Kombination von Apple-Geräten und linuxmuster.net via WiFi

… in diesem Zusammenhang fände ich interessant zu erfahren, wie diejenigen von Euch, die Apple-Geräte in der Schule einsetzen, das umgesetzt haben? WPA2-Enterprise oder WPA2-PSK?

Wenn die Geräte per MDM verwaltet werden, müsste man das WLAN ja vorgeben können – doch wie läuft das, wenn es ein Enterprise/freeRadius-Zugang ist? In diesem Fall ist ja ein automatisches Verbinden beim ersten Einschalten nicht möglich, oder?

Ok – ist vielleicht doch etwas OT …
Bis später,
Michael

Stimmt, also rüber in einen neuen Thread! :wink:

Hallo Michael,

Beim ersten Einschalten ist nie ein automatisches Verbinden möglich, denn man muss es ja erstmal mit dem WLAN/Internet verbinden, damit er die Info vom MDM bekommen kann, oder verstehe ich deine Frage jetzt falsch? :thinking:

Wir haben das so, dass wir ein personalisiertes WPA-Enterprise netz haben und ein WPA-PSK für schuleigene Geräte.

D.h. die Klassensätze mit iPads in der Schule für den spontanen Einsatz werden von uns beim Einschalten manuell mit dem WPA-Netz verbunden, bei den iPad-Klassen geben die Schüler ihre eigenen Zugangsdaten ein und sind dann mit dem Radius-Netz (=Enterprise) verbunden.

Grüße
Alex

Hi

Ich bin nicht ganz sicher (da wir in Sachen MDM noch ziemlich am Anfang stehen), aber ich dachte, dass Geräte, die sofort per DEP vom Reseller erfasst wurden, sich schon sofort beim ersten Start mit dem richtigen MDM und der richtigen Richtlinie inklusive WLAN verbinden können??? Ich hatte es bisher so abgespeichert, dass da nur sehr wenige bis gar keine „manuelle“ Arbeitsschritte zuvor notwendig sind?
Oder ist das so nicht richtig ?

Und wenn es stimmt: wie ist das denn dann, wenn im MDM Standard-Profil ein Enterprise WPA2 hinterlegt ist?

Viele Grüße
Michael

Hallo Michael,

die Info ist leider falsch. Prinzipiell läuft das bei Apple-Geräten so ab, dass beim ersten Einschalten eine Internetverbindung zwingend nötig ist. Denn woher soll das Gerät sonst wissen, mit welchem MDM-Server es sich verbinden soll?

Da wird dann immer eine Verbindung zum Apple-Server aufgebaut. Dieser überprüft, ob das Gerät mit der Seriennummer bereits auf eine Apple-ID registriert ist, falls ja, müssen die Zugangsdaten zu dieser AppleID eingegeben werden. Das ist im privaten Umfeld ein recht sicherer Diebstahlschutz, ein Dieb könnte das Gerät zwar zurücksetzen, aber danach nicht mehr in Betrieb nehmen.

Bei privaten Geräten geschiet diese Verknüpfung zwischen Seriennummer und Apple-ID nach dem Einschalten, wenn man sich mit einer Apple-ID am Gerät anmeldet.
Im Fall von DEP-Geräten wird auf den Apple-Servern eben diese Verknüpfung zu eurem Schul-Account (AppleSchoolManager ASM) bereits beim Kauf hinterlegt und nicht erst nach dem Einschalten.

Beim Einschalten eines solchen DEP-Gerätes muss aber trotzdem WLAN eingegeben werden, damit die Verbindung zu den Apple-Servern hergestellt werden kann. Außerdem wird hier noch abgefragt, zu welchem MDM-Server im ASM das Gerät zugeordnet wurde (es können dort ja auch mehrere MDM-Server hinterlegt werden!). Das Gerät baut anschließend zu diesem MDM-Server eine Verbindung auf und holt sich die Konfiguration und wird dann nach den Vorgaben im MDM eingerichtet.

Also: man muss auf jeden Fall das WLAN manuell eingeben!

Was man aber machen kann, wenn man z.B. iPad-Klassen oder Lehrer-Dienstgeräte hat: Man kann diese Geräte originalverpackt den Schülern/Lehrern mitgeben und diese packen das iPad dann zu Hause aus und verbinden das mit dem WLAN. Dann wird vollautomatisch eben die Konfiguration vom MDM übernommen.

Für Geräte in der Schule muss man sich aber (auch leider nach jedem Zurücksetzen…) manuell durch den Einrichtungsassistent tippen. Wobei man da lediglich Sprache/Region und WLAN einstellen muss, danach passiert der Rest automatisch.

Viele Grüße
Alex

Hallo zusammen,

unsere iPads werden direkt im Koffer per „Zero-Touch-Provisionierung“ zurückgesetzt. Das WLAN Profil mit WPA-PSK wird dann automatisch aufgespielt.

Eine Anleitung findet sich hier auf Seite 51 - Kapitel 13.

https://kreismedienzentrum-rmk.de/wp-content/uploads/2021/06/Doku-jamf-SCHOOL_20210610.pdf#page57

Ein alter iMac von 2010 oder so leistet dabei gute Dienste.

