1 of 8

Registrierung

Mit der Mobilen Geräteverwaltung von MNSpro haben Sie die Möglichkeit, Windows Geräte ab Windows 10 Pro oder Education, Apple Geräte (iPhone, iPad ,Macs) und Android Geräte zu verwalten.

Die Geräte müssen entsprechend vorab im System registriert werden.

Apple
Windows
Android

Apple

Für die mobile Verwaltung von Apple-Geräten mit dem Betriebssystem iOS/iPadOS ist es notwendig, dass diese zunächst im Apple School Manager (kurz ASM) der Bildungseinrichtung registriert und dann MNSpro Cloud als MDM-System zugewiesen werden.

Für die Registrierung der Geräte im ASM gibt es zwei Verfahrensmöglichkeiten:

Apple Enrollment Programm (AEP), also die automatische Geräteregistrierung
Manuelle Aufnahme der Geräte mit Hilfe der macOS-App „Apple Configurator 2“.

In beiden Fällen erfolgt im Anschluss die Zuweisung der Geräte zu MNSpro Cloud.

Hierzu wählen Sie im ASM die Kategorie Geräte aus. Dort finden Sie eine Auflistung aller derzeit registrierten Endgeräte. Sie haben im oberen Bereich die Möglichkeit, die Geräte nach verschiedenen Werten zu filtern (1). Nachdem Sie die gewünschten Geräte ausgewählt haben (2), wählen Sie die Option "MDM-Server bearbeiten" (3) auf der rechten Seite aus:

Für alle Geräte:

Einzelnes Gerät:

Im neu geöffneten Fenster können Sie dann den gewünschten MDM-Server (MNSpro Cloud) auswählen und die Zuweisung mit Weiter bestätigen:

Anschließend müssen Sie im ausgewählten MDM-System noch den Geräten das gewünschte Profil hinzufügen.

Hierzu bieten wir mehrere Möglichkeiten an:

DEP-Programm

Der einfachste Weg, iOS-Geräte im ASM einzubinden, ist diese direkt über Apple oder einen Apple-zertifizierten Händler zu beziehen. Dieser kann die Geräte dann direkt in den gewünschten ASM einbuchen. Hierfür müssen zwei Dinge beachtet werden:

Dem Händler bzw. Apple muss die Organisations-ID des eigenen ASM mitgeteilt werden. Die Organisations-ID kann im ASM unter Einstellungen -> Registrierungsinformationen abgerufen werden:
Im ASM muss die Händlernummer bzw. die Apple-Kundennummer eingetragen werden, je nachdem, ob die Geräte direkt über Apple oder von einem zertifizierten Händler erworben wurden. Diese Informationen können unter Einstellungen -> MDM-Server-Zuweisung eingetragen werden. Wählen Sie hier „Bearbeiten“ im Abschnitt „Kundennummern“ aus:
Wenn Ihre Organisations-ID an den Händler übermittelt und seine Händlernummer in Ihrem ASM eingetragen wurde, können Sie diesen veranlassen, die erworbenen Geräte bei Ihnen einzubuchen.

Bevor die Geräte in Betrieb genommen werden können, müssen mit den eingebuchten Geräte noch zwei Schritte durchgeführt werden:

1. In Apple School Manager MNSpro Cloud als MDM-Server zuweisen 2. im MDM von MNSpro Cloud ein Registrierungsprofil vergeben.

Siehe hierzu: Zuweisung der Geräte

Apple Configurator

Wichtige Informationen und Voraussetzung für die manuelle Registrierung von iOS-Endgeräte in den Apple School Manager:

Sie benötigen,

ein iPhone (mind. iOS 16) oder ein Mac-Computer mit Apple Chips oder mit einem Apple T2-Sicherheitschip
einen Administrativen Account im (künftig ASM genannt)
eine Registrierungs-URL, diese erhalten auf Anfrage an:
die Apple Configurator-App ( / )

Werden Geräte manuell im ASM registriert, so gibt es eine Übergangsfrist von 30 Tagen, in welcher die Geräte noch manuell aus der entfernten Verwaltung entfernt und freigegeben werden können.

Dies ist zu beachten, wenn die Geräte direkt an SuS ausgegeben werden sollen.

Beim Vorbereiten der Geräte werden diese vollständig zurückgesetzt, so dass alle Daten auf den Geräten gelöscht werden.

Registrierung via iPhone

Voraussetzung:

iOS 16 muss auf beiden Geräte installiert sein
Das iPad, das hinzugefügt werden soll, befindet sich in Werkseinstellungen
Auf dem iPhone ist die installiert und Sie sind mit ihrem Administrativen Account aus dem ASM angemeldet

Beginnen Sie die Einrichtung mit Druck auf die Home-Taste, wählen sie die Sprache und Region aus:
Wählen Sie im Fenster „Schnellstart“ den Punkt „Manuelle Konfiguration“ aus
Öffnen Sie die Apple Configurator App auf dem iPhone und halten Sie das Gerät über das iPad, der Prozess wird gestartet, das iPad verbindet sich mit dem WLAN welches am iPhone eingerichtet ist.
Im ASM müssen die nun registrierten Geräte noch dem endgültigen MDM-Server zugewiesen werden. Hierfür können alle dem Apple Configurator 2 zugewiesenen Geräte ausgewählt und dem bereits angelegten MDM-Server übertragen werden.
Die restliche Verwaltung erfolgt, jetzt über den Support: Hierzu muss genannt werden, welches Gerät, welches Profil (Schueler-, Lehrer-, Poolgeräte) erhalten soll.

