02 iPad Vollverwaltung mit Intune
| Vorarlberger Standardschulinstallation Verfasser: Andreas Renner, Kuno Sandholzer |
© 2025 IT-Regionalbetreuer Vorarlberg 6900 Bregenz, Römerstraße 14 Alle Rechte vorbehalten |
1 Quellen
Bei der vorliegenden Handreichung orientierte ich mich anfangs an einer Dokumentation von Georg Steingruber und Bernhard Köck. Einige Inhaltspassagen sind weitgehend identisch übernommen. Ich habe sie lediglich für unsere Vorarlberger RB Standardinstallation angepasst.
Der wichtigste Input ist aus einem Workshop mit der ACP Götzis eingeflossen, in dem Felix Huber eine Gesamtkonzept mit uns erarbeitete. Ich danke Jochen Oberhauser (ACP Götzis) für die Organisation und Unterstützung.
Ich danke Matthias Mair für die tolle Zusammenarbeit, die vielen Tipps und die zeitintensiven Tests mit Apple Configurator 2.
Zuletzt habe ich unsere Vorgangsweise mit Stefan Hackl und Resa Shams von Apple Österreich abgestimmt, die weitere wichtige technische Details einbrachten und mein Verständnis für Registrierungsvorgänge bei iPads schärften. Auf ihren Rat hin überarbeitete ich die konzeptionellen Bereiche der „APP Restrictions“ und der „Konfigurationseinschränkungen“. Dabei reduzierte ich meine rigiden Einschränkungen auf ein Minimum.
Schriftliche Quelle: Georg Steingruber und Bernhard Köck, https://community.eeducation.at/course/view.php?id=922, in der Draft Version vom 7.5.2021
Andreas Renner
IT-Regionalbetreuer für die Bildungsdirektion Vorarlberg Präs/1a
ARGE Leiter IT/NW für die PH Vorarlberg
Email: andreas.renner@bildung.gv.at
2 Apple Hilfe und Support
AppleCare Enrollment Support-Nummern für Apple School Manager
Österreich: 0800 070268
MO-FR 8:00-17:00 Uhr
Apple für Support und Service in Österreich (Gerätesupport)
0800 220325
https://support.apple.com/de-at/HT201232
Hilfestellungen bei Problemen beim Deployment:
0800070268 - direkte Nummer zum Deployment-Support
https://support.apple.com/de-de/apple-configurator
Telefonische Hilfe bekommt man hier:
|
|
|
|
|
https://support.apple.com/de-de/education
|
|
https://support.apple.com/de-de/guide/apple-school-manager/apd098f3d709/1/web/1 |
|
2.1 Probleme mit der ASM Aktivierung
Falls es Probleme mit der ASM Aktivierung gibt, soll laut Apple mit einer E-Mail an digitaleschule@apple.com unkompliziert weitergeholfen werden!
2.2 OeAD Digitales Lernen Support
Sie haben Fragen rund um die Geräteinitiative "Digitales Lernen"? Der OeAD Digitales Lernen Support steht Ihnen für telefonische und schriftliche Anfragen zur Verfügung!
- Kontaktformular https://digitaleslernen.zendesk.com/hc/de/requests/new
- E-Mail: digitaleslernen@oead.at
- Telefon: +43 720 080356, Mo. – Fr. (werktags) von 8:00 – 14:00 Uhr
2.3 Das bmbwf hat einen Support beauftragt:
Zur Verwendung der Support-Plattform ist eine einmalige Registrierung notwendig:
https://techrent.halopsa.com/portal/anonymousticket?tickettype_id=49&key=b1cf223f-1389-4101-9b3e-07d23e88a0fe
Hier geht es zur Support-Plattform: https://techrent.halopsa.com/portal
Aleksandar Petrovic (support.eduwerk.at), Telefon: 019346065454
2.4 Gerätebörse: Tausch und Kauf
Die Gerätebörse arbeitet mit der Firma Compuritas zusammen und bietet diese Dienste:
- Nimmt (bei Schulwechsel an eine neue Schule mit anderem Gerätetyp) Geräte+Zubehör zurück.
- Bietet gebauchte Geräte+Zubehör zu fairen Preisen an.
Die Eltern können sich auch direkt (per E-Mail) an die Firma Compuritas wenden, wenn es sich um eine notwendige Neuanschaffung handelt, ohne dass ein Gerät zurückgegeben wird.
Compuritas
T: +43 316 89 03 09
E: digitaleslernen@compuritas.at
W: www.compuritas.at | shop.compuritas.at
Die E-Mails an Compuritas sind auch mit OeAD verbunden und können gemeinsam bearbeitet werden.
Hier ein paar nützliche Links für fast alle Fälle:
- https://digitaleslernen.oead.at/de/fuer-eltern/geraete-support/geraeteboerse - generelle Informationen zur Gerätetauschbörse
- https://digitaleslernen.talentify.at/geraeteboerse - die Gerätetauschbörse selbst
- https://digitaleslernen.oead.at/de/fuer-schulen/geraeteinformationen/geraete-nachbestellung-schulwechsel - generelle Informationen bzgl. Schulwechsel und Nachbestellungen
- https://shop.compuritas.at/geraeteboerse-36 – unsere Kategorie Gerätebörse im Webshop mit allen verfügbaren Modellen - je nach Lagerstand auch für Anfragen von Eltern ohne Tauschgerät
Via der Gerätebörse bekommt man auf Wunsch die Gesamtpakete mit allem Zubehör und einsatzbereit.
Die Ausstattung gleicht dem originalen Rollout der Geräteinitiative Digitales Lernen.
iPads werden auch aus dem Apple School Manager der ursprünglichen Schule entfernt.
3 Überblick
Bei vollverwalteten Geräten (wie in diesem Dokument beschrieben) können Sie mit Microsoft Intune nicht nur Apps zuweisen und Lizenzen für Windows und Microsoft Office verteilen, Sie bekommen vollen Zugriff auf persönliche Daten oder auf Geräteeinstellungen. Diese Option empfiehlt sich für Geräte im Eigentum der Schule, deren Einstellungen Sie voll administrieren möchten, insbesondere, wenn diese Geräte regelmäßig auf IT-Dienste und Services der Schulverwaltung zugreifen (Dienstgeräte). Mir ist es bisher nicht gelungen über Intune Zugriff auf die Benutzerdaten eines iPads zu erlangen. Als Administrator hatte ich aber schon immer im „on premise“ Active Directory als auch im Azure Active Directory Zugriff auf Benutzdaten.
iOS/iPadOS müssen komplett zurückgesetzt und gelöscht werden, um sie als vollverwaltete Geräte zu konfigurieren. Dieses komplette Löschen entfällt bei teilverwalteten Geräten. Windows Geräte können auch im bereits installierten Zustand als vollverwaltete Geräte konfiguriert werden, ohne dass sie gelöscht werden müssen. Mit Microsoft Intune (Teil von Office365) können Windows, iOS und Android Geräte zentral verwaltet werden. Durch die integrierte Anbindung an die Stores von Microsoft, Google und Apple wurde ein einheitliches Gerätemanagement für die drei Betriebssystemwelten (Windows, Android und iOS) geschaffen.
Zum einen werden Apps Gruppen von Personen oder Gruppen von Geräten zugewiesen, zum anderen werden Konfigurationen (WLAN, Antivirenrichtlinien, Gerätebeschränkungen wie z.Bsp. das Deaktivieren der Kameras) und Lizenzen Gruppen von Geräten zugewiesen.
Dieses Dokument beschreibt die Einrichtung vollverwalteter Geräte, die von den Schuladministrator/innen zur Gänze verwaltet werden sollen.
Die im Folgenden beschriebenen Einbindungsmethoden erlauben sowohl die Zuweisung von Apps, die Lizenzierung des Betriebssystems durch Office365 als auch die Steuerung (z.Bsp. des Hintergrundbilds), das Deaktivieren von Gerätekomponenten wie Kameras, Telefon, Mikrophon und die zentrale Zuweisung von Richtlinien (z.Bsp.: Registry-Einstellungen unter Windows, das Ausblenden von Systemanwendungen wie die Einstellungs-App unter iOS oder Android und vieles mehr). Bei vollverwalteten Geräten besteht der vollständige Zugriff auf alle Dateien, WhatsApp-Nachrichten oder SMS.
Bitte beachten Sie, dass der Zugriff auf persönliche Daten von SchülerInnen (z.Bsp. auch Standortdaten, Browserverlauf etc.) im Zuge der Geräteverwaltung keinesfalls zulässig ist. Daher ist im Zuge der Geräteverwaltung mit administrativen Rechten äußerst sorgsam umzugehen und durch geeignete Konfiguration der Schutz der persönlichen und personenbezogenen Schülerdaten am Gerät sicherzustellen. Bitte beachten Sie, dass der Zugriff auf persönliche Daten von Schüler/Innen einen Verstoß gegen das Dienstrecht darstellt und mit den administrativen Rechten daher äußerst sorgsam umgegangen werden muss!
