Als kleine Firma, die Ihren Mitarbeitern jetzt allen iPhone und iPads zur Verfügung stellen will, suchen wir eine Möglichkeit die Geräte zu verwalten und zentral zu konfigurieren.
Im Internet gesucht und verzweifelt. Apple hat dafür verschiedene Software, im Web ist von Mobile Device Management Software die Rede, die alles kann, aber teilweise doch wieder die Apple Management Software voraussetzt.
Was braucht am tatsächlich, um neue Geräte aufzusetzen und zu managen? Wenn MA ausscheiden, soll es möglich sein, das Gerät dem nächsten MA zu "übergeben".
Was würdet Ihr empfehlen? Was braucht man unbedingt?

Hi Maecki,
wir sind selber Nutzer von Jamf und diese Lösung kann ich dir empfehlen.

Meines Wissen gibt es das auch kostenfrei.

Vielleicht kann mir noch einer helfen, dass Managen eines zweiten Adressbuches auf dem iPhone via Exchange gestaltet sich schwierig, gibt es eine Lösung oder Alternativen?

Viele Grüße

Als ich zuletzt damit zutun hatte habe ich mit Miradore experimentiert. Kostet allerdings ein paar Euro/Gerät/Monat. Die Möglichkeiten sind allerdings toll gewesen.

Über den Apple Configurator müsste es ansonsten auch gewisse Möglichkeiten geben. MDM von Apple selbst gibt es damit in Verbindung. Tief bin ich allerdings nicht in der Materie.

Danke für die Hinweise auf JAMF und Miradore. Habe mir beide angeschaut. JAMF erscheint mir zu groß vom Funktionsumfang zu sein und Miradore kommt da schon eher hin.
Was mir aber noch nicht klar ist, reicht das MDM oder benötigen wir trotzdem noch den Apple Configurator?
Hab bei Suche nach MDM noch anderen Hersteller entdeckt. Was haltet Ihr vom Meraki System Manager? Hat da jemand Erfahrungen?

Schreibe hier nur damit ich mitlesen kann und den Thread besser wiederfinde.
Das ganze Thema interessiert mich auch...

Du könntest natürlich auch die kleine Pin-Nadel namens "Diskussion verfolgen" rechts unter Maeckis Betrag anklicken.

Die Frage die sich zuerst stellt ist doch, was wollt ihr managen und welche Ziele wollt ihr per MDM erreichen?
Per MDM könnt ihr "Standard Apps" und Konfigurationen wie VPN etc. für alle Geräte einheitlich festlegen und den administrativen Aufwand dementsprechend gering halten und auch die Installation von "privaten" Apps unterbinden, daher wäre es sinnvoll ihr legt vorher genau fest was ihr erreichen möchtet. Ein für Unternehmen sehr interessantes Feature ist die Sperre bzw. das erneute Aufsetzen eines Gerätes Remote mit Sperre per PIN, damit ist das Gerät nochmals zusätzlich bei Verlust abgesichert. Daher erst einmal abklären für was und wie die Geräte genutzt werden sollen/dürfen und dann prüfen welches MDM ihr einsetzen wollt.

😮 kannte ich nicht. Danke!

Das sind so die beschriebenen Aufgaben, die wir damit abdecken wollen.
Daneben eben die in der Eingangsfrage beschriebene Möglcihkeit, das Gerät beim Wechsel des Mitarbeiters schnell zu löschen und neu aufsetzen zu können. Und zentrales Rollout von Apps bzw. Sperren von nicht erwünschten Apps.

Grundsätzlich musst Du erst mal zwischen 'supervised' und 'nicht supervised' Verwaltung unterscheiden.

Erst wenn die Geräte per 'supervised mode' verwaltet werden, kommt man wirklich an alle praxisrelevanten Verwaltungsfunktionen. Und damit du diesen Modus nutzen kannst, müssen die Geräte im DEP (Device Enrollment Programm) von Apple sein.