Registrierung via Mac

Inhalt

Allgemeiner Vorgang

Nachdem die Geräte im ASM registriert wurden, können diese dem MDM-Server zugewiesen und künftig über diesen verwaltet werden.

Abschließend müssen Sie uns die Geräte mit der Zuordnung melden, damit dies im MDM-System hinterlegt werden.

Apple School Manager

WLAN-Profil anlegen

Für die Einbindung der Geräte wird ein WLAN-Profil benötigt.

WICHTIG: Das hier konfigurierte Netzwerk muss WÄHREND DER AUFNAHME der Geräte zur Verfügung stehen! Wenn die Geräte nicht am späteren Bestimmungsort aufgesetzt werden, kann ein später zu verwendendes Netzwerk noch über Konfigurationsprofile in MDM hinterlegt werden.

Ein neues Profil kann über Ablage -> Neues Profil erstellt werden. Wichtig sind nur zwei zu konfigurierende Abschnitte:

Allgemein -> Hier muss nur der Name des Profils zur späteren Unterscheidung angegeben werden, der Rest kann auf den Standardeinstellungen belassen werden.
WLAN -> Hier können alle benötigten Angaben zur Verbindung mit dem Netzwerk eingetragen werden. Als Beispiel für ein häufig verwendetes WPA2-PSK-Netz wären dies etwa die SSID (WICHTIG: Groß-Kleinschreibung beachten), der Sicherheitstyp sowie das Passwort.

Nachdem alle diese Einstellungen getroffen wurden, muss man sich noch einmal mit dem Benutzerkonto des jeweiligen MacOS-Endgeräts authentifizieren:

Erstellung und Vorbereitung eines Entwurfs

Ein neuer Entwurf kann über Ablage -> Neuer Entwurf erstellt werden.

CTRL+Klick auf den Entwurf: Unter dem Punkt „Vorbereiten“ werden alle relevanten Daten für die Registrierung der Endgeräte im jeweiligen ASM voreingestellt.

„Zu Apple School Manager hinzufügen“ Es werden keine weiteren Optionen benötigt
An dieser Stelle wird nun ein neuer MDM-Server eingerichtet. Die Registrierungs-URL kann über den Support angefragt werden.
In diesem Schritt werden einfach die drei Standardzertifikate mit „Weiter“ bestätigt.
Im nächsten Schritt erfolgt die Anmeldung am ASM. Hierfür „Neue Organisation“ auswählen, im nächsten Schritt die Daten eines ASM-Administrators eingeben und schließlich „Neue Betreuungsidentität erstellen auswählen.
In diesem Schritt kann einfach „Keinen dieser Schritte anzeigen“ ausgewählt werden. Die Optionen hier sind nicht von Relevanz, da die registrierten Geräte später über die MDM-Lösung zugewiesen und darüber konfiguriert werden.
Hier müssen nun, das erstellte WLAN-Profil auswählen.

Anwenden des vorbereiteten Entwurfs

Um die iOS-Geräte nun einzubinden, werden diese per USB an das MacOS-Gerät, auf welchem Apple Configurator 2 ausgeführt wird, angeschlossen. Die Geräte werden ausgewählt und über den Reiter „Entwürfe“ kann direkt der gewünschte Entwurf auf den Geräten angewendet werden.
Es müssen nur noch die angezeigten Meldungen bestätigt werden, sofern diese angezeigt werden
Die iOS-Geräte werden während dieses Vorgangs vollständig zurückgesetzt.
Nach dem Neustart sind sie im ASM der jeweiligen Schule registriert und noch „Apple Configurator 2“ als MDM-Server zugewiesen, auf den Geräten wird nun der normale Willkommensbildschirm angezeigt.

In diesem Zustand dürfen die Geräte noch nicht weiter installiert werden, da sie noch der Configurator-App zugewiesen sind und noch eine Fehlermeldung über ein unvollständiges Profil angezeigt würde.

Bevor die Geräte in Betrieb genommen werden können, müssen mit den eingebuchten Geräte noch zwei Schritte durchgeführt werden:

1. In Apple School Manager MNSpro Cloud als MDM-Server zuweisen 2. im MDM von MNSpro Cloud ein Registrierungsprofil vergeben.

s

Windows

Um Geräte in das Mobile Device Management von MNSpro Cloud einzubinden, werden zwei Verfahren bereitgestellt. Voraussetzung für beide Verfahren ist, dass Windows mit einer Pro oder Education-Version auf den Geräten installiert ist. Windows 10/11 Home wird nicht unterstützt.