3.1 1:1 Modell versus Shared-User (1:n) Modell
Bei der Verwendung von Geräten unterscheiden wir zwei Modelle, das 1:1 Modell und das Shared-User Modell oder 1:n Modell. Beim 1:1 Modell arbeitet immer dieselbe Person mit einem Gerät, wohingegen beim 1:n Modell mehrere Personen ein Gerät verwenden.
Die Geräte aus dem 8-Punkte Plan für eine Digitale Schule werden im Allgemeinen als 1:1 Geräte verwendet, da jeder Schüler und jede Schülerin ein eigenes Gerät verwendet. Ein typisches 1:n Modell stellt ein schuleigener Gerätepool dar. Lehrer/innen buchen z.Bsp. 20 iPads für den Unterricht in der 2. Stunde in der 4a. In der 3. Stunde verwendet die 3b dieselben Geräte. Windows und iOS/iPadOS Geräte unterstützen beide Modelle, da beide Betriebssysteme die Anmeldung mit eigenen Benutzerkonten (Office365 Konten) erlauben. Bei Windows funktioniert das automatisch, iOS/iPadOS Geräte müssen als sogenannte Shared iPads (siehe diese Dokumentation) eingerichtet werden.
4 So bindest du vollverwaltete IOS Geräte ein
4.1 DEP Device Enrollment Process
Um iOS Geräte als vollverwaltete Geräte zu registrieren, müssen die Seriennummern der Geräte in Ihrem Apple School Manager eingetragen sein. Um die Seriennummern im Apple School Manager zu registrieren, müssen Sie die iOS Geräte bei zertifizierten Händlern kaufen. Damit werden die Seriennummern im Apple School Manager registriert. Diesen Prozess nennt man DEP.
Voraussetzungen für das DEP
Bitte tragt zumindest diese zertifizierte Österreichischen Apple Händler ein:
| ACP | 1C2FD220 |
| McWerk Gmbh | D86E60 |
| IT-TEAM GMBH | 61ADB20 |
| epos Computer Handels GmbH | 159A3BA0 |
| HAAI GmbH | EAE760 |
Die Apple School Manager Organisations-ID ist extrem wichtig!
Du musst sie bei der Gerätebestellung über den OEAD unbedingt angeben. Damit werden deine iPads deinem Apple School Manager hinzugefügt. Diesen DEP Vorgang kann nur ein zertifizierter Apple Handler durchführen. Die Verkäufer-ID einiger für uns relevanter Apple Verkäufer werden wir später unserem ASH hinzufügen.
|
|
- Administrator - Einstellungen - Registrierungs-informationen - Info zur Organisation |
Vernünftig verwalten lassen sich die Geräte im ASM nicht. Wenn ein iPad bootet, fragt es bei Apple, ob es in einem Apple School Manager verwaltet wird. In unserem Fall würde daraufhin das iPad der Geräteverwaltung von Intune übergeben. Dieses MDM kann am Gerät Konfigurationseinstellungen festlegen und Apps zuweisen.
4.2 Apple Konfigurator2
Falls du Geräte, die nicht bei zertifizierten Händlern gekauft wurden, als vollverwaltete Geräte registrieren möchtest, so funktioniert das über den Apple Konfigurator2, der ein MacOS-basiertes Gerät voraussetzt. Darum braucht jede IPad-Schule einen MAC Computer. Dieser MAC Computer muss auch den APP Caching Dienst permanent im Subnetz der iPads zur Verfügung stellen, damit die iPads an deiner Schule Softwarepakete nicht jeweils einzeln aus den Internet herunterladen.
Zum Einbinden von iPads mit dem Apple Configurator2 und dem Apple APP Caching Dienst lies die Kapitel gegen Schluss:„Aktivieren des Inhaltscachings auf einem Mac Rechner“
„Vorbereiten eines Devices im Apple Configurator“
4.3 Geräteregistrierung in Intune mit Registrierungsprofil
Für die Registrierung neuer Geräte in Intune erstellen wir ein Registrierungsprofil und nennen es
REG_Profile_IOS_2021. In diesem Profil erfolgt die Registrierung mittels der Intune Unternehmensportal App, die wir zuerst „kaufen“ müssen.
4.3.1 Intune Unternehmensportal kaufen und per Apple Volume Purchase Programme - VPP zuweisen
|
ASM 🡪 Apps und Bücher
|
MS Endpoint Manager 🡪 Mandantenverwaltung 🡪 Connectors und Token
|
|
Apple-VPP Token 🡪 Auf die 3 Punkte rechts klicken 🡪 Synchronisieren
|
Jetzt haben wir die Intune Unternehmensapp in Intune – Apps – iOS/iPadOS Apps
Nur iOS Volume Purchase Apps werden installiert!! |
|
|
Geräte -> Geräte registrieren -> Apple Registrierung -> Token für Registrierungsprogramm |
|
|
Doppelklick auf den Token für Registrierungsprogramm Profil erstellen -> iOS/iPadOS Wir nennen es |
|
Gerätename: Vorlage für Gerätename Mit dieser Vorlage könnten wir die Geräte eines Jahrgangs besser identifizieren. Wir erstellen für jedes Jahr ein neues Registrierungsprofil, das wir als Standardprofil definieren. Das Standardprofil erhalten alle neuen Geräte, die noch kein Registrierungsprofil zugewiesen haben. 21-{{SERIAL}} 22-{{SERIAL}} ... Eine Zuordnung der Geräte zu Jahrgängen, Klassen und LehrerInnen machen wir über Kategorien. Mithilfe dieser Kategorien können wir bei Bedarf dynamische Gruppen bilden. Beispiele: 1A-Schueler-2021 1B-Schueler-2021 Lehrer-2021 1A-Schueler-2022 1B-Schueler-2022 Lehrer-2022 |
|
|
Möglichst vieles ausblenden überprüfen und speichern. Weiter – Überprüfen und Erstellen |
Dieses Registrierungsprofil
|
|
Das Ergebnis für den Token des Registrierungsprogramms
|
|
|
|
Bestehende Geräte können wir ein Registrierungsprofil zuweisen. 🡪 Geräte 🡪 Apple-Registrierung 🡪 Token für Registrierungsprog. 🡪 Doppelklick auf Token 🡪 Geräte 🡪 Synchronisierung 🡪 Geräte auswählen 🡪 Profil zuweisen |
4.4 Apple Configurator Registrierungsprofil (optional)
Falls du Geräte, die nicht bei zertifizierten Händlern gekauft wurden, als vollverwaltete Geräte registrieren möchtest, so funktioniert das über den Apple Configurator, der ein MacOS-basiertes Gerät voraussetzt, oder über die App Configurator für iPhone oder iPad. Darum ist es für eine iPad Schule von Vorteil einen MAC Computer zu besitzen. Dieser MAC Computer muss auch den APP Caching Dienst permanent im Subnetz der iPads zur Verfügung stellen, damit die iPads an deiner Schule Softwarepakete nicht jeweils einzeln aus dem Internet herunterladen.
Zum Einbinden von iPads mit dem Apple Configurator wird eine eigene Kurzdoku erstellt.
|
|
|
|
|
|
|
|
|
|
Profil URL:
https://appleconfigurator2.manage.microsoft.com/MDMServiceConfig?id=b6ff8fa6-311a-400a-accb-4010abd56c2b&AADTenantId=ec5846b8-a48f-473b-bc11-1cec9d5e681a
4.5 Registrierungsbeschränkungen
|
Geräte - Registrierungsbeschränkungen – Gerätelimit – Standard – Eigenschaften - Bearbeiten Per Standard soll jeder Benutzer 15 Geräte in Intune registrieren können.
|
Geräte - Registrierungsbeschränkungen -Geräteplattform – Standard – Eigenschaften - Bearbeiten Hier verhindern wir die Registrierung von diversen privaten Geräten. Das könnte eventuell zum Problem werden, wenn wir die privaten Notebooks der SchülerInnen teilverwalten müssen.
|
4.6 Gerätekategorien
|
|
Wird ein iPad erstmalig in Betrieb genommen und erstmalig registriert, muss man im Registrierungsprozess eine Kategorie auswählen. Beispiele: 1A-Schueler-2021 1B-Schueler-2021 Lehrer-2021 1A-Schueler-2022 1B-Schueler-2022 Lehrer-2022 Mit Hilfe dieser Gerätekategorien lassen sich (dynamische) Gerätegruppen bilden, die zur Verwaltung hilfreich sind. Mehr dazu in einem eigenen Kapitel weiter unten. Der Weg dorthin ist verschlungen.
