Tag: #ipad

Wichtige Zertifikate und Token für die Apple-Geräteverwaltung

Für die MDM-Verwaltung von Apple Endgeräten gibt es drei wichtige Token bzw. Zertifikate.

  1. Zertifikat für die Apple Push Notification Services (APNS)
  2. Volume Purchasing Program (VPP) Token
  3. Automated Device Enrollment (ADE) Token

Das APNS-Zertifikat ist das wichtigste Zertifikat. Ohne das APNS-Zertifikat kann der MDM-Server keine Push Nachrichten an die Endgeräte, z.B. einem iPhone oder iPad, schicken. Sehr vereinfacht ausgedrückt, funktioniert das mit dem APNS für die MDM-Kommunkiation so: Die Push Nachricht weckt den sogenannten MDM-Daemon am Endgerät auf. Der MDM-Daemon verbindet sich dann mit dem MDM-Server und ruft alle dort anstehenden Befehle ab. Sind keine Befehle mehr da, dann legt sich der MDM-Daemon wieder schlafen.
Um das APNS-Zertifikat zu erstellen, generiert man in seinem MDM-Server eine Zertifikatsanforderung. Diese Zertifikatsanforderung lädt man bei Apple unter https://identity.apple.com/pushcert. Dort muss man sich mit einem Apple Account anmelden um von Apple das Zertifikat erstellen zu lassen. Das Zertifikat muss dann in den MDM-Server hochgeladen werden. Sobald das erledigt ist, können am MDM-Server Apple-Endgeräte aktiviert und verwaltet werden.

Wichtig: Man muss das APNS-Zertifikat immer unter demselben Apple Account erstellen und erneuern. Nutzt man einen anderen Apple Account, dann verliert man damit die MDM-Kommunikation zu seinen Endgeräten.

Falls man den Apple Account, aus welchen Gründen auch immer, ändern möchte, dann muss man sich an den Apple Support wenden. Die können einem helfen das APNS-Zertifikat auf einen anderen Apple Account zu übertragen. Daher mein weiterer Tipp: nutzt für die APNS-Zertifikate einen generischen Apple Account, für den ihr im dienstlichen Passwortmanager die Zugangsdaten speichert.

Für die Verteilung von Apps und Büchern ist das VPP-Token relevant. Das VPP-Token wird im Apple Business Manager erstellt. Das VPP-Token ist eine Base64-codierte JSON-Datei. Das Token muss in den MDM-Server kopiert bzw. importiert werden. So kann man Apps und Bücher, die man voher im Apple Business Manager beschafft hat, an seine Nutzer verteilen. Wobei das Beschaffen sich nicht nur auf kostenpflichte Apps und Bücher bezieht, sondern man das auch für kostenfreie Apps und Bücher nutzen. Das ist dann z.B. relevant wenn man iPhones und iPads ausgibt, auf denen die Nutzer keinen Apple Account haben. Das VPP-Token erlaubt es Apps an ein Gerät zu lizenzieren und die Installation zu erlauben. Damit entfällt die Notwendigkeit eines Apple Accounts. Hat man mehrere MDM-Server im Einsatz, ist meine Empfehlung im Apple Business Manager (ABM) pro MDM-Server einen Standort zu erstellen. Pro Standort kann man im ABM ein VPP-Token herunterladen. So bleibt im Überblick auf welchem MDM-Server welche Apps in Verwendung sind.

Wichtig: Wird das Passwort für den Apple Account, mit dem das VPP-Token erstellt wurde, geändert, dann verliert das VPP-Token seine Gültigkeit.

Es reicht das VPP-Token im ABM erneut herunterzuladen und im MDM-Server zu aktualisieren. Dann können wieder Apps und Bücher verteilt werden.

Für die Geräteaktivierung, von Apple Automated Device Enrollment genannt, gibt es noch das sogenannte ADE-Token. Das ADE-Token ermöglicht eine Zero Touch Aktivierung der Apple-Endgeräte. Auch das ADE-Token wird im ABM erstellt. Um das ADE-Token zu bekommen, muss man zuvor im MDM-Server ein Schlüsselpaar generieren. Im MDM-Server lädt man den öffentlichen Schlüssel herunter. Diesen lädt man im ABM-Portal hoch und kann im Anschluss den Token herunterladen. Das Token muss im MDM-Server importiert werden. Im Anschluss muss im MDM-Server nur noch die Enrollment Configuration eingerichtet werden. Die Enrollment Configuration definiert unter anderem welche Bildschirme und Einstellungen bei der Aktivierung und Einrichtung des Endgerätes angezeigt werden. Damit Geräte über ADE aktiviert werden können, müssen sie dem MDM-Server zugewiesen werden. In die eigene ABM-Instanz werden neu gekaufte Geräte normalerweise vom Händler gepackt. Der braucht von euch nur eure Organisations-ID aus dem ABM. Hier habe ich beschrieben, wie man mit dem Apple Configurator Geräte manuell in den ABM aufnehmen kann.

