Glossar

Apple Business Manager

Ein einfaches webbasiertes Portal, mit dem IT-Admins Apple-Geräte, die direkt bei Apple oder bei einem teilnehmenden autorisierten Apple-Händler oder Mobilfunkanbieter erworben wurden, unkompliziert und schnell implementieren und bereitstellen können. Apple-Geräte können automatisch in der organisationseigenen Lösung für die Mobilegeräteverwaltung (MDM, Mobile Device Management) registriert werden, ohne dass die Geräte vor der Verteilung an Benutzer in die Hand genommen oder vorbereitet werden müssen.

Apple School Manager

Ein einfaches webbasiertes Portal, mit dem IT-Admins Apple-Geräte, die direkt bei Apple oder bei einem teilnehmenden autorisierten Apple-Händler oder Mobilfunkanbieter erworben wurden, unkompliziert und schnell implementieren und bereitstellen können. Geräte können automatisch in deiner MDM-Lösung registriert werden, ohne dass die Geräte vor der Verteilung an Benutzer:innen in die Hand genommen oder vorbereitet werden müssen.

Apple-Kundennummer

Die Accountnummer (bzw. die Accountnummern), die einer Organisation von Apple zugewiesen wurde und die zum Kauf von Apple-Hardware und -Software verwendet wird. Sie ist erforderlich, um die Berechtigung einer Organisation zur Teilnahme an entsprechenden Programmen zu überprüfen. Wenn du diese Nummer(n) nicht hast, wende dich an deinen Einkäufer, die Finanzabteilung oder das Apple-Account-Team. Diese Nummer ist nicht mit der GSX-Accountnummer identisch.

Authentifizierung

Darunter versteht man das Verifizieren der angegebenen Zugangsdaten durch eine Instanz, um die Identität nachzuweisen.

Autorisierung

Hierbei wird ein Token bei einer Instanz abgerufen, nachdem die Authentifizierung durch den Nachweis deiner Identität abgeschlossen wurde.

Backup

Eine Kopie wichtiger Daten, zu denen Informationen wie das Layout des Home-Bildschirms, App-Daten (wie Safari-Lesezeichen und Ereignisse im Kalender) sowie alle Angaben, die in den Einstellungen auf dem Gerät festgelegt werden können (einschließlich Einschränkungen, Zertifikate und einige Accounttypen), Kontakte und der Ordner „Aufnahmen“ (nicht jedoch Fotoalben) gehören. Backups erfassen keine Apps oder Medien, die normalerweise im Finder (macOS 10.15 oder neuer) und in iTunes (macOS 10.14 oder älter) synchronisiert oder in iCloud oder auf iCloud Drive gespeichert werden. Ein Backup eines nicht betreuten Geräts ist identisch und austauschbar mit einem mittels Finder oder iTunes erstellten Backups und kann nur auf einem nicht betreuten Gerät wiederhergestellt werden. Analog kann das Backup eines betreuten Geräts nur auf einem anderen betreuten Gerät wiederhergestellt werden.

Benutzerbasierte Durchsetzung (User Based Enforcement, UBE)

Eine Implementierung, die für bestimmte Benutzer:innen oder Benutzergruppen eine Ausnahme bei der ausschließliche Authentifizierung per Smart Card erzeugt. Diese Option deaktiviert jegliche passwortbasierte Authentifizierung. Siehe auch Gerätebasierte Durchsetzung (Machine Based Enforcement, MBE).

Betriebssystem und Kanal

Payloads von MDM-Lösungen können mit bestimmten Betriebssystemen und für „Geteiltes iPad“- und Mac-Kanäle verwendet werden. Da geteilte iPad- und Mac-Geräte mehr als einen Benutzer haben können, kann eine Payload auf den Gerätekanal (alle Benutzer) oder einen Benutzerkanal (bestimmte Benutzer) angewendet werden.

Bootstrap Token

Eine MDM-basierte Funktion, die automatisch auf allen mobilen Accounts ein sicheres Token bereitstellt. Insbesondere wird ein Bootstrap Token verwendet, um mobilen Accounts und dem optional per Geräteregistrierung erstellten Administratoraccount („verwalteter Administrator“) leichter ein Secure Token zuzuerkennen. In macOS 11 (oder neuer) kann das Bootstrap Token einem beliebigen Benutzer, der sich bei einem Mac-Computer anmeldet (einschließlich lokale Benutzeraccounts), ein Secure Token zuerkennen.