|
5 Konfigurationsprofile
|
Konfigurationsprofile erlauben dir bei vollverwalteten Geräten diverse Einstellungen auf den iPads zu machen. Diese Profile können wir grob vereinfacht mit Gruppenrichtlinien im Active Directory einer Windows Domäne vergleichen. |
|
IOS-Standardgeräterichtlinie für EDU deaktivieren:
Diese Richtline ist standardmäßig drinnen – brauchen wir aber nicht.
|
Mit Doppelklick bearbeiten wir die Richtlinie. |
Wir bearbeiten die Zuweisung und entfernen alle Gruppen. |
5.1 Synchronisieren und Testen
Um die Auswirkungen von Profilen etc zu testen, kann man ein oder mehrere Geräte sofort synchronisieren.
|
|
|
|
Über Massengeräteaktionen kann man auch mehrere Geräte über das Betriebsystem auswählen und eine Aktion durchführen.
|
|
5.2 iPads_SafeSearch
Wir weisen den Apple SafeSearch Filter nur unseren SchülerInnen zu – grpSchueler_individuell
|
-> Erstellen
-> Weiter |
-> weiter
-> überprüfen und speichern |
5.3 iPads-Passwort
Wir legen ein Passwort Profil an, das wir zumindest der grpLehrer oder allen Geräten zuweisen. Das Passwort erscheint am Sperrbildschirm und kann maximal auf 15 Minuten in den iPad Einstellungen festgelegt werden. Diese Passwörter könnten Arbeit machen, wenn sie von Benutzern häufig vergessen werden. Die Passwörter kann man in Intune zurücksetzen.
|
-> Erstellen |
|
|
|
|
und dann |
|
5.4 iPads-App-Restrictions
|
-> weiter |
-> weiter |
|
Die folgenden Screenshots zeigen die fertigen Profile mit Konfigurationen und nicht mehr den Erstellungsprozess, durch den ein Assistent führt.
Einschränkungen mit Vorsicht und Zurückhaltung vornehmen. Apple Österreich warnt vor Einschränkungen an Geräten im Besitz der SchülerInnen. |
App Name | Bundle ID --------------------------------- Activity | com.apple.Fitness App Store | com.apple.AppStore Apple Store | com.apple.store.Jolly Books | com.apple.iBooks Calculator | com.apple.calculator Calendar | com.apple.mobilecal Camera | com.apple.camera Clips | com.apple.clips Clock | com.apple.mobiletimer Compass | com.apple.compass Contacts | com.apple.MobileAddressBook FaceTime | com.apple.facetime Files | com.apple.DocumentsApp Find My | com.apple.findmy GarageBand | com.apple.mobilegarageband Health | com.apple.Health Home | com.apple.Home iCloud Drive | com.apple.iCloudDriveApp iMovie | com.apple.iMovie iTunes Store | com.apple.MobileStore iTunes U | com.apple.itunesu Mail | com.apple.mobilemail Maps | com.apple.Maps Messages | com.apple.MobileSMS Measure | com.apple.measure Music | com.apple.Music News | com.apple.news Notes | com.apple.mobilenotes Phone | com.apple.mobilephone Photos | com.apple.mobileslideshow Photo Booth | com.apple.Photo-Booth Podcasts | com.apple.podcasts Reminders | com.apple.reminders Safari | com.apple.mobilesafari Settings | com.apple.Preferences Shortcuts | com.apple.shortcuts Stocks | com.apple.stocks Tips | com.apple.tips TV | com.apple.tv Videos | com.apple.videos Voice Memos | com.apple.VoiceMemos Wallet | com.apple.Passbook Watch | com.apple.Bridge Weather | com.apple.weather |
|
Ergebnis: Ich blende hier nur die Aktien com.apple.stocks aus. Das Feld Apple Store URL lasse ich unkonfiguriert. Auf Rat von Apple Österreich, lasse ich nur die Aktien APP ausblenden – wenn überhaupt. |
|
|
Die Zuweisung kann auf Geräte- oder Benutzerebene erfolgen. Eine Zuweisung an alle oder bestimmte Gruppen (z.B. grpLehrer oder grpSchueler_individuell) wäre möglich. |
|
5.5 iPads-Konfig-Restrictions
Einschränkungen mit Vorsicht und Zurückhaltung vornehmen. Apple Österreich warnt vor Einschränkungen an Geräten im Besitz der SchülerInnen.
5.6 Optional: iPads-Single-Sign-On
Microsoft Authenticator App
|
|
Im Apple School Manager kaufen wir die Microsoft Authenticator App für unseren Standort in ausreichender Anzahl. |
|
|
In Intune weisen wir die Microsoft Authenticator App allen Geräten zu. Beim entfernen des Geräts soll diese App nicht deinstaliert werden. |
|
Geräte iOS/iPad Geräte Konfigurationsprofile + Profil erstellen Plattform: iOS/iPadOS Profiltyp: Gerätefunktionen |
Name: iPads-Single-Sign-On |
|
|
URLs für einmaliges Anmelden https://login.microsoftonline.com https://login.microsoft.com https://sts.windows.net https://login.partner.microsoftonline.cn https://login.chinacloudapi.cn https://login.microsoftonline.de https://login.microsoftonline.us https://login.usgovcloudapi.net https://login-us.microsoftonline.com |
|
|
Zuweisung der Richtlinie an alle Geräte |
5.7 iPads-WLAN-Konfig
WLAN Profile
Die Erstinstallation des iPads sollte über das gedrosselte Schueler WLAN erfolgen, dessen Zugangsdaten den SchülerInnen bekannt sind.
Danach sollte man per Profil ein eigenes ungedrosseltes WLAN zuweisen, dessen Passphrase die SchülerInnen nicht kennen.
|
|
|
|
|
Das WLAN Profil weisen wir allen Geräten zu. Natürlich wäre es auch möglich unterschiedliche WLAN Profile unterschiedlichen Gruppen zuzuweisen. Das macht die Netzwerkkonfiguration inklusibe HDMI Dongels nicht leichter. |
5.8 iPads_Startbildschirm
|
Wir können den Startbildschirm unserer iPads einstellen und Apps in Gruppen ordnen – eigentlich eine Aufgabe von DGB. Die Kids sollten ihr Arbeitsgerät selbst im Griff haben und die meisten MDM-Betreuer haben fundamentalere Sorgen. Eventuell schaffen wir so Begehrlichkeiten, die wir mit unseren begrenzten Ressourcen nicht bedienen können. |
|
|
Eventuell schaffen wir so Begehrlichkeiten, die wir mit unseren begrenzten Ressourcen nicht bedienen können. Ich möchte aber auch dieser Anfrage nicht ausweichen. |
|
|
|
6 iPads Konformitätsrichtlinie
Eine Schule berichtet, dass OneDrive nur funktionierte, wenn eine Konformitätsrichtlinie eingerichtet wurde. Der Zusammenhang ist mir rätselhaft.
|
|
Im Beispiel lege ich eine iPad-Konformitätsrichtlinie_Gallus für meine Schule an: |
|
|
🡪 weiter 🡪 allen Benutzern zuweisen 🡪 speichern |
7 Betriebssystem Updates
Wir wollen unsere iPads mit den aktuellen iPadOS Updates versorgen. Dazu legen wir eine entsprechende Richtlinie namens iPads_Updates an.
|
|
Im Beispiel lege ich eine iPad „Richtlinie für iOS/iPadOS aktualisieren“ an.
|
|
|
Ein wöchentlicher Zeitplan mit benutzerdefinierten Start- und Endzeiten soll vermeiden, dass Updates während der Schulzeit und in der Schule installiert werden. Updates sollten so am Abend/Nacht und am Wochenende installiert werden. Diese Updates haben ein beachtliches Volumen und dauern ihre Zeit. |
|
|
Diese Richtlinie iPads_Updates weisen wir allen Geräten zu. |
8 Benutzer verwalten
Nach einer ersten Anmeldung am iPad mit ihrem 0ffice365 Account, finden wir die Benutzer im Apple School Manager. Zumindest den LehrerInnen müssen wir die entsprechende Rolle zuweisen, damit sie z.B. Classroom ... verwenden können.
|
|
|
|
|
8.1 Upload von Benutzern per CSV Datei (nicht empfohlen)
Ich habe versucht die LehrerInnen zuvor per CSV Datei hochzuladen. Dabei kann man Vorlagen für die 6 CSV Dateien herunterladen, die man alle ausfüllen, dann in ein zip Archiv packen muss und per sftp hochlädt. Ich habe lange herumgetestet und war mit dem Ergebnis gar nicht zufrieden. Somit habe ich diese Methode ad Acta gelegt.
|
|
|
|
|
|
9 Klassen
Im Apple School Manager kann man Klassen anlegen und LehrerInnen wie SchülerInnen hinzufügen – ein mühsamer Prozess!
|
|
|
9.1 Apple Classroom
Nur Benutzer mit der Funktion LehrerInnen in Apple School Manager, können über Classroom Klassen anlegen und verwalten. Die Klassen aus Classroom erscheinen dann auch als Klassen im Apple School Manager.
