Mobile Device Management mit dem OS X Server

Ab einer gewissen Anzahl von iPhones und iPads ist es nicht mehr sinnvoll, die Verwaltung manuell – also an jedem Gerät – vorzunehmen. Der Aufwand ist einfach zu groß. Dann ist es an der Zeit, über ein Mobile Device Management (MDM – deutsch: Mobilgeräteverwaltung) nachzudenken. Es gibt viele professionelle Anbieter solcher MDM-Lösungen. Allerdings kostet ein mobiles Gerät mindestens fünf Euro pro Monat. Apple bietet Dir mit dem OS X Server eine Lösung für einmalig nur 19,99 Euro an, ganz gleich ob Du ein oder 1000 iOS-Geräte verwalten willst. 

Um mit dem OS X Server ein Mobile Device Management (MDM) zu betreiben, benötigst Du folgende Voraussetzungen:

Lade Dir als erstes die OS X Server-App herunter und installiere sie. Als nächstes musst Du die Server-App starten und die Lizenzvereinbarungen akzeptieren:

01-Server 02-Server-Lizenz 03-Server-Konfiguration

Nach dem Abschluss der Konfiguration siehst Du die Server-Übersicht. Ändere als nächstes den Hostnamen Deines Servers in den Namen, den Du von Deinem dynDNS-Anbieter erhalten hast – den DNS-Dienst kannst Du während der Änderung auch direkt einschalten:

04-Server-Übersicht 05-Server-Hostname06-Server-Hostname07-Server-Hostname 08-Server-Hostname-DNS09-Server-Übersicht

Aktiviere danach unter „Einstellungen“ den Punkt „Apple-Push-Benarichtigungen aktivieren“. Dafür musst Du die Apple-ID angeben, unter der die Aufträge auf Deine Geräte gepusht werden sollen. Für diese Apple-ID wird ein Zertifikat von Apple erstellt, das ein Jahr gültig ist:

10-Apple-Push-Benachrichtigungen 11-Apple-Push-Benachrichtigungen-Apple-ID 12-Apple-Push-Benachrichtigungen-Apple-ID-Fertig

Als nächstes musst Du den Dienst „Websites“ einschalten, damit Dein Profilmanager auch übers WLAN und Internet erreichbar ist:

13-Server-Website 14-Server-Website-EIN

Jetzt muss der Dienst „Profilmanager“ aktiviert werden, der die eigentliche Verwaltung der Geräte übernimmt. Sobald der Dienst eingeschaltet ist, wird die Funktion „Konfigurationsprofile signieren“ aktiviert – verwende dafür das generierte Server-Zertifikat:

15-Server-Profilmanager 16-Server-Profilmanager-EIN 17-Server-Profilmanager-signieren 18-Server-Profilmanager-signieren-Zertifikat 19-Server-Profilmanager-signieren

Da ein MDM betrieben werden soll, muss die Geräteverwaltung im Anschluss konfiguriert werden. :

19-Server-Profilmanager-Geraeteverwaltung19-Server-Profilmanager-Geraeteverwaltung-1-konfigurieren19-Server-Profilmanager-Geraeteverwaltung-2-Info19-Server-Profilmanager-Geraeteverwaltung-3-SSL19-Server-Profilmanager-Geraeteverwaltung-4-Fertig19-Server-Profilmanager-Geraeteverwaltung-5-Aktiviert

Um neben den Geräten auch Benutzer verwalten zu können, muss der Dienst „Open Directory“ aktiviert werden. Während der Aktivierung wird eine neue Open Directory-Domain erstellt, die Deine Benutzer- und Gruppen-Informationen speichert. Für die Domain benötigst Du einen neuen Directory-Administrator. Zusätzlich kannst Du noch Organisations-Informationen und eine Administrator-E-Mail-Adresse angeben:

20-Server-Open-Directory 21-Server-Open-Directory-NEU 22-Server-Open-Directory-Admin 23-Server-Open-Directory-Organisation 24-Server-Open-Directory-Konfiguration 25-Server-Open-Directory-EIN

Das war die Einrichtung des Servers. Jetzt kannst Du den Profilmanager verwenden.