Ein Beispiel: Im 'supervised mode' kannst Du ein iPhone oder iPad sogar wieder von einer privaten Apple ID entkoppeln, wenn dort noch die Ortung (Diebstahlschutz) aktiviert ist. Ohne 'supervised mode' kann allein das schon schnell zu einem Riesenproblem werden … (wenn der MA weg ist und niemand sein Apple ID Kennwort kennt usw.).

Du musst Dich also beim "Apple Business Manager" (ABM) anmelden und dafür wiederum musst Du die D.U.N.S.-Nummer Deines Unternehmens angeben.

VPP (Volume Purchase Program) und DEP (Device Enrollement Programm) ist da dann im ABM zusammengefasst.

Neu sind die "Apple Business Essentials", die kenne ich aber auch noch nicht im Detail. Ist sozusagen eine MDM-Lösung von Apple.

Wir arbeiten seit mehr als 10 Jahren fast ausschließlich mit jamf PRO bzw. jamf BUSINESS/ENTERPRISE, für kleinere Unternehmen und insbesondere wenn es nur um die Verwaltung von iOS- und iPadOS-Geräten geht reicht aber eventuell auch schon jamf NOW aus.

Aber sobald man auch macOS verwalten möchte, will man IMHO ein bisschen mehr als nur jamf NOW.

Es gibt mittlerweile auch noch einige sehr interessante Mitbewerber zu jamf , z.B. Mosyle oder auch Kandji …

Allen ist gemein, dass sie wirklich auf die Verwaltung von Apple Hardware spezialisiert sind.

Die Finger weg lassen würde ich definitiv von MDM-Lösungen, die 'alles' können, also normalerweise Windows 'administrieren' und dann 'on top' auch noch damit werben, dass sie auch iOS etc. verwalten können. Die willst Du nicht mal geschenkt haben, vertraue mir …

PS: Da es bei Euch nur um iPads und iPhones geht, würde ich Euch jamf NOW empfehlen.

Maecki_0815: Hier noch eine sehr schöne Übersicht, was man bei iOS/iPadOS überhaupt zentral per MDM verwalten kann und was nicht:



Und 'alles' unterstützen dann meiner Erfahrung nach nur solche Kandidaten wie jamf, Mosyle und Kandji – bei anderen (wie z.B. dem von Dir weiter oben erwähnten "Meraki System Manager" von Cisco) darfst Du wahrscheinlich Wochen wenn nicht gar Monate darauf warten, bis auch mal neue Funktionalitäten aus iOS/iPadOS 16 implementiert sind.

Und hier findest Du auch noch weitere Infos rund um das Thema MDM bei Apple:

Geräte, die noch nicht übers DEP angeschafft wurden, lassen sich auch über Apple Configurator 2 in den Business Manager aufnehmen.
Von Zoho/ManageEngine gibts auch ein gut funktionierendes MDM und falls zufällig M365-Lizenzen vorhanden sind, taugt Intune mittlerweile auch sehr gut.

zwar of-topic, aber:
wow, bin seit 20 jahren hier und wusste nicht(wohl übersehen), das man da ein pin setzen kann.... wieder was gelernt:-)
danke

Richtig, das ist alternativ natürlich auch möglich.

Hello,

auch wenn es Geld kostet, schaut Euch mal SecurePoint an. Damit kannst Du nach – schnellem Überfliegen aller Beiträge – m.E.n. alles mit lösen:
Setzen wir bei diversen Kunden ein und konnte bisher alles damit lösen, was an Aufgaben anfiel.

Und: Guter Support aus Lüneburg !!

Die Sonnencreme heute nicht vergessen

Greetings, C.

Einen alten Hasen auf dem Gebiet, der bis vor nicht allzu langer Zeit selber Geräte hergestellt hat und jetzt nur noch MDM macht, darf man auch nicht außer Acht lassen: Blackberry.

