Month: August 2025

Wichtige Zertifikate und Token für die Apple-Geräteverwaltung

Für die MDM-Verwaltung von Apple Endgeräten gibt es drei wichtige Token bzw. Zertifikate.

  1. Zertifikat für die Apple Push Notification Services (APNS)
  2. Volume Purchasing Program (VPP) Token
  3. Automated Device Enrollment (ADE) Token

Das APNS-Zertifikat ist das wichtigste Zertifikat. Ohne das APNS-Zertifikat kann der MDM-Server keine Push Nachrichten an die Endgeräte, z.B. einem iPhone oder iPad, schicken. Sehr vereinfacht ausgedrückt, funktioniert das mit dem APNS für die MDM-Kommunkiation so: Die Push Nachricht weckt den sogenannten MDM-Daemon am Endgerät auf. Der MDM-Daemon verbindet sich dann mit dem MDM-Server und ruft alle dort anstehenden Befehle ab. Sind keine Befehle mehr da, dann legt sich der MDM-Daemon wieder schlafen.
Um das APNS-Zertifikat zu erstellen, generiert man in seinem MDM-Server eine Zertifikatsanforderung. Diese Zertifikatsanforderung lädt man bei Apple unter https://identity.apple.com/pushcert. Dort muss man sich mit einem Apple Account anmelden um von Apple das Zertifikat erstellen zu lassen. Das Zertifikat muss dann in den MDM-Server hochgeladen werden. Sobald das erledigt ist, können am MDM-Server Apple-Endgeräte aktiviert und verwaltet werden.

Wichtig: Man muss das APNS-Zertifikat immer unter demselben Apple Account erstellen und erneuern. Nutzt man einen anderen Apple Account, dann verliert man damit die MDM-Kommunikation zu seinen Endgeräten.

Falls man den Apple Account, aus welchen Gründen auch immer, ändern möchte, dann muss man sich an den Apple Support wenden. Die können einem helfen das APNS-Zertifikat auf einen anderen Apple Account zu übertragen. Daher mein weiterer Tipp: nutzt für die APNS-Zertifikate einen generischen Apple Account, für den ihr im dienstlichen Passwortmanager die Zugangsdaten speichert.

Für die Verteilung von Apps und Büchern ist das VPP-Token relevant. Das VPP-Token wird im Apple Business Manager erstellt. Das VPP-Token ist eine Base64-codierte JSON-Datei. Das Token muss in den MDM-Server kopiert bzw. importiert werden. So kann man Apps und Bücher, die man voher im Apple Business Manager beschafft hat, an seine Nutzer verteilen. Wobei das Beschaffen sich nicht nur auf kostenpflichte Apps und Bücher bezieht, sondern man das auch für kostenfreie Apps und Bücher nutzen. Das ist dann z.B. relevant wenn man iPhones und iPads ausgibt, auf denen die Nutzer keinen Apple Account haben. Das VPP-Token erlaubt es Apps an ein Gerät zu lizenzieren und die Installation zu erlauben. Damit entfällt die Notwendigkeit eines Apple Accounts. Hat man mehrere MDM-Server im Einsatz, ist meine Empfehlung im Apple Business Manager (ABM) pro MDM-Server einen Standort zu erstellen. Pro Standort kann man im ABM ein VPP-Token herunterladen. So bleibt im Überblick auf welchem MDM-Server welche Apps in Verwendung sind.

Wichtig: Wird das Passwort für den Apple Account, mit dem das VPP-Token erstellt wurde, geändert, dann verliert das VPP-Token seine Gültigkeit.

Es reicht das VPP-Token im ABM erneut herunterzuladen und im MDM-Server zu aktualisieren. Dann können wieder Apps und Bücher verteilt werden.