Dies wird die bevorzugte Methode zum Anlegen von Klassen und Gruppen werden. Sie wird durch die LehrerInnen/Klassenvorstände/innen selbst erfolgen.
|
|
Wir „kaufen“ Classroom Lizenzen |
|
|
|
|
|
|
|
|
Wer soll die App bekommen?
|
|
|
|
|
|
Nur Benutzer mit der Funktion LehrerInnen in Apple School Manager, können über Classroom Klassen anlegen und verwalten. Die Klassen aus Classroom erschein dann auch als Klassen im Apple School Manager. Dies wird die bevorzugte Methode zum Anlegen von Klassen und Gruppen werden. Sie wird durch die LehrerInnen/Klassenvorstände/innen selbst erfolgen. |
10 Apps
Die Intune-Unternehmensportal APP muss im ASM gekauft, nach Intune synchronisiert und bei Inbetriebnahme der Geräte oder beim Zurücksetzen installiert werden.
Die App sollte verpflichtend in Intune allen Geräten zugeordnet werden. Dadurch wird die App auf den iPads regelmäßig aktualisiert. Ansonsten kann es zu Problemen führen.
Philipp Varga hat dazu ein Video gedreht:
https://youtube.com/playlist?list=PLAyHkCi8gPmQ9tERu0scTxzUWaLZepQ_0
10.1 Apps im Apple School Manager kaufen
Es wurde bereits in den vorigen Kapiteln mehrfach gezeigt wie Apps im Apple School Manager gekauft werden. Hier wird die Zuweisung von Apps aus dem Apple School Manager gezeigt. Diese Apps werden in Intune 🡪 Apps 🡪 iOS/iPadOS-Apps als Apps vom Typ iOS Volume Purchase Programme angezeigt.
Im speziellen Fall von Outlook wird die App zusätzlich durch eine Konfigurationsrichtlinie angepasst. Das ist selten nötig.
Für kostenpflichtige APPS braucht es ein Guthaben, das über einen lizensierten Apple Händler gekauft werden kann. Das Guthaben wird einem Benutzer zugeordnet. Wird dieser Benutzer gelöscht, ist auch das Guthaben weg. Hier kann ev. der Apple Support helfen.
Es ist sinnvoll für APP Kaufe und Guthaben einen eigenen Account im ASM anzulegen, der die Rolle „Inhaltsmanager“ innehat.
|
|
Wir „kaufen“ eine Classroom Lizenz |
|
|
|
10.2 Apps in Intune zuweisen
Jetzt müssen wir die Zuweisung bearbeiten:
Wer soll die App erhalten?
Wird die App automatisch installiert: required? Das verzögert die Erstregistrierung und das Zurücksetzen der Geräte, da die Apps heruntergeladen und installiert werden müssen.
Als Alternative dazu kann man die App im Intune Unternehmensportal für registrierte Geräte verfügbar machen. Dabei erfolgt die Zuweisung auf Benutzerebene (alle Benutzer oder Benutzergruppen)
Die Lizensierung nach Möglichkeit auf Gerät!
|
Jetzt müssen wir die Zuweisung bearbeiten: Wer soll die App erhalten? Wird die App automatisch installiert: required? Die Lizensierung nach Möglichkeit auf Gerät! |
Wir machen Outlook für alle Benutzer im Intune Unternehmensportal verfügbar. Gleichzeitig machen wir eine Gerätelizensierung. |
Bei vollverwalteten Geräten immer Gerätelizensierung wählen und nicht Benutzerlizensierung. Nur Gerätelizensierung greift!
Outlook ist so im Intune Unternehmensportal für jeden Benutzer verfügbar, wird aber nicht automatisch bei der Erstregistrierung das Gerätes installiert.
10.3 App Konfigurationsrichtlinien für Spezialfälle
Für einige Apps kann man auch spezielle Konfigurationsrichtlinien festlegen. Das zeige ich hier am Beispiel von MS Outlook: Für die Outlook App Konfiguration brauchen wir spezielle Einstelllungen. Outlook dient hier als Musterbeispiel für solch eine Richtlinie.
|
|
Für die Outlook App Konfiguration brauchen wir spezielle Einstelllungen. |
|
|
|
10.4 Automatische App Installation: Required Apps
Die Intune-Unternehmensportal APP (Intune Company Portal) habe ich zweimal zuweisen müssen:
Einmal als App, die ich im Intune Apps Store gekauft habe und vor allem als Intune-Unternehmensportal App, die ich über den Apple School Manager gekauft habe und als Typ iOS Volume Purchase Program-App zur Verfügung steht!!
|
|
|
Wir weisen beide Intune Apps allen Geräten als Required zu. Zusätzlich verweigern wir das Deinstallieren dieser Intune Apps.
Nachdem auch die Microsoft OneDrive App für unsere Benutzer essentiell ist, kaufen wir diese App über den Apple School Manager und habe sie nach der VSS Synchronisation als Typ iOS Volume Purchase Program-App zur Verfügung.
Bei vollverwalteten Geräten immer Gerätelizensierung wählen und nicht Benutzerlizensierung. Nur Gerätelizensierung greift!
10.5 Apps im Unternehmensstore verfügbar machen
|
|
Einige Apps wie OneNote ... müssen nicht automatisch auf den iPads installiert werden. Sie sind also nicht „required“ sondern über die Unternehmensportal App und damit über den Unternehmensstore verfügbar. Von dort aus können sie jederzeit installiert werden. |
10.6 Apps im Überblick
iOS/iPadOS Apps
|
App |
Typ |
Zuweisung |
Benutzer |
Lizenztyp |
entfern-bar |
|
Intune-Unternehmensport. Microsoft Authenticator Microsoft OneDrive |
iOS Volume Purchase |
required |
alle Geräte |
Geräte-registrierung |
nein |
|
Classroom |
iOS Volume Purchase |
für registrierte Geräte |
grpLehrer |
Geräte-registrierung |
ja |
|
GeoGebra Classic Google Chrome Microsoft Excel Microsoft Office Microsoft Office Lens|PDF Scan Microsoft OneNote Microsoft Outlook Microsoft Teams Microsoft Whiteboard Microsoft Word Moodle Quizlet Schoolwork Untis Mobile |
iOS Volume Purchase |
für registrierte Geräte |
Alle Benutzer |
Geräte-registrierung |
ja |
10.7 Private Apps verfügbar machen
Für private Apps brauchen die iPad Benutzer eine private Apple-ID.
Sollte ein Benutzer direkt Apps herunterladen wollen braucht er für seinen „privaten“-Teil vom iPad eine persönliche Apple ID. Diese kann man ganz normal über appleid.apple.com anlegen oder direkt am iPad anmelden.
Am iPad in den Einstellungen ist der Benutzer mit seiner Schul-Apple-ID angemeldet:
|
|
|
|
|
Jetzt meldet man sich einfach mit der persönlichen Apple-ID an und kann Apps im Appstore einfach herunterladen und installieren. Danach könnte/sollte man diese private AppleID wieder entfernen. |
11 Geräte gruppieren und verwalten
Gerätegruppen können wir im größeren Stil verwalten. So können wir allen Geräten einer Gruppe Konfigurationsprofile oder Apps zuweisen. Damit wird unsere Arbeit mit den Geräten wesentlich effizienter und wir müssen nicht einzelne Geräte anhand von Serialnummern aus hunderten iPads herausfischen.
Während wir unsere Benutzergruppen über das Active Directory nach Intune synchronisiert bekommen, müssen wir unsere Gerätegruppen anlegen. Dabei gilt folgende Regel:
11.1 Benutzergruppen
Sicherheitsgruppen werden aus dem Active Directory, der lokalen Windows Domäne, nach Intune synchronisiert. Sie beginnen immer mit grp... In der Regel arbeiten wir mit diesen Gruppen. Wollen wir z.B. Apple Classroom unseren LehrerInnen zuweisen, machen wir das über die Gruppe grpLehrer.
grpSchueler_individuell
grpLehrer
grp-1a
...