Wichtig: Hat man das ADE-Token im MDM-Server schon eingebunden und lädt es im ABM nochmal herunter, dann verliert das schon im MDM-Server importierte ADE-Token seine Gültigkeit.

Das neue ADE-Token muss importiert werden, dann können wieder Endgeräte gegen diesen MDM-Server aktiviert werden. Falls ihr im ABM die automatische Gerätezuordnung zu einem MDM-Server konfiguriert habt und neue Geräte am MDM-Server nicht auftauchen, dann meldet euch im Apple Business Manager an. Eventuell hat Apple neue Terms and Conditions für den ABM veröffentlicht, die noch nicht akzeptiert wurden. Erst wenn die akzeptiert wurden, klappt es mit der automatischen Gerätezuweisung wieder.

Die oben genannten Zertifikate bzw. Token sind alle maximal ein Jahr gültig und müssen rechtzeitg erneuert werden. Wenn ihr die zeitige Erneuerung mal verpassen sollte, dann könnt ihr das auch ein paar Tage später nachholen. Ich habe die Beschreibung so generisch wie möglich gehalten, weil sich die Verwaltung der Tokens und Zertifikate je nach Hersteller der MDM-Lösung leicht unterscheiden kann. Grundsätzlich sind alle MDM-Hersteller auf die Anbindung der Tokens und Zertifikate angewiesen, damit eine reibungslose Integration in die Apple-Welt möglich ist.

Logitech Flip Folio für iPad Pro und Air

Logitech hat heute ein neues Flip Folio für iPad Pro und iPad Air angekündigt. Es kostet gerade einmal die Hälfte des Apple Magic Keyboard, ist jedoch ganz anders gestaltet. Ich hatte bereits zwei Wochen Gelegenheit, damit zu arbeiten und schildere meine persönlichen Eindrücke.

In der horizontalen Ausrichtung hält das Folio magnetisch am iPad. Der Deckel, der das Display schützt, lässt sich nach hinten umklappen und als Kickstand abklappen. Das iPad lässt sich dann auch einfach lösen und im Hochformat auf das Folio stellen.

Die unbeleuchtete Tastatur ist per Bluetooth verbunden und wird von vier CR2016 Batterien mit Strom versorgt. Die Batterien sollen zwei Jahre halten und nach meiner Erfahrung mit Logitech-Geräten ist diese Schätzung eher konservativ.

Die Tastatur kann mit bis zu drei Endgeräten gekoppelt werden. So lässt sich parallel zum iPad auch auf einem Computer und einem Smartphone schreiben. Man wechselt mit einem Tastendruck auf die hellgrüne Taste in der obersten Reihe. Mit einem langen Tastendruck stößt man das Bluetooth-Pairing an.

Kickstand …
… mit Tastatur

Wenn man die Tastatur nicht benötigt, heftet man sie einfach magnetisch an die Rückseite des Kickstands. An dem kleinen grünen Öhrchen zieht man sie einfach wieder ab. Auf dem Kickstand bleibt die Tastatur sicher ausgeschaltet.

Es schreibt sich ausgezeichnet auf dieser Tastatur, die Tasten haben einen guten Druckpunkt und das Layout ist mit einem kleinen Kompromiss bei den vier Tasten äü+# sehr gelungen.

Bis zu drei Geräte
Cursurblock
Guter Kompromiss

Soweit ist das alles sehr gefällig. Aber es gibt auch ein paar Kritikpunkte:

Die Fotos zeigen die maximale Neigung des Folios. Für Video-Konferenzen würde ich mir einen steileren Winkel wünschen, zum Zeichnen hält das Folio auch in einem flachen Winkel, weil das Gelenk im Deckel sehr steif ist.

Das Material erinnert an die Folios von Apple, die ich “Taucheranzug” genannt habe. Ich habe einfach Bedenken bezüglich der Haltbarkeit. Insbesondere im Bereich des abknickenden Kickstands überzeugt es nicht.

Was mir auch auffällt, ist das große Gewicht. Das kennt man bereits vom Apple Magic Keyboard. Mit dem iPad zusammen hat man damit ein Paket wie ein leichtes Notebook. Auch wenn Logitech nur eine Kompatibilität mit den neuesten iPad Pro und Air gewährleistet, haben wir es erfolgreich mit einem iPad Pro 3. Generation (2018) und einem iPad Pro M1 getestet.

iPad Pro 13 Zoll (M4)
iPad Air 13 Zoll (M2 & M3)
Gewicht: 611 g (Folio) plus 207 g (Tastatur)
UVP 199 €

iPad Pro 11 Zoll (M4)
iPad Air 11 Zoll (M2 & M3)
iPad Air (5. Generation)
Gewicht: 465 g (Folio) und 176 g (Tastatur)
UVP 179 €

Der Verkauf startet am 20. Juni.

Restoring an iPhone in recovery mode

Previously I explained how you could use an iPhone to add another iPhone or iPad to Apple Business Manager. There is another common task where you no longer need a Mac or PC: restoring iOS on an iPhone in recovery mode.

The process is very simple and only requires an iPhone or iPad running iOS 18.

