Hallo,

ich habe in der Praxis 10 Macs (Mac Minis und MacBooks). Die Beschäftigten werden dort keine privaten Daten nutzen. Wie verwalte ich diese Geräte am besten bzw. am einfachsten, insbesondere, wenn ich banale Dinge machen möchte, wie Apps updaten? Wie macht ihr das in vergleichbaren Situationen?

Muss ich für jeden Mac eine eigene Apple-ID, also eine eigene E-Mail anlegen? Kann ich dennoch nur eine Handy-Nummer nutzen? Ich hatte mich schon mich Apple Business Manager beschäftigt und dort angemeldet. Das war mir zu kompliziert, dauert mit der DUNS-Nummer zu lange und auch der Business-Support konnte mir nicht so richtig weiterhelfen und meinte, Apple Business Manager wäre eher für andere Zwecke.

Wäre für Tipps, Anregungen und Hinweise dankbar!
LG Salty

Ich verwalte zwar nur private Macs, aber jeder Nutzer hat seinen eigenen Account und bei einigen Accounts habe ich tatsächlich dieselbe Telefonnummer angegeben. Wenn dir ABM zu kompliziert ist, gibt's nach Apple Business Essentials. Ob das reicht, weiß ich nicht.

Da in deinem Fall iCloud nicht nötig oder sogar nicht erlaubt sein dürfte, müssten die User-Accounts eigentlich ohne Apple-ID auskommen. Den Admin-Account kannst du ja auf jedem Gerät mit derselben Apple-ID koppeln

Es mag jetzt etwa überheblich klingen, aber wenn dir die von Apple für Unternehmen angebotenen Sachen zu kompliziert sind, bist du vielleicht nicht die richtige Person für diese Aufgabe. Gerade in einer Praxis steckt ja auch viel Verantwortung dahinter. Kann natürlich sein, dass es bei Apple komplizierter ist als bei alternativen Anbietern wie Jamf. Da könntest du auch mal schauen.

Gibt es nur in USA… Fand ich nämlich auch nicht uninteressant.

Greetings, C.

Achso, ich dachte, da es deutsche Seiten gibt und sich die App hier laden lässt, geht das mittlerweile.

Normale MDM-/MAM-Profile lassen sich von jeder x-beliebigen UEM-Lösung (Intune, ManageEngine, Jamf) installieren. Allerdings lassen sich die Geräte dann nicht so zunageln, wie z.b. App Store vollständig verbieten. Das geht nur mit vollständig verwalteten Geräten, Stichwort Supervised Devices.
Dafür benötigt man dann den ABM oder den Apple Configurator, wobei die Supervision von letzgenanntem einen Factory Reset nicht überlebt.
Beim ABM wird die Supervision in den Aktivierungsservern von Apple hinterlegt. Somit sind die Geräte "ewig" an deine Firma gebunden.

Hi Salty,

kommt darauf an, was Du alles machen musst. Ist es wirklich nur macOS und Apps? Oder viel Detailarbeit?

Bei 10 – sofern baugleich… würde ich mir überlegen, ob ich das nicht ggf mit ARD abfackeln kann. Jeweils ein Gerät ( das unwichtigere… also 1x Mac mini & 1x MacBook ) setzt Du auf alles automatisch und schaust Dir an, ob alles läuft. Danach einfach einmal an einem Abend alle anlassen und die Updates lostreten und laufen lassen.

Ja, ABM ist etwas anstrengend.
Du könntest eine AppleID nutzen, wenn Du einen identischen »Praxis-Admin« hast und jeweilige Standard-Benutzer ( Anmeldung, Behandlung 1… Röntgen etc. ). Die AID hinterlegst Du beim Admin.
Über das ARD kannst Du dann ja auch Skripte vorbereiten, Update pushen etc.

Also mal anschauen,

Greetings, C.

PS: Ggf. kannst Du über Bildschirmzeit schon genügend einschränken…

Hi SaltyJoe,
das Programm Apple Remote Desktop könnte für Dich die meisten Aufgaben erledigen. Es beinhaltet u.A. Fernsteuerung, Senden von Terminal-Befehlen und Kopieren von Dateien oder Programmen.
Beispielsweise:
- aktuell installierte macOS-Version prüfen
- Version von Firefox der laufenden Rechner prüfen (/usr/bin/defaults read /Applications/Firefox.app/Contents/Info CFBundleVersion)
- Aktuelle Version von Firefox übers Netzwerk auf die laufenden Rechner kopieren
- automatischen Anschaltplan setzen (z.B.: pmset repeat poweron MTWRFSU 21:56:00 shutdown MTWRFSU 02:00:00 - für den täglichen automatischen Start um 21:56 und Ausschalten um 2 Uhr morgens)
- installierte Drucker auflisten lassen (lpstat -p)
- Macs übers Netzwerk ausschalten
- Gruppen und Labels setzen für Apple Remote Desktop


Die Voraussetzungen an den Macs sind, dass in Systemeinstellungen "Teilen" aktiviert ist für "Entfernte Verwaltung" und "Entfernte Anmeldung" und dass Dir ein Admin-User bekannt ist.
Die meisten Aufgaben lasen sich auch von zuhause über VPN erledigen, wenn die Rechner angeschaltet sind (deshalb der automatische Anschalt-Zeitplan). Auch die Apple-Apps aus dem App-Store kann man damit übers Netzwerk kopieren; in diesem Fall wird dann das "Label" deiner eigenen Apple-ID mitgesendet (was zur Folge hat, dass man bei lokal am Rechner gestarteten Updates der Apps aus dem App Store deine Apple ID eingeben muss - was aber m.E. nicht von Nachteil ist.)

