Open in app

Sign in

Write

Sign in

MDM mit OS X Server

Joshua Jung
13 min readOct 3, 2015

--

Basiskonfiguration und Aufnahme des ersten Geräts

Update: Am 7. September habe ich eine neue Version dieses Tutorials veröffentlicht. Sie nutzt aktuelle Versionen von macOS und iOS, nutzt einen intelligenteren Ansatz zur Einrichtung der Geräte und zeigt auch die Administration von Geräten über das Internet. Diese (alte) Version des Tutorials halte ich online, da sie in manchen Fällen ggf. noch hilfreich sein kann.

Apple stellt mit seinem OS X Server bzw. dem darin enthaltenen Profile Manager eine günstige und dennoch professionelle Lösung für den Aufbau eines Mobile Device Managements zur Verfügung. Dieser Artikel beschreibt meine Erlebnisse bei der Einrichtung des Servers und Profile Managers und gibt Tipps zur Nachahmung.

Dies ist mein persönlicher Erfahrungsbericht und hat nicht den Anspruch, in jedem Fall die optimale Lösung darzustellen — nutzt gern die Kommentare rechts, um Alternativvorschläge einzufügen!

Letzte Aktualisierungen

  • 4. Oktober 2015: Benutzer werden im Open Directory angelegt, nicht lokal im Server.
  • 3. Oktober 2015: Erste Version dieser Anleitung.

Voraussetzungen

Folgende einfache Voraussetzungen sollten vor Beginn der Einrichtung getroffen sein:

  • Wir benötigen einen Mac, auf welchem der Server betrieben werden soll. Ausreichend ist hier schon ein Mac Mini oder — für den Testbetrieb — ein MacBook Air. Dieser Mac wird im Laufe der Einrichtung komplett zurückgesetzt, sollte also keinerlei weiterhin benötigte Daten enthalten. Im Rahmen dieses Artikels arbeite ich mit der neuesten Version von OS X, El Capitan. Der genutzte Mac sollte dieses System also unterstützen.
  • Der Mac muss in ein Netzwerk eingebunden sein. Dieses ist seine Heimat und Daseinsberechtigung. Sinnvoll ist ein kabelloses Netzwerk, so dass unsere Mobilgeräte dieses später auch nutzen können, der Mac selbst kann aber selbstverständlich auch per Kabel angeschlossen sein. Ich gehe im Rahmen dieser Beschreibung davon aus, dass im Netzwerk zudem ein Router (bspw. in Form eines AirPorts, einer TimeCapsule oder einer Fritz!Box) vorhanden ist, welcher für das Netzwerk einen DHCP- und DNS-Dienst bereitstellt. Alle genannten Router und viele mehr tun dies schon in Ihrer Standardkonfiguration, so dass dies kein Grund zur Sorge sein sollte. Der Router muss uns zudem zu einem beliebigen Internetanschluss verbinden.

Alle weiteren Voraussetzungen schaffen wir im weiteren Verlauf dieser Anleitung.

Installation benötigter Software

Zum Betrieb eines Macs als MDM-Server benötigen wir lediglich drei Software-Komponenten:

OS X

Als Betriebssystem kommt in diesem Beispiel OS X El Capitan (10.11) zum Einsatz, welches von Apple kostenlos zur Verfügung gestellt wird. Sofern der eingesetzte Mac bereits im Einsatz war, setzen wir ihn mittels der Wiederherstellungskonsole (Cmd + R beim Starten des Systems) auf den Auslieferungszustand zurück.

Beim ersten Start von OS X wählen wir das zu nutzende WLAN aus (sofern der Rechner nicht per Netzwerkkabel angeschlossen ist) understellen einen passwortgeschützten Benutzer (bspw. mit dem Namen Admin). Die Anmeldung mit einer Apple ID lehnen wir zunächst ab. Empfehlenswert ist zudem, OS X auf englische Sprache einzustellen — die deutschen Übersetzungen in der Serversoftware sind häufig holprig und missverständlich.