Microsoft365 Gruppen sind Gruppen, die durch Teams ... entstehen. Sie sind sehr dynamisch und teils nicht dauerhaft.
11.2 Gerätegruppen
Unsere Gerätegruppen müssen wir hier in Intune erstellen. Um sie leichter zu finden, beginnen all Gerätegruppen mit C_
Sie sind meist dynamische Gruppen, die wir nach bestimmten Regeln und Kriterien erstellen lassen.
|
Gruppe |
Inhalt |
Gruppe |
Inhalt |
|
C_iPad_VVW |
Vollverwaltete iPads |
C_iPad_Leher |
Vollverw. iPads d. LuL |
|
C_iPad_TVW |
Teilverwaltete iPads |
C_iPad_Schueler |
Vollverw. iPads d. SuS |
|
C_iPad_VVW_2020 |
Vollverw. iPads v. 2020 |
C_iPad_1A_2021 |
Vollverw. iPads der 1a aus Einschulungsjahr 2021 |
|
|
|
Hier können wir mit einem Ausdruckseditor einfach verschiedene Eigenschaften kombinieren.
|
Gruppe |
Dynamische Abfrage |
|
C_iPad_VVW |
(device.deviceOwnership -eq "company") and (device.deviceOSType -eq "iPad") |
|
C_iPad_TVW |
(device.deviceOwnership -eq "personal") and (device.deviceOSType -eq "iPad") |
|
C_iPad_VVW_2020 |
((device.displayName -startsWith "L20") or (device.displayName -startsWith "S20")) and (device.deviceOSType -eq "iPad") and (device.deviceOwnership -eq "Company" |
|
C_iPad_VVW_2020 |
(device.deviceCategory -contains "2020") and (device.deviceOwnership -eq "Company |
|
C_iPad_1a_2021 |
(device.deviceCategory -eq "1A-Schueler-2021") |
|
C_iPad_Leher |
(device.displayName -startsWith "L") or (device.deviceCategory -startsWith “Lehrer”) |
12 Aktivieren des Inhaltscachings auf einem Mac Rechner
Inhaltscaching beschleunigt das Laden von Software, die von Apple verteilt wird, und von Daten, die Benutzer in iCloud ablegen, da Inhalte, die bereits von anderen lokalen Mac-Computern, iOS- und iPad-Geräten sowie Apple TV-Geräten geladen wurden, gesichert werden. Die gesicherten Inhalte werden in einem Inhaltscache auf einem Mac abgelegt, sind dort für andere Geräte verfügbar und können von diesen ohne Internetverbindung abgerufen werden.
Wichtig: Es wird empfohlen, Inhaltscaching auf einem Mac-Computer mit einer Ethernet-Kabelverbindung als einziger Verbindung zum Netzwerk bereitzustellen. Inhaltscaching kann anstelle von Ethernet eine WLAN-Verbindung verwenden, wodurch sich jedoch die Leistung reduzieren kann.
MAC Angebot der ACP Götzis vom Juni 2021:
|
Apple Mac mini PC mit M1 CPU, 8GB RAM, 512GB SSD, MacOS BigSur 11.0 |
785,00 € |
Funktionsweise
Nachdem du Inhaltscaching auf einen Mac aktiviert hast, hält es eine Kopie aller Inhalte vor, die Geräte im lokalen Netzwerk (Clients genannt) herunterladen.
Wenn beispielsweise ein erster Client in deinem Netzwerk ein macOS-Update lädt, hält der Inhaltscache eine Kopie dieses Updates vor. Wenn ein zweiter Client im Netzwerk die Verbindung zum App Store herstellt, um dieses Update zu laden, muss das Update nicht erneut aus dem App Store abgerufen werden, sondern kann direkt vom Inhaltscache auf den Client kopiert werden.
Da ein lokales Netzwerk in der Regel sehr viel schneller ist als das Internet, wird das geladene Objekt für den zweiten Client (und alle weiteren Clients) sehr viel schneller verfügbar.
Abbildung 1: Aktivieren des Inhaltscaching auf einem Apple Gerät im Schul-WLAN
Kontrolle des Inhalstcachings:
|
|
Damit das Inhaltscaching funktioniert, müssen sich die Apple Geräte im Netzwerk finden. Das macht Apple mit dem Bonjour Dienst, der an den Access Points eingeschalten werden muss. Bei Aruba Instant Controllern macht man das unter dem Menüpunkt Dienste. Diese AirGroup Dienste sind oft deaktiviert, da sie die Netzwerke sehr belasten.
|
13 Erstanmeldung am iPad
13.1 Beschriftung
Bevor du mit den SchülerInnen das iPad erstmalig in Betrieb nimmst, musst du folgende Gegenstände klar markieren, damit sie den SchülerInnen oder LehrerInnen klar zuordenbar sind:
Die Seriennummern sollten wir in digitaler Form von den Lieferanten bekommen. Wir könnten sie auch aus dem Apple School Manager oder Intune herausbekommen. Auf jeden Fall müssen wir festhalten, wer welches Gerät bekommen hat.
|
Gegenstände |
Beschriftung |
|
|
|
Ich mache das mit folgenden permanent Klebeetiketten von AVERY Artnr.: L6011-20
|
|
13.2 Erstes Hochfahren des iPads – Registrierung im Unternehmensportal von Intune
Im Zuge des ersten Hochfahrens bei Erstinbetriebnahme oder beim Zurücksetzen eines iPads wird das iPad im Unternehmensportal von Intune registriert.
Bitte entschuldige die Qualität der Bilder - diese Vorgänge habe ich fotografiert.
|
Home Button drücken |
Sprache |
|
Land |
Anrede einstellen |
|
|
|
|
WLAN konfigurieren |
WLAN Passphrase |
|
In der entfernten MDM Verwaltung registrieren |
Mit der E-Mailadresse der Schule anmelden. |
|
Kennwort eingeben |
|
|
|
|
|
Anmelden – rechts oben |
Fortfahren |
|
|
Angemeldet bleiben! |
|
|
|
|
|
|
|
Unternehmensportal App öffnen und Anmelden |
Emailadresse und danach Passwort eingeben |
|
|
|
|
|
Die richtige Kategorie (Klasse) auswählen |
13.3 OneDrive als Cloud Speicher festlegen
Wir befinden uns auf einem Apple Gerät und darum ist standardmäßig der iCloud Drive als Cloud Speicher eingestellt. Die Mehrzahl unserer Cloud Anwendungen dürfte weiterhin im Office365 Portal liegen. So wird es Sinn machen, OneDrive als Cloudspeicher zur Verfügung zu stellen.
|
|
|
|
|
|
Wir lassen auch die iCloud aktiviert. Es soll mittlerweile einige wenige Apps geben, die ohne den iCloud Drive nicht richtig funktionieren. An fast allen weiterführenden Schulen ist die Apple Cloud kein Thema. Dort wird ein geübter Umgang mit Office365 – OneDrive erwartet. |
13.4 Apps aus dem Unternehmensstore installieren
Wie schon zuvor im Kapitel Apps beschrieben, gibt es im Unternehmensstore zwei Gruppen von Apps:
- Required: Werden automatisch auf den iPads installiert. Nachteil: Kann zu sehr viel Download Traffic im Netz führen.
- Verfügbar: Können von Hand aus dem Unternehmensstore installiert werden.
|
|
|
|
|
|
13.5 iPad in justedu-Schutzhülle einsetzen und Bluetooth Tastatur verbinden
Video von Philipp Varga:
iPad in justedu-Schutzhülle einsetzen und Bluetooth Tastatur verbinden - YouTube
14 iPads mit Apple Configurator 2 in die ASM Verwaltung
Wir wollen ein iPad, das nicht per DEP vom Händler unserem Apple School Manager zugeordnet wurde, in die Verwaltung unseres ASMs (Apple School Managers) und in Folge unseres Mobile Devise Managements (hier Intune) transferieren. Dazu müssen wir folgende Schritte erledigen:
- Voraussetzung: Auf einem Apple Gerät mit MAC OS Betriebssystem die App Apple Configurator 2 installieren.
- Voraussetzung: Wir verbinden unser iPad mit dem Apple Computer über USB Kabel. Mittels eines USB HUBs können auch mehrere iPads mit dem Apple Computer verbunden werden. Unsere iPads erscheinen im Apple Configurator 2.
- Im Apple Configurator 2 tragen wir unsere Organisation (ASM) ein.
- Im Apple Configurator 2 über den Menüpunkt Vorbereiten transferieren wir das iPad in unseren ASM (Apple School Manager).
- Im ASM weisen wir dann über den Menüpunkt Gerätezuweisung diesem iPad unser Intune als Mobile Device Management zu.
