einer Meldung darauf hingewiesen, dass dein iPad deaktiviert wurde. Wenn du dich nicht an deinen Code erinnern kannst, musst du dein iPad löschen, wodurch alle Daten und Einstellungen einschließlich des Codes gelöscht werden. Wenn du ein Backup des iPad erstellt hast, kannst du nach der Wiederherstellung des iPad deine Daten und Einstellungen wiederherstellen. Wenn du noch nie ein Backup des iPad erstellt hattest, bevor du deinen Code vergessen hast, kannst du die Daten auf deinem iPad nicht retten. Gehe wie folgt vor, um deinen Code zu entfernen.
Code auf einem iPad ohne Home-Taste entfernen Verbinde das iPad mit dem Computer. Halte die obere Taste und eine der Lautstärketasten so lange gedrückt, bis der Schieberegler "Ausschalten" angezeigt wird. Bewege den Schieberegler, um das iPad auszuschalten.
Halte die obere Taste gedrückt, bis der Bildschirm des Wiederherstellungsmodus angezeigt wird. Wenn du ein Backup des iPad erstellt hast, kannst du nach dem Entfernen des Codes deine Daten und Einstellungen wiederherstellen
Code auf einem iPad mit Home-Taste entfernen Vergewissere dich, dass dein iPad nicht mit deinem Computer verbunden ist. Halte die obere Taste so lange gedrückt, bis der Schieberegler "Ausschalten" angezeigt wird. Bewege den Schieberegler, um das iPad auszuschalten.
Verbinde das iPad mit deinem Computer, während du die Home-Taste gedrückt hältst. Halte die Home-Taste gedrückt, bis der Bildschirm des Wiederherstellungsmodus angezeigt wird. Wenn du ein Backup des iPad erstellt hast, kannst du nach dem Entfernen des Codes deine Daten und Einstellungen wiederherstellen Aus dem "Microsoft Store itunes" installieren & öffnen. iPad mit USB Kabel mit PC verbinden. Tasten wie in Anleitung beschrieben drücken. Wenn das Apfel Logo erscheint, nur mehr die Home Taste gedrückt halten. Anschließend "Wiederherstellen & Aktualisieren" wählen.

Das iPad wiederherstellen

Suche das iPad auf deinem Computer. Wenn du zwischen einer Wiederherstellung und einem Update entscheiden musst, wähle "Wiederherstellen". Der Finder oder iTunes lädt die Software für dein iPad. Sollte dieser Vorgang länger als 15 Minuten dauern, beendet dein iPad den Wiederherstellungsmodus. Dann musst du die obigen Schritte zur Entfernung des Codes wiederholen Warte, bis der Vorgang abgeschlossen ist. Dann kannst du dein iPad einrichten und verwenden

iPad hängt bei Registrierung und im Apple Configurator2

Bei mir war das Problem, dass ich ein iPad mit Apple Configurator 2 nicht ansteuern konnte, da ich "Diesem PC vertrauen" nicht aktivieren konnte. Es wurde nicht angezeigt, da der Bildschirm gesperrt war. Das iPad hat sich während dem Anmeldevorgang im geführten Zugriff aufgehängt bzw. die Internetverbindung verloren.

Apple Support hat geholfen:

•iPad mit Kabel an den Mac-Mini anschließen.
•Einschalttaste + Hometaste so lange drücken (min. 10 Sekunden) bis das Kabelsymbol erscheint.
•iPad ist nun im Wartungsmodus (DFU-Modus) und kann wiederhergestellt werden

iMessage oder FaceTime aktivieren

Wer iMessage oder FaceTime verwenden will, muss dies im Apple SchoolMananger 2x aktivieren.

Die erste Einstellung ist leicht zu finden.

1. Bei Einstellungen / Accounts / FaceTime und I-Message aktivieren

die zweite Einstellung ist etwas "besser versteckt" und wird dadurch oft übersehen 2. sie ist unter Funktionen / Rolle (zumindest Lehrkräfte und Schüler*innen) / Personenrechte / FaceTime und IMessage benutzen