Apple-Geräte per Apple Configurator einrichten
Ab ins Körbchen!
Veröffentlicht in Ausgabe 04/2022 - SCHWERPUNKT
Den Apple Configurator gibt es für macOS wie für iOS. Der Funktionsumfang unterscheidet sich jedoch maßgeblich, siehe Kasten. Wir beschäftigen uns in diesem Beitrag mit dem Apple Configurator 2 (AC2), der kostenlos im App Store für macOS zum Download erhältlich ist. Er ersetzt zwar keine professionelle Plattform zum Mobile Device Management (MDM), bietet sich aber dennoch als Schweizer Taschenmesser für das Apple-Ökosystem an. Sein Spektrum umfasst dabei Wartungs-, Installations- und Backupaufgaben gleichermaßen. Natürlich lassen sich viele Dinge immer von Hand am jeweiligen Zielgerät selbst durchführen. Aber gerade dann, wenn Sie eine Konfiguration später noch einmal auf einem anderen Gerät umsetzen wollen, hilft die systematische Herangehensweise mit dem AC2.
Voreinstellungen signiert verteilen
Mithilfe kleiner XML-Dateien, sogenannte Konfigurationsprofile mit der Endung ".mobileconf", können Sie Voreinstellungen auf einem Apple-Gerät festlegen. Diese Profile erlauben es, mehr oder weniger tiefgreifende Settings auf dem Zielgerät vorzunehmen, Funktionalitäten einzuschränken oder auch das System zu erweitern. Dies erleichtert es dem Administrator, Zugänge zur Infrastruktur (zum Beispiel WLAN-, VPN- oder PIM-Zugänge) einzurichten oder den Zugriff auf bestimmte Apps per Blacklisting zu verhindern. Die Profile lassen sich auf beliebig vielen Geräten verteilen.
Mit dem Apple Configurator können Sie nun auf einem Mac genau diese Konfigurationsprofile für mobile Geräte erstellen. Der entsprechende Menüpunkt steht unter "Ablage / Neues Profil" zur Verfügung. Jetzt erhalten Sie eine Editor-Ansicht zum Erzeugen eines neuen Konfigurationsprofils angezeigt. Sie können nun frei entscheiden, welche Art von Konfiguration Sie vornehmen wollen. Lediglich die Angaben in den Feldern "Name" und "ID" im Bereich "Allgemein" sind verpflichtend.
Den Apple Configurator gibt es für macOS wie für iOS. Der Funktionsumfang unterscheidet sich jedoch maßgeblich, siehe Kasten. Wir beschäftigen uns in diesem Beitrag mit dem Apple Configurator 2 (AC2), der kostenlos im App Store für macOS zum Download erhältlich ist. Er ersetzt zwar keine professionelle Plattform zum Mobile Device Management (MDM), bietet sich aber dennoch als Schweizer Taschenmesser für das Apple-Ökosystem an. Sein Spektrum umfasst dabei Wartungs-, Installations- und Backupaufgaben gleichermaßen. Natürlich lassen sich viele Dinge immer von Hand am jeweiligen Zielgerät selbst durchführen. Aber gerade dann, wenn Sie eine Konfiguration später noch einmal auf einem anderen Gerät umsetzen wollen, hilft die systematische Herangehensweise mit dem AC2.
Voreinstellungen signiert verteilen
Mithilfe kleiner XML-Dateien, sogenannte Konfigurationsprofile mit der Endung ".mobileconf", können Sie Voreinstellungen auf einem Apple-Gerät festlegen. Diese Profile erlauben es, mehr oder weniger tiefgreifende Settings auf dem Zielgerät vorzunehmen, Funktionalitäten einzuschränken oder auch das System zu erweitern. Dies erleichtert es dem Administrator, Zugänge zur Infrastruktur (zum Beispiel WLAN-, VPN- oder PIM-Zugänge) einzurichten oder den Zugriff auf bestimmte Apps per Blacklisting zu verhindern. Die Profile lassen sich auf beliebig vielen Geräten verteilen.
Mit dem Apple Configurator können Sie nun auf einem Mac genau diese Konfigurationsprofile für mobile Geräte erstellen. Der entsprechende Menüpunkt steht unter "Ablage / Neues Profil" zur Verfügung. Jetzt erhalten Sie eine Editor-Ansicht zum Erzeugen eines neuen Konfigurationsprofils angezeigt. Sie können nun frei entscheiden, welche Art von Konfiguration Sie vornehmen wollen. Lediglich die Angaben in den Feldern "Name" und "ID" im Bereich "Allgemein" sind verpflichtend.
Viele Konfigurationen gestatten mehrere "Payloads". So kann ein Profil beispielsweise unterschiedliche Einstellungen für diverse WLAN-, VPN- oder PIM-Zugänge enthalten. Wählen Sie in diesem Fall das Plus-Symbol ("Payload hinzufügen") – oder das Minus-Symbol ("Payload entfernen"), wenn Sie diese Settings wieder aus dem Konfigurationsprofil löschen möchten. Innerhalb der unterschiedlichen Konfigurationen gibt es immer wieder Pflichtfelder. Diese sind mit dem Hinweis "Erforderlicher Wert" markiert.