- In Intune kontrollieren wir die Einschränkungen bei Gerätezuweisungen: iPads dürfen nicht blockiert werden.
- In Intune sollte nach einer Synchronisierung das Gerät erscheinen und wir weisen dem Gerät das richtige Registrierungsprofil zu.
- Wenn wir jetzt das iPad zurücksetzen, sollte sich unser Gerät in Intune (MS Endpoint Manager) registrieren: am iPad Einstellungen 🡪 Allgemein 🡪 Zurücksetzen 🡪 Alle Inhalte & Einstellungen löschen.
- Das iPad verhält sich wie ein Gerät, das per DEP vom Händler unserem ASM zugewiesen wurde.
- Eventuell müssen wir nach dem erfolgreichen Zurücksetzen des iPads das Intune Unternehmensportal auf dem iPad von Hand starten und uns mit unserer verwalteten Apple ID (schulische Emailadresse aus Office365) im Unternehmensportal anmelden.
MAC Angebot der ACP Götzis vom Juni 2021:
|
Apple Mac mini PC mit M1 CPU, 8GB RAM, 512GB SSD, MacOS BigSur 11.0 |
785,00 € |
|
Voraussetzung:
Im Apple Configurator 2 muss zuerst unter Einstellungen die Organisation angelegt werden. Dazu reicht ein Login mit der Apple ID, die zum ASM (Apple School Manager) gehört. |
|
|
Apple Gerät mit MAC OS Betriebssystem und installierter Apple Configurator 2 APP
|
Wir fügen unsere Organisation (ASM) hinzu.
|
|
|
Über die Apple ID unseres ASM Admin Accounst fügen wir unseren ASM als Organisation hinzu.
|
|
|
|
|
Wir wählen im Apple Configurator 2 das iPad aus 🡪 Rechtsklick 🡪vorbereiten
|
|
|
|
Wir geben als MDM Server nicht unser Intune ein sondern irgendeinen Blödsinn. Das Gerätemanagement (MDM) weisen wir im ASM (Apple School Manager) zu.
|
|
Diese Warnung kommt nicht überraschend, da das MDM irgendeinblödsinn mit der URL nicht erkannt wurde.
|
|
|
Wir wählen die zuvor in den Einstellungen konfigurierte Organisation (unseren ASM) aus. Im Beispiel hier das BRG & BORG Schoren, an dem wir mit Matthias Mair getestet und entwickelt haben.
|
|
|
|
Im nächsten Fenster bekommen wir eine Fehlermeldung: Falls das iPad schon aktiviert oder vorbereitet war, lassen wir das iPad komplett löschen. |
|
|
|
|
Bei diesem iPad trat obige Fehlermeldung auf. Abhilfe: iPad zuerst mit WLAN verbinden, anschließend ging es tadellos weiter. siehe dieser Link
|
|
|
|
Das iPad erscheint nun in unserem Apple School Manager und seine Quelle ist der Apple Configurator. Jetzt können wir dem iPad im ASM eine Geräteverwalteung – ein MDM – unser Intune – zuweisen.
|
|
|
|
Jetzt sehen wir im ASM die gewünschte Gerätezuweisung zu Intune. |
|
|
|
In Intune kontrollieren wir die Einschränkungen bei Gerätezuweisungen: iPads dürfen nicht blockiert werden. Geräte 🡪 |
|
|
|
|
|
|
|
||
In Intune sollte nach einer Synchronisierung das Gerät erscheinen und wir weisen dem Gerät das richtige Registrierungsprofil zu.
|
|
Geräte mit ASM synchronisieren
|
|
Wir weisen dem Gerät unser Registrierungsprofil für iPads zu.
|
|
- Wenn wir jetzt das iPad zurücksetzen, sollte sich unser Gerät in Intune (MS Endpoint Manager) registrieren: am iPad Einstellungen 🡪 Allgemein 🡪 Zurücksetzen 🡪 Alle Inhalte & Einstellungen löschen.
- Das iPad verhält sich wie ein Gerät, das per DEP vom Händler unserem ASM zugewiesen wurde.
- Eventuell müssen wir nach dem erfolgreichen Zurücksetzen des iPads das Intune Unternehmensportal auf dem iPad von Hand starten und uns mit unserer verwalteten Apple ID (schulische Emailadresse aus Office365) im Unternehmensportal anmelden.
|
|
|
|
|
Eventuell müssen wir nach dem erfolgreichen Zurücksetzen des iPads das Intune Unternehmensportal auf dem iPad von Hand starten und uns mit unserer verwalteten Apple ID (schulische Emailadresse aus Office365) im Unternehmensportal anmelden. Dabei können wir das Gerät auch einer zuvor definierten Gerätekategorie zuweisen. Diese Gerätekategorien sind wichtig für die Geräteverwaltung über dynamische Gruppen – siehe einige Kapitel weiter oben.
|
Optional und vorläufig nicht erforderlich: Apple Configurator – Registrierungsprofil.
|
|
|
|
|
|
|
|
||
|
|
|
||
14.1 Configurator als iPhone oder iPad App
Erleichterung: Configurator als iPhone bzw. iPad App
|
|
|
|
|
Hilfestellungen bei Problemen:
- Doku: https://support.apple.com/de-de/apple-configurator
- 0800070268 - direkte Nummer zum Deployment-Support
Ich danke Dominik Dalfollo, MS-Schendlingen
15 iPads umbenennen ermöglichen
Airdrop und andere Apple Dienste identifizieren Geräte nach Geräte- und nicht Benutzernamen. Unsere Seriennummern als Namen sind dabei sperrige Vehikel. Die Möglichkeit iPads umzubenennen, muss gut überlegt sein:
- Ein manuelles Umbenennen der Geräte durch den MDM Admin ist unzumutbar.
- Eine Automatisierung per Powershell Skript wird MDM Admins überfordern.
- Das Umbenennen der Geräte durch die Schüler:innen wird – hoffentlich selten – zu Problemen führen. Was machen wir mit Schüler:innen, die das Gerät nach einer:em anderen Schüler:in benennen und Unfug bis hin zu Mobbing treiben?
- Wer sich bei Problemen in die Tiefen der MS365 LOGs stürzt, wird Tage (nicht Stunden!) mit Recherchen verbringen.
Lösungsansätze:
- Information der Direktion und Autorisierung durch die Direktion.
- Temporäres Öffnen dieser Möglichkeit und Umbenennen der Geräte in einem definierten Zeitraum durch die Schüler:innen nach einem stringenten Muster z.B.: vorname.nachname.sj
SJ steht für das Schuljahr (21, 22 ...)
Technische Umsetzung:
|
Änderungen im Registrierungsprofil:
|
|
|
Auswahl der Registrierungsprofils:
|
|
|
|
In diesem Zustand könnte der MDM-Admin die Geräte in Intune von Hand umbenennen. Das halte ich für unzumutbar und eine Automatisierung per Powershell Skript wird überfordern. Es ginge so:
|
(Temporäres) Öffnen der Möglichkeit zum Umbenennen der Geräte durch die Schüler:innen nach einen stringenten Muster z.B.: vorname.nachname
|
iOS/iPadOS Geräte - Konfigurationsprofile
|
iPads-Konfig-Restrictions
|
|
|
Im Bereich Allgemein:
|
|
Zum Testen kann man die Einstellungen sofort auf ein Gerät synchronisieren und ev. das Gerät neu starten. Das Ausführen der Befehle auf dem iPad kann Minuten bis Stunden dauern. |
|
Will man die Änderung des Gerätenamens wieder blockieren, setze man die entsprechende Einstellung im Konfigurationsprofil wieder auf ja.
Wenn ich die Vorlage für den Gerätenamen auch im Registrierungsprofil wieder aktivierte, wurden in meinen Tests die Geräte nach einiger Zeit wieder nach Vorlage umbenannt.
15.1 Alle iPads per Powershell umbenennen
Führt wie oben beschrieben die Änderungen im Registrierungsprofil durch.
In unserem Konfigurationsprofil iPad-Konfig-Restrictions belassen wir die Einstellungen. Damit können die iPad Benutzer den Namen des iPads nicht umbenennen. Das machen wir zentral per PowerShell Skript.
Die PowerShell ist kein Tool für MDM-Verantwortliche. Diese Arbeiten muss ein
- IT-Systembetreuer,
- IT-Kustos oder
- IT-Regionalbetreuer
erledigen.
Die nötigen Erklärungen sind in den Kommentaren des Skripts.
