===== Konfigurationsempfehlungen für Jamf School =====
Die ursprünglichen Empfehlung wurde erstellt unter [[https://creativecommons.org/licenses/by/4.0/deed.de|CC-BY-Lizenz]], Quellenangabe: https://www.datenschutz-schule.info
In Jamf School sind eine Vielzahl von Konfigurationsoptionen umgesetzt. Viele haben keinerlei Auswirkungen auf die datenschutzkonforme Konfiguration oder sind in Abhängigkeit von übergeordneten Einstellungen aktiviert oder deaktiviert.
Sie finden in der Tabelle empfohlene Einstellungsoptionen, die den unterschiedlichen [[recht:datenschutz:schutzstufenconfig|Schutzniveaustufen für dienstliche iPads]] zugeordnet sind.
==== Legende ====
^ Farbcode ^ Bedeutung ^
| @green: | Haken setzen |
| @red: | Haken nicht setzen |
| @yellow: | Haken setzen nach begründeter Abwägung möglich - bei Unsicherheit Haken nicht setzen |
| @blue: | nicht relevant für iPad / Geräte ohne LTE |
| @grey: | unklar, ob (im Notfall) technisch erforderlich |
**Für die technische und formale Korrektheit der Empfehlungen wird kein Gewähr gegeben!**
==== Payload Code ====
| @lightgrey:Gerätefunktionen | @lightgrey:Schutzstufe D |
|Einfache Werte erlauben | @red: |
|Alphanumerische Werte erforderlich | @green: |
|Mindestlänge des Codes | @green: 8 Zeichen |
|Mindestanzahl von komplexen Zeichen | @green: 2 Zeichen|
|Maximale Code-Gültigkeit (in Tagen) | @green: 1 Jahr|
|Automatische Sperre (max.) (in Minuten) | @green: 1 Minuten|
|Code-Verlauf | @green: 3|
|Maximale Zeitgrenze für Gerätesperrung | @green: sofort |
|Maximale Anzahl von Fehlversuchen | @green: 3 |
==== Payload Einschränkungen ====
| @lightgrey:Gerätefunktionen | @lightgrey:Schutzstufe D | @lightgrey:Kommentar |
|Verwenden der Kamera erlauben | @yellow: | |
|Sprachwahl erlauben | @blue: | |
|FaceTime erlauben | @red: | |
|Bildschirmaufnahmen erlauben | @red: | |
|Bildschirmbeobachtung über Classroom erlauben | @red: | |
|Automatisches Synchronisieren beim Roaming erlauben | @blue: | |
|Installation von Apps erlauben | @red:| |
|Entfernen von Apps erlauben | @green: | |
|In-App-Käufe erlauben | @yellow: | |
|Siri erlauben | @red: | |
|Siri bei gesperrtem Gerät erlauben | @red: | |
|Benutzergenerierte Inhalte Siri erlauben | @yellow: | |
|Siri Filter für anstößige Sprache aktivieren | @yellow: | |
|Serverseitige Protokollierung für Siri erlauben | @red: | |
|Einschränkungen/Bildschirmzeit erlauben | @yellow: | |
|Fortsetzen von Aktivitäten (Handoff) erlauben | @red: | |
|Nachschlagen im Wörterbuch erlauben | @yellow: | |
|QuickType Textvorschläge erlauben | @yellow: | |
|Auto-Korrektur erlauben | @yellow: | |
|Rechtschreibprüfung erlauben | @yellow: | |
|AirDrop erlauben | @green: | |
|AirDrop als nicht verwaltetes Ziel behandeln | @green: | |
|Spotlight Vorschläge erlauben | @yellow: | |
|Diktierfunktion erlauben | @green: | |
|Diktieren mit Siri verhindern | @green: | |
|Koppeln mit anderen Computern erlauben | @yellow: | Backups sonst nicht möglich! |
|Modus für eingeschränkten Zugriff über USB erlauben | @red: | |
|Zugriff auf USB-Laufwerke in Dateien App erlauben | @red: | |
|Nahfeldkommunikation (NFC) zulassen | @yellow: | |
| @lightgrey:Sperrbildschirm | @lightgrey:Schutzstufe D | @lightgrey:Kommentar |
|Kontrollzentrum auf Sperrbildschirm anzeigen | @red: | |