Die Verteilung der Konfigurationsprofile kann über verschiedene Arten erfolgen. Zum einen lassen sie sich kabelgebunden an ein angeschlossenes iOS-, iPadOS- oder tvOS-Gerät überführen. Zudem können Sie die Dateien auch per E-Mail, iMessage oder gar per Webdownload an das Gerät bringen. Damit sich die Konfigurationsprofile nicht manipulieren lassen, kann der AC2 sie über "Ablage / Sichern" nicht nur speichern, sondern über "Ablage / Profil signieren" auch für Sie signieren. Damit wird diese Art der Verteilung von statischen Konfigurationen im professionellen Umfeld interessant.
Verwalten von Geräten
Es lassen sich aber nicht nur Konfigurationen verteilen. Sie können direkt angeschlossene Geräte mithilfe des AC2 auch verwalten. So ist es unter anderem möglich, den Gerätenamen, das Hintergrundbild des Sperr- und Home-Screens, die Anordnung der Apps und Ähnliches zu konfigurieren. Dabei stehen Ihnen dynamische Werte zur Verfügung. Dies wird zum Beispiel anhand des Gerätenamens deutlich: Als Administrator haben Sie die Auswahl zwischen verschiedenen Variablen wie Seriennummer, Gerätetyp, Speicherkapazität, Name der verwendeten AC2-Station und einer Zahl, die sich sequenziell pro Vergabe erhöht.
Nicht zuletzt bringen Sie mit dem AC2 auch Geräteinformationen auf den Bildschirm, etwa zu Inventarisierungszwecken. Diese lassen sich auch im CSV-Format oder als Datei exportieren, die speziell für das Apple-Developer-Provisioning-Portal formatiert ist.
Als Administrator sind Sie immer wieder mit Geräten konfrontiert, die sich nicht "normal" verhalten. Hier bieten sich zwei Optionen über den AC2 an. Über den Menüpunkt "Aktion / Erweitert / Gerät reparieren" (Benutzerdaten bleiben erhalten, sofern sie sich wiederherstellen lassen) oder "Wiederherstellung" (Benutzerdaten werden gelöscht und die neueste Version des Betriebssystems wird installiert) haben Sie hier die wichtigsten Werkzeuge zur Hand. Aber auch weniger komplizierte Dinge wie das Erzeugen und Einspielen von Sicherungskopien oder das Herunterladen und Installieren von Updates für Apps oder das Aufspielen der neuesten Version von iOS, iPadOS und tvOS sind möglich.
Der AC2 erlaubt es Ihnen, öffentlich verfügbare Apps auf einem angeschlossenen Gerät zu installieren. Aber auch selbstentwickelte Anwendungen, die über ein sogenanntes Inhouse-Entwicklerzertifikat (auch Enterprise-Zertifikat genannt) verfügen, lassen sich auf angeschlossene Devices verteilen. Der entsprechende Menüpunkt lautet hier "Aktion / Hinzufügen". Mit "Aktion / Entfernen" gehen Sie den umgekehrten Weg. Dabei kann der AC2 mit Volumenlizenzen aus dem Apple Business Manager (ABM) umgehen.
Zusammenspiel mit Apple Business Manager
Setzen Sie in Ihrem Unternehmen den Apple Business Manager ein, waren Sie bisher in der Lage, Geräte nach dem Kauf im Rahmen des Device Enrollment Program (DEP) selbst automatisiert an ein MDM-System anzubinden. Dazu war es nötig, DEP-Geräte bei einem autorisierten Händler zu erwerben. Setzen Sie alte Geräte ein oder erwerben Sie diese von einem Anbieter ohne DEP-Händler-ID, können Sie diese seit iOS 11 über einen manuellen Eingriff in den ABM überführen. So lässt sich jegliches Gerät mithilfe des AC2 im ABM für DEP registrieren. Es gilt dann jedoch eine 30 Tage andauernde Übergangszeit, beginnend mit der ersten Aktivierung. Anwender haben also einen Monat lang die Möglichkeit, die Registrierung am ABM/ DEP wieder aufzuheben.
Auch der betreute Modus (Supervised Mode), der eigentlich nur DEP-Geräten per ABM zur Verfügung steht, lässt sich ohne ABM mit dem AC2 auf einem Gerät aktivieren. Nur im betreuten Modus stehen Ihnen erweiterte Möglichkeiten zur Konfiguration eines iOS-Geräts zur Verfügung. So erlaubt iOS beispielsweise nur diesen Devices, iMessage, AirDrop oder Game Center zu deaktivieren.