Viele Grüße

Hmm, irgendwie sind das jetzt widersprüchliche Statements, oder??

Wir haben Relution und nicht jamf. Kann es damit auch gehen?

Hallo,

… oder man hat bei dem ersten Einschalten ein offenes WLAN mit Namen
Apple Store
… so wie wir.
Kommen neue Geräte, dann sagt mir unser Applemensch bescheid und ich schalte das WLAN für den Rest des Tages in seinem Zimmer an… fertig.
Die „normalen“ WLAN Daten sind im Profil auf dem MDM hinterlegt.

LG

Holger

Hallo zusammen,

naja, nicht wirklich.

stimmt, diese Möglichkeit hatte ich vergessen. Dann bekommen die Geräte die WLAN-Einstellungen halt über das Kabel vom angeschlossenen Mac. Dazu braucht man allerdings eine Ladeinfrastruktur mit einem eingebauten USB-Hub, damit alle iPads an den Mac angeschlossen werden können, und die sind meiner Erfahrung nach recht teuer. Mit dem seit einiger Zeit vorhandenen Gast-Modus auf den iPads ist ein Zurücksetzen auch nur in den seltensten Fällen noch nötig…

Wird damit auch die Spracheinstellung am Anfang übersprungen? Oder muss man die trotzdem durchklicken? Wie sieht es mit der Aufnahme ins MDM auf, also die Meldung „das Gerät wird von xyz fernverwaltet“ → muss das nicht auch manuell weggeklickt werden?
(Wenn das so wäre, dann würde man sich lediglich die Eingabe des WLAN-Passwortes sparen…)

Grüße
Alex

Ach so, alles klar! :+1:

Bei Relution kann man da alles mögliche einstellen, was beim Start übersprungen werden soll… Ob diese Einstellung auch dabei ist, weiß ich aber nicht auswendig…

Da die Sprach- und Regionseinstellungen VOR der Verbindung zu Relution/Jamf gemacht werden müssen, können diese auch nicht übersprungen werden. (Außer natürlich bei der Zero-Touch-Provisionierung)

Grüße

Ich weiß nicht, was man da noch an den Dingern klicken muss … hab ne schlime Apfelallergie: ich faß die Dinger nicht an.

LG

Holger

Ich kann’s verstehen aber meine Allergie wird in letzter Zeit weniger. Wir haben uns Samsung Galaxy S6 Lite Tablets zusammen mit Knox und Relution angesehen und ich muss leider sagen: es ist ein Krampf!! Samsung Knox ist dermaßen kompliziert, dass man das bisher nicht guten Gewissens empfehlen kann :-1:. Die Verwaltung von Apple Geräten ist im Vergleich dazu leider wirklich einfacher… Zudem kann die Relution-App für Apple in Moment weit mehr als unter Android!

Gibt halt keine brauchbare Alternative :man_shrugging: Das Ökosystem Apple ist leider unschlagbar…

Hallo,

wir haben das so gelöst: Die iPads sind in einem eigenen WLAN mit PSK (derzeit in grün, ist aber in diesem Zusammenhang egal). Das Passwort ist im MDM hinterlegt und wird auf die Geräte gepusht…

Für neue Geräte oder für den Fall, dass wir ein Gerät komplett zurücksetzen müssen, haben wir einen Unifi AP im Schrank liegen, für den ein komplett offenes WLAN konfiguriert ist. Man steckt dann diesen AP in irgendeine Dose, sagt dann den iPads, dass sie sich mit diesem WLAN verbinden sollen, und ab da geht alles automatisch.

Das ist für uns praktikabel, man muss nirgends Passwörter eingeben oder so, einmal mit dem WLAN verbinden reicht, den Rest macht das MDM.

Beste Grüße

Jörg

1 Like

Hallo Jörg.

Ist es denn auf Apple-Geräten für die Schüler möglich, dieses Passwort einzusehen? Also das gleiche Szenario wie unter Win10? Falls das geht, ist ja nicht viel gewonnen…

Viele Grüße,
Michael

Hallo Michael,

Nein, das ist nicht möglich, zumindest nicht auf iOS-Geräten.

Bei uns hat das WPA-Passwort allerdings auch bei Schülern die Runde gemacht, stört aber nicht, da wir die Schulgeräte, die sich per WPA-PSK verbinden dürfen in einer Whitelist haben (die stehen ja sowieso in der Host-Liste im Server)

Grüße
Alex

OK, das ist schon mal besser als unter Win10. Die Sache mit der Whitelist ist schön und gut, doch wenn es darum geht, viele neue Geräte in einem Rutsch per MDM ins WLAN aufzunehmen, ist eine Whitelist wieder kontraproduktiv, meine ich?

Hallo Michael,

die Frage ist, wann werden viele neue Geräte aufgenommen? Wenn wir jetzt viele neue Geräte bekommen, dann werden daraus iPad-Klassen gemacht und da melden sich die Schüler dann per WPA-Enterprise an. Und dort braucht’s auch keine Whitelist.

Ansonsten wie schon vorgeschlagen, ein temporäres WLAN, das nur kurz zur Einrichtung der Geräte aktiviert und danach wieder abgeschaltet wird. Ohne Whitelist,…

Grüße
Alex