===== Konfigurationsempfehlungen für den Apple Configurator 2 ===== Die ursprüngliche Textfassung wurde erstellt unter [[https://creativecommons.org/licenses/by/4.0/deed.de|CC-BY-Lizenz]], Quellenangabe: https://www.datenschutz-schule.info Die Optionen basieren auf dem Stand von Mai 2021 und iPadOS 14.5. In der Zwischenzeit können neue Optionen hinzugekommen sein. ==== Legende ==== ^ Farbcode ^ Bedeutung ^ | @green: | Haken setzen | | @red: | Haken nicht setzen | | @yellow: | Haken setzen nach begründeter Abwägung möglich - bei Unsicherheit Haken nicht setzen | | @blue: | nicht relevant für iPad / Geräte ohne LTE | | @grey: | unklar, ob (im Notfall) technisch erforderlich | **Für die technische und formale Korrektheit der Empfehlungen wird kein Gewähr gegeben!** ==== Payload Code ==== | @lightgrey:Gerätefunktionen | @lightgrey:Schutzstufe D | |Einfache Werte erlauben | @red: | |Alphanumerische Werte erforderlich | @green: | |Mindestlänge des Codes | @green: 8 Zeichen | |Mindestanzahl von komplexen Zeichen | @green: 2 Zeichen| |Maximale Code-Gültigkeit (in Tagen) | @green: 1 Jahr| |Automatische Sperre (max.) (in Minuten) | @green: 1 Minute| |Code-Verlauf | @green: 3| |Maximale Zeitgrenze für Gerätesperrung | @green: sofort | |Maximale Anzahl von Fehlversuchen | @green: 3 | ==== Payload Einschränkungen ==== | @lightgrey:Gerätefunktionen | @lightgrey:Schutzstufe D | Hinweis | |Verwendung der Kamera erlauben | @yellow: | | |Facetime erlauben (nur betreute Geräte) | @red: | | |Bildschirmfotos oder Bildschirmauf­nahmen erlauben| @red: | | |AirPlay, Bildschirmbeobachtung durch 'Classroom'" und Bildschirmfreigabe erlauben | @red: | | |Classroom für das Ausführen von AirPlay und Bildschirm­beobachtung ohne Nachfragen erlauben (nur betreute Geräte) | @red: | | |AirDrop erlauben (nur betreute Geräte) | @yellow: | | |iMessage erlauben (nur betreute Geräte)| @red: | | |Apple Music erlauben| @yellow: | | |Radio erlauben| @yellow: | | |Sprachwahl erlauben, während das Gerät gesperrt ist | @red: | | |Siri erlauben | @red: | | |Siri erlauben, während das Gerät gesperrt ist | @red: | | |Siri-Obszönitätenfilter aktivieren (nur betreute Geräte) | @yellow: | | |Benutzer-generierter Inhalt in Siri anzeigen (nur betreute Geräte)| @yellow: | | |Siri-Vorschläge erlauben | @yellow: | | |Apple Books erlauben (nur betreute Geräte) | @yellow: | | |Installation von Programmen erlauben | @red:| | |Installation von Apps über den App Store erlauben (nur betreute Geräte) | @red: | | |Automatische App-Downloads erlauben (nur betreute Geräte) | @green: | |Entfernen von Apps erlauben (nur betreute Geräte) | @green: | | |Entfernen von Systemapps erlauben (nur betreute Geräte) | @red: | | |In-App-Käufe erlauben| @red: | | |iTunes Store-Passwort für alle Käufe erforderlich | @green: | | |iCloud-Backup erlauben| @red: | | |iCloud-Dokumente und -Daten erlauben | @red: | | |iCloud-Schlüsselbund erlauben | @red: | | |Verwalteten Apps das Sichern von Daten in iCloud erlauben | @red: | | |Sicherungskopie betriebs­eigener Bücher erlauben | @yellow: | | |Synchronisierung von Notizen und Markierungen bei betriebs­eigenen Büchern erlauben | @red: | | |Geteilte Alben erlauben | @red: | | |iCloud Fotos