Apple-Bestandsgeräte mit MDM verbinden: Guide

Apple-Geräte haben sich aufgrund ihrer guten Bedienbarkeit und den vielen praktischen Funktionen als beliebte Arbeitsgeräte etabliert. Dementsprechend verfügen viele Unternehmen bereits über ein Kontingent von Apple Bestandsgeräten, die zum Beispiel von den Mitarbeitenden auch privat genutzt werden dürfen. Unabhängig davon, wie die Apple Geräte genutzt werden, müssen diese mithilfe eines MDM (Mobile Device Management) gesichert werden. In diesem Artikel zeigen wir Ihnen, wie es geht.

 

MDM im Unternehmen nutzen: Wie kann ich Geräte einrichten?

Neben der Einbindung bereits vorhandener Apple-Bestandsgeräte, können Unternehmen Apple-Geräte direkt als Unternehmensgeräte beziehen. Diese Geräte sind dann direkt in das DEP-Programm von Apple eingebunden und dem Unternehmen zugeordnet. Die Verbindung mit dem MDM geschieht dann über den Apple Business Manager oder den Apple School Manager. Dabei wird den Geräten zunächst der MDM-Server zugewiesen. Danach wird zwischen MDM und Apple Business Manager/School Manager das APNS-Zertifikat ausgetauscht, damit die Geräte Befehle vom MDM empfangen können.

Im Anschluss werden das DEP-Zertifikat, über das die Geräte im MDM gelistet werden, und das VPP-Token, das zur Verteilung von Apps dient, ausgetauscht. Apple gibt vor, dass diese Verknüpfungen regelmäßig ausgetauscht werden müssen. Eine ausführliche Anleitung haben wir Ihnen auf unserem YouTube-Kanal zusammengestellt.

 

Apple-Bestandsgeräte ins MDM bringen: Warum ist das notwendig?

Nun könnte man annehmen, dass es kaum Unternehmen gibt, die tatsächlich den Bedarf haben, ihre Apple-Bestandsgeräte ins MDM zu bringen. Tatsächlich kommen wir aber in der Praxis immer wieder mit solchen Use Cases in Kontakt, da Unternehmen zum Beispiel entweder nicht wussten, dass Apple-Geräte direkt als DEP-Geräte gekauft werden können oder weil die Mitarbeitenden auch mit Einführung des MDM weiterhin mit bereits vorhandenen Geräten arbeiten sollen. Letzteres ist gerade bei kleineren Unternehmen der Fall. Außerdem spart die Weiterbenutzung von Apple-Bestandsgeräten nicht nur Geld, sondern auch Ressourcen. 

Ein MDM wird grundsätzlich dazu verwendet, Geräte gegen Datenschutz- und Sicherheitsverstöße abzusichern. Über Richtlinien können den Geräten zudem bestimmte Apps und Einstellungen vorgegeben werden. Bei Apple wird dafür für die Geräte ein Profil erstellt. Das Profil enthält alle Einschränkungen und Einstellungen für das Apple-Gerät, die vom MDM vorgegeben wurden.

Dabei kann jedes Gerät sogar ein eigenes Profil mit individuellen Einstellungen erhalten. Der große Vorteil ist, dass dies zentral geregelt werden kann, und die Nutzer*innen nichts selbst am Gerät einstellen müssen, wodurch verhindert wird, dass Fehler passieren oder wichtige Einstellungen fehlen. Wenn sich die Einstellungen ändern, kann per MDM diese Änderung ebenfalls zentralisiert an die Geräte gesendet werden. Dadurch bleibt immer alles aktuell. Diese Vorteile sind also nicht nur für neu gekaufte Geräte wichtig, sondern auch für Apple-Bestandsgeräte, weswegen natürlich auch diese in ein MDM eingebunden werden sollten.

 

Verschiedene Nutzungsszenarien für Apple-Bestandsgeräte

Ähnlich wie bei Android-Geräten gibt es auch für Apple-Geräte verschiedene Nutzungsszenarien. Zum Einen gibt es private Geräte, die auch zur Arbeit genutzt werden (Bring Your Own Device/BYOD); Unternehmensgeräte, die aber auch privat genutzt werden dürfen oder reine Arbeitsgeräte. Sind die Bestandsgeräte nicht in den Apple Business Manager und ein MDM eingebunden, besteht bei all diesen Nutzungsszenarien immer das Problem, dass die privaten Daten nicht sauber von den Unternehmensdaten getrennt werden können. Dementsprechend kann auch kein DSGVO-konformer Umgang mit den Daten des Unternehmens vorausgesetzt werden – auch für kleine Unternehmen ein nicht zu vernachlässigender Faktor.