Autopilot: Bei der Registrierung von Windows-Geräten über das sog. Autopilot-Programm werden die Informationen der aufzunehmenden Geräte vorab in einer Liste gesammelt und im Anschluss per Mail an den Support (support@aixconcept.de) mit der Angabe des gewünschten Registrierungsprofils zur Geräteregistrierung gesendet.
Bereitstellungspaketen: (engl.: Provisioning Packages, kurz PPKG) angefragt werden. Hierbei handelt es sich um Konfigurationsdateien, welche auf einen USB-Stick kopiert werden können und mit denen dann sowohl Neugeräte als auch Bestandsgeräte mit bereits laufendem Windows 10 oder 11 registriert werden können.

Autopilot

Bei der Registrierung von Windows-Geräten über das sog. Autopilot-Programm werden die Informationen der aufzunehmenden Geräte vorab in einer Liste gesammelt und im Anschluss per Mail an den Support (support@aixconcept.de) zur Geräteregistrierung gesendet. Für das Zusammentragen der benötigten Informationen stehen mehrere Möglichkeiten zur Verfügung:

Sammlung der Seriennummer, des Herstellers sowie des Modelltyps
Auslesen der Informationen über den Hardware-Hash-Wert

Nachdem die Informationen über die Geräte gesammelt wurden, können diese an uns versendet werden.

Option 1: Sammlung der Seriennummer, des Herstellers sowie des Modelltyps

Bei der ersten Möglichkeit der Geräteidentifikation müssen die folgenden drei Angaben gemacht werden:

Seriennummer
Systemhersteller
Systemmodell

Alle Angaben befinden sich in der Regel auf den Lieferscheinen / Rechnungen der Geräte, falls diese neu beschafft werden und können hier einfach abgelesen werden.

Liegen diese Dokumente nicht mehr vor, können die Informationen auch an den Geräten selbst abgerufen werden, wie in den folgenden Abschnitten beschrieben wird.

Seriennummer

Die Seriennummer ist meist von außen am Gerät abzulesen und wird etwa mit „Service Tag“, „Serialnumber“ oder „S/N“ gekennzeichnet. Alle Hersteller bieten hier zudem auf ihrer Homepage Hilfestellung, wo die Seriennummer zu finden ist.

Die Seriennummer kann, falls sie nicht von außen auf dem Gerät sichtbar ist, alternativ über die Eingabeaufforderung ausgelesen werden. Die Kommandozeile lässt sich im laufenden Betrieb starten, indem man das Startmenü öffnet und dort „cmd“ eintippt und dies mit ENTER bestätigt:

Nach Eingabe wmic bios get serialnumber wird die Seriennummer ausgegeben:

Systemhersteller und Systemmodell

Den Systemhersteller und das Systemmodell lassen sich am einfachsten über die Systeminformationen abrufen. Dafür öffnet man wieder das Startmenü und gibt „Systeminformationen“ oder „msinfo32“ ein und bestätigt dies mit ENTER:

Im nun geöffneten Fenster finden Sie die gewünschten Informationen unter den Punkten Systemhersteller und Systemmodell:

Die so ermittelten Informationen können dann in einer Tabelle mit den Spaltenüberschrift „Seriennummer“, „Systemhersteller“, „Systemmodell“ sowie optional „Gerätetyp“ übermittelt werden.

In der Spalte „Gerätekonfiguration“ kann mitgeteilt werden, ob die einzubindenden Geräte als 1-zu-1-Lehrer bzw. Schülergeräte oder als geteilte Pool-Geräte, welche von mehreren Benutzern verwendet werden, eingebunden werden sollen.

Die fertige Datei kann dann etwa so aussehen:

Die Anzahl der Geräte pro Datei ist hierbei nicht begrenzt.

Wird die Spalte „Gerätetyp“ hier nicht verwendet, können alternativ auch separate Dateien jeweils für benutzergebundene Schüler- / Lehrergeräte oder Poolgeräte angelegt werden und uns die Information hierzu dann beim Upload der Daten, wie im Abschnitt „Hochladen der Gerätelisten“ beschrieben, mitgeteilt werden.

Option 2: Auslesen der Informationen über den Hardware-Hash-Wert

Eine andere Möglichkeit, die zu registrierenden Geräte für den anschließenden Geräteimport in das Autopilot-Programm zu erfassen, ist das Auslesen des sog. Hardware-Hash-Werts. Hierbei handelt es sich um einen für jedes Gerät eindeutigen Wert, mit welchem das Gerät eindeutig identifiziert und registriert werden kann.

Hierfür finden Sie unter folgendem Link zwei Dateien in einem Zip-Archiv zum Download: . Nach Entpacken den Archivs können Sie beiden Dateien direkt auf einen USB-Stick kopieren und diesen anschließend in das aufzunehmende Gerät einstecken. Öffnen Sie dann eine administrative Eingabeaufforderung und navigieren Sie in das Verzeichnis, in welchem die beiden entpackten Dateien liegen. Führen Sie nun die Datei start.cmd einmalig aus.

Dies kann sowohl bei bereits im Einsatz befindlichen Geräten im laufenden Windows-Betrieb als auch bei noch nicht installierten Neugeräten im sog. OOBE-Modus (Out Of Box Experience) durchgeführt werden. Beide Varianten werden hier aufgezeigt.