  • Put the iPhone in recovery mode.
  • You will see a screen titled support.apple.com/iphone/restore showing a computer and USB cable.
  • While in this state, click the side button as fast as possible until the Apple logo appears and starts flashing. Release the button.
  • You will see an animation of two iPhones moving closer to each other. Your iPhone is now in the wireless restore mode.
  • On your other iPhone you will see a pop-up Restore Nearby iPhone
  • Click Continue.
  • Enter the six digit pairing code shown on the other iPhone. The pairing process will take a few moments to complete. The process will fail if your iPhone or iPad are connected to a Wi-fi network with a captive portal or where 802.1x authentication is required.
  • Select System Recovery and tap Continue.
  • Depending on your Internet bandwidth, the process can take time to complete. Be patient and make sure to connect both devices to a charger while the process is running.

So far, I have used this feature to restore an iPhone 16 and an iPad Pro 11″ M4. Apple states that this will work with an iPad mini with an A17 Pro CPU, too. I do not know if this works with older devices, e.g., iPhone 15. I am happy to test if someone sends me the older devices. Regardless, this feature can be particularly useful if you need to restore an iPhone and do not have access to a Mac or PC to complete the restore. Think of scenarios where you have users in a remote location, e.g., branch offices, with limited access to a Mac or PC. If you have successfully tested this process with older devices, I would appreciate your feedback in the comments.

Apple Intelligence per MDM deaktivieren

Apple hat heute iOS 18.4 veröffentlicht. Mit iOS 18.4 ist es nun ohne Umwege möglich Apple Intelligence in Deutschland zu nutzen. Nach einem Update auf iOS 18.4 wird der Nutzer aufgefordert Apple Intelligence einzurichten. Im Unternehmens- und Behördenumfeld wollt ihr Apple Intelligence gegebenenfalls deaktivieren. Dafür müssen die iPhones und iPads per MDM verwaltet sein. Dann könnt ihr den Geräten sogenannte SkipKeys mitgeben. Mit dem SkipKey Intelligence lässt sich die Aufforderung Apple Intelligence einzurichten ausblenden. Diese Aufforderung erscheint direkt nach dem iOS 18.4 installiert wurde und das iPhone oder iPad gebootet hat.

Im BlackBerry UEM müsst ihr dafür ein Custom Payload Profil erstellen. Dort fügt ihr den unten gezeigten XML-Text ein und weist es den Endgeräten bzw. Nutzern zu. Nach dem Update auf iOS 18.4 wird der Nutzer nicht mehr aufgefordert Apple Intelligence einzurichten.

<dict>
<key>SkipSetupItems</key>
<array>
<string>Intelligence</string>
</array>
<key>PayloadDisplayName</key>
<string>Post OS Update Skip Keys</string>
<key>PayloadIdentifier</key>
<string>com.example.mysetupassistantpayload</string>
<key>PayloadType</key>
<string>com.apple.SetupAssistant.managed</string>
<key>PayloadUUID</key>
<string>0dfccedc-e28f-4df5-bca7-a0807deab543</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>

In der IT Policy, auch bekannt als MDM Restrictions, solltet ihr noch folgende Einstellungen deaktivieren damit der Nutzer diese Apple Intelligence Funktionen nicht nutzen kann:

  • Allow Genmoji
  • Allow image playground
  • Allow image wand
  • Allow mail summary
  • Allow personalized handwriting results
  • Allow writing tools
  • Allow external intelligence integrations
  • Allow external intelligence integrations sign-in
  • Allowed external intelligence workspace IDs
  • Allow Mail smart replies
  • Allow Notes transcription
  • Allow Notes transcription summary
  • Allow Safari summary
  • Allow Visual Intelligence summary
  • Allow Apple Intelligence Report

Damit diese Richtlinien und der SkipKey greifen, müssen die iPhones und iPads supervised sein. Eine reine MDM-Aktivierung reicht nicht aus. Die genannten Einstellungen lassen sich auch in anderen MDM-Lösungen vornehmen. Eine direkte Übernahme des oben gezeigten XML-Beispiels wird in der Regel nicht möglich sein. Bei anderen MDM-Lösungen benötigt ihr eine vollständige .mobileconfig-Datei. Für Details müsst ihr in die Dokumentation eures MDM-Herstellers schauen.

Nutzen eure Anwender BlackBerry Dynamics, dann solltet ihr in der BlackBerry Dynamics Policy noch die Einstellung Allow Apple Intelligence in-app writing tools deaktivieren. Mehr muss man nicht tun um Apple Intelligence auf den verwalteten iPhones und iPads zu deaktivieren.

Und wie immer gilt mein Rat: testet eure Apps und Konfigurationen mit iOS 18.4 bevor ihre das Update für eure Nutzer erlaubt.