Was ich nicht verstehe ist, wie genau Jamf und die anderen Drittherstellerlösungen funktionieren. Wie ich das verstehe, nutzen diese Dritthersteller doch nur Funktionen, die Apple bereitstellt. (Apple wird es Jamf doch niemals erlauben "auf eigene Faust" so tief in iOS und die anderen *OS einzugreifen, dass z.B. FindMy deaktiviert werden kann.)
Wie ich das verstehe, heisst das, dass Apple also irgendwelche APIs bereitstellt, die dann z.B. von Jamf benutzt werden. Ist das zutreffend?
Könnte jeder Developer also theoretisch seine eigene Lösung entwickeln? Oder haben nur Firmen "von Apples Gnaden" diese Möglichkeiten?

Ausserdem, was ist der Vorteil von so einer Drittherstellerlösung, wenn Apple doch auch eigene Lösungen bereitstellt? Greift Jamf dann irgendwie auf diesen ABM des Unternehmens zu? Kann man die Geräte nicht auch direkt mit diesem ABM steuern/provisionieren?

Marcel_75@work
Danke schön für die Erklärungen zu Apple/MDM und den Links zu den Anbietern. Das schaue ich mir mal in Ruhe alles an. Ich hoffe, dann wird sich hoffentlich der Nebel bei mir zu diesem Thema etwas lichten!

Immer gerne

Hierbei ist wichtig zu wissen, dass es eine 31 tägige Frist für solche nachträglich per Apple Configurator eingebrachten iOS Devices gibt, in der der User das Gerät wieder aus der MDM-Lösung bzw. Apple Businessmanager entfernen kann. Das soll laut Apple der Diebstahlprävention dienen.



Wir nutzen nach der Abkündigung vom Apple Profile Manager / macOS Server seit neustem Microsoft Intune, da wir sowieso entsprechende MS365 Lizenzen haben. Intune kann iOS, macOS, Windows und Android. Bisher funktioniert das erstaunlich gut und überrascht mich ehrlich gesagt.

Genau das können Jamf und all die anderen MDM-Lösungen auf dem Markt (200+). Auch ist es den Developer möglich einen eigenen MDM zu entwickeln, wie SAP vor einigen Jahren. Der ABM ist kein MDM, daher kann man auch keine Geräte steuern oder gar provisionieren, das macht das MDM. Trotz alledem wird er für eine vernünftige Geräteverwaltung benötigt. Jeder MDM wird durch den Tausch von Tokens mit dem ABM verknüpft um Geräteinformationen und Apps zu synchronisieren (Volumen- / Mehrfachlizenzen).

Vllt. noch als kleine Ergänzung zu der Erläuterung von Wormatia

Genau das hat Apple nun auch als 'Markt' erkannt (ABM ist kein MDM) und führt die "Apple Business Essentials" (ABE) ein.



Wenn ich es richtig verstanden habe, ist das dann eine 'MDM-Lösung' direkt von Apple.

Im Mai hätte ich dazu eigentlich eine kleine Einführungsschulung gehabt, aber die wurde krankheitsbedingt verschoben und genau an dem Alternativ-Tag konnte ich dann leider nicht …

Ich weiß z.B. immer noch nicht, ab wann genau das nun offiziell auch in Dtl. verfügbar sein wird, ob man es auch mit EU-Datenschutzrecht (oder gern auch 'Server in Dtl.') nutzen kann?

Falls da jemand aktuelle Infos hat und genaueres zu berichten weiß, immer her mit den Infos, herzlichen Dank im Voraus.

PS: Ich sehe gerade in meinem Link – die US-Preise stehen mittlerweile fest, ebenso die jeweiligen Limitierungen. Pro User maximal 3 Devices ist z.B. schon mal eine Limitierung, die ABE für manche Firmen von vornherein ausscheiden lässt.

Aber trotzdem gut, dass es da bald auch diese Möglichkeit gibt, insbesondere für kleinere Umgebungen kann das schon durchaus interessant sein.