#------------------------------Skript Beginn --------------------------------------------------------------------------
# Für die Installation der benötigten Powershell Module führen sie bitte folgende Schritte auf einem Windows 10 Rechner aus:
# Öffnen sie eine **administrative** Powershell
# Entfernen sie dazu die Kommentarzeichen #
#---------------------------------Modul Installation Anfang---------------------------------
#Set-Executionpolicy RemoteSigned
#Install-Module -Name Microsoft.Graph
#Import-Module Microsoft.Graph
#---------------------------------Installation Ende ----------------------------------------
# Berechtigungen für intune-graph-apis https://learn.microsoft.com/en-us/mem/intune/developer/intune-graph-apis
Connect-MgGraph "User.Read.All","Group.Read.All","DeviceManagementManagedDevices.ReadWrite.All","DeviceManagementManagedDevices.PrivilegedOperations.All"
# Zum Testen die folgende Zeile verwenden - Mailadresse auf einem Testgerät (Kustodengerät?) zugeordnete verwaltete Apple-ID ändern
# Wenn es funktioniert, die folgende Zeile mit # am Anfang der Zeile auskommentieren und die letzte Zeile in diesem Absatz durch
# entfernen des # aktivieren
$devices = Get-MgDeviceManagementManagedDevice -Filter "EmailAddress eq 'andreas.renner@bg-gallus.at'"
# alle ios Geräte:
#$devices = Get-MgDeviceManagementManagedDevice -Filter "OperatingSystem eq 'ios'"
# Wie soll das iPad heißen?
# $DisplayName = $device.userDisplayName
# --> Vor- und Nachname des primären Benutzers
# $DisplayName = $device.userDisplayName + " " + $device.deviceCategoryDisplayName.substring($device.deviceCategoryDisplayName.length-4)
# --> Vor- und Nachname sowie Jahr der ausgewählten Kategorie als Nummer (Schüler 2025 --> 2025)
#
# Jene Zeile, die ausgeführt werden soll, aktivieren - die anderen mit # auskommentieren
foreach ($device in $devices) {
$DeviceID = $device.id
# $DisplayName = $device.userDisplayName
$DisplayName = $device.userDisplayName + " " + $device.deviceCategoryDisplayName.substring($device.deviceCategoryDisplayName.length-4)
$Ressource = "deviceManagement/managedDevices('$DeviceID')/setDeviceName"
$graphAPIVersion="Beta"
$uri="https://graph.microsoft.com/$graphAPIVersion/$($Ressource)"
$JSONName = @"
{
deviceName:"$DisplayName"
}
"@
$ausgabe=$device.id + "," + $DisplayName + "," + $device.deviceCategoryDisplayName
echo $ausgabe
Invoke-MgGraphRequest -Method POST -Uri $uri -Body $JSONName -Verbose
}
Disconnect-MgGraph
#------------------------------Skript Ende --------------------------------------------------------------------------16 Synchronisation erzwingen
|
Den Erfolg der Synchronisierung unserer Konfigurationseinstellungen sieht man im Endpoint Manager - Geräte - iOS/iPadOS - Konfigurationsprofile - Auswahl eines Profils - Bericht anzeigen |
|
Wir wollen eine Synchronisation aller iPads erzwingen. Per Default findet diese nur alle 8 Stunden statt. Ist das iPad nicht erreichbar, sehr beschäftigt oder gesperrt, wird nicht synchronisiert.
In einer administrativen Powershell müssen wir die Installation von Microsoft.Graph.Intune durchführen.
Install-Module -Name Microsoft.Graph.IntuneKopiere in eine Textdatei sync_ipads.ps1:
# Den Erfolg der Synchronisierung unserer Konfigurationseinstellungen sieht man im
# Endpoint Manager - Geräte - iOS/iPadOS - Konfigurationsprofile - Auswahl eines Profils –
# Bericht anzeigen
# In einer Admin PS Shell die Installation von Microsoft.Graph.Intune
# Install-Module -Name Microsoft.Graph.Intune
Import-Module -Name Microsoft.Graph.Intune
Connect-MSGraph
# ohne Rueckmeldung
# Get-IntuneManagedDevice -Filter "contains(operatingsystem,'ios')" | Invoke-IntuneManagedDeviceSyncDevice
# mit Rueckmeldung
$Devices = Get-IntuneManagedDevice -Filter "contains(operatingsystem, 'iOS')"
Foreach ($Device in $Devices) {
Write-Host "Sending Sync request to Device with DeviceID $($Device.managedDeviceId)"
Invoke-IntuneManagedDeviceSyncDevice -managedDeviceId $Device.managedDeviceId
}17 Schulwechsel - Geräte aus Verwaltung entfernen
Wir haben nun über den ASM und Intune Geräte in unserer MDM Verwaltung. Wie werde ich sie gegebenenfalls aber wieder los? Wir müssen zwei Szenarien unterscheiden:
- Schulwechsel an eine andere iPad Schule mit iPad Geräteverwaltung.
- Schulwechsel an eine Schule ohne iPad Geräteverwaltung / Austritt aus dem Schulsystem.
17.1 Schulwechsel an eine andere iPad Schule
Bei einem Schulwechsel müssen die iPads aus dem Apple School Manager der alten Schule und aus der Intune Registrierung der alten Schule entfernt werden. An der neuen Schule setzt man das iPad zurück. Es sollte sich nun in die Verwaltung der neuen Schule integrieren - wie jedes neue Gerät.
Vorsicht:
Wurde ein iPad aus Intune entfernt, kann man den Code und das Gerät über Intune nicht mehr zurücksetzen. Stelle sicher, dass du dich am iPad anmelden kannst und zur Not das Zurücksetzen über die Einstellungen – Allgemein iPad übertragen/zurücksetzen erledigst.
Beim Abkoppeln eines Gerätes bleiben die Daten und Apps (je nach Installationsmodus) auf dem Gerät erhalten. Für all diese MDM Operationen (Abkoppeln, Zurücksetzen, Code zurücksetzen) braucht das eingeschaltete iPad eine Internetverbindung.
Solltest du vor diesem Problem stehen, lies bitte das Kapitel „iPad reagiert nicht auf Intune Befehle“
Das Gerät muss auch aus dem Apple School Manager der alten Schule entfernt werden. In der neuen Schule können diese Geräte per Apple Configurator 2 (siehe dazu ein Kapitel weiter unten) in den ASM der neuen Schule eingebunden werden oder weitaus besser über DEP. Das können aber nur einige zertifizierte Händler und ist die präferierte Methode!
Dazu habe ich mit ACP Techrent (vormals ACP-Omega) eine Vorgehensweise abgestimmt:
1. Entfernen eines Gerätes aus dem Apple School Manager:
|
|
|
2. Email an einkauf@omegacom.at
Inhalt:
- Schulkennzahl der neuen Schule
- Seriennummer des iPads
- Apple Organisations-ID der neuen Schule
Die Durchführung erfolgt normalerweise innerhalb von 24 Stunden.
Weiter Infos zur eventuellen Garantieabwicklungen:
Geräteinfos: https://digitaleslernen.oead.at/de/fuer-schulen/geraeteinformationen#c46371
Garantieabwicklung: https://www.justedu.at/
3. iPad zurücksetzen direkt am Gerät oder über das Intune der alten Schule: Das iPad sollte sich an der neuen Schule registrieren, da es ja per DEP der neuen Schule zugeordnet wurde.
4. Entfernen eines Gerätes aus der Intune Verwaltung der alten Schule.
|
|
|
17.2 Schulwechsel an eine Schule ohne iPad Geräteverwaltung / Austritt aus dem Schulsystem
|
|
18 iPads sperren und orten
iPads werden verlegt, gehen verloren oder werden entwendet. In diesem Fall kann man die iPads in Intune sperren, sodass sie nicht mehr verwendbar sind. Gesperrte iPads kann man dann auch orten.
Diese Intune Befehle erhält das iPad natürlich nur, wenn es auch eine Verbindung ins Internet hat.
|
Wir suchen unser iPad in Intune
|
iPad auswählen und auf die 3 Punkte ganz rechts klicken.
|
|
Infos auf dem Sperrbildschirm festlegen:
|
Es kann dauern, bis der Sperrbefehl das iPad erreicht. Diese Intune Befehle erhält das iPad natürlich nur, wenn es auch eine Verbindung ins Internet hat.
|
|
Jetzt ist das iPad gesperrt und schaut so aus. Ich vermute es gibt irgendwelche Methoden (Jailbreak ...) um das Geräte zu knacken – ich kenne sie nicht. |
|
|
Wurde das iPad erfolgreich gesperrt, kann man es auch orten. |
|
|
Die Ortung funktionier recht gut. |
|
|
So kann man das iPad wieder entsperren. |
|
19 Problemsammlung
19.1 Nie Handy Hotspot verwenden
Bei der Erstregistrierung/Erststart eines iPads nie einen Handy Hotspot verwenden, sondern ein stabiles und leistungsfähiges WLAN.