Es gibt (mal wieder) neue iPads

99% der iPad-Nutzer brauchen genau einen iPad, nämlich den, den Apple iPad nennt. Und der hat jetzt einen neuen, alten Prozessor: A16. Wenn man denn so will, kann man auch einen Pencil dazu kaufen und es funktionieren zwei der vier Modelle, die es gibt: Pencil 1, den man früher mal in den Lightning-Port zum Laden stecken konnte und Pencil USB, der über USB-C geladen wird. Der kann aber keine Druckstufen. Das ist, sagen wir mal so, suboptimal.

Eigentlich braucht man nur den iPad, nackig wie er ist, und natürlich ein USB-Ladegerät, das man vielleicht schon hat. Immerhin sind da 128 GB Speicher drin, auch wieder genug für 99% der Nutzer, die damit Videos gucken oder Fotos, oder sich anderweitig im Internet doom-scrollen.

Wem das iPad zu groß ist, der kann sich auch ein iPad mini kaufen, das kostet mehr, hat einen kleineren Bildschirm und mit dem A17 Pro einen neueren Prozessor. Ich verstehe nicht, warum Apple dem flammneuen iPad, also dem normalen, nicht ebenfalls diesen Prozessor verpasst hat.

Wer gerne mehr Geld ausgeben will, kann einen iPad Air kaufen. Der kam bisher mit einem M2- und hat nun einen M3-Prozessor. Apple sagt nicht, wieviel besser der als der M2 ist, aber doppelt so schnell wie der M1 soll er sein, der nach meiner Erfahrung bereits unfassbar schnell ist. Die Allesschonvorherwisser haben vorausgesagt, dass Apple einen M4 einbaut, aber das hat Apple wohl nicht gehört.

Wer noch mehr Geld ausgeben möchte, der kann dann den iPad Pro kaufen, der hat dann wirklich den M4 und einen OLED-Screen. Wir sind immer noch bei der gleichen Größe (11″). Nur bei den Stiften wird es etwas unübersichtlich: Da gibt es noch den Pencil Pro und es gab den Pencil 2, der mit den früheren iPad Pro M1 und M2 funktionierte, aber nicht den neuen.

Sie sehen, ich verliere da etwas den Überblick und ich habe noch gar nicht mit den verschiedenen untereinander inkompatiblen Keyboards angefangen. Dort wird die Lage komplizierter, weil es ja von iPad Air und iPad Pro auch noch zwei Größen (11″ und 13″) gibt.

Aber wie eingangs festgestellt, ist es für 99% der Nutzer ganz einfach. 399 Euro und nicht in die Preisspirale hineinziehen lassen. Wem 64 GB nicht zu knapp sind, der kann noch mal was sparen. Der Caschy hat mich zurecht darauf hingewiesen, dass der flammneue iPad auch kein Apple Intelligence kriegt. Naja, braucht man ja auch für Videos und Fotos und Doom-Scrollen nicht. 😇

How to manually add an iPhone to Apple Business Manager

Apple allows you to fully automate the MDM enrollment process for most of their devices using Automated Device Enrollment (ADE). In combination with the MDM, ADE allows you to customise and automate the device activation process without the need for an administrator to ever touch the device. To use ADE with your MDM of choice, the devices have to be purchased through an authorized reseller. The reseller can then add the devices to your Apple Business Manager (ABM) instance. There you can then assign them to your MDM servers. For devices that you already own or which were not purchased through a reseller that can add the devices to your ABM instance, there is a manual way to add them. The manual approach requires the use of Apple Configurator – either on an iPhone or Mac. The following steps describe how you can add an iPhone to ABM using another iPhone. It works exaclty the same when you want to add an iPad. I find these steps much easier than using a Mac to add a device to Apple Business Manager.

What you need to prepare and have ready before you begin

Before you begin, make sure to install Apple Configurator on your iPhone and login with your ABM account. After the login you should be presented with the below view. Notice the view finder in the center of the screen. We will use this view finder later on to scan the enrollment code.

Preparing Apple Configurator

  • Tap on the cogwheel in the lower left corner
  • Make sure the “Share Wi-Fi” is selected
  • Make sure that “None” is selected under “MDM SERVER ASSIGNMENT”
    • We will assign the device to the correct MDM server instance later
  • Tap on “Done” in the top left corner

Adding the iPhone to Apple Business Manager

  • Now get the iPhone or iPad you want to add.
  • Turn on the iPhone and swipe up on the “Hello” Screen
  • You will be presented with the language selection screen
  • Continue the OOBE (out of the box experience) setup until you get to the Quick Start screen. There you will have to tap on Set Up Without Another Device
  • Continue with the OOBE setup until you get to the Choose a Wi-Fi Network screen
  • Now get the iPhone where you have previously installed Apple Configurator. When iPhone is in proximity, the screen on the device you want to add, should change to the below view.
  • Make sure to position the image in the frame of the Apple Configurator to initiate the enrollment process into Apple Business Manager
  • The enrollment process will beginn immediately
  • Leave the iPhone with Apple Configurator open, unlocked and next to the device you are adding. If you close Apple Configurator to soon, the enrollment process will fail and you will have to repeate the whole procedure.
  • When the enrollment process is finished, you will get the below screen showing that the iPhone was added to your ABM instance. Please tap on Erase iPhone to complete the enrollment to your ABM instance

You can now login to your ABM and assign the device to your MDM server instance.