Für die Geräteaktivierung, von Apple Automated Device Enrollment genannt, gibt es noch das sogenannte ADE-Token. Das ADE-Token ermöglicht eine Zero Touch Aktivierung der Apple-Endgeräte. Auch das ADE-Token wird im ABM erstellt. Um das ADE-Token zu bekommen, muss man zuvor im MDM-Server ein Schlüsselpaar generieren. Im MDM-Server lädt man den öffentlichen Schlüssel herunter. Diesen lädt man im ABM-Portal hoch und kann im Anschluss den Token herunterladen. Das Token muss im MDM-Server importiert werden. Im Anschluss muss im MDM-Server nur noch die Enrollment Configuration eingerichtet werden. Die Enrollment Configuration definiert unter anderem welche Bildschirme und Einstellungen bei der Aktivierung und Einrichtung des Endgerätes angezeigt werden. Damit Geräte über ADE aktiviert werden können, müssen sie dem MDM-Server zugewiesen werden. In die eigene ABM-Instanz werden neu gekaufte Geräte normalerweise vom Händler gepackt. Der braucht von euch nur eure Organisations-ID aus dem ABM. Hier habe ich beschrieben, wie man mit dem Apple Configurator Geräte manuell in den ABM aufnehmen kann.

Wichtig: Hat man das ADE-Token im MDM-Server schon eingebunden und lädt es im ABM nochmal herunter, dann verliert das schon im MDM-Server importierte ADE-Token seine Gültigkeit.

Das neue ADE-Token muss importiert werden, dann können wieder Endgeräte gegen diesen MDM-Server aktiviert werden. Falls ihr im ABM die automatische Gerätezuordnung zu einem MDM-Server konfiguriert habt und neue Geräte am MDM-Server nicht auftauchen, dann meldet euch im Apple Business Manager an. Eventuell hat Apple neue Terms and Conditions für den ABM veröffentlicht, die noch nicht akzeptiert wurden. Erst wenn die akzeptiert wurden, klappt es mit der automatischen Gerätezuweisung wieder.

Die oben genannten Zertifikate bzw. Token sind alle maximal ein Jahr gültig und müssen rechtzeitg erneuert werden. Wenn ihr die zeitige Erneuerung mal verpassen sollte, dann könnt ihr das auch ein paar Tage später nachholen. Ich habe die Beschreibung so generisch wie möglich gehalten, weil sich die Verwaltung der Tokens und Zertifikate je nach Hersteller der MDM-Lösung leicht unterscheiden kann. Grundsätzlich sind alle MDM-Hersteller auf die Anbindung der Tokens und Zertifikate angewiesen, damit eine reibungslose Integration in die Apple-Welt möglich ist.

Eve Water Guard #stuffthatworks

Wir hatten heute einen Klempner für zwei Stunden im Haus, um drei Punkte abzuarbeiten, die ich mir nicht zutraue. Dabei gelernt, dass unser Lecksensor 1a funktioniert. Das beruhigt.

Wir haben zwei Eve Water Guard im Haus: Einer unter der Küchentheke wegen der Spülmaschine, einer im Heizungskeller. Der Water Guard hat ein stoffummanteltes Kabel, dass einen Stromkreis schließt, wenn es feucht wird. Das im Keller hat mehrere Verlängerungen bis hinter Waschmaschine und Trockner. (Längere Strecken lassen sich auch mit einem einfachen Audiokabel überbrücken.)

Das Log sagt, dass wir in fünf insgesamt drei echte Alarme hatten und dazu mehrere Testalarme, mit der man die Funktionsfähigkeit prüft. In allen Fällen waren das aber keine wirklichen Überschwemmungen sondern nur ungeschicktes Vergießen kleiner Flüssigkeitsmengen.

Bild: Eve Systems

Es ist jedenfalls ein gutes Gefühl, dass sich das Haus massiv meldet, wenn ein Alarm nötig wird. Der Eve Water Guard macht mit 100 dB richtig Lärm und alle in Homekit angemeldeten Geräte ebenfalls, auch wenn man nicht zu Hause ist. Diese Alarmierung setzt eine vorhandene Thread-Infrastruktur mit Hub voraus. Thread läuft über Bluetooth, man kann damit also nicht mehrere Stockwerke überbrücken.

#reklame

Es war einmal … eine Office App

Vor ein paar Jahren hat Microsoft eine sehr sinnvolle App mit dem Namen “Office” für mobile Geräte entwickelt. Sie integrierte die wichtigsten Funktionen von Word, Excel, Powerpoint mit OneDrive und einer Scan-App.