Nachdem die administrative Eingabeaufforderung gestartet wurde, ist das Vorgehen das gleiche.

Variante 1: Starten der Eingabeaufforderung bei bereits installiertem Windows

Melden Sie sich mit einem Administratorkonto in Windows an, rufen Sie das Startmenü auf und geben Sie „cmd“ ein, wählen Sie dann „Als Administrator ausführen“ aus:

Unter Umständen müssen Sie im Anschluss einmalig bestätigen, dass Sie das Programm mit erhöhten Rechten starten möchten.

Nachdem die administrative Eingabeaufforderung gestartet wurde, fahren Sie wie im Abschnitt „Sammeln des Hardware-Hashs mittels Skript“ beschrieben fort.

Variante 2: Starten der Eingabeaufforderung aus dem OOBE-Screen bei noch nicht installierten Neugeräten

Bei noch originalverpackten, zurückgesetzten oder frisch neuinstallierten Geräten kann die Eingabeaufforderung auch direkt nach dem ersten Hochfahren aufgerufen werden. Die Windows-Installation muss also nicht durchlaufen werden, um den Hardwarehash auszulesen. Man startet direkt im ersten Bildschirm des OOBE-Modus, der Regionsauswahl:

Hier verwenden sie die Tastenkombination SHIFT + F10 bzw. UMSCHALTEN + F10, um die Eingabeaufforderung zu öffnen:

Hinweis: Bei manchen Notebookmodellen muss evtl. zusätzlich die Funktionstaste (FN) gedrückt gehalten werden, damit die F10-Taste aktiviert wird.

Sammeln des Hardware-Hashs mittels Skript

Haben Sie die Eingabeaufforderung als Administrator gestartet, wechseln Sie nun zunächst auf das Verzeichnis des eingesteckten USB-Sticks, indem Sie den Laufwerkbuchstaben des Sticks gefolgt von einem Doppelpunkt eintippen. Wenn Sie sich unsicher sein sollten, welchen Laufwerkbuchstaben der USB-Stick hat, können Sie dies im Windows Explorer nachsehen.

In der Regel wird der Stick als Laufwerk D: eingebunden:

In der neuen Zeile führen Sie nun den Befehl start.cmd aus. Hiermit wird automatisch der Hardware-Hash-Wert des Geräts abgerufen und in einer Datei „Hashwerte.csv“ auf dem USB-Stick gespeichert:

Im Anschluss können Sie den Stick in das nächste zu registrierende Gerät stecken und dort wieder auf dem selben Weg den Hashwert auslesen: Für jedes ausgelesene Gerät wird in der Datei Hashwerte.csv eine neue Zeile angelegt. Eine manuelle Bearbeitung der Datei ist nicht mehr notwendig.

Haben Sie die Hashwerte aller gewünschten Geräte ausgelesen, können Sie uns die Datei Hashwerte.csv über die Kachel „Autopilot Upload“ zukommen lassen.

Variante 3: Aktuelles Skript über Powershell beziehen und Hashwert erzeugen.

Voraussetzung bei dieser Variante ist ein funktionierender Internetzugang.
Starten Sie die Powershell als Administrator
Führen Sie folgenden Befehl aus: "Install-Script -Name Get-WindowsAutoPilotInfo"
Wenn Ihre Powershell noch nicht konfiguriert ist, werden Sie mit folgenden Fragen konfrontiert: (Beantworten Sie alle mit Ja oder J)
Nach der Installation wird unter "C:\Program Files\WindowsPowerShell\Scripts" ein Skript namens "Get-WindowsAutoPilotInfo.ps1" abgelegt.
Erlauben Sie das Ausführen von Skripten mittels des Befehls "Set-ExecutionPolicy -ExecutionPolicy Bypass" und bestätigen Sie dies mit J (Ja)
Führen Sie folgenden Befehl aus und passen Sie vorher ggf. den Pfad und Namen der Datei an : "Get-WindowsAutoPilotInfo -Outputfile C:\Hashwertexport.csv"
Senden Sie uns anschließend die Datei.

Senden Sie uns anschließend eine Mail an und übermitteln Sie die erstellte Datei.

Als Beispiel kann eine solche Datei wie folgt aussehen:

Wir werden Sie benachrichtigen, wenn den Geräten das gewünschte Installationsprofil zugewiesen wurde. Nachdem Sie diese Benachrichtigung erhalten haben, können die Geräte, wie in den Anleitung beschrieben, in Betrieb genommen werden.

Bereitstellungspaket

Für die Neueinbindung von Windowsgeräten in die mobile Geräteverwaltung von MNSpro Cloud können sog. Bereitstellungspakete (engl.: Provisioning Packages, kurz PPKG) per Mail angefragt oder selbst erstellt werden.

Hierbei handelt es sich um Konfigurationsdateien, welche auf einen USB-Stick kopiert werden können und mit denen dann sowohl Neugeräte als auch Bestandsgeräte mit bereits laufendem Windows registriert werden können.