Apple Private Relay causing mail delivery issues

A few months ago, a customer reached out to me and reported that their users running iOS 18 on their iPhones and iPads were seeing an issue where they would not get push notifications for new mails. Unlike with iOS 17, the Mail app would not have fetched emails in the background. Users would have to open the Mail app to update their inbox.

All customer devices affected were running iOS 18 and enrolled to BlackBerry UEM. As the Exchange server is behind the firewall, we used Per-Account VPN to reach the users mailboxes. The VPN tunnel was configured to only allow access to the Exchange server as this was all we need for the mail profile to send and receive messages.

In our test environment we were unable to reproduce the issue. Activating the same device against the customer’s environment immediately showed the issue. As there were multiple variables, MDM, VPN setup, customer’s network, Exchange server configuration, the troubleshooting continued for a few weeks. The actual root cause could not be identified.

About two weeks ago, I was told that Apple’s Private Relay feature might causing the problem. Initially I ruled this out as a cause because none of the customer devices had Private Relay enabled. Apple documents which servers need to be reached for Private Relay to work: mask.icloud.com & mask-h2.icloud.com. I was told that mail delivery for IMAP mailboxes on iOS 18 can be delayed if these two host names cannot be resolved or reached.

  • Could it be that the Mail app is trying to reach these two hosts while Private Relay is disabled?
  • Could this be the cause for Exchange ActiveSync Push Notifications not working in my customer’s setup?

To test this theory, I prepared my test environment. To rule out any issues with the MDM setup, I worked with a manually added Exchange mailbox. For the VPN, I opted for a different solution than my customer. I used a device-wide VPN instead of a Per-Account VPN. This allowed me to simplify my testing a bit. I made sure that these two Private Relay hosts are reachable on my network. I sent multiple emails, and all were instantly delivered, and I got notifications for these emails.

I then repeated my testing with the two Private Relay hosts blocked. I would not get any push notifications for new e-mails. When opening the Mail app, it took very long for the messages to be downloaded to the device. It looked like the Mail app had to run into a timeout before it would fetch the emails from the Exchange server.

A second and third round of testing confirmed the results. With the two hosts mask.icloud.com & mask-h2.icloud.com blocked, no push notifications would appear on the device. For all my tests I kept Apple’s Private Relay feature disabled in the iOS settings. I did all my testing on a device with iOS 18.2.1. I did not test if this issue is fixed with iOS 18.3, which was released today.

Today I shared this finding with my customer. After they updated their VPN configuration and made sure that the Per-Account-VPN tunnel can reach the two Apple Private Relay hosts, the issue disappeared and the Mail app worked as expected. Push Notifications were delivered instantly and messages would be downloaded in the background. Finally, we can close this issue.

I know that Per-Account-VPN for Exchange mailboxes is not that common, especially with many organizations already on Exchange Online. Keep in mind that this issue was not caused by the Per-Account-VPN configuration, it only appeared in that specific setup. The VPN tunnel had only a limited set of hosts it was allowed to reach. There is a high chance that you will notice the same issue if mask.icloud.com and mask-h2.icloud.com are not reachable on your network, regardless of if VPN is used or not. It is not an issue occurring only with Microsoft Exchange mailboxes. This issue can also appear when accessing an IMAP mailbox while the device is on a network where the two hosts are blocked.

[Addendum, vowe] If you use Pihole, make sure you whitelist the two mask domains.

Mirror your iPhone screen to your Keynote presentation

This week I have learned a new trick with Keynote on macOS. Using the Live Video feature you can mirror the screen of an iPad or iPhone into your presentation slides.

To use the screen mirroring in Keynote, open an existing presentation or create a new one. From the menu bar select Insert-> Live Video. By default your Facetime camera will be added to the slide deck. To change view to your iPhone or iPad screen, make sure that your device is connected to your Mac using a USB C or Lightning cable. The cable that shipped with your device is sufficient for this to work. On the right side of the Keynote window, click on the plus sign next to Live Video Sources. Give the source a name, e.g., iPhone. Select the connected iPhone or iPad from the drop down list. Click on Add. Your iPhone or iPad screen should now be mirrored to your slide deck as shown below. To make the mirrored device look like the real device, you can overlay the screen mirror with the actual device frame. During your next presentation you can now show the live screen of your iPhone or iPad without the need to leave your presentation. I think this approach can be much more convenient than switching to QuickTime or a third-party app to show your device screen during a presentation.

Bonus tip: You can also use this to mirror your Apple Watch screen. On your iPhone navigate to Settings-> Accessibility-> Apple Watch Mirroring and turn on the mirroring feature.

Collect sysdiagnose logs using AssistiveTouch

When troubleshooting issues on iPhones or iPads, it can be helpful to collect sysdiagnose logs. To get the device to collect these types of logs, you must simultaneously press both volume buttons and the side or top button, depending on the iPhone or iPad model you have. When the device vibrates for a brief moment, the log collection was triggered successfully. It can be very trick to get the button pressing right. There is a much easier way to trigger sysdiagnose log collection. You can use AssistiveTouch to simplify the process.