Um den Profilmanager zu starten, musst Du Deinen Hostnamen im Browser eingeben oder in der Server-App unter Dienste „Profilmanager“ auf „Profilmanager öffnen“ klicken:

26-Profilmanager-aufrufen

Es kommt eine Warnmeldung bezüglich Deines Zertifikats – diese kannst Du mit einem Klick auf „Fortfahren“ ignorieren. Melde Dich mit Deinem Benutzer an. Anschließend siehst Du den Startbildschirm des Profilmanagers:

26-Profilmanager-starten27-Profilmanager-Übersicht

Im Profilmanager kannst Du alle erdenklichen Einstellungen vornehmen – nicht nur für iPhones und iPads, sondern auch für Macs. Neben Einstellungen für Geräte kannst Du auch Einstellungen für Benutzer vornehmen und auch Einstellungen für Benutzer- und Gerätegruppen (z. B. nur iPhones). Als Beispiel wird im Folgenden das Profil „Einstellungen für Jeden“ angepasst, indem ein mindestens vierstelliger Code verlangt wird.

Wähle dafür links unter „Verzeichnis“ die „Gruppen“ und darin die Gruppe „Everyone“ aus. Gehe auf den Reiter „Einstellungen“ und klicke auf „Bearbeiten“:

28-Profilmanager-Everyone

Nun solltest Du Deine Einstellungen vornehmen (klicke erst auf „OK“, wenn Du damit fertig bist). Unter „Allgemein“ kannst Du eine Beschreibung für das Profil hinterlegen und bestimmten, ob und wie das Profil von Geräten entfernt werden darf. In diesem Beispiel darf es nur nach der Eingabe eines Kennworts gelöscht werden:

29-Profilmanager-Everyone-Allgemein

Anschließend wählst Du den Bereich „Code“ aus und legst Deine Anforderungen an den Einschaltcode auf Deinen Geräten fest – klicke anschließend auf „OK“ und speichere das geänderte Profil mit einem Klick auf „Sichern“ und der Bestätigung:

30-Profilmanager-Everyone-Code31-Profilmanager-Everyone-Sichern31-Profilmanager-Everyone-Sichern-1

Das war die Installation und Einrichtung des OS X Servers. Der Profilmanager ist auch vorbereitet. Jetzt müssen nur noch Benutzer und Geräte aufgenommen werden.

5 Kommentare Schreibe einen Kommentar

  1. Pingback: OS X Server – Benutzer und Benutzer-Gruppen anlegen | OS-Privacy

  2. Pingback: OS X Server Profilmanager – Geräte aufnehmen und Gerätegruppen anlegen | OS-Privacy

  3. Pingback: iTunes 12.1 deaktiviert das iPhone-Konfigurations­programm unter Windows | OS-Privacy

  4. Lieber Autor,

    Vielen Dank für die Anleitung!

    Vielleicht sollte man noch erwähnen, dass der Profilemanger, ohne eine DEP-Händler-ID, nur teilweise funktionsfähig ist. DEP-Händler-ID ist also auch vorausgesetzt! Ansonsten bleiben die Optionen im Profilmanager „(nur betreute Geräte)“ wirkungslos?

    Mit freundlichen Grüßen
    Automatisator

    • Hallo Automatisator, das ist so nicht korrekt. Der Profilmanager ist auch ohne DEP-Händler-ID vollfunktionsfähig. Du musst auch nicht am DEP teilnehmen, um betreute Geräte zu bekommen – das erledigst Du mit dem Apple Configurator: https://www.os-privacy.de/apple-configurator-betreute-geraete-aufnehmen-3434/
      An dem Device Enrollment Programm (DEP) können nur Firmen teilnehmen, die eine große Menge iPhones oder iPads bei einem Händler einkaufen, der eine DEP-ID hat. Mit DEP hast Du zusätzlich allerdings die Möglichkeit iOS-Updates zu verteilen.
      Gruß Silvio

Schreibe einen Kommentar