MDM-Konfiguration mit Microsoft Intune erstellen

Tags
ManagementMDMMicrosoftIntuneMobileDevice

Bewertung [ Bewertung abgeben ] Artikel geschrieben am 14.06.2025 um 21:10 Uhr.

Um mit der eigenen App Daten aus dem MDM-Speicher lesen zu können, muss zuerst eine Konfiguration, in welcher Form auch immer, angelegt werden. Als Beispiel möchte ich das Vorgehen in Microsoft Intune darstellen, aber in anderer Software wird es sehr ähnliche Funktionen und Knöpfe geben. Außerdem lässt sich so schnell für jeden abschätzen, ob die eigene Software die erforderlichen Anforderungen erfüllt. Wie ich schon beim Eintrag zum Lesen der Konfiguration erwähnt hatte, gibt es auch Software mit eingeschränkter Funktion, meist kostenlos, in der oft die Möglichkeit einer App-Konfiguration deaktiviert ist.

Ich konzentriere mich im folgenden auf das Ainrichten der Einstellungen und setze voraus, dass die entsprechenden Geräte und Gruppen, auf die die Konfiguration verteilt werden sollen, bereits angelegt sind. In unserem Fall ist das Testgerät ein älteres iPhone X, das alleine in einer MDM-Testgruppe ist.

Anlegen der App-Konfiguration

Microsoft Intune: App Konfiguration - Übersicht - ErstellenDas Anlegen der Konfiguration ist im Grunde sehr leicht, allerdings muss man den richtigen Menüpunkt in Microsoft Intune finden. Probieren führt über studieren! Im Bereich Apps gibt es einen Untermenüpunkt Konfiguration. Hier sind sämtliche Konfigurationen übersichtlich dargestellt. In unserem Fall müssen wir zuerst eine neue Konfiguration erstellen, die naheliegendste Aktion Erstellen / Verwaltete Apps führt allerdings nicht zum gewünschten Ergebnis! Richtig ist der Menüpunkt Erstellen / Vewaltete Geräte.

Kurze Erklärung: Unser Plan ist, eine Konfiguration zu einer App mit Einstellungen zu erzeugen, die dann auf beliebige Geräte übertragen wird. Im Umkehrschluss verwalten wir also Geräte und nicht Apps! Das ist insofern logisch, da wir im Zweifel viele Geräte gleichzeitig mit einer Konfiguration bestücken wollen, wobei die Konfiguration ggf. mit Variablen bestückt ist, z.B. die E-Mailadresse des Benutzers oder bestimmte Schlüssel, die ihn direkt gegenüber Servern identifizieren. Diese sind natürlich an den Benutzer und seine Geräte gebunden und die Konfiguration sollte entsprechend allgemeingültig sein, um alle Geräte gleichzeitig zu bestücken.

Danach kommen wir in einen Assistenten, der uns mit mehreren Schritten durch die Erstellung der Konfiguration führt. Auf der ersten Seite gibt es ein paar allgemeine Einstellungen zu tätigen. Der Name ist natürlich frei wählbar, aber da Ordnung die halbe Miete ist, sollte sie idealerweise in Kurzform beschreiben, für welche App und für was sie Einstellungen vorgibt. Falls in dieser Organisation nur eine Konfiguration für diese App eingerichtet wird, reicht der Name / Firma sicherlich aus. Wenn es jedoch aus Gründen verschiedene Konfigurationen für unterschiedliche Empfängergruppen geben soll, ist der richtige Name goldwert. So bleibt die Liste übersichtlich und auf den ersten Blick verständlich. Die Beschreibung kann zudem genutzt werden, falls es Besonderheiten gibt oder bestimmte Regeln beachtet werden müssen. Gerade für Kollegen oder auch einen selbst, wenn diese Konfiguration nach Monaten und Jahren wieder geändert werden muss, sind solche Hinweise extrem gut und können helfen, leichte Fehler direkt zu verhindern. Bei der Plattform sollte in unserem Fall iOS / iPadOS ausgewählt werden und in der Ziel-App wählen wir unsere App. In unserem Beispiel nutzen wir die in unserer Firma entwickelte MANV-App, aber technisch unterstützen viele Apps heutzutage diese Parameter. Gerade größere Apps findet man in der AppConfig-Datenbank. So manche MDM-Software kann diese Schemata sogar importieren und bietet einem im nächsten Schritt eine schönere Eingabeoberfläche. Aber auch ohne lässt sich eine Konfiguration elegant und einfach anlegen, sofern man die vorhandenen Schlüssel in Erfahrung gebracht hat.