OS X Server

Der OS X Server in der Version 5 stellt alle für unseren Plan benötigten Dienste bereit und steht im Mac App Store zum Kauf (ca. 20€) zur Verfügung. Wir erwerben diesen auf eine beliebige Apple ID und laden ihn herunter. Starten werden wir ihn erst später.

Der OS X Server im Mac App Store

Apple Configurator 2

Den Apple Configurator 2 werden wir später nutzen, um unsere mobilen Endgeräte einmalig zu Konfigurieren und so unserer MDM-Lösung hinzuzufügen. Auch ihn finden wir im Mac App Store, diesmal gratis zum Download.

Der Apple Configurator 2 im Mac App Store

Basis-Konfiguration des Servers

Nach der Installation der drei Software-Komponenten können wir mit der Einrichtung des Servers beginnen. Zur verbesserten Übersichtlichkeit habe ich auf folgendem Screenshot, der unsere Ausgangslage darstellt, OS X Server und den Apple Configurator in das Dock aufgenommen und viele andere Apps dafür entfernt.

Der Schreibtisch des Mac Servers nach Installation von OS X Server, Configurator und ersten Aufräumarbeiten

Bevor wir den Server nun das erste Mal starten, ändern wir den Namen unseres Macs zur Klarheit. Hierfür nutzen wir die Systemeinstellung Sharing und ändern dort den Computer Name, bspw. auf Server. Anschließend starten wir den Mac einmalig neu, um die Einstellung systemweit zu übernehmen.

Änderung des Computer Names und Hostnames in “Server” und “Server.local”

Wir starten OS X Server nun zum ersten Mal mit Klick auf die Weltkugel:

Die Willkommensansicht des Einrichtungsassistenten von OS X Server

Der erscheinende Assistent hilft uns bei der ersten Konfiguration des Servers. Wir müssen hier nur einmalig auf Continue klicken und dann mit Agree die Nutzungsbedingungen bestätigen. Anschließend werden wir nach dem bei der Installation von OS X festgelegten Administrator-Passwort gefragt, welches wir eingeben und bestätigen. Dieses Passwort werden wir zukünftig häufiger brauchen und die Abfrage in diesem Artikel nicht mehr jedes Mal erwähnen. Der Server richtet sich nun selbstständig ein und zeigt den Fortschritt anhand einer langsam fortschreitenden Fortschrittsanzeige.

Der OS X Server konfiguriert sich zum ersten Mal

Nach Abschluss der Einrichtung sehen wir das Server-Dashboard.

Das Dashboard des Servers zeigt grün: alles in Ordnung!

Aktivierung des Profile Managers

OS X Server stellt viele Dienste bereit — uns interessiert für unsere MDM-Lösung vor allem der sogenannte Profile Manager. Dieser hilft uns bei der Verwaltung unserer mobilen Endgeräte. Wir rufen seine Seite also in der Serververwaltung auf:

Die Steuerung des Profile Managers vor seiner Konfiguration

Bevor wir den Profile Manager starten, nehmen wir eine grundsätzliche Konfiguration vor und drücken dafür den Button Configure… im Bereich Device Management. Es erscheint ein neuer Assistent.

Dieser bittet uns, ein Kennwort für einen weiteren administrativen Nutzer festzulegen. Der Bitte kommen wir nach (Kennwort notieren!) und lassen alle weiteren Einstellungen unverändert.

Einrichtung eines Administrators zur Verwaltung des “Open Directories”

Im nächsten Schritt legen wir den Namen unseres Unternehmens fest und geben eine E-Mail-Adresse ein, unter der Administrator erreichbar ist.

Konfiguration der Unternehmensdaten

Auf einer weiteren Seite des Assistenten geben wir die Postadresse und Telefonnummer unseres Unternehmens ein. Im Anschluss werden wir aufgefordert, ein Zertifikat zur Verschlüsselung der Kommunikation zwischen unserem Server und den mobilen Geräten auszuwählen. Wir bleiben bei der Standardeinstellung und fahren fort.