Diese App wurde mittlerweile zu “M365 Copilot” umbenannt und alle brauchbaren Funktionen sind hinter dem Chat-Interface verborgen. Man muss schon “Search” bemühen, um sie wiederzufinden.

Es gibt auch eine Microsoft Copilot App, da ist nur der Chat drin. Was es nicht mehr gibt, ist Office ohne das Chat Interface.

Es ist schmerzhaft, dabei zuzusehen. Egal ob MSN, Edge, Bing, Copilot … Man kann darauf wetten, dass in Zukunft alles Chat mit generativer AI ist, aber dann heißen die Sieger vielleicht ChatGPT oder Perplexity. Oder Gemini, weil Google mit Android und Chrome schon da ist, wo Microsoft alles kaputtschmeisst, was sie stark macht.

Seeing like a billionaire

Cory Doctorow:

When Elon Musk disagrees with someone, he calls them an “NPC” (non-player character). In video-games, an NPC is a machine-puppeted sprite that engages in predictable movements (think of the ghosts in Pac-Man) …

But there’s another way in which people like Musk are inclined to view others as NPCs: the only way to become a billionaire is to hurt and exploit lots of people. You have to be willing to cheat your investors by lying … you have to be willing to maim your workers, you have to be willing to rain space debris down on people near your launchpad.

Zuckerberg and Altman get their fair share as well.

More >

Unhook your brain

Youtube, Instagram, Tiktok – they have all hacked your brain. They will feed you content that keeps you engaged. I have three ways to fight back:

  • Don’t go there. I never go to Instagram. In fact, I have blocked it on my DNS.
  • Don’t install the app. Tiktok and Youtube live on an old phone that I don’t carry around with me. I have to go get it, then use it, and then I put it away.
  • Use plugins to cleanse the browser experience. Unhook is a good one for Youtube.

This is my goal: 50% charge by the end of the day. The iPhone is 2.5 years old and has a remaining battery capacity of 83%.

Saddle Brown Leather Case

Vor 18 Monaten habe ich Euch von einem Apple Leather Case erzählt, das ich geschenkt bekam, weil es schon so abgegriffen war. Das habe ich damals komplett abgeschrubbt und benutze es seitdem. Mittlerweile hat es die ideale verwitterte Oberfläche und ich muss es nicht mehr behandeln.

Ja, ich habe immer noch das selbe iPhone 14 Pro. Für neuere iPhones gibt es dieses Case nicht mehr.

https://vowe.net/tag/saddlebrown

AI Quatsch

Interessantes Auto*. Fragen wir mal Copilot.

Tom Hillenbrand hat ChatGPT 5 eine einfache Aufgabe gestellt:

Perplexity hat eine andere kreative Lösung:

Und Gemini meint:

Das wirklich Erschreckende ist nicht, dass AI so einen Quatsch erzählt. Wenn man zu einem Thema fragt, in dem man sich auskennt, sieht man das ja auf Anhieb. Der Horror liegt im Vertrauen der Ahnungslosen in diese Schwatzmaschinen.

Copilot zählt das noch mal genau auf und man sieht dann, wo der Beschiss ist.

*) Auflösung: Es ist dieses Auto.

ThinkPad: Eine alte und eine neue Liebe

Der ThinkPad X1 Yoga war für mich stets das beste Gerät der Reihe. Die letzten, die ich selbst getestet habe, waren Gen 6 und Gen 7. Mittlerweile gibt es Gen 10, aber Lenovo hat das Branding gewechselt. Jetzt heißt die Maschine ThinkPad X1 2-in-1. Selbe Idee, anderes Branding, weil mit Yoga nun nicht mehr Laptops bezeichnet werden, die man “falschrum” zusammenfalten kann.

Zwischenzeitlich war die Liebe etwas abgekühlt, weil ich den ThinkPad Z13 wegen seines kompakten Äußeren ins Herz geschlossen habe. Der machte als Gen 1 zunächst viele Probleme, bis Lenovo die Firmware in mehreren Anläufen gefixt hat. Es gab noch eine Gen 2, aber danach habe ich von der Reihe nichts mehr gehört.