|Mitteilungszentrale auf Sperrbildschirm anzeigen | @red: | |
|Ansicht "Heute" auf Sperrbildschirm anzeigen | @red: | |
|Passbook Mitteilungen auf Sperrbildschirm anzeigen | @red: | |
| @lightgrey:Anwendungen | @lightgrey:Schutzstufe D | @lightgrey:Kommentar |
|Verwenden des iTunes Store erlauben | @green: | |
|Verwenden von Safari erlauben | @green: | |
|Automatisches Einfügen aktivieren | @green: | |
|JavaScript aktivieren | @green: | |
|Deaktivieren des Pop-Up-Blockers durch Benutzer erlauben | @green: | |
|Betrugswarnung erzwingen | @green: | |
|Cookies akzeptieren | @yellow: | |
|Automatische App-Downloads erlauben | @green: | |
|iMessage erlauben | @red: | |
|Synchronisieren von Notizen und Hervorhebungen in unternehmenseigenen Büchern erlauben | @red: | |
|Podcasts erlauben | @yellow: | |
|"Mein Gerät suchen" in der Suche-App erlauben | @yellow: | |
|"Meine Freunde suchen" in der Suche-App erlauben | @red: | |
|Game Center erlauben | @red: | |
|Hinzufügen von Freunden im Game Center erlauben | @red: | |
|Multiplayer-Spiele erlauben | @red: | |
|Book Store erlauben | @yellow: | |
|Apple Music erlauben | @yellow: | |
|Apple Music Radio erlauben | @yellow: | |
|Apple News erlauben | @yellow: | |
|Entfernen von System-Apps erlauben | @red: | |
|Einstufen neuer Entwickler unternehmenseigener Apps als vertrauenswürdig erlauben | @red: | |
|Schreiben von Kontaktdaten in Kontakte nicht verwalteter Accounts durch verwaltete Apps erlauben | @red: | |
|Lesen von Kontaktdaten in Kontakten nicht verwalteter Accounts durch verwaltete Apps erlauben | @red: | |
|Software-Updates zurückstellen für | @green: (15) | |
| @lightgrey:iCloud | @lightgrey:Schutzstufe D | @lightgrey:Kommentar |
|Sichern in iCloud erlauben | @red: | |
|iCloud Dokumente und Daten erlauben | @red: | |
|iCloud Schlüsselbund erlauben | @red: | |
|iCloud Fotomediathek erlauben | @red: | |
|Synchronisieren verwalteter Apps mit iCloud erlauben | @red: | |
|Fotostream erlauben | @red: | |
|Gemeinsamen Fotostream erlauben | @red: | |
| @lightgrey:Sperrbildschirm | @lightgrey:Schutzstufe D | @lightgrey:Kommentar |
|Touch ID das Entsperren des Geräts erlauben | @red: | |
|Senden von Diagnosedaten an Apple erlauben | @red: | |
|Ändern der Diagnoseeinstellungen erlauben | @red:| |
|Dokumente aus verwalteten Apps in nicht verwalteten Apps erlauben | @green: | |
|Dokumente aus nicht verwalteten Apps in verwalteten Apps erlauben | @green: | |
|Verschlüsselte Sicherungen erzwingen | @green: | |
|Beschränktes Ad-Tracking erzwingen | @green: | |
|Eingabe eines iTunes Store Passworts für alle Einkäufe durch den Benutzer durchsetzen | @green: | |
|Verwendung eines Passworts beim Erhalt von AirPlay Kopplungsanfragen von diesem Gerät auf anderen Geräten durchsetzen | @green: | |
|Ändern des Codes erlauben | @green: | |
|Ändern von Touch ID Fingerabdrücken / Face ID Gesichtern erlauben | @green: | |
|Automatisches Einfügen von Passwörtern erlauben | @red: | |
|Vor automatischem Einfügen Authentifizierung erforderlich | @green: | |
|Abfrage von Passwörtern auf Geräten in der Nähe erlauben | @red: | |
|Passwortfreigabe über AirDrop erlauben| @red: | |
|Nicht vertrauenswürdige TLS-Verbindungen mit Bestätigung erlauben | @red: | |