Erstellung eines SSL-Zertifikats zur Verschlüsselung der Kommunikation zwischen Server und Mobilgeräten

Der nächste Schritt erfordert von uns die Eingabe einer Apple ID des Unternehmens. Dies ist ein guter Zeitpunkt, eine solche Apple ID unter http://appleid.apple.com einzurichten. Wichtig: Diese Apple ID sollte nicht personalisiert sein, sondern auf eine neutrale E-Mail-Adresse des Unternehmens ausgestellt werden. Da wir die ID später ggf. auch für die Programme DEP und VPP nutzen werden, dürfen wir sie zudem auf keinen Fall zur Anmeldung beim Mac oder iOS App Store nutzen.

Basierend auf der Apple ID erstellt Mac Server ein weiteres Zertifikat, für welches ein kurzfristiger Online-Zugang erforderlich ist. Damit ist die Einrichtung des Profile Managers abgeschlossen, und wir können ihn über den Schieber oben rechts starten:

Der Profile Manager ist eingerichtet und gestartet.

Einrichtung von Benutzern und Gruppen

Unser Server kennt bislang nur einen Nutzer — den beim Start eingerichteten Administrator. Das wollen wir nun im ändern und nutzen dabei die Navigationspunkte Users und Groups in der Navigationsleiste links.

Die Benutzerverwaltung von OS X Server, zunächst nur mit unserem Administrator-Nutzer

Zunächst legen wir neben dem Admin — welcher ein neutraler, nicht-personengebundener Zugang ist — mittels des + Buttons auf der Seite Users drei weitere Testnutzer an. Alle richten wir im Local Network Directory ein, also nicht lokal auf unserem Server, sondern im netzwerkweiten Verzeichnisdienst.

Unsere Testnutzer sind:

  • Manuela Manager, Geschäftsführerin des Unternehmens
  • Bert Buchhalter, arbeitet im Rechnungswesen
  • Viktoria Vertrieb aus dem Sales-Bereich
Anlage eines neuen Benutzers

Wenn wir fertig sind, sehen wir alle Nutzer in der Verwaltung aufgelistet:

Die Benutzerverwaltung nach Anlage der zusätzlichen Testnutzer

Wir möchten die bestehenden Benutzer nun in Gruppen einteilen und nutzen dafür die Seite Groups. Benutzer können vielen Gruppen gleichzeitig zugewiesen werden, weshalb es sinnvoll ist, Gruppen als Tags und nicht als Ordner zu verstehen. Wir legen für unser imaginäres Unternehmen nun mit dem Button + eine Gruppe an, der zukünftig alle Mitarbeiter zugewiesen werden. Eine weitere Gruppe beinhaltet nur Mitglieder der Geschäftsführung (also nur Manuela Manager).

Erstellung einer neuen Gruppe für alle Mitarbeiter

Nachdem wir die Gruppen angelegt haben, öffnen wir sie per Doppelklick und weisen Ihnen die angedachten Mitglieder zu:

Die Zuweisung von Benutzern zu einer Benutzergruppe

Wir haben unsere drei Benutzer wie geplant zugewiesen.

Vorbereitung des Profile Managers auf die Einbindung von Mobilen Geräten

Die eigentliche Arbeit im Profile Manager findet in einer separaten Benutzeroberfläche statt, welche nach Klick auf Profile Manager / Open in Safari und Anmeldung mit unseren Administrator-Zugangsdaten im Webbrowser angezeigt wird:

Die zuvor angelegten Benutzergruppen finden sich auch im Profile Manager

Erneut ist links eine Navigationsspalte zu sehen. Die Bereiche Users und Groups zeigen die Benutzer und Gruppen, welche wir zuvor angelegt haben. Die Bereiche Devices und Device Groups sind noch leer.

