# Richtlinien - Apple

# Apple-Richtlinien

 Apple-Richtlinien definieren Verwaltungseinstellungen, die Cerberus Enterprise über MDM auf Apple-Geräte anwendet. Diese Einstellungen werden im Dashboard im Apple-Richtlinien-Editor konfiguriert.

## Bevor Sie beginnen

 Die Geräteverwaltung für Apple erfordert die Konfiguration von Apple Management (APNs). Lesen Sie bei Bedarf die Seite [Apple Management setup (APNs)](https://enterprise.cerberusapp.com/docs/books/benutzerhandbuch/page/apple-management-einrichtung-apns "Apple Management setup (APNs)").

## Apple Policy Editor öffnen

 Öffnen Sie im Dashboard **Policies** und klicken Sie auf **Create new Apple policy**. Um eine bestehende Apple Policy zu bearbeiten, klicken Sie auf die entsprechende Zeile in der Policies-Tabelle.

## Editor-Layout

 Der Apple Policy Editor ist als eine Reihe von erweiterbaren Abschnitten organisiert. Am oberen Seitenrand können Sie jederzeit Folgendes bearbeiten:

- **Name** (erforderlich)
- **Id** (schreibgeschützt)
- **Beschreibung** (optional)

## Policy-Abschnitte

 Die folgenden Abschnitte entsprechen den derzeit im Apple Policy Editor verfügbaren Panels:

- **App-Management**: Konfiguration von appbezogenen Einschränkungen und verwalteten Apps.
- **Passcode-Einstellungen**: Konfiguration von Passcode-Anforderungen und zugehörigen Regeln.
- **Security**: Steuerung von Funktionen wie Auto Unlock und biometrischem Entsperren.
- **iCloud**: Bestimmte iCloud-Dienste erlauben oder untersagen (Backup, Schlüsselbund-Synchronisierung, Private Relay usw.).
- **Multimedia**: Kamera und zugehörige Funktionen erlauben oder untersagen.
- **Cellular**: Steuerung von Mobilfunk-Einstellungen (App-Mobilfunkdaten, eSIM, Tarifänderungen).
- **Networking**: Steuerung von AirDrop/AirPrint/AirPlay und anderen Konnektivitätseinstellungen.
- **Accounts**: Einschränkung der Kontomodifikation und (optional) Konfiguration von Google- und Mail-Konten.

<p class="callout info"> Viele Optionen im Apple Policy Editor enthalten einen Tooltip, der Anforderungen und unterstützte OS-Versionen dokumentiert. </p>

## Speichern, Löschen und zugehörige Geräte

 Verwenden Sie **Save policy**, um Ihre Änderungen zu übernehmen. Die Schaltfläche ist deaktiviert, wenn keine ausstehenden Bearbeitungen vorliegen oder die Lizenz abgelaufen ist.

 Beim Bearbeiten einer bestehenden Policy wird auf der Seite auch die Aktion **Delete policy** angezeigt. Der Editor kann am Ende eine Liste **Associated devices** anzeigen, damit Sie sehen können, wie viele Geräte die Policy derzeit verwenden.

## Nächste Seiten

- Passcode: Konfiguration von Passcode-Anforderungen und zugehörigen Sicherheitsoptionen.
- Restrictions: Definition erlaubter Funktionen und Einschränkungen auf OS-Ebene.
- Apps &amp; Profile: Konfiguration installierter Apps und Konfigurationsprofile.

# Apple-Richtlinie: Sperrcode

 Der Bereich **Sperrcode-Einstellungen** steuert die Anforderungen an den Gerätesperrcode und zugehörige Sicherheitsregeln (zum Beispiel Mindestlänge und Komplexität).

## Optionen

 Im Apple-Richtlinien-Editor werden Sperrcode-Optionen mithilfe einer Kombination aus Schaltern und numerischen Feldern konfiguriert. Viele Felder enthalten Tooltips, die unterstützte OS-Versionen und Anforderungen an die Aufsicht (Supervision) angeben.

### Sperrcode-Schalter

- **ChangeAtNextAuth**: Erzwingt eine Passwortrücksetzung bei der nächsten Authentifizierung des Benutzers.
- **RequireAlphanumericPasscode**: Erfordert mindestens einen Buchstaben und eine Zahl.
- **RequireComplexPasscode**: Erfordert einen „komplexen“ Sperrcode (keine sich wiederholenden oder aufeinanderfolgenden Muster und mindestens ein nicht-alphanumerisches Zeichen).
- **RequirePasscode**: Erfordert einen Sperrcode ohne zusätzliche Anforderungen an Länge oder Qualität. Hinweis: Das Einstellen anderer Sperrcode-Optionen setzt implizit einen Sperrcode voraus.