Anfrage der Bereitstellungspakete
Erstellung der Bereitstellungspakete

Anfrage der Bereitstellungspakete

Schicken Sie uns eine Mail an support@aixconcept.de mit folgenden Informationen:

Gerätetyp: Poolgeräte (Mehrere Benutzer), 1zu1 Lehrergerät, 1zu1 Schülergerät

Windows-Version: Geben Sie hier an, welche Windows-Installation auf den Geräten installiert ist. Wir empfehlen generell immer die aktuellste Windows-Version. Wichtig: Ist eine ältere Version als 2004 installiert, müssen die Pakete anders erstellt werden, daher darf dieser Punkt nicht ausgelassen werden.

Netzwerk: Werden die Geräte während der Inbetriebnahme per Kabel mit dem Internet verbunden oder per WLAN?

Falls die Geräte zum Zeitpunkt der Aufnahme mit einem WLAN verbunden werden, benötigen wir noch folgende Informationen:

SSID (WLAN-Netzwerkname)
Verstecktes-WLAN?: Ja/ Nein
Passwort

Bei der SSID: Beachten Sie bitte hier auf Groß und Kleinschreibung Beim Passwort: Es werden für die Geräteaufnahme ausschließlich WPA2-PSK-Netze unterstützt!

Es werden für die Geräteaufnahme ausschließlich WPA2-PSK-Netze unterstützt!

Das Bereitstellungspaket wird von unserem Support erstellt und Ihnen dann per Mail zugeschickt.

Erstellung der Bereitstellungspakete

1. Installation des Tools „Windows Configuration Designer“

Windows Configuration Designer aus dem Windows Store herunterladen und installieren.

Starten Sie es im Anschluss und erstellen ein neues Projekt in dem Sie auf "Provision desktop devices" gehen. Geben Sie dem Projekt einen Namen für spätere Unterscheidungen ob LAN / WLAN etc..

2. Set up Device (Befüllen mit Daten)

Im ersten Schritt muss der zu verwendende Gerätenamen konfiguriert werden. Da die Geräte automatisch in die dynamischen Gerätegruppen aufgenommen werden sollen, müsste folgende Namenskonvention eingehalten werden, außer unser Standard wurde angepasst:

Lehrergeräte: LEH-%SERIAL%

Schülergeräte: SCH-%SERIAL%

Poolgeräte: Pool-%SERIAL%

Sollte das o.g. Fenster nicht zu sehen sein, sondern eher das folgende:

Dann muss bitte eine GPO Einstellung deaktiviert werden.

Lokalen Gruppenrichtlinien öffnen

Windows + R und geben gpedit.msc ein.

Sicherheitszone deaktivieren

Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Internet Explorer: "Sicherheitszonen: Nur Computereinstellungen verwenden "Sicherheitszonen: Nur Computereinstellungen verwenden" auf deaktiviert.

ACHTUNG

Bei bereits deaktivierter Einstellung -> schließen Sie den Designer -> ändern Sie es auf "Nicht konfiguriert" -> Starten Sie den Designer und öffnen das Projekt -> Schließen Sie den Designer erneut -> ändern die Einstellung wieder auf "deaktiviert" -> Öffnen Sie den Designer erneut.

Wenn Sie das erste mal Bereitstellungspakete verwenden, achten Sie darauf, dass in den entsprechenden Dynamischen Mitgliedschaftsregeln folgende Regelsyntax enthalten ist:

Gerätegruppe -> in Intune / Entra -> Gruppen -> z.B. W10_Lehrergeraete -> Dynamische Mitgliedschaftsregeln -> Regel konfigurieren -> bearbeiten
(device.displayName -startsWith "LEH-")

Im zweiten Schritt müssen die WLAN-Zugangsdaten für die Netzwerkverbindung der Geräte eingegeben werden. Hierbei handelt es sich um die Zugangsdaten des WLANs, welches während der Installation zur Verfügung steht. Normalerweise ist der Netzwerktyp „WPA2-Personal“.

Bekannte WLAN-Daten

3. Account Management

An dieser Stelle muss sich mit einem entsprechendem Tenant Admin angemeldet werden, um das Paket zu berechtigen.

Anmeldung mit Tenant Admin

Es ist wichtig drauf zu achten, dass diese Punkte genauso ausgeführt werden, da sonst das Gerät der Organisation hinzugefügt wird und die Erstellung weiterer Pakete erschwert wird! Wählen Sie nur bei dieser App anmelden.

4. Abschluss der Einrichtung

Die .ppkg-Datei extrahieren und auf das entsprechende Speichermedium übertragen.

5. Angabe eines versteckten WLANs (optional)

Wenn Sie in den erweiterten Modus wechseln, können Sie in diesem Projekt nicht mehr in den einfachen Modus wechseln.

Falls ein verstecktes WLAN zur Installation der Geräte verwendet werden soll, so muss NACH Konfiguration der übrigen Schritte, unten Links "Switch to advanced editor" ausgewählt werden, um den Flag „HiddenNetwork“ auf TRUE zu setzen. Dies ist nicht notwendig, wenn ein sichtbares Netzwerk verwendet wird. Wurde noch keine SSID angelegt, so tragen Sie die SSID unter WLANSetting ein und fügen es hinzu. Links im Baum unter WLANSetting erhalten Sie im Anschluss das WLAN, wo Sie die unten zu sehenden Konfigurationen vornehmen können.