Gehen wir also weiter zum nächsten Schritt und schauen uns die erwähnte Eingabe der Konfiguration an. Man hat die Wahl zwischen dem Konfigurations-Designer und einem XML. Andere MDMs (z.B. Jamf Pro) bieten standardmäßig nur eine große Textbox an. Das entspricht der XML-Variante von Microsoft Intune, ist aber leider nie gut erklärt. Am Ende des Abschnitts gehe ich kurz darauf ein und in welcher Form man die Daten übernehmen muss.

Der Designer ist natürlich deutlich schöner anzuschauen und bietet (für den Normalfall) den gleichen Leistungsumfang. Mit beiden Varianten erreicht man aber sein Ziel. Es gibt sicherlich auch Fälle, in denen die Daten bereits im XML-Format vorliegen und das Übertragen weniger sinnvoll ist. Im Design sieht man, das es beliebig viele Einträge gibt, wobei jeder Eintrag sich durch einen Schlüssel, einem Datentyp und einem Wert besteht. Wie bereits erwähnt, müssen die möglichen Schlüssel der App bekannt sein, um sie hier hinterlegen zu können.

Anmerkung: Im XML-Format muss am Anfang ein <dict> stehen, gefolgt von den Schlüsseln und ihren Werten. Die Schlüssel werden dabei immer in einem <key>-Tag angegeben, wobei die Werte in einem Tag stehen, das den Datentyp repräsentiert, z.B. <integer>2</integer>, <string>Test123</string> oder <bool>true</bool>. Natürlich gibt es noch weitere Datentypen, aber die jeweilige Konfiguration der App wird das vorgeben. Abgeschlossen wird die Konfiguration mit einem schließenden </dict>-Tag.

Nachdem die Konfiguration hinterlegt ist, wählt man im nächsten Schritt die Benutzer- und Gruppenfilter aus, um die entsprechenden Zielgeräte zu adressieren. Nach dem Fertigstellen, kommt man zurück zur Übersicht mit seiner Konfiguration.

Detailansicht der Konfiguration und Verteilung beobachten

Wählt man die angelegte Konfiguration aus, so erhält zuerst eine Übersicht über die Konfiguration. Unter dem Listenpunkt Eigenschaften in der Navigationsleiste können wir die einzelnen Abschnitte unserer Konfiguration betrachten und ggf. bei Änderungen anpassen. Interessanter ist der Listenpunkt Gerätestatus, denn hier erhält man einen Überblick über alle Zielgeräte und deren Status. Zu beachten ist insofern, dass dieser Status sich nicht in Echtzeit aktualisiert! Gerade wenn man anfängt und bestimmte Kombinationen testen möchte, sollte man diesen Umstand zu jeder Zeit im Hinterkopf behalten. Idealerweise kann man in der Zielapp, an einer geeigneten Stelle, erkennen, ob eine neue Konfiguration empfangen bzw. eingelesen wurde.

Überprüfung eines bestimmten Gerätes

Es gibt in Microsoft Intune auch die Möglichkeit den aktuellen Status der Konfigurationsverteilung pro Gerät einzusehen. Natürlich immer mit der Premisse, dass diese Daten ebenfalls nicht in Echtzeit das Gerät widerspiegeln. Allerdings hat es in meinen Tests recht zeitnah die Informationen angezeigt, kann aber auch Glück gewesen sein.

Unter dem Pfad Geräte | iOS/iPadOS - Geräte - Gerätename (bei mir iPhone X) lassen sich alle Details zur Gerätehardware, der installierten Software oder Systemeigenschaften einsehen. Unter anderem gibt es den Menüpunkt App-Konfiguration, worunter wir unsere angelegte Konfiguration sehen müssten mit dem zugeordneten Benutzer und dem Zeitstempel der Synchronisation. Hiermit lässt sich für das jeweilige Gerät prüfen, wann es sich das letzte Mal beim MDM gemeldet hat und welcher Konfigurationsstand dabei ermittelt wurde.

Fazit:
Für große Firmen ist eine MDM-Software sicherlich der Standard, um alle Geräte unter Kontrolle zu halten. Umso wichtiger ist es als Entwickler sich über die eigene Software tiefergehende Gedanken zu machen, ob es auf der Anwenderseite nützlich oder sogar erforderlich wäre, diese für MDM fit zu machen und damit eine einfachere Verwendung in größeren Struktur zu ermöglichen. Wie immer gilt, das man nicht pauschalisierend eine Aussage treffen kann, aber Überlegen schadet sicherlich Niemandem.

Anlage

<dict>
	<key>test_integer</key>
	<integer>1</integer>
	<key>test_bool</key>
	<bool>true</bool>
	<key>test_string</key>
	<string>Test123</string>
</dict>

Links zum Thema

  1. AppConfig-Community