### Numerische Felder

- **FailedAttemptsResetInMinutes**: Minuten, bevor der Zähler für fehlgeschlagene Versuche zurückgesetzt wird (erfordert MaximumFailedAttempts).
- **MaximumFailedAttempts**: erlaubte fehlgeschlagene Versuche, bevor das Gerät gelöscht/gesperrt wird (Bereich: 2–11).
- **MaximumGracePeriodInMinutes**: wie lange das Gerät ohne Eingabe des Sperrcodes entsperrt bleiben kann (0 = keine).
- **MaximumInactivityInMinutes**: Inaktivitätszeit, bevor das Gerät gesperrt wird (Bereich: 0–15).
- **MaximumPasscodeAgeInDays**: maximales Alter des Sperrcodes vor einer erzwungenen Änderung (Bereich: 0–730).
- **MinimumComplexCharacters**: Mindestanzahl an „komplexen“ Zeichen (Bereich: 0–4).
- **MinimumLength**: Mindestlänge des Sperrcodes (Bereich: 0–16).
- **PasscodeReuseLimit**: Länge des Sperrcode-Verlaufs, um die Wiederverwendung alter Sperrcodes zu verhindern (Bereich: 1–50).

# Apple-Richtlinie: Einschränkungen

 Die Abschnitte „Einschränkungen“ steuern, welche Betriebssystem-Funktionen auf verwalteten Apple-Geräten erlaubt sind. Im Apple-Richtlinien-Editor werden diese Optionen als gruppierte Panels mit mehreren Schaltern angezeigt.

<p class="callout info"> Viele Einschränkungen werden nur auf bestimmten OS-Versionen unterstützt und können eine Aufsicht (Supervision) der Geräte erfordern. Verwenden Sie die Tooltips im Dashboard für verbindliche Anforderungen. </p>

## Sicherheit

- **Automatisches Entsperren erlauben**
- **Fingerabdruck zum Entsperren erlauben**
- **Ändern von Fingerabdruck/Touch ID erlauben**

## iCloud

- **iCloud-Adressbuch erlauben**
- **iCloud-Backup erlauben**
- **iCloud-Lesezeichen erlauben**
- **iCloud-Kalender erlauben**
- **iCloud Schreibtisch und Dokumente erlauben**
- **iCloud-Dokumentensynchronisierung erlauben**
- **iCloud Freeform erlauben**
- **iCloud-Schlüsselbund-Synchronisierung erlauben**
- **iCloud Mail erlauben**
- **iCloud-Notizen erlauben**
- **iCloud-Fotobibliothek erlauben**
- **iCloud Private Relay erlauben**
- **iCloud-Erinnerungen erlauben**

## Multimedia

- **Kamera erlauben**
- **Ändern der Freigabeoptionen erlauben**
- **Zugriff auf USB-Laufwerke über die Dateien-App erlauben**

## Mobilfunk

- **Ändern der mobilen Daten pro App erlauben**
- **Ändern des Mobilfunktarifs erlauben**
- **Ändern der eSIM-Einstellungen erlauben**
- **Ausgehende eSIM-Transfers erlauben**

## Netzwerk

- **AirDrop erlauben**
- **Eingehende AirPlay-Anfragen erlauben**
- **AirPrint erlauben**
- **Speichern von AirPrint-Anmeldedaten erlauben**
- **AirPrint iBeacon-Entdeckung erlauben**
- **Ändern der Bluetooth-Einstellungen erlauben**
- **Ändern der Bluetooth-Freigabe erlauben**
- **Zugriff auf Netzlaufwerke über die Dateien-App erlauben**
- **Ändern der Internetfreigabe erlauben**

## Konten (Einschränkung)

 Das Panel „Konten“ enthält sowohl eine Einschränkung als auch (optional) die Kontokonfiguration. Der Schalter für die Einschränkung steuert, ob der Benutzer Systemkonten ändern kann.

- **Ändern von Konten erlauben**

# Apple-Richtlinie: Apps & Profile

 Dieser Abschnitt dokumentiert, wie verwaltete Anwendungen und Account-Payloads für Apple-Geräte konfiguriert werden.