Dann auf "File"-> "Speichern". Anschließend auf Export->Provisioning package-> Mit Standardeinstellung alles weiter machen

Die .ppkg-Datei extrahieren und auf das entsprechende Speichermedium übertragen.

Android

Für die manuelle Aufnahme von Samsung-Android Geräten in Samsung Knox, benötigen Sie ein weiteres Android-Endgerät mit der .

Das Handy oder Tablet muss zwingend ein Samsung Gerät sein.

Installieren Sie bitte die App aus dem Google Play Store.
Führen Sie eine Anmeldung mit dem zuvor erstelltem Samsung Knox Konto durch.
Nach der Anmeldung wählen Sie den entsprechenden Knox Dienst aus.
1. Knox Mobile Enrollment auswählen
2. Sie erhalten eine Liste der Samsung Knox Profile. Wählen das entsprechende Profile.
3. Entscheiden Sie sich für einen Bereitstellungsmodus.
  1. Hier Bluetooth.
  2. Bluetooth für 30 Minuten einschalten. Bitte "Automatisch akzeptieren" auswählen
  3. Anschließend wählen Sie in der Übersicht "Bereitstellung starten"
  4. Am dem Gerät, das aufgenommen werden soll, bitte Bluetooth einschalten.
  5. Rufen Sie für das Gerät, das aufgenommen werden soll, folgende Webseite auf:
    Folgenden Sie den Anweisungen
  6. Zum Schluss muss auf beiden Geräten die Kopplung zugestimmt

Apple Configurator

Wichtige Informationen und Voraussetzung für die manuelle Registrierung von iOS-Endgeräte in den Apple School Manager:

Sie benötigen,

ein iPhone (mind. iOS 16) oder ein Mac-Computer mit Apple Chips oder mit einem Apple T2-Sicherheitschip
einen Administrativen Account im (künftig ASM genannt)
eine Registrierungs-URL, diese erhalten auf Anfrage an:
die Apple Configurator-App ( / )

Werden Geräte manuell im ASM registriert, so gibt es eine Übergangsfrist von 30 Tagen, in welcher die Geräte noch manuell aus der entfernten Verwaltung entfernt und freigegeben werden können.

Dies ist zu beachten, wenn die Geräte direkt an SuS ausgegeben werden sollen.

Beim Vorbereiten der Geräte werden diese vollständig zurückgesetzt, so dass alle Daten auf den Geräten gelöscht werden.

Registrierung via iPhone

Voraussetzung:

iOS 16 muss auf beiden Geräte installiert sein
Das iPad, das hinzugefügt werden soll, befindet sich in Werkseinstellungen
Auf dem iPhone ist die installiert und Sie sind mit ihrem Administrativen Account aus dem ASM angemeldet

Beginnen Sie die Einrichtung mit Druck auf die Home-Taste, wählen sie die Sprache und Region aus:
Wählen Sie im Fenster „Schnellstart“ den Punkt „Manuelle Konfiguration“ aus
Öffnen Sie die Apple Configurator App auf dem iPhone und halten Sie das Gerät über das iPad, der Prozess wird gestartet, das iPad verbindet sich mit dem WLAN welches am iPhone eingerichtet ist.
Im ASM müssen die nun registrierten Geräte noch dem endgültigen MDM-Server zugewiesen werden. Hierfür können alle dem Apple Configurator 2 zugewiesenen Geräte ausgewählt und dem bereits angelegten MDM-Server übertragen werden.
Die restliche Verwaltung erfolgt, jetzt über den Support: Hierzu muss genannt werden, welches Gerät, welches Profil (Schueler-, Lehrer-, Poolgeräte) erhalten soll.

Registrierung via Mac

Inhalt

2.1.

2.2.

2.3.

2.5.

Allgemeiner Vorgang

Zur Verwaltung von iOS-Endgeräten über MNSpro Cloud müssen diese zunächst im (künftig ASM) registriert werden. Hierzu wird das Tool genutzt.

Nachdem die Geräte im ASM registriert wurden, können diese dem MDM-Server zugewiesen und künftig über diesen verwaltet werden.

Abschließend müssen Sie uns die Geräte mit der Zuordnung melden, damit dies im MDM-System hinterlegt werden.

Apple School Manager

WLAN-Profil anlegen

Für die Einbindung der Geräte wird ein WLAN-Profil benötigt.

Ein neues Profil kann über Ablage -> Neues Profil erstellt werden. Wichtig sind nur zwei zu konfigurierende Abschnitte:

Allgemein -> Hier muss nur der Name des Profils zur späteren Unterscheidung angegeben werden, der Rest kann auf den Standardeinstellungen belassen werden.
WLAN -> Hier können alle benötigten Angaben zur Verbindung mit dem Netzwerk eingetragen werden. Als Beispiel für ein häufig verwendetes WPA2-PSK-Netz wären dies etwa die SSID (WICHTIG: Groß-Kleinschreibung beachten), der Sicherheitstyp sowie das Passwort.