Bevor man beginnen kann, Geräte in ein MDM einzubinden und diese mit dem Apple Business Manager zu verwalten, müssen zunächst MDM-Lizenzen erworben werden und die Anmeldung beim Apple Business Manager erfolgen. Wie Sie dies durchführen, haben wir Ihnen in einem ausführlichen Tutorial zusammengestellt.

 

Apple-BYOD-Geräte in das MDM einbinden

Bei BYOD-Geräten ist es in der Praxis oft so, dass Mitarbeitende sich zu Beginn ihrer Tätigkeit im Unternehmen ein Gerät aussuchen können, welches sie als Benefit vorrangig privat nutzen können. Seltener ist es, dass Mitarbeitende das iPhone oder iPad, was sie bereits vorher privat schon in Benutzung hatten, dann auch im Arbeitskontext einsetzen.

Letzteres bewerten wir bei IOTIQ als nicht empfehlenswert, da die Anforderungen des Apple-Bestandsgerätes in diesem Fall nicht ausreichend für die Arbeit sein können oder die Geräte unter Umständen nicht ausreichend gewartet wurden. Die Gefahr der Datenschutzverletzung ist dementsprechend groß. Apple-BYOD-Geräte müssen nicht zwingend über einen zertifizierten Apple-Händler bezogen werden.

Stattdessen können Unternehmen sie auch eigenständig über einen Händler ihrer Wahl bestellen. Dies ist hilfreich, gerade wenn man nur wenige Mitarbeitende ausstatten will, da sich der Zwischenschritt über ein Systemhaus oftmals nicht lohnt. Aus diesem Grund sind BYOD-Geräte aber standardmäßig erst einmal nicht mit dem Apple Business Manager verbunden. Der Vorteil bei Apple-BYOD-Geräten ist, dass diese, um sie mit einem MDM zu verbinden, nicht zu Unternehmensgeräten umgewandelt werden müssen – was den gesamten Vorgang deutlich vereinfacht.

Die Einbindung von Apple-BYOD-Bestandsgeräten in vier Schritten:

1. Der User sucht die MDM Client App, zum Beispiel MobiVisor MDM, im App Store und lädt diese herunter.
2. Der User öffnet die App und meldet sich mit dem Benutzernamen und Passwort bzw. QR-Code aus dem MDM an. Dazu muss der Admin zuvor eine Userliste im MDM hinterlegt haben. Wie Sie neue User anlegen, erfahren Sie auf unserer Hilfeseite.
3. Nach erfolgreicher Anmeldung wird der User weitergeleitet, um das Konfigurationsprofil herunterzuladen. Ist dies erfolgt, erscheint in den Einstellungen “Profil geladen”.
4. Der User tippt “Profil geladen” an und wählt “Installieren”.

Danach ist das Gerät erfolgreich verbunden. Ein ausführliches Tutorial finden Sie auf unserem YouTube-Kanal.

Mit diesem sogenannten “User Enrollment” bleibt die private Nutzung der Geräte gewährleistet und das Unternehmen hat keinen Zugriff auf den privaten Teil des Gerätes. Der User erhält zusätzlich ein verwaltetes Arbeitsprofil mit Managed Apps und einem getrennten iCloud Drive für die Arbeit.

 

Apple-Bestandsgeräte ins MDM bringen bei Arbeitsgeräten mit privater Nutzung

Neben BYOD gibt es in Unternehmen den Fall, dass Apple-Geräte mit dem Hauptzweck der Arbeit beschafft – diese dann aber auch für private Zwecke genutzt werden dürfen. In diesem Fall gehört das Gerät weiterhin dem Unternehmen und muss nach Beendigung des Arbeitsverhältnisses auch wieder zurückgegeben werden. Bei Apple-Geräten, die nicht in einem MDM eingebunden sind, wäre ein mögliches Setup, dass für die iCloud, Kontakte, Kalender, Fotos und teilweise iMessage die Business Apple-ID genutzt wird. Die private Apple-ID kann zum Beispiel für den App Store verwendet werden.