erlauben | @red: | | |"Mein Fotostream" erlauben (sonst Datenverlust möglich)| @red: | | |Automatische Synchronisation beim Roaming erlauben | @blue: | | |Zugriff auf USB-Laufwerk in App "Dateien" erlauben (nur betreute Geräte) | @red: | | |Zugriff auf Netzwerklaufwerke in App "Dateien" erlauben (nur betreute Geräte) | @yellow: | | |Verschlüsselte Backups erzwingen | @green: | | |Apps erlauben, "Tracking" anzufordern | @red: | | |Personalisierte Apps von Apple erlauben | @yellow: | | |Löschen aller Inhalte & Einstellungen erlauben | @red: | | |Benutzer dürfen nicht vertrauenswürdige TLS-Zertifikate annehmen | @red: | | |Automatische Updates für die Einstellungen vertrauenswürdiger Zertifikate | @green: | | |Einstufen neuer Entwickler firmenweiter Apps als vertrauenswürdig erlauben | @yellow: | | |Installation von Konfigurationsprofilen erlauben (nur betreute Geräte) | @red: | | |Hinzufügen von VPN-Konfigurationen erlauben (nur betreute Geräte) | @green: | | |Automatisches Einstellen von Datum und Uhrzeit erzwingen (nur betreute Geräte) | @green: | | |Classroom das Beschränken auf eine bestimmte App und Sperren des Geräts ohne Nachfrage erlauben (nur betreute Geräte) | @yellow: | |Klassen in Classroom automatisch ohne Nachfragen beitreten (nur betreute Geräte) | @yellow: | | |Erlaubnis des Lehrers beim Verlassen nicht verwalteter Klassen in Classroom erfordern (nur betreute Geräte) | @yellow: | | |WLAN-Aktivierung erzwingen (nur betreute Geräte) | @green:| | |Ändern von Account-Einstellungen erlauben (nur betreute Geräte) | @red: | | |Ändern von Bluetooth-Einstellungen erlauben (nur betreute Geräte) | @green: | | |Änderung der App-Einstellungen "Mobile Daten" erlauben (nur betreute Geräte) | @blue: | | |Änderung der Datentarifeinstellungen erlauben (nur betreute Geräte) | @blue: | | |Ändern der eSIM-Einstellungen erlauben (nur betreute Geräte) | @blue: | | |Ändern des Gerätenamens erlauben (nur betreute Geräte) | @red: | | |Ändern der Touch ID-Fingerabdrücke/Face-ID-Gesicher erlauben (nur betreute Geräte) | @green: | | |Bildschirmzeit erlauben (nur betreute Geräte) | @yellow: | | |Ändern des Hintergrundbilds erlauben (nur betreute Geräte) | @red: | | |Änderungen der Einstellungen "Persönlicher Hotspot" erlauben (nur betreute Geräte) | @green: | | |"Freunde suchen" erlauben (nur betreute Geräte) | @red: | | |"Meine Geräte suchen" erlauben (nur betreute Geräte) | @red: | | |USB-Geräte bei gesperrtem Gerät erlauben (nur betreute Geräte) | @yellow: | Notverbindung zum MDM möglich | |Koppeln mit Hosts ohne Configurator-Installation erlauben (nur betreute Geräte) | @yellow: | ggf. für Backups notwendig | |Versetzen in den Wiederherstellungsmodus durch nicht gekoppelte Geräte erlauben (nur betreute Geräte) | @green: | | |Dokumente von verwalteten Quellen in nicht verwalteten Zielen erlauben | @green: | | |Dokumente von nicht verwalteten Quellen in verwalteten Zielen erlauben | @green: | | |AirDrop als nicht verwalteten Zielort behandeln | @green: | | |Handoff erlauben | @red: | | |Senden von Diagnose- und Nutzungsdaten an Apple erlauben | @red: | | |Ändern von Diagnoseeinstellungen erlauben (nur betreute Geräte) | @red: | | |Touch ID/Face ID zum Entsperren des Geräts