Nachdem alle diese Einstellungen getroffen wurden, muss man sich noch einmal mit dem Benutzerkonto des jeweiligen MacOS-Endgeräts authentifizieren:

Erstellung und Vorbereitung eines Entwurfs

Ein neuer Entwurf kann über Ablage -> Neuer Entwurf erstellt werden.

CTRL+Klick auf den Entwurf: Unter dem Punkt „Vorbereiten“ werden alle relevanten Daten für die Registrierung der Endgeräte im jeweiligen ASM voreingestellt.

„Zu Apple School Manager hinzufügen“ Es werden keine weiteren Optionen benötigt
An dieser Stelle wird nun ein neuer MDM-Server eingerichtet. Die Registrierungs-URL kann über den Support angefragt werden.
In diesem Schritt werden einfach die drei Standardzertifikate mit „Weiter“ bestätigt.
Im nächsten Schritt erfolgt die Anmeldung am ASM. Hierfür „Neue Organisation“ auswählen, im nächsten Schritt die Daten eines ASM-Administrators eingeben und schließlich „Neue Betreuungsidentität erstellen auswählen.
In diesem Schritt kann einfach „Keinen dieser Schritte anzeigen“ ausgewählt werden. Die Optionen hier sind nicht von Relevanz, da die registrierten Geräte später über die MDM-Lösung zugewiesen und darüber konfiguriert werden.
Hier müssen nun, das erstellte WLAN-Profil auswählen.

Anwenden des vorbereiteten Entwurfs

Mit den aus Abschnitt "" bereitgestellten Entwürfen können die Geräte nun mit wenigen Klicks im ASM der jeweiligen Schulen registriert werden.
Um die iOS-Geräte nun einzubinden, werden diese per USB an das MacOS-Gerät, auf welchem Apple Configurator 2 ausgeführt wird, angeschlossen. Die Geräte werden ausgewählt und über den Reiter „Entwürfe“ kann direkt der gewünschte Entwurf auf den Geräten angewendet werden.
Es müssen nur noch die angezeigten Meldungen bestätigt werden, sofern diese angezeigt werden
Die iOS-Geräte werden während dieses Vorgangs vollständig zurückgesetzt.
Nach dem Neustart sind sie im ASM der jeweiligen Schule registriert und noch „Apple Configurator 2“ als MDM-Server zugewiesen, auf den Geräten wird nun der normale Willkommensbildschirm angezeigt.

Bevor die Geräte in Betrieb genommen werden können, müssen mit den eingebuchten Geräte noch zwei Schritte durchgeführt werden:

1. In Apple School Manager MNSpro Cloud als MDM-Server zuweisen 2. im MDM von MNSpro Cloud ein Registrierungsprofil vergeben.

Siehe hierzu:

s

Autopilot

Sammlung der Seriennummer, des Herstellers sowie des Modelltyps
Auslesen der Informationen über den Hardware-Hash-Wert

Nachdem die Informationen über die Geräte gesammelt wurden, können diese an uns versendet werden.

Option 1: Sammlung der Seriennummer, des Herstellers sowie des Modelltyps

Bei der ersten Möglichkeit der Geräteidentifikation müssen die folgenden drei Angaben gemacht werden:

Seriennummer
Systemhersteller
Systemmodell

Alle Angaben befinden sich in der Regel auf den Lieferscheinen / Rechnungen der Geräte, falls diese neu beschafft werden und können hier einfach abgelesen werden.

Liegen diese Dokumente nicht mehr vor, können die Informationen auch an den Geräten selbst abgerufen werden, wie in den folgenden Abschnitten beschrieben wird.

Seriennummer

Nach Eingabe wmic bios get serialnumber wird die Seriennummer ausgegeben:

Systemhersteller und Systemmodell

Im nun geöffneten Fenster finden Sie die gewünschten Informationen unter den Punkten Systemhersteller und Systemmodell:

Die fertige Datei kann dann etwa so aussehen:

Die Anzahl der Geräte pro Datei ist hierbei nicht begrenzt.

Option 2: Auslesen der Informationen über den Hardware-Hash-Wert

Nachdem die administrative Eingabeaufforderung gestartet wurde, ist das Vorgehen das gleiche.

Variante 1: Starten der Eingabeaufforderung bei bereits installiertem Windows

Melden Sie sich mit einem Administratorkonto in Windows an, rufen Sie das Startmenü auf und geben Sie „cmd“ ein, wählen Sie dann „Als Administrator ausführen“ aus:

Unter Umständen müssen Sie im Anschluss einmalig bestätigen, dass Sie das Programm mit erhöhten Rechten starten möchten.

Nachdem die administrative Eingabeaufforderung gestartet wurde, fahren Sie wie im Abschnitt „Sammeln des Hardware-Hashs mittels Skript“ beschrieben fort.

Variante 2: Starten der Eingabeaufforderung aus dem OOBE-Screen bei noch nicht installierten Neugeräten

Hier verwenden sie die Tastenkombination SHIFT + F10 bzw. UMSCHALTEN + F10, um die Eingabeaufforderung zu öffnen:

Hinweis: Bei manchen Notebookmodellen muss evtl. zusätzlich die Funktionstaste (FN) gedrückt gehalten werden, damit die F10-Taste aktiviert wird.