Wenn solche Apple-Bestandsgeräte ins MDM gebracht werden sollen, muss folgendes getan werden:

1. Setzen Sie die Geräte zurück
2. Laden Sie den “Apple Configurator 2” auf ein iPhone oder ein MacBook herunter.
3. Je nachdem müssen Sie das iPhone, das Sie umwandeln wollen nun mit einem Kabel verbinden (iPhone mit MacBook) oder einfach den Code einscannen (iPhone mit iPhone)
4. In Apple Configurator: Gerät auswählen → „Gerät vorbereiten“
5. Option „In Apple Business Manager aufnehmen“ wählen
6. Apple-ID des ABM eingeben
7. Gerät wird in ABM registriert und mit einem MDM verknüpft
8. Gerät wird automatisch in den Supervised Mode versetzt (dauerhaft)
9. Setup-Assistent neu durchlaufen

Wenn das Gerät neu gestartet wird, wird es automatisch mit allen MDM-Profilen eingerichtet. Trotz dieses Vorgehens kann – wenn im MDM so vorgesehen – weiterhin eine private Apple ID, zum Beispiel für den App Store, hinterlegt werden.

 

Reine Unternehmensgeräte ins MDM bringen

Natürlich gibt es auch die Möglichkeit, Apple-Geräte nur zur Arbeit zu nutzen und private Apple IDs gar nicht zuzulassen. Die Ausgangslage ist dabei ähnlich wie beim zuvor beschriebenen Fall: Die Apple-Bestandsgeräte wurden händisch mit einer Unternehmens-Apple-ID eingerichtet. Es befindet sich jedoch kein privater Account auf den Geräten, sondern es wird die E-Mail-Adresse der Mitarbeitenden für das Unternehmen als Apple-ID genutzt. Da diese nicht über den Apple Business Manager erstellt wurde, gilt diese aber nicht als verwaltet. Apple erlaubt keine direkte „Übernahme“ bereits genutzter Apple-IDs in verwaltete Strukturen – stattdessen wird eine neue verwaltete Apple ID bereitgestellt.

Wie bringen Sie Apple Bestandsgeräte, die nur zur Arbeit eingesetzt werden sollen, ins MDM?

1. Auch in diesem Fall muss zunächst ein ABM-Account angelegt und mit dem MDM verknüpft werden.
2. Die Geräte müssen manuell in den Apple Business Manager eingebunden werden. Sie können dazu bereits im Voraus zurückgesetzt werden – andernfalls erfolgt die Zurücksetzung im Verlauf der Umwandlung in ein DEP-Gerät.
3. Laden Sie den “Apple Configurator 2” auf ein MacBook oder ein iPhone herunter.
4. Je nachdem müssen Sie das iPhone, das Sie umwandeln wollen nun mit einem Kabel verbinden (iPhone mit macBook) oder einfach den Code einscannen (iPhone mit iPhone)
5. In Apple Configurator: Gerät auswählen → „Gerät vorbereiten“
6. Option „In Apple Business Manager aufnehmen“ wählen
7. Apple ID des ABM eingeben
8. Gerät wird in ABM registriert und mit einem MDM verknüpft
9. Gerät wird automatisch in den Supervised Mode versetzt (dauerhaft)
10. Setup-Assistent neu durchlaufen

Beim Neustart des Gerätes wird dieses automatisch mit allen MDM-Profilen eingerichtet. Die verwaltete Apple ID ist im Besitz des Unternehmens und nicht an einen persönlichen iCloud-Account gekoppelt. Auf einem solchen Unternehmensgerät können außerdem nur Unternehmensapps heruntergeladen werden.

 

Apple Bestandsgeräte ins MDM bringen: Apple unterstützt professionelle Nutzung in Unternehmen

Sollen Apple-Geräte im Unternehmen zur Arbeit eingesetzt werden, ist es grundsätzlich empfehlenswert diese direkt als DEP-Geräte zu beziehen, damit der Schritt der Umwandlung mit dem Apple Configurator nicht vorgenommen werden muss.

Grundsätzlich fördert Apple die Nutzung von iPhones und iPads auch für die Arbeit immer mehr, sodass hier im ABM einige Änderungen vorgenommen werden, um Unternehmen noch bessere Möglichkeiten zur Verwaltung ihrer Geräte zu geben. Es ist beispielsweise seit einem halben Jahr möglich, dass Unternehmen die Funktion “Lock Domain” verwenden und somit verhindern, dass private Apple IDs mit der Firmen-E-Mail-Adresse angelegt werden. Wenn Sie noch mehr zu den Neuerungen für Apple Business Nutzer lesen möchten, empfehlen wir Ihnen unseren Artikel zur Apple Keynote 2025.

Für eine umfangreiche, kostenfreie Beratung zum Thema Mobile Device Management System, kontaktieren Sie uns gerne.

Kontakt
Linkedin Youtube Instagram

Copyright: © 2025 IOTIQ

Kontakt