  • Go to Settings-> Accessibility-> Touch-> AssistiveTouch.
  • Turn on the switch for AssistiveTouch. Your device will now display a bright button on your screen (not shown in the screenshots).
  • Under Custom Actions tap on Single-Tap.
  • Select Analytics from the menu list
  • Tap on the AssistiveTouch button shown on the device screen to trigger the log collection.

Your device will display a message (second device screen) that it is gathering analytics. The log collection will take about ten minutes to complete. When the log collection is completed, another message will be displayed (third device screen). You can then collect the logs from Settings-> Privacy & Security-> Analytics & Improvements-> Analytics Data. The log files you want always start with the name sysdiagnose_. As the log files are usually a few hundred Megabytes in size, I recommend sending them via AirDrop to your Mac for further analysis. Thank you, Markus B. for reminding me of this feature.

For extended logging, Apple provides debug profiles. Usually, Apple support or the software vendor will tell you when it is necessary to install these debug profiles.

Quick fix for slow iOS update downloads

When new iOS updates are released, it can happen that even small updates take exceptionally long to download. In my experience the easiest fix to speed up the download is to delete the partially downloaded update and start the software update again. To delete the update in progress, navigate to Settings-> General-> iPhone Storage. Scroll down to the list of apps. There you should have an entry for the iOS update, e.g., iOS 18.1.1. Open that entry and tap on Delete Update as shown in the screenshot. Go back to Settings-> General-> Software Update to start the download again. This time the download should happen much faster. The same fix will work on your iPad, too.

Share Wi-Fi passwords

Apple devices have this neat feature to share Wi-fi passwords with other Apple devices, e.g., iPhone, iPad and Mac. With iOS 18 Apple introduced an easier way to share Wi-Fi credentials even outside the Apple ecosystem, e.g., with Android smartphones. Within the Passwords app you can display a QR code that can be used by any other device to join a Wi-Fi network. Open the Passwords app on your iPhone, navigate to the Wi-Fi section. The Wi-Fi network you are currently connected to is shown at the top of the list. All other Wi-Fi networks your device has saved, are shown in alphabetical order. Search for the Wi-Fi network you want to share and open that entry. Tap on Show Network QR Code. Scan the QR code with the camera app of the Android smartphone and the device will join the Wi-Fi network. The QR code can be used by Apple devices, too.

Passwords app on an iPhone showing the QR code for a Wi-Fi network

Note: Wi-Fi networks that do not require a password or have other means of authentication, e.g., WPA2 Enterprise, will not have the Show Network QR code option in the Passwords app.

Per-App-VPN-Profil für die Nutzung mit Apple indigo erstellen

Das Thema Apple indigo ist sicherlich einigen bekannt. Ich hatte vor einiger Zeit hier darübergeschrieben. Da es für die notwendigen Konfigurationseinstellungen nur wenig öffentliche Dokumentation gibt, möchte hier beginnen diese Dokumentation zu erstellen. Da einer der wesentlichen Komponenten einer Apple Indigo-Lösung das VPN ist, beginne ich mit der Dokumentation zur Erstellung des VPN-Profils. Ich zeige, wie ihr am BlackBerry UEM ein passendes VPN-Profil erstellen könnt. Dieses VPN-Profil kann dann dazu genutzt werden, um auf Ressourcen und Dienste im internen Netz zuzugreifen. Dieses VPN-Profil ist für die Nutzung mit BlackBerry UEM in einem Brightsite-Setup gedacht. Auf das VPN-Profil für eine Darksite-MDM-Installation gehe ich nicht ein, weil praktisch keine Organisation bei Apple indigo auf ein Darksite-MDM setzen möchte. Darksite-MDM für Apple indigo bringt einfach zu viele Nachteile und praktisch keine Vorteile.

