Veröffentlicht am %s

Eine Win-win-win-Situation

Zukünftig konfiguriert das FAUmac-Team alle Macs zentral, ohne die Geräte dafür in den Händen zu halten. Um Zauberei handelt es sich nicht, sondern um Mobile Device Management und das bietet zahlreiche Vorteile für Nutzende der FAU.

Ein Mann sitzt vor einem Mac und ruft den FAUmac-Self-Service auf. Zu sehen ist nur seine Schulter, die ein schwarzes T-Shirt kleidet und seine Hand mit einer Apple Watch. Neben dem PC liegt eine Schachtel mit AirPods.
Mit dem Self Service können Beschäftigte der FAU viele Installationen leicht selbst machen (Foto: Corinna Russow/RRZE).

„Ich bin dein Mac und ich freue mich, dich im Namen des FAUmac-Teams begrüßen zu dürfen.“ So begrüßen neue Macs ihre Nutzerinnen und Nutzer an der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU). Der Computer weiß, dass man an der FAU arbeitet, und das, obwohl er originalverpackt angeliefert wurde. Der Grund heißt Mobile Device Management, kurz: MDM. Ursprünglich ein Dienst, um Mobile Geräte wie ein iPhone oder iPad zu verwalten.

Heute unterstützt es Arbeitgeber bei der Einrichtung von Arbeitsplätzen. „Eine Firma kann entscheiden, dass der Arbeitsplatz keine Kamera und kein Bluetooth haben soll. Diese Einstellungen schickt sie an das Gerät und das Gerät übernimmt diese Einstellungen“, erklärt Gregor Longariva, Gruppenleiter des FAUmac-Teams am Regionalen Rechenzentrum Erlangen (RRZE). „Im Ersten Schritt werden keine Programme geladen, sondern nur eine Konfigurationsdatei zur Verfügung gestellt. Das Betriebssystem weiß dann, was gemacht werden soll“, ergänzt Dominik Schuppenhauer, Fachinformatiker im FAUmac-Team des RRZE. „Wir können dem System dadurch zum Beispiel sagen, es soll das E-Mail-Programm konfigurieren“, erklärt Longariva.

„Bin ich ein verwaltetes Gerät?“

Doch wie kann das funktionieren, dass ein originalverpackter Rechner bereits die nötigen Informationen hat, um sich mit seiner neuen Umgebung zu verbinden? „Alle Geräte, die wir als FAU über unseren Rahmenvertrag kaufen, sind bei Apple registriert“, erklärt Schuppenhauer. „Die Seriennummer und allgemeine Geräteinformationen des jeweiligen Gerätes werden unserem Portal bei Apple zugeordnet und mit unserem MDM-Server verknüpft.“ Vereinfacht gesagt fragt der Mac dann beim ersten Start: „Bin ich ein verwaltetes Gerät?“ Der Server antwortet: „Ja“ und der Computer erteilt den Auftrag „Konfiguriere mich“. Bisher muss das Mac-Team noch händisch einen Haken setzen, damit die Konfiguration stattfinden kann, doch das wird zukünftig alles automatisch gehen.

Zukünftig heißt, sobald Apple das neue macOS 13 „Ventura“ veröffentlicht hat. Ein Termin dafür steht noch nicht fest. Ab diesem Zeitpunkt werden alle aus dem Rahmenvertrag beschafften Macs der FAU in das MDM aufgenommen. Auch ältere Geräte können – auf Wunsch – aufgenommen werden; bei Macs mit einem Kaufdatum ab Mitte 2019 ist das besonders einfach.

Dass das RRZE die Geräte verwaltet bedeutet aber keinesfalls, dass das Mac-Team Zugriff auf Daten hat. „Der Konfigurationsserver selbst führt am Client keine Aktion durch, deshalb braucht er kaum Informationen“, sagt Schuppenhauer. „Wir wissen zwar grundsätzlich, wem welcher Computer zugeordnet ist, und welche Applikationen installiert sind“, sagt Longariva. „Aber ausschließlich, um dem Mac die Updates zur Verfügung zu stellen. Darauf zugreifen können wir nicht!“

Vorteile für alle durch MDM

Was nun so klingt, als mache das Mac-Team den Nutzenden Vorschriften, schafft allen Beteiligten große Vorteile. Nutzende entscheiden selbst, welche Software sie verwenden und ob sie ein Update heute oder erst in ein paar Tagen machen möchten. Dafür gibt es den FAUmac Self Service, die für die Nutzenden sichtbare Schnittstelle zum MDM. Mit einem Klick sind Programme, Drucker oder Updates schnell installiert. „Das Einzige, was wir vorgeben müssen, sind sicherheitskritische Updates und einige wenige Einstellungen, die die Sicherheit der Geräte betreffen“, sagt Schuppenhauer. Sollten Nutzerinnen oder Nutzer ihren Mac verlieren oder er gestohlen werden, kann das FAUmac-Team diesen in einen „verloren Modus“ versetzen und dann auch bei Bedarf orten lassen. „Wichtig ist aber, dass die Ortung nur dann aktiviert werden kann, wenn der Verloren-Modus aktiv ist. Der Mac ist dann gesperrt und zeigt dann klar an, dass er geortet werden kann“, sagt Longariva. Daneben hat ein potenzieller Dieb durch die vom MDM vorgegebene Verschlüsselung der Daten keinen Zugriff auf diese.

Doch das ist nicht der einzige Vorteil des Systems: „Es erleichtert allen Beteiligten die Arbeit: den Nutzenden, weil sie die meisten Aufgaben wie Softwareinstallation, Updates, Drucker- oder Netzlaufwerkeinrichtung und vieles mehr über den „Self Service“ selbst erledigen können, ohne sich an ein Betreuungszentrum wenden zu müssen. Uns erleichtert es die Arbeit, weil wir bei Support-Anfragen einfacher und gezielter helfen können, und der FAU, weil das Vorgehen uniweit standardisiert ist, man damit Geld spart und die Geräte nach aktuellen Sicherheitsstandards konfiguriert sind.“, erklärt Longariva. Und Schuppenhauer ergänzt: „Es ist sozusagen eine Win-win-win-Situation für alle.“

 

Allgemeine Informationen
Hilfeartikel zu macOS an der FAU
Der FAUmac Self Service
Video – Einblicke in der Management von Apple-Geräten

 

Text: Corinna Russow