Erstellung einer Gerätegruppe

Der Profile Manager macht es möglich, Geräte einer oder mehreren Gerätegruppen zuzuweisen und so gemeinsam zu steuern. Diese Funktion ist für uns sehr hilfreich, bspw. um Einstellungen auf viele iPhones gleichzeitig anzuwenden. Zur Illustration legen wir nun die Gerätegruppe iPads an, welche zukünftig alle im Unternehmen eingesetzten iPads beinhalten soll. Hierfür klicken wir auf den Button Add Device Group:

Die — noch leere — Übersicht der Gerätegruppen im Profile Manager

Wir legen dann den Namen der Gerätegruppe fest und speichern mit Klick auf Save.

Die neu definierte Gerätegruppe ist fertig eingerichtet

Wir möchten nun für diese Gerätegruppe bereits grundsätzliche Einstellungen festlegen. Hierfür wechseln wir auf den Reiter Settings und klicken dann auf den Button Edit:

Wir konfigurieren die Einstellungen für die neue Gerätegruppe

Unser Ziel ist in diesem Beispiel, die eingebaute Kamera auf allen iPads dieser Gruppe zu deaktivieren. Hierzu wechseln wir in die Einstellungs-Kategorie iOS Restrictions, klicken auf den Button Configure und deaktivieren dann das Häkchen bei Allow use of camera.

Goldgrube!

Wir bestätigen zwei mal mit Save.

Erstellung von Geräte-Platzhaltern

Wenn wir später unser Test-iPad in unsere MDM-Lösung aufnehmen, möchten wir sicherstellen, dass dieses automatisch dem richtigen Nutzer und der richtigen Gerätegruppe zugewiesen wird. Hierfür bietet der Profile Manager Platzhalter für Geräte an, welche es ermöglichen, Geräte zu konfigurieren, bevor diese überhaupt in der MDM-Lösung registriert sind. Um einen Platzhalter anzulegen, wechseln wir in den Bereich Devices, klicken dort auf den Button + und dann auf Add Placeholder.

Menü zur Anlage eines neuen Platzhalter-Geräts

Wir nehmen an, dass unser Test-iPad Manuela Manager gehören wird. Also geben wir im erscheinenden Dialog den Namen Manuelas iPad an und tragen zudem die Seriennummer des Geräts ein. Dann bestätigen wir mit Add. Das Gerät erscheint als Platzhalter in unserer Geräteliste:

Wir haben einen Platzhalter für Manuelas iPad angelegt

Um das Gerät nun der eben erstellten Gerätegruppe iPads hinzuzufügen, wechseln wir zurück in den Bereich Device Groups und klicken dort auf die Schaltfläche + im rechten Anzeigebereich. Hier wählen wir die Option Add Devices und klicken dann bei Manuelas iPad auf Add und zum Abschluss auf Done und auf Save.

Wir fügen den Platzhalter für Manuelas iPad zu unserer Gerätegruppe hinzu

Außerdem möchten wir dem Profile Manager mitteilen, dass das iPad Manuela gehört. Hierfür wechseln wir in den Bereich Users, klicken dort auf Manuela und dann wieder auf das + im rechten Bildschirmbereich, wo wir erneut Add Devices auswählen und das iPad wie zuvor zuweisen.

Wir haben das iPad nun im Profile Manager angelegt, einer Gerätegruppe mit speziellen Einstellungen und auch einem Benutzer zugewiesen.

Der Platzhalter ist nun auch einem Benutzer zugewiesen

Registrierung des Testgeräts

Bislang haben wir im Profile Manager nur einen Platzhalter für das iPad angelegt — das Gerät selbst weiß davon aber noch gar nichts und kümmert sich daher auch nicht um die Einstellungen, welche wir für es vorgesehen haben.

Methoden zur Einbindung

Um iOS-Geräte nun offiziell zu unserer MDM-Lösung hinzuzufügen, existieren verschiedene Möglichkeiten, welche später in verschiedenen Kontrollgraden resultieren. Unser Ziel ist es, das iPad vollständig der Kontrolle des Profile Managers zu unterwerfen, so dass nur zwei Methoden zur Einbindung in Frage kommen:

  • Mittels des sog. Device Enrollment Programs können erworbene iOS-Geräte anhand ihrer Seriennummer einer MDM-Lösung fest zugeordnet werden, ohne dass diese je physisch konfiguriert werden müssen.
  • Mittels des kostenlosen Apple Configurators können wir iOS-Geräte einer MDM-Lösung zuordnen. Hierzu ist jedoch einmalig die physische Verbindung per Kabel notwendig. Diese Zuordnung ist gültig, bis der Benutzer sie aktiv entfernt oder das Gerät zurücksetzt.