erlauben | @red: | | |"Passwort automatisch ausfüllen" erlauben (nur betreute Geräte) | @red: | | |Vor dem automatischen Ausfüllen Authentifizierung mit Touch ID/Face erforderlich (nur betreute Geräte) | @green: | | |Entsperren mit Apple Watch erlauben | @green: | |Handgelenk­erkennung der Apple Watch erzwingen | @green: | | |Koppeln mit der Apple Watch erlauben (nur betreute Geräte) | @green: | | |Code-Eingabe bei erster AirPlay-Verbindung anfordern | @green: | | |Nur mit von „WLAN“-Payloads installierten WLAN-Netzwerken verbinden (nur betreute Geräte) | @yellow: | Aufwand prüfen | |Konfigurieren von Geräten in der Nähe erlauben (nur betreute Geräte) | @green: | | |Anfragen zur Proximity-basierten Passwortfreigabe erlauben (nur betreute Geräte) | @red: | | |Passwortfreigabe erlauben (nur betreute Geräte) | @red: | | |AirPrint erlauben (nur betreute Geräte)| @green: | | |Erkennen von AirPrint-Druckern mit iBeacons erlauben (nur betreute Geräte) | @yellow: | | |Speichern von AirPrint-Zugangsdaten im Schlüsselbund erlauben (nur betreute Geräte) | @green: | | |AirPrint für Ziele mit nicht vertrauenswürdigen Zertifikaten nicht erlauben (nur betreute Geräte) | @green: | | |Textvorschläge bei Texteingabe erlauben (nur betreute Geräte) | @yellow: | | |Tastaturkurzbefehle erlauben (nur betreute Geräte) | @yellow: | | |Tastatur "Kontinuierlicher Pfad" erlauben (nur betreute Geräte) | @yellow: | | |Automatische Korrektur erlauben (nur betreute Geräte) | @green: | | |Rechtschreib­prüfung erlauben (nur betreute Geräte) | @green: | | |Nachschlagen erlauben (nur betreute Geräte)| @yellow: | | |Wallet-Mitteilungen im Sperrbildschirm erlauben | @red: | | |Kontrollzentrum im Sperrbildschirm anzeigen| @red: | | |Mitteilungszentrale im Sperrbildschirm anzeigen | @red: | | |Ansicht „Heute“ im Sperrbildschirm anzeigen | @red: | | ==== Ungeklärt, ggf. zweiter Reiter ==== |Automatisches Entsperren | | | |Diktat auf dem Gerät erzwingen | | | |NFC (Nahfeldkommunikation) erlauben | | | |App Clips erlauben| | | |Temporäre Sitzung mit „Geteiltes iPad“ erlauben | | | |„Wo ist?“ erlauben | | | |QuickPath-Tastatur erlauben | | | |Passwörter via AirDrop teilen | | | |Nicht verwaltete Apps können verwaltete Kontakte lesen | | | |Nicht verwaltete Apps können verwaltete Kontakte bearbeiten | | | |Angeschlos­senes Zubehör im Sperrzustand erlauben | | | |Softwareupdates verschieben | | | |Einstellungen des Mobilfunktarifs ändern | | | |Diktat | | | |Einstellungen in „Mitteilungen“ ändern | | | |Code ändern | | | |Code-Eingabe bei erster AirPlay-Verbindung anfordern | | | |Einstellungen der App „Mobile Daten“ ändern | | | |Diagnose- und Nutzungsdaten an Apple senden| | | |Apps entfernen | | | |News | | | |Podcasts | | | |Autonomer Einzel-App-Modus | | | |Game Center | | | |Game Center-Freunde hinzufügen | | | |Mehrspielerspiele | | | |Automatisches Ausfüllen in Safari | | | |Betrugswarnung erzwingen | | | |JavaScript | | | |Safari-Pop-ups | | | |Cookies blockieren | | | |Safari verwenden | @green: | | |iTunes Store | | | |Anstößige Inhalte auf Apple Books | | | |Altersfreigab­eregion | | | |Altersfreigaben für Inhalte festlegen | | | |Wiedergabe anstößiger Musik, Podcasts und iTunes U | | |