Ganz und gar nicht . "Zu kompliziert" war doof von mir ausgedrückt. Bspw. habe ich eine Apple-ID erstellt. Im Nachhinein stellte sich für mich heraus, dass mit dieser Apple-ID kein Zugriff mehr auf den App-Store möglich ist, da schon bei ABM registriert. Ich konnte nicht mal Pages und Numbers updaten. User müssen kompliziert eingerichtet werden und es gibt einen gesonderten Store. Die erforderliche DUNS-Nummer dauert Wochen. Der Business-Support hatte keinen richtigen Rat für mich und meinte selbst, dass ABM wohl nicht ganz passen würde. Meine Frage an ihn war: wie kann ich die 10 Macs einfach verwalten, Apps updaten bzw. installieren? Er sprach dann von ABM und Erwerb von App-Lizenzen, speziellen Einrichtungs- und Anmeldeprozeduren etc. Überheblich ausgedrückt: Das nervt mich für diese paar Geräte.

Ich habe kein Problem damit, alle paar Wochen an jeden einzelnen Mac zu gehen und diesen bzw. dessen Apps manuell zu updaten. Ich hatte nur gelesen, dass ich pro ID 10 Geräte, davon jedoch nur 5 Macs nutzen kann. Deshalb dachte ich, 10 ID anzulegen wäre irgendwie umständlich und machte mich auf, nach einem eleganteren Weg beim Apple-Support und hier zu fragen. Die Nutzer selbst sollten keine private ID anlegen. Daher wollte ich das irgendwie zentral steuern können. Im Zweifel lege ich 3 ID an und lasse darüber die Macs laufen.

Sofern du über Homebrew verfügbare Apps und Sprachen wie Python 3 benötigst, könntest du mit dem Tool topgrade recht schnell alles mögliche in einem Rutsch aktualisieren. Das deckt auch macOS-Updates mit ab.

Die Frage stellt sich für mich, was soll alles verwaltet werden.
Einfachste Lösung, jeder Mac bekommt einen eindeutigen Namen und eindeutigen User (lokal) zur Anmeldung ohne Admin Rechte und einen zusätlichen Admin mit allen Rechten.
Dann einen User für den App Store, kann für alle Geräte gleich sein, dieser wird für die App Installation und für die Updates genutzt, da in jeder App die UserID hitnerlegt ist.
Sind Updates vorhanden, so kann der User einfach im App Store auf Updates und dann "Alles aktualisieren" gehen und die Apps werden aktualisiert. Das ist kein Hexenwerk. 10 Rechner sind auch recht überschaubar, wenn diese soweit alle mit identischen Apps arbeiten bekommt man das recht schnell in den Griff.
Zudem könntest du auf dem Mac auch in den Einstellungen des App Stores "automatisch Aktualisieren" aktivieren.
Das sollte man sich aber in Produktivumgebungen 2x überlegen.

Nachtrag.... ich lese gerade
da gehe ich mal davon aus das hier auch persönliche Daten von Patienten mit im Spiel sind. Diese Rechner würde ich nach der Installation komplett vom Internet isolieren, damit diese überhaupt keine Chance haben irgendwas aus dem Internet zu laden! Die Verwaltung sollte hier OnPrem in einem separaten Netzwerk erfolgen!

Sollte das aus irgendwelchen Gründen nicht möglich sein, dies mit einem guten Firewall System mit Intrusion Prevention System absichern. Da sollte aber auf jeden Fall ein Profi ran!

Die Daten liegen gesichert woanders. Hier sind zwei Netze und Hardware-Firewall. Gab extra Vorgaben, die geprüft werden.

Tja, Möglichkeiten gäbe es da viele:

1) Mosyle wäre aktuell das kostengünstigste MDM speziell für Apple-Geräte.
2) Direkt dahinter folgt Jamf Now, die "kleine" Variante von Jamf Pro.
3) Richtig gut ist Kandji (in manchen Bereichen sogar fortschrittlicher als Jamf Pro), aber da hast Du eine Mindestabnahmemenge von mittlerweile 50 Geräten (waren mal nur 25).

Das Ding ist halt, dass man da etwas Erfahrung im Bereich macOS Verwaltung / Administration mitbringen sollte. Ich weiß natürlich nicht, wie da Dein aktueller Wissensstand ist und wieviel zeitliche Kapazitäten Dir aktuell wie auch zukünftig zur Verfügung stehen, um das alles "zu wuppen".

Denn am Ende muss das ja auch alles jemand bedienen und aktuell halten.

In jedem Fall brauchst Du den Apple Business Manager, um die Geräte per DEP (Device Enrollment Programm) ins MDM Deinen Wahl heben zu können (denn nur dann sind sie dauerhaft "supervised") wenn es Geräte mit T2 oder Apple Silicon sind.

Und dann halt ein MDM, was idealerweise ein wenig mehr kann also nur Konfigurations-Profile zu pushen…

Die Alternative wäre, auf all das zu verzichten und "ganz klassisch" per ARD (Apple Remote Desktop) die Geräte zu verwalten. Wenn Du Dir dazu noch ein Munki baust, hast Du sogar etwas "Luxus".

Aber auf lange Sicht macht ABM+MDM sicher mehr Sinn…