Vorbereitung des Apple Configurators

Wir entscheiden uns hier zunächst für die Nutzung des Apple Configurators, welcher weltweit ohne weitere Voraussetzungen jedem Nutzer zur Verfügung steht. Den Apple Configurator haben wir bereits installiert und öffnen ihn nun zum ersten Mal:

Der Willkommensbildschirm des Apple Configurator 2

Unser Ziel ist es, mit dem Configurator das iPad in unser WLAN einzubinden und ihm alle Informationen und Berechtigungen zu geben, welche es benötigt, um sich mit unserer MDM-Lösung zu verbinden — und das alles, ohne es direkt bedienen zu müssen. Im Startbildschirm klicken wir daher zunächst auf den Button Get Started.

Geräte vorbereiten (“Prepare”)

Nun schließen wir unser Demo-iPad an den Server an. Wir markieren es in der Liste aller Geräte (wir haben den View in unseren Screenshots auf eine Listenansicht umgestellt) und klicken dann den Button Prepare.

Wir bereiten unsere iOS-Geräte im “Manual”-Modus vor

Als Konfigurationmethode wählen wir Manual und anschließend — anders als erwartet — die Einstellung Do not enroll in MDM, da wir die automatische Registrierung in einer MDM-Lösung mit unserem “Eigenbau-MDM” leider nicht nutzen können.

Im nächsten Screen bejahen wir die Option Supervise Devices, welche uns volle Kontrolle über die konfigurierten Geräte gibt. Auf den folgenden Screens geben wir erneut unsere Unternehmensdaten an und erstellen anschließend eine eigene Supervision Identity. Diese konfigurieren wir so, dass der reguläre iOS-Einrichtungsassistent soweit möglich ausgeblendet wird:

Wir machen es dem Benutzer einfach und deaktivieren alle möglichen Schritte des Einrichtungsassistenten

Anschließend klicken wir auf den Button Prepare und warten ab, bis unser iPad vollständig vorbereitet wurde. In der Listenansicht erscheint in der Spalte Is Supervised dann ein Yes.

Das iPad ist erfolgreich vorbereitet und untersteht jetzt unserer “Supervision”

Vorbereitung benötigter Profile

Profile ermöglichen es uns, Einstellungen und Berechtigungen an unsere iOS-Geräte zu übertragen, ohne diese manuell eingeben zu müssen. Wir möchten möglichst viele dieser Einstellungen später dynamisch über den Profile Manager vornehmen, allerdings gibt es drei Profile, welche in jedem Fall über den Apple Configurator auf das mobile Gerät zu überspielen sind:

  1. Die Zugangsdaten unseres WLANs, ohne welche sich das iPad gar nicht mit unserem Server verbinden könnte.
  2. Das Trust Profile, welches dem iPad signalisiert, dass es mit dem Server reden darf und von diesem Konfigurationsinformationen entgegen nehmen darf.
  3. Das Enrollment Profile, welches das iPad dazu auffordert und berechtigt, in die MDM-Lösung aufgenommen zu werden. Ein solches Enrollment Profile ist auch dann erforderlich, wenn wir zuvor einen Platzhalter für das Gerät eingerichtet haben.

Das WLAN-Profil erstellen wir im Configurator selbst mit der Option New Profile im Menü File. Im erscheinenden Fenster vergeben wir den Profilnamen WLAN. Dann wechseln wir in den Bereich Wi-Fi und tragen hier die Informationen unseres WLAN ein.

Vorbereitung des WLAN-Profils, das dem iPad erlaubt, sich erstmalig mit der MDM-Lösung zu verbinden

Wir speichern das Profil zur späteren Nutzung ab.