Lenovo ThinkPad X1 2-in-1 Gen 10 und ThinkPad X9-14 Gen 1

Aktuell bin ich in den ThinkPad X9 verliebt, der als Gen 1 auch reichlich Theater gemacht hat. Zum Teil war das mir zuzuschreiben, weil ich zu mutig mit Beta-Versionen hantiert habe. Aktuell habe ich ein Factory Image direkt von Lenovo heruntergeladen und frisch installiert. Vorher hatte ich es mal mit einem Download von Microsoft probiert.

Letzte Woche habe ich dann einen ThinkPad X1 2-in-1 Gen 10 zum Test bekommen und komplett mit meiner Software bespielt. Das geht mittlerweile in ca. 3 Stunden. Diese beiden Rechner sind von der Performance her praktisch identisch. Gleicher Bildschirm mit Touch und Pen, gleicher Intel Core Ultra 7 258V. Im Foto erkennt man kleine Unterschiede in der Tastatur, vor allem bei den Cursortasten und dem Fingerabdrucksensor. Der X1 hat ein TrackPoint, der X9 nicht, beide haben die mittlerweile aktuelle Anordnung der Tasten Strg-Fn-Win-Alt, man kann Strg und Fn aber im UEFI-Setup tauschen. Trackpoint nutze ich seit 20 Jahren nicht mehr und habe es bei X1 ausgeschaltet, damit gewinne ich etwas mehr Trackpad-Fläche.

Der X1 2-in-1 trägt seinen Namen, weil man den Bildschirm komplett nach hinten umklappen kann. Man hat also einen Laptop und ein Tablet. Anders als bei einem Surface Pro will man das aber nicht in der Hand halten, dafür ist es mit 1,3 kg deutlich zu schwer. Dazu kommt, dass es sich nicht komplett schließt, weil die Unterseite Füßchen hat und zum Rand hin etwas gebogen ist. So sieht das aus ungünstiger Perspektive aus.

Auf dem Tisch liegend spielt das keine Rolle. Das Schreibgefühl mit dem Pen ist sensationell gut und als 2-in-1 kann man auch ins Hochformat wechseln. Anders als bei den älteren X1 Yogas gibt es keinen kleinen Stift mehr, der in einer Garage im Gehäuse wohnt und geladen wird. Heute ist das ein großer Stift, der sich an beiden Teilen des ThinkPads mit Magneten gut befestigen lässt. Auf dem Tisch wieder OK, aber beim Einstecken in eine Tasche bringe ich den Stift lieber separat unter. Sonst wäre er nach einer Woche weg.

X9 (links) und X1 2-in-1 (rechts)

Obwohl das Gewicht beinahe identisch ist, wirkt der 2-in-1 sehr viel klobiger. Das merke ich auch an der Handauflage, die nur wenige Millimeter höher ist.

X9 (links) und X1 2-in-1 (rechts)

Die Datenblätter hänge ich unten an. Da die Performance praktisch identisch ist, kann ich nur das subjektive Gefühl beschreiben. Beide Laptops haben Intel Prozessoren und hören auf den gemeinsam mit Intel geschaffenen Marketing-Begriff “Aura Edition”. Beides sind Copilot+ PCs mit 47 TOPS NPU und Copilot-Taste. Sie sind nicht so stromsparend wie die Snapdragon-Laptops mit Windows-on-ARM. Das heißt, sie fauchen auch gelegentlich mal mit dem Lüfter.

Was den praktischen Nutzen angeht, ist der X1 2-in-1 höher zu bewerten. Man kann den Bildschirm komplett umklappen und mehrere alternative Aufbau-Arten wählen, etwa Tastatur hinten unten mit Scharnier vorne, oder Tastatur hinten mit Scharnier oben. Der X9 hat keinen Trackpoint und nur zwei Thunderbolt Ports, einen 3.5 mm Audioanschluss und HDMI. Beim X1 2-in-1 kommen noch zwei USB-A Anschlüsse dazu. Und für den stationären Einsatz im Büro hat der X1 einen Slot für ein Kensington-Schloss. In der zehnten Generation ist er viel ausgereifter als der X9 in der ersten.

Aber der neuen Liebe tut das keinen Abbruch.

ThinkPad_X1_2_in_1_Gen_10_Aura_Edition_21NU0023GEDownload
ThinkPad_X9_14_Gen_1_Aura_Edition_21QA0046GEDownload