D-U-N-S-Nummer

Eine neunstellige ID, die jedem Unternehmen von Dun & Bradstreet (D&B) zugewiesen und in der Datenbank des Unternehmens verwaltet wird. Apple überprüft Programmteilnehmende anhand der D&B-Datenbank. Weitere Informationen darüber, wie Unternehmen eine D-U-N-S-Nummer enthalten, enthält die Webseite Welcome to D&B Support.

Duplikate

Zwei oder mehr identische Payloads in MDM. Beispielsweise umfasst die Payload „Zertifikate“ häufig mehr als nur ein Zertifikat und eine Payload „VPN“ mehr als nur eine VPN-Einstellung. Es können nicht zwei oder mehr Payloads für ein Gerät oder Benutzer:innen aktiv sein. Es muss eine einzelne Payload sein.

Einstellungen

Im Kontext einer MDM-Lösung sind es eindeutige Kennungen, die auf Apps, Funktionen und Konnektivitätsfunktionen wie Exchange, Zugangscodes, VPN, WLAN, Proxys usw. angewendet werden können. Der Name eines WLANs und die Art der Authentifizierung gegenüber einem Exchange-Server sind Beispiele für eine Einstellung. Nach der Eingabe von Einstellungen für eine App, Funktion oder Konnektivitätsfunktion werden diese zu einer Payload. Siehe auch Payload.

eSIM (eingebettete SIM)

Eine softwarebasierte SIM, die in der Apple Watch Series 3 (oder neuer), im iPhone XR, iPhone XS, iPhone XS Max (oder neuer) und jedem iPad seit der 3. Generation des iPad Pro verwendet wird. Weitere Informationen findest du unter SIM-Karte (Subscriber Identity Module).

Föderierte Authentifizierung

Hierunter versteht man einen Prozess, bei dem der Benutzername und das Passwort eines Accounts aus einem ersten Verzeichnissystem so bereitgestellt wird, dass derselbe Benutzername und dasselbe Passwort auch in anderen Systemen verwendet werden können.

Föderierte Identität

Dienen der Herstellung von Vertrauen zwischen Identitätsanbietern in verschiedenen Sicherheits-Domains.

Gerätebasierte Durchsetzung (Machine Based Enforcement, MBE)

Eine Implementierung, die für alle Accounts, auf die mit einem Mac zugegriffen werden kann, die Option für die passwortbasierte Authentifizierung durch die ausschließliche Authentifizierung per Smart Card ersetzt. Siehe auch Benutzerbasierte Durchsetzung (User Based Enforcement, UBE).

Gesamtauthentifizierung

Ein Verfahren, bei dem ein Benutzer die Authentifizierungs- und Autorisierungsinformationen einmal bereitstellt und ein Ticket für den Zugriff auf Ressourcen erhält, bis dieses Ticket seine Gültigkeit verliert (normalerweise nach 10 Stunden).

Händlernummer

Eine eindeutige Kennung für jeden autorisierten Apple-Händler oder Mobilfunkanbieter, der an Apple School Manager oder Apple Business Manager teilnimmt. Indem eine Organisation die Händlernummer eines teilnehmenden autorisierten Apple-Händlers oder Mobilfunkanbieters ihrem Accountprofil hinzufügt und diesem Händler die eigene Kunden-ID mitteilt, berechtigt sie ihn, Angaben zu den Geräten, die sie bei ihm erwirbt, an Apple zu übermitteln. Dadurch können die Seriennummern der Geräte in Apple School Manager oder Apple Business Manager angezeigt werden.

Identität

Ein Zertifikat und ein zugehöriger privater Schlüssel. Zertifikate können frei verteilt werden, Identitäten müssen jedoch geschützt werden. Frei verteilte Zertifikate – und besonders ihr öffentlicher Schlüssel – werden für die Verschlüsselung verwendet, die nur mit dem übereinstimmenden privaten Schlüssel wieder entschlüsselt werden kann. Der private Schlüssel einer Identität wird in einer PKCS#12-Datei (.p12) gespeichert und mit einem anderen Schlüssel, der durch ein Passwort geschützt ist, verschlüsselt.

