Vorwort: Gründe fürs Hinzufügen zum DEP

Um die komplette Funktion der Fernwartung von mobilen Apple Geräten auszuschöpfen empfiehlt es sich dringend die Geräte dem sog. Device Enrollment Programm von Apple (DEP) hinzufügen zu lassen. Dadurch werden die Geräte automatisch am Apple School Manager der Universität zu Köln registriert.
Wenn Sie planen Neugeräte anzuschaffen haben Sie die Möglichkeit dies beim Reseller direkt mitzubestellen gegen einen Unkosten Beitrag. Gerade bei großen Bestellungen wird dies dringend empfohlen.
Falls Sie bereits Geräte im Bestand haben, einzeln neu hinzukommen oder z.B. Geräte gespendet wurden, können Sie die Geräte auch manuell zum Apple School Manager hinzufügen. Dies gilt jedoch nur für iPads und Apple Tvs. Macs können nicht manuell mittels Apple Configurator nachregistriert werden.

Wenn Sie planen ein / unser Mobile Device Management (MDM) Jamf School zur Verwaltung der Geräte zu verwenden, müssen Sie die Geräte zwar nicht unbedingt zum Apple School Manager oder zum DEP hinzufügen, aber es wird ausdrücklich empfohlen, da nur bei der automatischen Geräteregistrierung (ehemals Programm zur Geräteregistrierung, DEP) verhindert wird, dass Benutzer das MDM-Profil von den Geräten entfernen können. Auch andere Einschränkungen und Gerätekonfigurationen lassen sich nur bei betreuten (superviced) Geräten konfigurieren. Weitere Infos dazu finden Sie auch in der Jamf Doku zur Registrierung von Geräten. Trotzdem lassen sich auch "nicht betreute / superviced" Geräte umfangreich in Jamf School betreuen.

Diese Profile werden auf jedem Gerät installiert, was durch ein MDM verwaltet wird.
Nur mittels dieser MDM-Profile funktioniert eine Fernsteuerung korrekt. Die Möglichkeit User-seitig diese Profile zu löschen ist somit kontra produktiv.

Werden die Geräte also dem DEP des Apple School Managers der Universität zu Köln hinzugefügt wird dies verhindert.

Beim DEP handelt es sich außerdem um die von Apple empfohlene Registrierungsmethode.
Nur durch die automatische Geräteregistrierung können Sie alle in Jamf School (oder auch anderen MDMs) verfügbaren Funktionen für die Verwaltung der Geräte vollständig nutzen. Bei iPads betrifft dies z.B. den Single App Modus oder andere für viele Nutzende interessante Einschränkungsmöglichkeiten.
Desweiteren sind die Geräte damit klar als Eigentum der Universität und einzelnen Instituten / Projekten gekennzeichnet und können bei Verlust oder Diebstahl gesperrt und lokalisiert werden.

Hinweis: Bei manuell hinzugefügten Geräten zum Apple School Manager besteht eine Übergangsfrist von 30 Tagen. Innerhalb dieser können Sie das Gerät wieder freigeben und problemlos aus dem School Manager entfernen. Sonst verbleib es dauerhaft im School Manager.

3 Schritte zum Ziel

Sinn der automatisierten Geräteregistrierung (DEP) ist es, den Registrierungsprozess automatisiert durchgeführen. Dadurch wird wird verhindert, dass Benutzer das MDM-Profil von den Geräten entfernen können.

Nur durch die Zuweisung und Verteilung der DEP Profile sind bestimmte Leistungs- und Sicherheitsfeatures nutzbar, wie z. B. die Verwaltung von Kernel-Erweiterungen. Auch andere Funktionen innerhalb Jamf School sind daran gekoppelt, dass die Geräte als "Verwaltet / Superviced" übers DEP-Profil registriert sind (z.B. Lockscreen Messages, Webcontent Filter, Single App Modus, Wallpapers, Layout Funktiuonen und bestimmte Blocklists)

Die Registrierung von Geräten über die automatische Geräteregistrierung umfasst die folgenden Schritte:

1. Erstellen und konfigurieren eines Profils für die automatische Geräteregistrierung.

2. Zuweisen eines Profils für die automatischen Geräteregistrierung an die Geräte

3. Zurücksetzten / Löschen der Geräte damit dieses wirksam wird.

Auch die Jamf School Dokumentation behandelt das Thema ausführlich.