Schau dir mal Filewave an. Eine kostenlose Demo für 4 Geräte kannst du bei denen umsonst bekommen. Es ist zwar 3 Nummern zu groß (MDM für macOS, Windows, Android und iOS) Aber es ist günstig, Intuitiv zu bedienen und erweiterbar.
www.filewave.com

Also wir setzen für die Grundkonfiguration den Apple Configurator ein, für die Verwaltung der meisten Geräte nutzen wir Apptec 360

Wir setzen bei uns folgendes ein :

Apple Configurator für iOS und iPad OS.
Apple Server App für macOS in einer VM da die Server App eingestellt wurde.


Meine Verwaltung von Getäten :

14 iPhones
10 iPad's
60 Mac's

Kosten für das MDM System

29.99 Einmalig für die Apple Server App
Anschaffung von 1 bzw. 2 MacMinis
99 Euro für Parallels wegen den VM's

Vorteil : Keine Monatlichen kosten und alles im Haus gehostet

Und irgendwann werden neue iOS Versionen nicht mehr unterstützt

Falsch MDM Profile sind unabhängig von einer iOS oder Mac Version / System

mschwickart: Das stimmt nicht … matt.ludwig hat völlig recht – neue Features der Verwaltungsmöglichkeiten unter macOS 13 oder auch iOS/iPadOS 16 werden von Deiner 'Sackgassen'-Lösung mit ziemlicher Sicherheit nicht mehr unterstützt.

Du kannst natürlich weiterhin alles verwalten, was bisher geht, aber das war's dann auch.

Sorry Makel_75 das ist völliger Bullshit. Du kannst die .mobileconfig (xml )Profile nach deinen wünschen auch ohne eine Software anpassen und da spielt das OS und die Software kein Rolle für Funkionen die aktuell sind und noch kommen.
Im übrigen habe ich 10 Jahre bei Apple gearbeitet in dem Bereich und kann ziemlich gut einschätzen was geht und was nicht...

Das wäre traumhaft. Haben erst letztes Jahr einen macOS Server eingerichtet.

Du hast dort den Reiter "Profilmanager" schau dir den mal an. Damit arbeiten wir auch Speziell im macOS Bereich.

mschwickart: Ich bezweifle ja auch nicht, dass man XML-Dateien (denn nichts anderes sind .mobileconfig Dateien letztlich) auch manuell bearbeiten kann. Logisch geht das!

Nun möchte aber auch nicht jeder nur im Editor des Vertrauens neue Funktionalitäten 'zusammenstückeln', sondern vllt. doch lieber ganz easy ein GUI/Web-GUI für neue Features nutzen. Das siehst Du auch ein, oder?

PS: Und wenn Du 10 Jahre bei Apple in diesem Bereich gearbeitet hattest (jetzt etwa nicht mehr?), dann sollte Dir auch bekannt sein, dass das Protokoll selbst noch einmal aufgebohrt wird, und spätestens dann ist der mehr oder weniger eingestellte macOS Server und dessen Profilemanager 'raus' – eventuell schon früher als uns allen lieb ist.

Verstehe mich bitte nicht falsch, ich will das ja gar nicht schlecht reden – aber es ist und bleibt (leider) eine Sackgasse, daran festhalten zu wollen bringt nichts.

Ich nutze das auch schon als MDM Lösung. Hatte nur die "Angst", dass es irgendwann nicht mehr läuft.

Klar, macOS Updates werde ich keine fahren.

Das ist auch immer mit Geld verbunden und sorry ich sehe es nicht ein für ein Cloud Lösung im Monat Geld zu bezahlen was man auch ohne weiteres mit einmal Inventionen hinbekommt die wie im fall von Apple bei 30 Euro liegt oder über den Apple Configurator komplett kostenfrei ist.