Konfigurationsprofil

Eine XML-Datei (mit der Endung .mobileconfig), die sich aus Payloads zusammensetzt, mit denen Einstellungen und Berechtigungsinformationen auf Apple-Geräte geladen werden. Mit Konfigurationsprofilen kann die Konfiguration von Einstellungen, Accounts, Einschränkungen und Anmeldedaten automatisiert werden. Diese Dateien können von einer MDM-Lösung oder von Apple Configurator für Mac erstellt werden. Darüber hinaus ist es möglich, sie manuell zu erstellen.

Kopplung lokaler Accounts

Eine Möglichkeit zur Durchsetzung der Authentifizierung per Smart Card für Mac-Computer auf lokalen Accounts.

MDM-Registrierung mit Benutzereinwilligung

In macOS 10.13.2 (oder neuer) gibt die MDM-Registrierung mit Benutzereinwilligung der MDM-Software zusätzliche Berechtigungen. Ab macOS 11 ist es nicht mehr möglich, Profile über die Befehlszeile zu installieren, sodass alle neuen MDM-Registrierungen mit Benutzereinwilligung erfolgen. Die MDM-Registrierung mit Benutzereinwilligung unterscheidet sich von der Benutzerregistrierung.

Mobile Device Management (MDM)

Dies ist ein Dienst, mit dem Administratoren registrierte Geräte per Fernzugriff verwalten können. Nach der Registrierung eines Geräts können Benutzer den MDM-Dienst über das Netzwerk verwenden, um Einstellungen zu konfigurieren und andere Aufgaben auf dem Gerät ohne Benutzerinteraktion auszuführen.

Organisations-ID

Deine eindeutige Kennung in Apple School Manager oder Apple Business Manager. Indem eine Organisation ihre Organisations-ID einem teilnehmenden autorisierten Apple-Händler oder Mobilfunkanbieter mitteilt und dessen Händlernummer zu ihrem Accountprofil hinzufügt, berechtigt sie ihn, Angaben zu den Geräten, die sie bei ihm erwirbt, an Apple zu übermitteln. Dadurch können die Seriennummern der Geräte in Apple School Manager oder Apple Business Manager angezeigt werden.

Payload

Mindestens eine verwaltete Einstellung. Einige Einstellungen (z. B. LDAP) können mehrere Payloads umfassen. Payloads dienen zum Beispiel dazu, die Netzwerksicherheit zu erhöhen und die Einstellungen für die Benutzer- und WLAN-Authentifizierung, für die VPN-Richtlinien, für die E-Mail-Funktionalität und für zahlreiche andere Einstellungen zu verwalten. Weitere Informationen gibt es unter Einstellungen.

PIV-Karte (Personal Identity Verification)

Eine Art von Smart Card-Technologie, die für die Zwei-Faktor-Authentifizierung, digitale Signaturen und die Verschlüsselung verwendet wird. Die in macOS integrierte Unterstützung für Smart Cards basiert auf dem CryptoTokenKit-Framework.

Registrierungsmethoden

Es gibt drei Hauptmethoden für die Registrierung von Geräten in einer MDM-Lösung: Benutzerregistrierung, Geräteregistrierung und Automatische Geräteregistrierung.

Secure Token

Eine macOS-Funktion, die die Implementierung von Verschlüsselungsschlüsseln bei deren Erstellung sowie deren Speicherort behandelt. Genauer gesagt ist ein Secure Token eine umschlossene und durch ein Benutzerpasswort geschützte Version eines Schlüsselverschlüsselungsschlüssels (Key Encryption Key, KEK).

SIM-Karte (Subscriber Identity Module)

Eine Universal Integrated Circuit Card (UICC) für die Identifizierung und Authentifizierung von Benutzer:innen auf Mobilgeräten. Weitere Informationen findest du unter eSIM (eingebettete SIM).

Zulieferer

Die Körperschaft, über die qualifizierte Geräte erworben werden. Für ein Gerät, das per Bestellung direkt bei Apple erworben wurde, musst du mit der Option „Apple (Direkt)“ deine Apple-Kundennummer als „Zulieferer“ eingeben. Wenn ein Gerät bei einem teilnehmenden autorisierten Apple‑Händler oder Mobilfunkanbieter gekauft wurde, kann dieser dem eigenen Account als Zulieferer hinzugefügt werden, indem mit der Option „Händler“ dessen Händlernummer erfasst wird. Jeder Zulieferer muss nur einmal zum eigenen Accountprofil hinzugefügt werden.