  1. In der UEM-Konsole unter Richtlinien und Profile-> Netzwerke und Verbindungen->VPN wird über das Plus-Symbol ein neues VPN-Profil angelegt
  2. Im Feld Name muss der Name für das VPN-Profil vergeben werden, z.B. indigo_VPN_Profil
  3. Bei den Gerätetypen ist nur die Auswahlbox für iOS auszuwählen
  4. In der Auswahlliste Verbindungstyp muss IKEv2 ausgewählt werden
  5. Unter Remote-Adresse muss der FQDN des VPN-Gateways eingetragen werden, z.B. vpngw.boui.de
  6. Für Lokale ID wir der VPN-Benutzername benötigt. Da das Profil für mehrere Nutzer verwendet werden soll, tragen wir hier eine Variable ein. Das kann z.B: %username% sein.
  7. Für die Remote-ID wird wieder FQDN des VPN-Gateways eingetragen. Je nach VPN-Lösung muss hier gegebenenfalls ein anderer Wert eingetragen werden
  8. In der Auswahlliste Authentifizierungstyp muss Benutzeranmeldeinformationen ausgewählt werden.
  9. In der Auswahlliste Verknüpftes Profil für Benutzeranmeldeinformationen muss das zuvor angelegte Profil für Benutzeranmeldeinformationen ausgewählt werden. In unserem Beispiel heißt das Profil indigo_VPN_Zertifikat.
    Hinweis: Im Kontext von indigo darf das VPN-Zertifikat nicht über den MDM-Kanal auf das Endgerät gepusht werden. Das VPN-Zertifikat kann z.B. über ein sicheres, internes Netz (Wifi oder Ethernet) über den Safari-Browser auf das Gerät installiert werden.
  10. Den Wert für Keep-alive-Intervall muss auf 10 Minuten gesetzt werden.
  11. Die Haken für MOBIKE deaktivieren und IKVEv2-Umleitung deaktivieren bleiben abgewählt
  12. Der Haken für Perfekte Geheimhaltung bei der Weiterleitung aktivieren muss gesetzt werden
  13. Die Option NAT-Keep-alive aktivieren wird eingeschaltet und der Wert 110 gesetzt
  14. Die Haken für Interne IPv4- und IPv6-IKEv2-Subnetze verwenden, Zertifikatwiderrufprüfung aktivieren und Fallback aktivieren bleiben entfernt
  15. Der Haken für Untergeordnete Sicherheitszuordnungsparameter anwenden wird gesetzt und die Werte wie folgt konfiguriert
    • DH-Gruppe: 19
    • Verschlüsselungsalgorithmus: AES-128-GCM
    • Integritätsalgorithmus: SHA2 256
    • Schlüsseländerungsintervall: 1440
  16. Der Haken für IKE-Sicherheitszuordnungsparameter anwenden wird gesetzt und die Werte wie folgt konfiguriert
    • DH-Gruppe: 19
    • Verschlüsselungsalgorithmus: AES-128
    • Integritätsalgorithmus: SHA2 256
    • Schlüsseländerungsintervall: 1440
  17. Der Wert für MTU kann bei 1280 bleiben
  18. Da wir das Profil für Per App VPN und Per Account VPN nutzen wollen, muss der Haken für Enable per-app VPN gesetzt werden.
  19. Da Safari bei indigo nicht über den VPN-Tunnel auf interne Ressourcen zugreifen darf, dürfen keine Safari Domains eingetragen würden. Das gleiche gilt für die anderen Domain-Listen.
  20. Der Haken für Allow apps to connect automatically muss gesetzt werden.
  21. In der Auswahlliste Traffic Tunneling muss der Wert Application layer ausgewählt werden
  22. Über den Button Hinzufügen wird das neue VPN-Profil gespeichert.
  23. Das fertige VPN-Profil sollte dann wie folgt aussehen

Configure certificate-based VPN authentication in BlackBerry UEM for iPhones and iPads

If you want to use IKEv2-based VPNs for per Account and per App VPN and require certificate-based authentication, I will explain the required steps to make use of this in BlackBerry UEM. The below configuration assumes that the VPN username and actual username are different, e.g., vpnuser001@boui.de is the VPN username and abdelkader@boui.de is the username. The certificate for the VPN authentication is issued to the VPN username.

  1. Enable the use of custom variables in BlackBerry UEM. We will need this later on as this gives us a simple way to map the VPN certificate to the actual user account.
    • Login to the UEM console
    • Navigate to Settings-> General settings-> Custom variables
    • Enable the checkbox “Show custom variables when adding or editing a user”
    • For the variable %custom1% set the label to vpn_user_iphone
    • For the variable %custom2% set the label to vpn_user_ipad

    • It is necessary to differentiate between iPhone and iPad VPN accounts as in my setup I need to use one VPN certificate per device.
    • Click on Save.
  2. Configure the custom variables in user account
    • Navigate to Users-> All Users in the UEM console
      • Search for the user account you want to modify and open the user view
      • Click on the Edit button in the top right corner
      • In the new view navigate to the bottom and expand the section Custom variables. Enter the VPN username for the iPhone and iPad, respectively.

      • Click on Save.
  3. Create the two user credential profile – one for iPhones and one for iPads
    • In the UEM console navigate to Policies and profiles-> Managed devices-> Certificates-> User credential
    • Click on the plus symbol to create a new user credential profile
    • In the name field enter the name for the profile, e.g. vpn_user_iphone_certificate
    • In the drop-down list for Certificate authority connection select Manually uploaded certificate
    • Disable the checkboxes for macOS and Android
    • Click on Add to save the profile
    • Repeat the previous steps and create the user credential profile we will use with for the iPads, e.g., vpn_user_iphone_certificate
  4. Create the IKEv2 VPN profile
    • In the UEM console navigate to Policies and profiles-> Managed devices-> Networks and Connections-> VPN
    • Click on the plus symbol to create a new VPN profile
    • In the field Name enter a name for the profile, e.g., iphone_vpn_profile
    • As we will use the VPN profile only for iPhones and iPads, you can disable the checkboxes for macOS, Android and Windows
    • In the drop-down list Connection type select IKEv2
    • For Remote address enter your VPN gateway FQDN, e.g., vpngw.boui.de
    • For Local ID enter %custom1%
    • For Remote ID enter the remote ID of your VPN gateway, e.g., vpngw.boui.de
    • In the drop-down list Authentication type select User credential
    • We will get a new drop-down list named Associated user credential profile. Select the user credential profile we created for iPhones. In our case it is named vpn_user_iphone_certificate. This selection now gives us the mapping between the custom variable we have entered in Local ID and the VPN certificate, which we will assign to the user further down in this guide.
    • Confirm that Enable per-App VPN and Allow apps to connect automatically are enabled.
    • It is optional to add any domains. We will skip that for now.
    • In the drop-down list Traffic tunnelling confirm that Application layer is selected
    • All other settings depend on the requirements of your VPN solution. Configure the remaining as required.
    • Click on Add to save the VPN profile.
    • Open the newly created VPN profile and click on the Copy VPN profile button in the top right corner
    • You only need to change two values – the profile name and the Local ID
    • For the profile name we will use vpn_profile_ipad
    • For the Local ID we will change the value to %custom2% as this is the custom variable we are using for our setup to authenticate the iPad
    • All other settings will remain the same.
    • Click on Save to save to copied profile
    • The two newly created VPN profiles should look like the below screenshot
  5. Assign the user credential profiles to the user
    • To make easier user of the user credential profiles, I have created two user groups in BlackBerry UEM – one for iPhone users, one for iPad users
    • The user credential profiles we created, are assigned to the respective group as shown in the below screenshot, e.g., the iPhone user credential profile is assigned to the iPhone user group and the iPad user credential profile is assigned to the iPad user group
    • Our test user is member of both groups
    • We are now have the option to add the two certificates to the user
    • In our setup we have two VPN user certificates – one issued to vpn001@boui.de for the iPhone and the other issued to vpn002@boui.de to be used with the iPad. We will add the certificates to user by click on Add a certificate. We will be prompted for the password of the private key when we upload it to the UEM server. Make sure you have the relevant passwords at hand when adding the certificates. After the certificates were successfully added, the view should be like the screenshot shown below


Our VPN setup in BlackBerry UEM is now completed. As we are differentiating between iPads and iPhones, I would recommend doing the app assignment, to use per App VPN, and mail profile, for the per Account VPN, through device groups. If you are planning to use per Account VPN in the email profile, you will require one mail profile per device type. For a simple setup, set the device query in the device group to Model Starts with iPhone and scope the device group to the iPhone users’ group. For the iPad group change the value to Model Starts with iPad and modify the user groups scope to the iPad users. When assigning the apps to the device groups, make sure to use the correct VPN profile.

The screenshot below shows the device group setup for iPhone and configured with an email profile and the app SecuFOX to use the per App VPN tunnel. The per Account VPN configuration for the email profile is not shown in the screenshot. You can add additional profiles and apps to the device group as required.

iPhone season is getting closer

In a few weeks’ time Apple will launch new iPhones and a new OS version: iOS 18. We should also see an iPadOS 18 update. As usual, many users will immediately jump onto the new iOS version as soon as it is available to the public. If you are an organisation that issues iPhones and iPads to their end users through Apple Business Manager and an MDM solution, I would recommend to not immediately do the upgrade to the new iOS version. Through your MDM solution Apple allows you to delay the update on supervised devices for up to 90 days. This gives you ample time to test all your business applications and confirm that they work properly with iOS 18 and iPadOS 18. When the tests are finished successfully, your users can safely do the upgrade to iOS 18 and iPadOS 18. And you can rest assured that you will not be flooded with support requests related to the upgrade.

My recommendation is to delay the updates for 30 days and then go through your test plan. Should you encounter issues during the testing that need to be addressed by Apple, your MDM supplier or any 3rd party app developer, you can easily extend the 30 days as required and work on having the issues resolved.

With BlackBerry UEM delaying the software updates is easy and simple. All you need to do is modify the IT policy assigned to your users or their devices and enable “Delay software updates (supervised)” and set a value for “Software update delay period (supervised only)”. The screenshot below shows an “IT Policy” with the delay enabled for 30 days. Other MDM solutions usually give you similar options to configure the software update delay. Good luck with your testing!

Requirements for Apple software updates

Most of my customers who are issuing smartphones and tablets to their employees, usually give their users iPhones and iPads. As I have outlined in my previous post, a big challenge is to keep these devices up to date. I often get asked which requirements need to be met for the OS software updates to be done automatically or manually by the user. Until recently, there was not much public information from Apple on this topic for iOS and iPadOS devices. This support article was recently updated by Apple and now includes helpful details on the criteria that need to be met for the iOS updates to work, e.g. network requirements and power requirements. For a user-initiated update, the device needs to have a battery percentage of at least 20%. Rapid Security Response updates can be installed while the battery percentage is at 5% and the device is connected to power. If you are managing iPhones and iPads, I recommend you to read the support article. Previously most of the information was only available on Apple’s AppleSeed portal and covered under NDA.