Profile und Payloads

Konfigurationsprofile sind aus Payloads bestehende XML-Dateien, mit denen Einstellungen und Informationen zur Autorisierung auf Apple-Geräte wie iPhone, iPad, iPod touch, Mac und Apple TV geladen werden. Der Profilmanager kann Profile auf jedem dieser Geräte erstellen und installieren.

Die Einstellungen und Informationen zur Autorisierung können Folgendes enthalten:

• Gerätespezifische Sicherheitsrichtlinien und Einschränkungen

• VPN-Konfigurationsinformationen

• Netzwerkeinstellungen

• E-Mail- und Kalenderaccounts

• Authentifizierungs- und Anmeldeinformationen, die einem iPad, iPhone und iPod touch die Zusammenarbeit mit organisationseigenen Systemen und Schulnetzwerken ermöglichen

Da Konfigurationsprofile verschlüsselt und signiert werden können, können Sie deren Verwendung auf ein bestimmtes Apple-Gerät beschränken, und verhindern, dass die Einstellungen, mit Ausnahme der Benutzernamen und Passwörter, von anderen Benutzern geändert werden. Sie können ein Profil auf dem Gerät auch als gesperrt markieren. In diesem Fall kann das Profil nach der Installation nur gelöscht werden, indem alle Daten vom Gerät gelöscht werden oder alternativ ein dem Profil zugewiesenes Passwort eingegeben wird. Accounts, die durch ein Profil konfiguriert werden, wie Microsoft Exchange-Accounts, können nur durch Löschen des Profils entfernt werden.

Auch wenn es grundsätzlich möglich ist, alle Payloads, die Sie für Ihre Organisation benötigen, mit nur einem Konfigurationsprofil abzudecken, empfiehlt es sich, separate Profile für Einstellungen, die sich selten ändern, und für häufig sich ändernde Einstellungen zu erstellen. Beispiele für Einstellungen, die nur selten geändert werden, sind: Netzwerk, Datenschutz, LDAP, Mail, Kalender und Softwareaktualisierung. Zu den Beispielen für Einstellungen, die häufig geändert werden, gehören: VPN, Zertifikate, Webclips, Anmeldeobjekte, Dock und Drucker.

Konfigurationsprofile können für Benutzer und Geräte oder für Benutzer- und Gerätegruppen erstellt werden. Der Profilmanager passt die Payloads des Profils abhängig von Ihrer Auswahl an. Die Einstellungen eines Payload sind nur für die jeweilige Kategorie relevant. Einstellungen, die beispielsweise nur für Geräte zutreffen, sind nicht verfügbar, wenn Sie ein Konfigurationsprofil für einen Benutzer erstellen.

Es kann auch von Vorteil sein, separate Profile für spezifische Geräte oder für eine spezifische Benutzergruppe zu verwenden. Informationen finden Sie unter Payload-Verwendungsmöglichkeiten.

Konfigurationsprofile können als E-Mail-Anhang gesendet, über einen Link auf der eigenen Webseite bereitgestellt oder über das integrierte Benutzerportal des Profilmanagers geladen werden. Wenn ein Benutzer den E-Mail-Anhang bzw. die heruntergeladene Profildatei in einem Webbrowser öffnet, wird er aufgefordert, das Profil zu installieren. Sie können den Profilmanager auch als Server für die Verwaltung mobiler Geräte verwenden, damit Sie neue und aktualisierte Profile an Benutzer senden können, nachdem diese ihre Geräte registriert haben.

Benutzer können – mit Ausnahme von Passwörtern – in der Regel keine der in einem Konfigurationsprofil festgelegten Einstellungen ändern. Accounts, die auf der Basis eines Profils konfiguriert werden, können nur entfernt werden, indem das Profil gelöscht wird. Das Löschen eines Profils kann allerdings dazu führen, dass das betreffende Gerät innerhalb Ihrer Organisation nicht mehr funktioniert und erst wieder eingesetzt werden kann, wenn das Profil neu installiert wird. Beispielsweise kann das Löschen eines Profils zur Folge haben, dass der Benutzer nicht mehr auf das Netzwerk zugreifen, keine E-Mail-Nachrichten mehr empfangen und keine Ereignisse in der App „Kalender“ mehr erstellen kann. Im Falle eines iOS-Geräts können Sie ein Profil auf dem Gerät als gesperrt oder geschützt deklarieren, sodass es nach der Installation nur entfernt werden kann, indem alle Daten von dem Gerät gelöscht werden (oder alternativ ein Code eingegeben wird).

In iOS 9 (oder neuer) werden Konfigurationsprofile mit Zertifikat- oder WLAN-Payloads, die vom Systemassistenten installiert wurden, automatisch verwaltet, wenn das Gerät betreut und bei MDM registriert ist.