• Loggen Sie sich beim MDM Jamf School ein und navigieren zum Punkt Devices - Automated Device Enrollment.
• Kontrollieren Sie ob die betreffenden Geräte unter Automated Device Enrollment gelistet sind. Initial sollte noch kein Profil zugewiesen sein.
• Klicken Sie nun auf den blauen Button "Automated Device Enrollment" um ein neues DEP Profil zu erstellen. Alternativ können Sie direkt über die Module in der Seitenleiste dorthin navigieren (Profiles - Automated Device Enrollment Profiles).
• Wählen Sie das Betriebssystem aus, für das ein DEP Profil erstellt werden soll.

• Wählen Sie beim Erstellen des Profils die Registrierungspunkte an, die Ihren Bedürfnissen entsprechen.
• Umso mehr Punkte angewählt sind, umso mehr überspringt das Gerät. Die Erstkonfiguration gehts damit also etwas schneller.
• Sparen Sie aber unbedingt den Punkt "Assign license" aus. Dies würde ohnehin fehlschlagen. Lizenzen zuweisen ist den Admins vorgehalten.
• Dringende Empfehlung: beim Punkt "iOS Setting" - Allow removal of the MDM profile NICHT anhacken. Nur durch aussparen dieses Hackens gewähren Sie die dauerhafte Verfügbarkeit im MDM des Gerätes.
• Außerdem die Empfehlung: beim Punkt "Onboarding" - den Punkt "Require authetification" NICHT anwählen, da eine Anbindung an ein Identitätssystem hier nicht gegeben ist.

• Nach dem erfolgreichen Konfigurieren des DEP Profils folgt die Zuweisung.
• Wählen Sie ein oder mehrere Geräte aus, an die das Profil zugewiesen werden soll. Am einfachsten lassen sich die Geräte dabei über die Seriennummer im Suchfeld identifizieren.
• Nach dem Auswählen erscheinen diverse Zuweisungsbuttons. Wichtig ist hier initial der "Assign profile" Button. Optional können Sie den Geräten auch direkt Gruppen und lokal erstellte Benutzer zuweisen.
• Nach der erfolgreicher Zuweisung sollten die Geräte mit dem gelben Label "Profile assigned" markiert sein.
• Info: Alle so zugewiesen Änderungen werden erst wirksam, nachdem die Geräte einmal zurückgesetzt / gelöscht wurden!

• Gehen Sie nun in die Gerätedetails der einzelnen Geräte.
• Klicken Sie auf "Erase Device".
• Versichern Sie sich auf dem betreffenden Gerät, dass der Löschprozess getriggert wurde. (Apfelbildschirm mit Ladebalken)
• Initial muss leider einmal auf dem Gerät eine Internetverbindung manuell hergestellt werden. (z.B. mit dem offenen Uni-Koeln WEB Netzwerk und dem einmaligen Anmelden. Alternativ geht auch jeden andere offene Netz / Heimnetz.)
• Danach können die WLAN Profile mit der Konfiguration für eine dauerhafte Internetverbindung direkt per Jamf auf die Geräte gepushed werden.
• Wenn der Prozess erfolgreich war, sollten Sie in den Gerätedetails Ihr Gerät mit dem blauen "Sperviced" Label gemarkert sehen. Falls nicht wiederholen Sie den Prozess ggf.
• Nun können Sie mit der weiteren Konfiguratione der Geräte vollständig über Jamf fortfahren - Apps und andere Konfigurationen verteilen.