Aber auch das Filtern von Webinhalten oder die Definition von White- und Blacklists für verwendete Apps ist nur im betreuten Modus möglich. Beachten Sie, dass die Aktivierung des betreuten Modus mit der Löschung des Geräts einhergeht. Verlieren oder vergessen Anwender öfter den Zugangscode zu ihrem Gerät, können Sie den Zugangscode des Geräts auch entfernen. Dies setzt aber voraus, dass sie den "Token zum Entsperren" über den AC2 gesichert haben.
Schablonen zum späteren Ausrollen
Sogenannte Entwürfe (Blueprints) ermöglichen es Ihnen, mehrere der bisher aufgeführten Aktionen zu sammeln und sie auf (später) angeschlossene Geräte anzuwenden. Dabei stehen Ihnen alle Konfigurationsprofile (etwa WLAN-Zugang), sämtliche Aktionen (zum Beispiel das Aktivieren von Apps) und erweiterte Optionen (etwa das vorherige Erstellen einer Sicherheitskopie) quasi virtuell zur Verfügung, als ob ein physisches Gerät angeschlossen wäre.
Sie können somit Vorlagen erstellen oder bereits vorhandene für jedes Ihrer Geräte- oder Bereitstellungstypen nutzen. Sinnvoll ist das zum Beispiel, um verschiedene Einstellungen und Apps für iPhones, iPads und iPods unterschiedlich zu konfigurieren. Im Gegensatz zu Konfigurationsdateien kann die Verteilung von Blueprints aber nur kabelgebunden erfolgen. Haben Sie das Zielgerät angeschlossen, findet der Blueprint über "Aktion / Anwenden / <Name des Blueprints>" den Weg auf das Device. Dabei laufen die verschiedenen zuvor definierten Schritte ab und das Gerät wird maßgeschneidert eingerichtet.
Spezielle Version für iOS
Um die iPhone-Version des Apple Configurator einzusetzen, benötigen Sie eine verwaltete Apple-ID Ihrer Organisation. Diese können Sie über den ABM erstellen. Die iOS-App erlaubt es dann, Geräte an ABM anzubinden, Netzwerkkonfigurationen over-the-air zu übergeben und Konfigurationsprofile auszurollen. Das Erstellen der Konfigurationsprofile muss aber weiterhin mit der macOS-Version des AC2 erfolgen. Die iOS-Variante ist dann besonders nützlich, wenn es darum geht, macOS-Rechner zu administrieren. Denn diese lassen sich über die macOS-Version des AC2 nicht direkt verwalten und weder mit Blueprints aufsetzen noch über den Apple Business Manager einem MDM-System zuordnen. Hier bietet Apple mit der Apple-Configurator-App für das iPhone aber einen Workaround: Zumindest für macOS-Computer mit einem T2-Sicherheitschip oder mit Apple-CPU besteht damit nun die Möglichkeit, die macOS-Geräte manuell an die automatische Geräteregistrierung des ABM zu koppeln.
Kommandozeile und Automator
Wer sich auf der Kommandozeile zu Hause fühlt und Shell-Skripte schreibt, um bestimmte Abläufe zu automatisieren, dem stellt der AC2 eine Befehlszeilen-Version zur Verfügung. Die Option "Automationswerkzeuge installieren" aus dem Menü "Apple Configurator 2" bringt die notwendigen Komponenten für das Befehlszeilenprogramm "cfgutil" auf das macOS-System. Dieses Programm stellt die komplette Funktionalität des AC2 zur Verfügung und gibt dem Administrator über seine man-Page eine ausführliche Dokumentation.
Wer kein Fan der Kommandozeile ist, sich aber dennoch eine automatisierte Abarbeitung von Verwaltungsoptionen wünscht, sollte einen Blick auf den Automator werfen. Dabei handelt es sich um eine in macOS integrierte Anwendung, die es Admins ermöglicht, eine Vielzahl von Automatisierungsaufgaben über eine einfache grafische Oberfläche und Drag&Drop-Aktionen durchzuführen.
So enthält auch der AC2 mehrere Automator-Aktionen, sodass Sie Ihre eigenen Arbeitsabläufe und Anwendungen erstellen können. Diese Prozesse sind jedoch nicht so mächtig wie die Automatisierung auf der Kommandozeile. Falls Sie sich dennoch für die Workflows im Automator interessieren, können Sie sich unter [1] von verschiedenen Automatisierungsrezepten inspirieren lassen.
Fazit
Der macOS-basierte Apple Configurator 2 stellt einige mächtige Funktionen zur Verwaltung von Endgeräten zur Verfügung. Egal, ob Sie eine große Flotte an Devices oder nur eine Handvoll Geräte betreuen müssen – die Software bietet für jeden etwas. Leider ist die Benutzeroberfläche nicht wirklich benutzerfreundlich und bedarf einer gewissen Einarbeitung.
(ln)
Link-Codes
[1] Einführung zu Automator: http://macosxautomation.com/automator/