## App-Verwaltung

 Das **App-Verwaltung**-Panel enthält sowohl allgemeine appbezogene Einschränkungen als auch eine Liste der verwalteten Apps.

### Allgemeine App-Einschränkungen

- **App Clips erlauben**
- **App-Installation erlauben**
- **App-Entfernung erlauben**
- **Automatische App-Downloads erlauben**
- **Ausblenden von Apps erlauben**
- **Sperren von Apps erlauben**
- **In-App-Käufe erlauben**

### Verwaltete Apps

 Verwenden Sie **Anwendung hinzufügen**, um eine App zur Richtlinie hinzuzufügen. Jede verwaltete App wird als Karte angezeigt. Sie können die Karte erweitern, um ihre Einstellungen zu bearbeiten, oder die App über die Löschaktion entfernen.

- **App Store ID**: die App Store-Kennung der verwalteten App.
- **Bundle ID**: die App-Bundle-Kennung.
- **Installationsverhalten**: steuert, ob die App installiert bleiben muss oder vom Benutzer installiert/entfernt werden kann.
- **Zuweisung**: Typ der Lizenzzuweisung.
- **VPP-Lizenz**: VPP-Lizenztyp, der für die Installation über den App Store verwendet wird.

## Konten

 Das **Konten**-Panel ermöglicht es Ihnen, Konten zu konfigurieren, die auf verwaltete Geräte angewendet werden. Es enthält außerdem einen Schalter für Einschränkungen zur Kontomodifikation.

### Einschränkung

- **Kontomodifikation erlauben**: Wenn deaktiviert, können Benutzer Konten wie Apple-Konten und Internetkonten nicht ändern.

### Konten hinzufügen

 Verwenden Sie **Google-Konto hinzufügen** oder **Mail-Konto hinzufügen**, um Konten-Payloads zur Richtlinie hinzuzufügen. Jedes Konto wird als Karte mit seinen Konfigurationsfeldern angezeigt.

### Kontodaten von Benutzern

 Sowohl Google- als auch Mail-Kontokarten bieten einen Schalter für **Kontodaten von Benutzern**. Wenn dieser aktiviert ist, wendet das System die Kontodaten auf Benutzerbasis an. Wenn er deaktiviert ist, geben Sie die Kontenidentität in der Richtlinie ein.

### Google-Kontofelder

- **Sichtbarer Name**: der dem Benutzer für das Konto angezeigte Name.
- **Google-E-Mail-Adresse**: die E-Mail-Adresse des Benutzers.
- **Vollständiger Name**: der vollständige Name des Benutzers.

### Mail-Kontofelder

 Mail-Konten enthalten Identitätsfelder sowie die Konfiguration für ein- und ausgehende Server. Hostnamen sind erforderlich.

- **Sichtbarer Name**: der dem Benutzer für das Mail-Konto angezeigte Name.
- **E-Mail-Adresse**: die E-Mail-Adresse des Benutzers.
- **Vollständiger Name**: der vollständige Name des Benutzers.

#### Posteingangsserver

- **Servertyp**: Mail-Protokoll (zum Beispiel IMAP oder POP).
- **Authentifizierungsmethode**: Authentifizierungsmethode für den Server.
- **IMAP-Pfadpräfix**: wird nur angezeigt, wenn der Servertyp IMAP ist.
- **Hostname**: erforderlich.
- **Port**: Server-Port (1–65535).

#### Ausgangsserver

- **Authentifizierungsmethode**
- **Hostname**: erforderlich.
- **Port**: Server-Port (1–65535).

### S/MIME-Optionen

 Für Mail-Konten können Sie auch das S/MIME-Verschlüsselungs- und Signaturverhalten konfigurieren.

#### Verschlüsselung

- **S/MIME-Verschlüsselung**
- **Identität durch Benutzer überschreibbar**
- **Schalter für Nachrichten-Verschlüsselung aktiviert**
- **Durch Benutzer überschreibbar**

#### Signierung

- **S/MIME-Signierung**
- **Identität durch Benutzer überschreibbar**
- **Durch Benutzer überschreibbar**

<p class="callout info"> Die Optionen für Konten und Einschränkungen enthalten Tooltips im Dashboard, die Voraussetzungen und unterstützte OS-Versionen dokumentieren. </p>