Skip to content

Was ist ein MDM-Profil?

Profile sind eine Kernkomponente von Apples Mobile Device Management (MDM) Framework. MDM-Profile werden verwendet, um Geräte für die Verwaltung zu registrieren und dann Konfigurationen an verwaltete Geräte zu übermitteln. Es gibt also zwei Arten von MDM-Profilen:

  • Anmeldungsprofile; und
  • Konfigurationsprofile.

Enrollment-Profile

Wie der Name schon sagt, werden Registrierungsprofile verwendet, um Geräte in Ihrem MDM-System zu registrieren. In Verbindung mit Zertifikaten, die ihre Herkunft bestätigen, bereiten sie Geräte darauf vor, Befehle zu empfangen, Software zu installieren und Konfigurationsprofile von Ihrer MDM-Lösung zu akzeptieren. Darüber hinaus ermöglicht ein Registrierungsprofil Ihrem MDM, den Status des registrierten Geräts zu überprüfen, einschließlich Details wie Name, Aktivierungssperrstatus und Batteriestand.

Konfigurationsprofile

Konfigurationsprofile sind XML-Dateien (mit der Endung .mobileconfig), die Nutzdaten enthalten, die die Konfigurationen von Geräten definieren. Konfigurationsprofile werden in der Regel nach der Installation eines Anmeldeprofils installiert, erfordern jedoch nicht die Installation eines Anmeldeprofils. So können Sie beispielsweise VPN- und E-Mail-Kontoinformationen als Teil eines Konfigurationsprofils bereitstellen, ohne dass die Geräte, die diese Profile verwenden, in Ihrem MDM angemeldet sein müssen.

Die Nutzdatenoptionen und -anforderungen variieren je nach Gerät. Ein AirPlay-Sicherheitsprofil kann beispielsweise nur einem Apple TV hinzugefügt werden, während Zertifikate-Profile auf jedem Apple-Gerät installiert werden können. In den meisten Fällen wird eine Nutzlast, die von einem Gerät nicht unterstützt wird, vom Gerät ignoriert.

Wie man ein MDM-Profil erstellt

Profile werden in der Regel von MDM-Lösungen erstellt und bereitgestellt. Dieser Prozess ist für Administratoren und Benutzer weitgehend unsichtbar. Es ist jedoch auch möglich, Konfigurationsprofile manuell zu erstellen.

Manuelles Erstellen eines Konfigurationsprofils

Die gängigste Methode zur manuellen Erstellung von Konfigurationsprofilen ist der Apple Configurator. So gehen Sie vor:

1. Wählen Sie in Apple Configurator Datei > Neues Profil. Es wird ein Fenster für ein neues Konfigurationsprofil-Dokument angezeigt. 2. Füllen Sie im Bereich "Allgemeine Einstellungen" die Felder "Name" und "Kennung" aus. 3. Um eine Nutzlast hinzuzufügen, wählen Sie sie aus der Liste auf der linken Seite aus, klicken Sie auf Konfigurieren und geben Sie die Einstellungen ein; erforderliche Werte sind mit einem Symbol gekennzeichnet. Wenn der Nutzlasttyp mehrere Nutzlasten zulässt, klicken Sie auf die Schaltfläche Nutzlast hinzufügen in der oberen rechten Ecke des Einstellungsfensters für die Nutzlast, um eine weitere hinzuzufügen. 4. Wenn Sie das Profil signieren möchten, wählen Sie Datei > Profil signieren, wählen Sie Ihr Zertifikat aus dem Popup-Menü und klicken Sie dann auf OK. 5. Wählen Sie Datei > Speichern, benennen Sie das Profil, wählen Sie den Speicherort und klicken Sie auf Speichern.

Bearbeiten eines Konfigurationsprofils

1. Wählen Sie in Apple Configurator "Datei" > "Öffnen" und suchen Sie dann das Konfigurationsprofil auf Ihrem Mac. 2. Wenn das Konfigurationsprofil signiert ist, wählen Sie "Datei" > "Profil unsignieren". 3. Sie haben dann die Möglichkeit, eine Nutzlast zu entfernen oder hinzuzufügen. Um sie zu entfernen, wählen Sie die entsprechende Option aus und klicken dann in der oberen rechten Ecke auf Nutzdaten entfernen. Um eine Nutzlast hinzuzufügen, wählen Sie die entsprechende Option aus und bearbeiten Sie die Einstellungen. 4. Wenn Sie das Profil signieren möchten, wählen Sie Datei > Profil signieren, wählen Sie Ihr Zertifikat aus dem Popup-Menü und klicken Sie dann auf OK. 5. Wenn Sie die Bearbeitung des Profils abgeschlossen haben, wählen Sie Datei > Speichern.

Entfernen eines MDM-Profils

Je nachdem, wie das Gerät registriert wurde, können Endbenutzer möglicherweise Profile von ihren Geräten entfernen. Andernfalls können dies nur Administratoren. Das Entfernen kann je nach Profiltyp und den darin konfigurierten Einstellungen unterschiedliche Folgen haben.

Was geschieht, wenn Sie ein MDM-Profil entfernen?

Wenn Sie ein Anmeldeprofil entfernen, werden alle Konfigurationsprofile, die bei der Anmeldung des Geräts installiert wurden, ebenfalls entfernt, aber die zugehörigen Konfigurationen werden möglicherweise nicht geändert.

Wenn Ihr Registrierungsprofil beispielsweise dem Benutzergerät ein E-Mail-Konto hinzufügt und vorschreibt, dass der Benutzer einen mehrstelligen Passcode festlegen muss, geschehen drei Dinge, wenn Sie es entfernen:

1. Beide Konfigurationsprofile werden ebenfalls entfernt; 2. das E-Mail-Konto wird entfernt; 3. die Passcode-Anforderung wird entfernt, aber der Passcode kehrt nicht in seinen vorherigen Zustand zurück. Wenn der Benutzer zu einem einfacheren Kennwort wechseln möchte, muss er seine Kennworteinstellungen manuell in der App Einstellungen ändern.

So entfernen Sie ein MDM-Profil

Profile auf überwachten Geräten können vom Endbenutzer nicht entfernt werden, es sei denn, das Gerät wird gelöscht oder der Administrator hat sie so konfiguriert, dass sie entfernbar sind. (Selbst in diesen Fällen kann das Profil ein Entfernungskennwort enthalten. In diesem Fall muss der Benutzer dieses Kennwort eingeben, um das Profil zu entfernen.) Andernfalls können Profile allein durch die MDM-Lösung entfernt werden.

Wenn das Profil von einer MDM-Lösung installiert wurde, kann es von dieser Lösung oder durch Aufhebung der Registrierung des Geräts entfernt werden.

In anderen Fällen können Profile durch den Benutzer entfernt werden.

Bleiben Sie auf dem Laufenden

Irus wöchentliche Sammlung von Artikeln, Videos und Forschungsergebnissen, um IT- und Sicherheitsteams einen Vorsprung zu verschaffen.