|Interessenbezogene Werbung von Apple erlauben | @red: | |
|Sichern unternehmenseigener Bücher erlauben | @green: | |
|Automatische Updates von Einstellungen für vertrauenswürdige Zertifikate erlauben | @green: | |
|Starten von Geräten im Wiederherstellungsmodus mit einem nicht gekoppelten Gerät, das über ein Lightning Kabel angeschlossen ist, erlauben | @grey: Prüfung! | |
| @lightgrey:Autonomer Einzel-App-Modus | @lightgrey:Schutzstufe D | @lightgrey:Kommentar |
| Kein Eintrag erforderlich! | | |
| @lightgrey:Airprint | @lightgrey:Schutzstufe D | @lightgrey:Kommentar |
|AirPrint erlauben | @green: | |
|Speichern der Anmeldedaten für AirPrint im Schlüsselbund erlauben | @green: | |
|Vertrauenswürdiges Zertifikat für TLS-Verbindung mit Druckern erzwingen | @red: | |
|Suche nach AirPrint Druckern per iBeacon erlauben | @yellow: | |
| @lightgrey:Klassenzimmer | @lightgrey:Schutzstufe D | @lightgrey:Kommentar |
|Classroom erlauben, für vom Administrator erstellte Klassen für iOS 10 oder älter „Bildschirm anzeigen“ ohne Nachfrage auszuführen | @yellow: | |
|Beschränken auf App und Sperren des Geräts in Classroom ohne Bestätigung erlauben | @yellow: | |
|Classroom Klassen ohne Bestätigung automatisch beitreten | @yellow: | |
|Bei einer von einer Lehrkraft in der Classroom App von Apple erstellten Klasse das Verlassen der Klasse ohne die Erlaubnis der Lehrkraft verhindern | @yellow: | |
| Verbindung | @lightgrey:Schutzstufe D | @lightgrey:Kommentar |
|Koppeln mit Apple Watch erlauben | @green: | |
|Handgelenkerkennung bei Apple Watch erzwingen | @green: | |
|Ändern von Bluetooth-Einstellungen (einschließlich Kopplung neuer Geräte) erlauben | @green: | |
|Geräten nur den Beitritt zu WLAN-Netzwerken erlauben, die mit einem Profil konfiguriert wurden | @green: | |
|WLAN durchgehend aktiviert lassen | @green: | |
|Erstellen von VPN-Konfigurationen erlauben | @green: | |
| @lightgrey:Benutzeranpassungen | @lightgrey:Schutzstufe D | @lightgrey:Kommentar |
|Ändern der Accounteinstellungen (E-Mail. Kontakte, Kalender, iCloud und iTunes Store) | @red: | |
|Verwenden der Einstellung "Alle Inhalte & Einstellungen löschen" erlauben | @red:| |
|Ändern der Einstellungen für „Freunde suchen“ erlauben | @red: | |
|Installation von Konfigurationsprofilen erlauben | @red: | |
|Ändern des Gerätenamens erlauben | @red: | |
|Tastaturkurzbefehle erlauben | @yellow: | |
|App-Installation über den App Store erlauben | @red: | |
|Ändern persönlicher Hotspots erlauben | @blue: | |
|Benutzer das Ändern des Hintergrundbilds erlauben | @red: | |
|Ändern von Mitteilungseinstellungen erlauben | @red: | |
|Einrichten neuer Geräte in der Nähe erlauben | @red: | |
|Hinzufügen oder Entfernen einer Mobilfunkverbindung erlauben | @blue: | |
|Ändern von Einstellungen für Mobilfunkverbindungen für Apps erlauben | @blue: | |
|Ändern von Mobilfunkverbindungen erlauben | @blue: | |
|Continuous Path Tastatur erlauben | @yellow: | |
|Automatisches Einstellen von Datum und Uhrzeit erzwingen | @yellow: | |
|Anzeigen von App-Clips erlauben | @yellow: | |
==== Payload Domänen ====
Es besteht die Möglichkeit, Webdomänen (URLs) als verwaltet zu behandeln. Sensible Dateien, die auf einer Website verfügbar sind, können standardmäßig in die nicht verwalteten App-Bereiche heruntergeladen