Sammeln des Hardware-Hashs mittels Skript

In der Regel wird der Stick als Laufwerk D: eingebunden:

Haben Sie die Hashwerte aller gewünschten Geräte ausgelesen, können Sie uns die Datei Hashwerte.csv über die Kachel „Autopilot Upload“ zukommen lassen.

Variante 3: Aktuelles Skript über Powershell beziehen und Hashwert erzeugen.

Voraussetzung bei dieser Variante ist ein funktionierender Internetzugang.
Starten Sie die Powershell als Administrator
Führen Sie folgenden Befehl aus: "Install-Script -Name Get-WindowsAutoPilotInfo"
Wenn Ihre Powershell noch nicht konfiguriert ist, werden Sie mit folgenden Fragen konfrontiert: (Beantworten Sie alle mit Ja oder J)
Nach der Installation wird unter "C:\Program Files\WindowsPowerShell\Scripts" ein Skript namens "Get-WindowsAutoPilotInfo.ps1" abgelegt.
Erlauben Sie das Ausführen von Skripten mittels des Befehls "Set-ExecutionPolicy -ExecutionPolicy Bypass" und bestätigen Sie dies mit J (Ja)
Führen Sie folgenden Befehl aus und passen Sie vorher ggf. den Pfad und Namen der Datei an : "Get-WindowsAutoPilotInfo -Outputfile C:\Hashwertexport.csv"
Senden Sie uns anschließend die Datei.

Senden Sie uns anschließend eine Mail an und übermitteln Sie die erstellte Datei.

Als Beispiel kann eine solche Datei wie folgt aussehen:

Bereitstellungspaket

Anfrage der Bereitstellungspakete
Erstellung der Bereitstellungspakete

Anfrage der Bereitstellungspakete

Schicken Sie uns eine Mail an support@aixconcept.de mit folgenden Informationen:

Gerätetyp: Poolgeräte (Mehrere Benutzer), 1zu1 Lehrergerät, 1zu1 Schülergerät

Netzwerk: Werden die Geräte während der Inbetriebnahme per Kabel mit dem Internet verbunden oder per WLAN?

Falls die Geräte zum Zeitpunkt der Aufnahme mit einem WLAN verbunden werden, benötigen wir noch folgende Informationen:

SSID (WLAN-Netzwerkname)
Verstecktes-WLAN?: Ja/ Nein
Passwort

Bei der SSID: Beachten Sie bitte hier auf Groß und Kleinschreibung Beim Passwort: Es werden für die Geräteaufnahme ausschließlich WPA2-PSK-Netze unterstützt!

Es werden für die Geräteaufnahme ausschließlich WPA2-PSK-Netze unterstützt!

Das Bereitstellungspaket wird von unserem Support erstellt und Ihnen dann per Mail zugeschickt.

Erstellung der Bereitstellungspakete

1. Installation des Tools „Windows Configuration Designer“

Windows Configuration Designer aus dem Windows Store herunterladen und installieren.

Starten Sie es im Anschluss und erstellen ein neues Projekt in dem Sie auf "Provision desktop devices" gehen. Geben Sie dem Projekt einen Namen für spätere Unterscheidungen ob LAN / WLAN etc..

2. Set up Device (Befüllen mit Daten)

Lehrergeräte: LEH-%SERIAL%

Schülergeräte: SCH-%SERIAL%

Poolgeräte: Pool-%SERIAL%

Sollte das o.g. Fenster nicht zu sehen sein, sondern eher das folgende:

Dann muss bitte eine GPO Einstellung deaktiviert werden.

Lokalen Gruppenrichtlinien öffnen

Windows + R und geben gpedit.msc ein.

Sicherheitszone deaktivieren

ACHTUNG

Wenn Sie das erste mal Bereitstellungspakete verwenden, achten Sie darauf, dass in den entsprechenden Dynamischen Mitgliedschaftsregeln folgende Regelsyntax enthalten ist:

Gerätegruppe -> in Intune / Entra -> Gruppen -> z.B. W10_Lehrergeraete -> Dynamische Mitgliedschaftsregeln -> Regel konfigurieren -> bearbeiten
(device.displayName -startsWith "LEH-")

Bekannte WLAN-Daten

3. Account Management

An dieser Stelle muss sich mit einem entsprechendem Tenant Admin angemeldet werden, um das Paket zu berechtigen.

Anmeldung mit Tenant Admin

4. Abschluss der Einrichtung

Die .ppkg-Datei extrahieren und auf das entsprechende Speichermedium übertragen.

5. Angabe eines versteckten WLANs (optional)

Wenn Sie in den erweiterten Modus wechseln, können Sie in diesem Projekt nicht mehr in den einfachen Modus wechseln.

Dann auf "File"-> "Speichern". Anschließend auf Export->Provisioning package-> Mit Standardeinstellung alles weiter machen

Die .ppkg-Datei extrahieren und auf das entsprechende Speichermedium übertragen.