19.2 Gemanagte Apple IDs aus den Office365 Adressen erzeugen.
Die Voraussetzungen für diesen Federation Prozess zeige ich in den beiden Screenshots unten:
Im nächsten Schritt braucht es einen Benutzer, der folgende Voraussetzungen erfüllt:
- Globaler Administrator in Microsoft 365
- Einen Vornamen.Nachnamen hat.
- Als Anmeldedomäne und Emailadresse die offentliche schuldomäne – meineSchule.at
Dazu haben wir im Kurs einen Benutzer a.mdmadmin@meineschule.at angelegt.
19.3 Den Geräten müsst ihr in Intune das Registrierungsprofil zuweisen
Hier stehen alle Geräte, denen dieses Profil noch nicht zugewiesen wurde.
In den meisten Fällen sollten hier keine Geräte stehen.
verwendet man unterschiedliche Registrierungsprofile, kann man sie hier gezielt den jeweiligen Geräten zuweisen.
Es gibt einen Punkt „Standardprofil zuweisen“ über den man allen Geräten das Profil zuweisen kann.
19.4 Geräte warten endlos auf das Registrierungsprofil
|
Eine Anzahl an Geräten konnte ohne Problem die Registrierung durchmachen. Irgendwann stockt der Prozess und Geräte warten endlos auf das Registrierungsprofil. Zuvor wurde den Geräten das richtige WLAN zugewiesen. |
|
Fehlerquellen:
- Gerätebeschränkung im WLAN (SSID)
- DHCP Server kann keine IP Adressen mehr ausliefern, weil er keine freien Adressen mehr hat.
- Firewall Ports
|
|
Bei Aruba IAPs stellt ihr im Controller eine Max. Anzahl Clients hoch ein z.B. 1000 |
|
|
Im DHCP Server sorge ich für genügend IP Adressen In meinem Beispiel gehen die Leases von 10.1.1.99 10.1.15.250. Das sind in Richtung 4000 Adressen. Auf Anraten von Apple habe ich die Lease-Dauer von 60 auf 600 Minuten gestellt. Somit sollte ein Gerät für den ganzen Tag die IP Lease behalten. Wechselnde IP Adressen können bei Apple Programmen (Classroom, Bonjour ...) Probleme machen. |
19.5 Ports an der Firewall
An einer Schule blieb die Seite mit "Konfiguration der MS-xySchule" ewig stehen.
Grund: im WLAN bzw. an der Firewall waren notwendige Ports gesperrt.
Folgende Info zu Intune:
Allow access to all hosts via port 80 (HTTP), 443 (HTTPS), and 123 (UDP/NTP)
Und communications with APNS servers TCP 5223 and 443
Siehe: https://docs.microsoft.com/en-us/mem/intune/fundamentals/intune-endpoints
19.6 Azure Active Directory – Geräte – Geräteeinstellungen
|
|
Mehrstufige Authentifizierung zum Registrieren oder Einbinden von Geräten -> NEIN |
19.7 Apps lassen sich nicht mehr deinstallieren:
19.8 iPad reagiert nicht auf Intune Befehle
19.9 Passcode entfernen geht nicht
19.10 iPad zurücksetzen geht nicht
Zurücksetzen, Passcode entfernen ... und das Gerät reagiert nicht.
Oft ist das iPad gesperrt und hat keine WLAN Verbindung.
Auf einem Gerät mit MacOS (z.B. unser obligatorischer MAC Mini) machen wir eine Freigabe der Internetverbindung, sodas sie mit anderen Geräten, die per USB angeschlossen sind, geteilt wird. Damit erhält ein per USB ans Apple Gerät angeschlossene iPad eine Internetverbinden und führt die Intune Befehle von oben aus.
Apple Logo – Systemeinstellungen – Freigaben – Internetfreigabe
Alles abhaken außer ev. WLAN, wenn das Gerät per Ethernet Kabel am Internet hängt wie unser MAC Mini.
Wenn jetzt ein iPad per USB am MAC Computer hängt, bekommt es eine Internetverbindung und kann die Intune Befehle ausführen.
19.11 Geräte in iTunes wiederherstellen
iPad per USB an einen MAC oder WindowsPC (mit installiertem iTunes) anschließen.
|
|
1) Musik (ehemaliges iTunes) -> Gerät in der Leiste auswählen, dann auf „Sync-Einstellungen“ klicken. 2) Dann öffnet sich das iPad im Finder -> dort auf die neuste Software aktualisieren (da fehlt leider der Screenshot) 3) Wenn die Software auf dem neuesten Stand ist -> „iPad wiederherstellen“ -> „Kein Backup erstellen“ -> laufen lassen und das war’s :) |
|
|
|
|
|
|
19.12 Code für dein iPad vergessen oder dein iPad ist deaktiviert oder iPad wiederherstellen
Quelle: https://support.apple.com/de-de/HT211078
Hier erfährst du, was du tun kannst, wenn du den Code für dein iPad vergessen hast oder wenn eine Meldung darauf hinweist, dass dein iPad deaktiviert ist.
|
Wenn du zu häufig einen falschen Code eingibst, wirst du in einer Meldung darauf hingewiesen, dass dein iPad deaktiviert wurde. Wenn du dich nicht an deinen Code erinnern kannst, musst du dein iPad löschen, wodurch alle Daten und Einstellungen einschließlich des Codes gelöscht werden. Wenn du ein Backup des iPad erstellt hast, kannst du nach der Wiederherstellung des iPad deine Daten und Einstellungen wiederherstellen. Wenn du noch nie ein Backup des iPad erstellt hattest, bevor du deinen Code vergessen hast, kannst du die Daten auf deinem iPad nicht retten. Gehe wie folgt vor, um deinen Code zu entfernen. |
|
|
Code auf einem iPad ohne Home-Taste entfernen Verbinde das iPad mit dem Computer. Halte die obere Taste und eine der Lautstärketasten so lange gedrückt, bis der Schieberegler "Ausschalten" angezeigt wird. Bewege den Schieberegler, um das iPad auszuschalten. |
|
|
Halte die obere Taste gedrückt, bis der Bildschirm des Wiederherstellungsmodus angezeigt wird. |
|
|
Code auf einem iPad mit Home-Taste entfernen Vergewissere dich, dass dein iPad nicht mit deinem Computer verbunden ist. Halte die obere Taste so lange gedrückt, bis der Schieberegler "Ausschalten" angezeigt wird. Bewege den Schieberegler, um das iPad auszuschalten. |
|
|
Verbinde das iPad mit deinem Computer, während du die Home-Taste gedrückt hältst. Halte die Home-Taste gedrückt, bis der Bildschirm des Wiederherstellungsmodus angezeigt wird.
|
|
19.13 Das iPad wiederherstellen
|
Suche das iPad auf deinem Computer. Wenn du zwischen einer Wiederherstellung und einem Update entscheiden musst, wähle "Wiederherstellen". Der Finder oder iTunes lädt die Software für dein iPad. Sollte dieser Vorgang länger als 15 Minuten dauern, beendet dein iPad den Wiederherstellungsmodus. Dann musst du die obigen Schritte zur Entfernung des Codes wiederholen Warte, bis der Vorgang abgeschlossen ist. Dann kannst du dein iPad einrichten und verwenden |
|
19.14 iPad hängt bei Registrierung und im Apple Configurator2
Bei mir war das Problem, dass ich ein iPad mit Apple Configurator 2 nicht ansteuern konnte, da ich "Diesem PC vertrauen" nicht aktivieren konnte. Es wurde nicht angezeigt, da der Bildschirm gesperrt war. Das iPad hat sich während dem Anmeldevorgang im geführten Zugriff aufgehängt bzw. die Internetverbindung verloren.
Apple Support hat geholfen:
- iPad mit Kabel an den Mac-Mini anschließen.
- Einschalttaste + Hometaste so lange drücken (min. 10 Sekunden) bis das Kabelsymbol erscheint.
- iPad ist nun im Wartungsmodus (DFU-Modus) und kann wiederhergestellt werden
19.15 iMessage oder FaceTime aktivieren
Wer iMessage oder FaceTime verwenden will, muss dies im Apple SchoolMananger 2x aktivieren.
Die erste Einstellung ist leicht zu finden.
Bei Einstellungen / Accounts / FaceTime und I-Message aktivieren
die zweite Einstellung ist etwas "besser versteckt" und wird dadurch oft übersehen: sie ist unter Funktionen / Rolle (zumindest Lehrkräfte und Schüler*innen) / Personenrechte / FaceTime und IMessage benutzen