Und einen Server mit einem EOM/EOL OS und einer EOM/EOL Software ins Internet zu stellen ist die deutlich bessere Idee.
Ich stimme Marcel zu, irgendwann kommt der Punkt, wo das Apple MDM sagt: Profil/Einstellung zu neu, kenn ich nicht, mach ich nicht.
Nach 10 Jahren solltest du doch wissen, wie Apple zu alten Zöpfen steht.

Wir habe bei uns noch immer MDM Profile die von 2014 ( 8 Jahre ) unverändert die ihren Dienst verrichten. Sobald Apple das MDM System an sich nicht kappt passiert hier sehr wenig.
Es darf jeder anhaben wie er mag und damit sein Geld verdienen oder ausgeben

Vielen Dank für die Antworten.

Habe ich das richtig verstanden: Jamf und die anderen MDM-Lösungen erstellen also eine XML-Datei, die man dann "irgendwie" in diesen ABM hochladen kann? Und Apple schreibt dann diese Config auf die Geräte "irgendwie" runter?

In Jamf und anderen MDM Lösung kannst du XML Dateien erstellen.

Vorteile von Jamf & etc. :
- XML Dateien Schreiben
- iPhone, iPad & Mac beim ausliefern schon vorkonfiguriert mit Profilen ( MDM , XML )
- Verwaltung & Änderungen via Apple Push Service

Nachteile von Jamf & etc. :
- Monatliche kosten pro user / device
- Abhängig vom Anbieter
- Cloud Dienst ( Vor oder Nachteil )

Anmelden muss man sich selbst beim Apple Business Manager und dan verknüpfst du die MDM Lösung. Durch Zertifikate und den Apple Push Service sind die Geräte dan Verwaltbar.

Phil Philipp
Nicht auf dem iPhone

@Marcel_75@work
Nachdem erst einmal die Einführung einer neuen Faktura-Software die meiste Zeit verschlungen hatte, sind wir bei dem Thema aber jetzt einen Schritt weiter gekommen. Wir haben eine D.U.N.S-Nummer erhalten und eine Anmeldung zum Apple Business Manager beantragt. Apple prüft und wir warten auf die Genehmigung.
In dem Zusammenhangh kam jetzt noch eine Frage auf vom Chef, der ja auch ein iPhone und iPad hat und dort bisher seine private Apple ID nutzt. Kann er die weiter nutzen oder geht das dann nicht mehr, wenn eine Unternehmens-Apple-ID erstellt wurde? Was passiert mit dem Zugriff auf seine Einkäufe im App-Store und Zugriff auf iCloud-Dokumente. Ich würde sagen, das geht dann nicht mehr, aber Chef wäre da wahrscheinlich sehr sauer, wenn das alles weg wäre...
Wie handhabt man sowas am besten?

Doch das funktioniert weiterhin, wenn du (für dieses Gerät) ein Richtlinie baust, die das Hinzufügen von Accounts (beinhaltet automatisch Apple-ID, Email, FaceTime, iMessage, usw.) und den Zugriff auf den App Store nicht verbietet. Bzw. eine solche Richtlinie erst gar nicht konfigurierst.

Wie caMpi schon richtig anmerkte geht das natürlich…

Die Frage die man sich da als Firma jedoch stellen sollte: Will bzw. "darf" man das überhaupt? Denn das kann durchaus ein Datenschutz-rechtliches Problem werden unter Umständen.

Sprich, eine dauerhafte 'saubere' Trennung zwischen Geschäfts- und Privatdaten ist so schon wesentlich schwieriger zu gewährleisten (bzw. teilweise dann auch gar nicht mehr ohne weiteres möglich).

Am Ende kommt es sicher darauf an, in welcher Art von Business sich Eure Firma bewegt, aber es gibt oftmals durchaus gute Gründe, die private Nutzung von Dienstgeräten zu untersagen – und dazu gehört dann auch das 'Verbot' eines privaten iCloud-Accounts z.B. …

Aber am Ende hat "der Chef" das bisher wahrscheinlich eh alles miteinander vermischt, nutzt dazu auch noch WhatsApp usw. – von daher…