Unsere Trust- und Enrollment Profile erhalten wir im Profile Manager zum Download. Das Trust-Profile finden wir im Dropdown oben rechts, welches mit Admin bezeichnet ist:

Download des Enrollment Profils über den Menüpunkt “Download Trust Profile”

Um das Enrollment Profile zu erhalten, klicken wir in der Navigationsleiste links auf das + und wählen dann Enrollment Profile. Das Enrollment Profile bezeichnen wir mit einem beliebigen Namen, bspw. MDM Enrollment Profile. Dann speichern wir mit Save und laden das Profil mit Download herunter.

Download des Enrollment Profiles

Achtung: beim Download der Profile bietet OS X automatisch an, die Profile auf dem Server-Mac selbst zu installieren. Das lehnen wir ab.

Installation der Profile

Wir haben nun alle benötigten Profile vorliegen und das iPad für die Registrierung vorbereitet. Somit können wir im nächsten Schritt die Profile dem iPad zuweisen.

Theoretisch wäre es möglich, alle drei Profile gleichzeitig auf das iPad aufzuspielen. In der Praxis kommt es hierbei häufig zu Problemen, da die WLAN-Verbindung nicht schnell genug aufgebaut werden kann und der MDM-Server nicht rechtzeitig erreicht wird. Wir gehen daher in zwei Schritten vor.

Zunächst installieren wir lediglich das WLAN- und Trust-Profil. Hierfür markieren wir das iPad wieder in der Geräteliste, klicken dann auf den Button Add und wählen die Option Profiles. Im erscheinenden Auswahlbrowser wählen wir das WLAN- und Trust-Profil aus und starten die Zuweisung dann mit Add Profiles.

Wir installieren zunächst das Trust- und WLAN-Profil auf unserem Gerät

Wir warten nun ca. 60 Sekunden, bis das iPad sich sicher zum WLAN verbunden hat und installieren dann auf gleichem Weg das Enrollment-Profil.

Nun fügen wir auch das Enrollment-Profil hinzu

Unter Umständen ist es notwendig, das iPad vor der Installation des Enrollment-Profils kurzzeitig vom Rechner zu trennen und erneut anzuschließen.

Erfolgskontrolle

Nach erfolgter Registrierung des iPads am Profile Manager ist Manuelas iPad nicht mehr nur als Platzhalter, sondern als vollwertiges Gerät in der Geräteliste vorhanden:

Unser Test-iPad ist erfolgreich beim MDM registriert.

Zudem wurden alle Vorgaben auf das Gerät angewandt und die Kamera deaktiviert.

Wir können das iPad nun vom Kabel trennen. Nehmen wir eine Änderung an der Konfiguration der Gerätegruppe im Profile Manager vor, wird diese innerhalb unseres WLANs kabellos auf das iPad überspielt.

Nächste Schritte

An dieser Stelle endet der erste Teil des Erfahrungsberichtes. Wir haben einen Mac Server konfiguriert, den Profile Manager aktiviert und ein erstes betreutes iPad hinzugefügt und rudimentär konfiguriert. Wir könnten nun…

  • weitere Geräte über den Apple Configurator hinzufügen und weiteren Mitarbeitern zuweisen,
  • die Regeln für unsere Gerätegruppe weiter ausdifferenzieren,
  • uns beim VPP-Programm registrieren, es im Server konfigurieren und dann Apps an unsere Geräte verteilen,
  • uns beim DEP-Programm registrieren, es im Server konfigurieren und dann weitere Geräte per DEP bei unserem Profile Manager registrieren,
  • unseren Server so konfigurieren, dass er auch aus dem Internet erreichbar ist und Änderungen auch außerhalb unseres WLANs kabellos auf die registrierten Geräte eingespielt werden können.

Hierzu bald mehr!

Mdm
OS X
Servers

--

--

Joshua Jung

Written by Joshua Jung

83 Followers

Venture Lead at day, iOS Indie Developer at night.

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams