Microsoft Endpoint – Intune iOS Single App Kiosk Mode

Auf Grund einer Anforderung sollen full managed Apple iPads so in MS Intune / Endpoint Manager konfiguriert werden, dass nur eine App startet, die ins Internet / Wlan darf, jedoch keine weitere Apps starten lässt oder die Konfiguration des Anwenders verändert werden kann.

Das klingt stark nach dem Single App Kiosk Mode den Microsoft in Intune ermöglicht. Kurze Anmerkung, der Multi App Kiosk Mode ist nur unter Android Enterprise möglich. Die iPads werden über den Apple Business Manager verwaltet und in Intune synchronisiert. Das iPad bzw. iPhone wird so eingerichtet, dass zur Freischaltung ein Passcode eingegeben werden muss.

Nachfolgend die groben Schritte zur Einrichtung eines Single App Kiosk Mode für iOS Devices, hier iPad, in Intune. Voraussetzung sind die notwendigen Rechte / Rollen im Azure zur Verwaltung und Einrichtung in Azure und Endpointmanager.

Setup Intune Single App Kiosk Mode – Steps

1. Intune Enrollment
2. Azure Dynamic Security Group erstellen
3. iPad / Device / Gerät / mobile Device hinzufügen
4. iOS/iPad OS Configuration profile hinzufügen
5. iOS/iPad OS App zuweisen / installieren

1. Intune Enrollment Profil erstellen

Das Enrollment Profil wird benötigt, damit die Geräte für den Kiosk Mode getrennt von den anderen Standardgeräten verwaltet werden kann.

• Home -> Devices -> Enroll devices -> Apple enrollment -> Enrollment program tokens
• hier sollte bereits ein Enrollment program tokens vorhanden sein, oder es muss einer eingerichtet werden
• entsprechend auf den Token Name, die Zeile klicken
• dann auf Profiles und auf “Create profile” für “iOS/iPadOS” klicken

Nachfolgen eine Konfiguration die ich zum testen genutzt hatte. Bitte falls notwendig auf die eigenen Bedürfniss anpassen und ggf. auch deren Bedeutung nachschlagen. Für den weiteren Verlauf sind die in fett markierten Zeilen, Name und Device Name Template, wichtig. Der Name wird für die dynamische Zuweisung der Geräte in der AD-Gruppe benötigt. Und das Device Name Template zum einen für eine bessere Orientierung in Intune und für ….

Basics

Name: iOS – Enrollment Profil Kiosk Mode
Description: Enrollment Profile for Apple Devices in Kiosk Mode
Platform: iOS/iPadOS

Management Settings

User Affinity & Authentication Method
User affinity: Enroll without User Affinity
Management Options
Supervised: Yes
Locked enrollment: Yes
Shared iPad: No
Sync with computers: Deny All
Device Name
Apply device name template (supervised only): Yes
Device Name Template: KIOSK-{{SERIAL}}
Cellular data plan (preview)
Activate cellular data: No

Setup Assistant

Department: MDM Support
Department Phone: XXX
Setup Assistant Screens
Passcode: Show
Location Services: Show
Restore: Hide
Android Migration: Hide
Apple ID: Hide
Terms and conditions: Show
Touch ID and Face ID: Show
Apple Pay: Hide
Zoom: Hide
Siri: Hide
Diagnostics Data: Hide
Display Tone: Hide
Home Button: Show
Privacy: Show
iMessage & FaceTime: Hide
Onboarding: Show
Screen Time: Hide
SIM Setup: Show
Software Update: Hide
Watch Migration: Hide
Appearance: Hide
Device To Device Migration: Show
Restore Completed: Show
Software Update Completed: Show
Get Started: Show

2. Azure Security Group erstellen

Die Gruppe kann entweder im Azure AD erstellt werden, oder gleich in Intune.

• Hierzu rechts im Endpoint Manager auf Groups klicken.
• Hier auf New Group klicken und
• als Group type “Security” auswählen
• Group name einen aussagekräftigen eintrasgen
• bei der Group description eine gute Beschreibung hinzufügen
• und als Membership type “Dynamic Device” auswählen

• Nun noch den Owner eintragen, also man selbst, muss aber nicht.
• Entscheidend ist nun die dynamische Zuweisung unter “Add dynamic query”. Um das nicht gelistete Propery “enrollmentProfileName” hinzufügen zu können, rechts auf “Edit” klicken und folgendes eintragen:

(device.enrollmentProfileName -eq "iOS - Enrollment Profil Kiosk Mode")

Fertig sieht es so aus:

Wichtig hier ist der ProfileName, den ich im ersten Schritt als neues Enrollment Profil definiert habe. Du kannst deinen eigenen verwenden.

3. iPad / Device / Gerät / mobile Device hinzufügen

Als nächstes ist es möglich das erste oder alle Geräte dem zuvor erstellten Enrollment Profil hinzuzufügen. Voraussetzung ist, dass diese bereits über z.B. dem Apple Business Manager ausgerollt und mit Intune synchronisiert wurden, sonst finden wir sie gleich nicht.

• unter Home -> Devices -> Enroll devices -> Apple enrollment -> Enrollment program tokens das neu erstellte Enrollment Profil ” anklicken
• links im Menü auf “Assign devices” klicken, dann auf den Button “+ Add Devices” klicken
• aus der Liste der vorhandenen Geräte nun das passende anhand der Seriennumer hinzufügen

• die Geräte sind links im Menü unter “Assigned devices” zu finden

4. iOS/iPad OS Configuration profile hinzufügen

Die App die als Single App im Kiosk Mode konfiguriert werden soll ist hier im Beispiel der MS Edge Browser. Die App wurde zuvor über den Apple Business Manager bereit gestellt und in Intune konfiguriert, ist ein anderes Kapitel :).

• Home -> Devices -> iOS/iPadOS devices -> Configuration profiles anklicken
• nun ein neues mit “Create profile” als “Templates” und Device Restrictions erstellen

• hier nun einen aussagekräftigen Namen wie z.B. “iOS – Device Restriction – Kiosk Mode – MS Edge” und eine Description eingeben.
• wichtig ist nun unter “Include groups” die zuvor erstellte Azure-AD security Group anzugeben
• der Abschnitt “Kiosk” ist der den ich wie folgt konfiguriert habe:
• App to run in kiosk mode: Managed App
• Select an app to use for kiosk mode: com.microsoft.msedge
• Hier ggf. die Feineinstellungen wie , AsisstiveTouch, Audio, Voice, Zoom etc. nach eigenem gusto konfigurieren

5. iOS/iPad OS App zuweisen / installieren

Damit nun auch noch die App auf das Apple iPad kommt muss diese zugewiesen werden. Die App selbst wurde zuvor bereits für alle anderen Geräte konfiguriert und zugewiesen. Somit muss dieser App Konfiguration nur noch die oben erstellte Device Gruppe als “Required” hinzugefügt werden.

• Home -> App -> iOS/iPadOS apps -> Microsoft Edge suchen und anklicken
• unter Properties das “Assignments” bearbeiten anklicken und als Required die obige Azure-AD Gruppe als hinzufügen (bei mir ohne Filter mode und Filter und als License type = Device, Uninstall on device removal = Yes und Install as removable = Yes)

Das ist es im groben. Alle anderen Einstellungen müssen dann je nach Anforderung oder Umgebung angepasst oder hinzugefügt werden. Ggf. die obige Gruppe in bereits vorhandenen Konfigurationen aufnehmen.

Wenn nun das iPad gestartet wird, dann wird es der Konfiugration entsprechend ausgerollt und von Hand eingerichtet. Die Funktion als Kioskmode hat nach dem ausrollen ca. 10-15 Minuten gedauert, dann wurde die App installiert und im Kiosk-Mode gestartet.

Update iOS auf iOS / iPad OS im Single App Kiosk Mode

Im Betrieb fiel mir nun auf, dass die Apple iOS / iPad OS Updates nicht installiert werden. Das Problem ist nun ja, dass man außer der App, nichts auf dem Gerät öffnen oder Dialoge bestätigen kann. Somit wird das Update auch nicht angezeigt und man kann es auch nicht bestätigen oder halt ablehnen / verschieben.

Die einzige Lösung ist es wohl und sieht es wohl auch Microsoft:

• temporär den Single App Kiosk Mode zu deaktivieren / entfernen
• dann das Update installieren
• nach dem erfolgreichen iOS / iPad OS Update den Single App Kiosk Mode wieder aktivieren

Weitere Infos zu MDM und Apple Updates: Use MDM to deploy software updates to Apple devices – Apple Support

Thats it … Have Fun!