Eugenio Marongiu - Fotolia

Eine kurze Einführung in Apple Mobile Device Management

Für eine verbesserte Kontrolle baut Apple MDM-Funktionen (Mobile Device Management) in seine Geräte ein. Profile Manager ist eines dieser Tools.

Für Apple gilt, dass Mobile Device Management (MDM) einfach sein muss. Die in iOS enthaltenen Leistungsmerkmale erlauben es Administratoren, die Geräte der Anwender zu kontrollieren, gegen Bedrohungen zu verteidigen und die Betriebskosten zu senken. Dafür ist so wenig Aufwand wie möglich erforderlich.

Um das Versprechen der Einfachheit zu erfüllen, können Administratoren Tablets und Smartphones managen, die entweder dem Unternehmen oder dem Anwender gehören. Dafür setzt die Firma auf die Cloud oder auf Installationen am eigenen Standort. Seit iOS 7 können Administratoren die Anwendergeräte am MDM aktiv registrieren und müssen nicht darauf vertrauen, dass die Anwender das selbst erledigen.

Werfen wir einen Blick auf die Tools von Apples Mobile Device Management, inklusive Profile Manager und Apple Configurator. Im Anschluss können wir bewerten, wie gut Apple das Versprechen der Einfachheit einhält.

Was ist der Apple Profile Manager?

Profile Manager ist eine Anwendung für Mac OS X Server. Damit können Administratoren Richtlinien für Macs und iOS-Geräte mithilfe von Anwenderprofilen festlegen und durchsetzen. Administratoren können Profile Manager verwenden, um damit die Menge an Daten und Bandbreite einzusehen, die jedes Gerät nutzt. Weiterhin sind Informationen zu Lizenzen von Anwendungen und VPN-Verbindungen abrufbar. Die IT-Abteilung hat außerdem die Möglichkeit, Self-Service zu aktivieren. Das gilt zum Beispiel für Aufgaben wie das Passwort-Management. Weiterhin dürfen Administratoren festlegen, dass Nutzer bestimmte Funktionen von iOS nicht nutzen können. Dazu gehören iCloud und AirDrop. Ein entferntes Sperren oder ein Remote Wipe ist ebenfalls möglich.

Nachteilig bei Profile Manager ist, dass es keine Unterstützung für Geräte gibt, auf denen das Betriebssystem iOS nicht installiert ist.

Auf welche Weise bekommen die Anwender die Konfigurationsprofile und was ist mit diesen Profilen möglich?

Die Konfigurationsprofile von Apple sind XML-Dateien. Anwender können sie deswegen recht einfach auf Ihre Geräte installieren. Entweder überträgt der Nutzer sie via E-Mail-Anhang, mithilfe von USB oder durch einen Link auf einer Website. Möglich ist auch, dass die Administratoren die Geräte mit einem Server verbinden und die Profile selbst einspielen. Dafür käme dann das Protokoll für iOS MDM zum Einsatz.

Sobald ein Gerät registriert ist, haben die Administratoren mehrere Möglichkeiten. Sie können das Gerät sperren, alle Daten löschen (Remote Wipe), Passwörter zurücksetzen und so weiter. Profile lassen sich auch in kleinere Sektionen unterteilen. Somit ist es möglich, eine spezielle Gruppe existierender Einstellungen an andere Anwender oder Geräte zu verteilen. Die Profile separieren außerdem persönlichen Daten und die des Unternehmens bis auf App-Niveau. Auf diese Weise darf die IT-Abteilung entscheiden, welche Unternehmensdaten sich mit welchen Apps teilen oder verwenden lassen. Weiterhin kann der Administrator Apps, Inhalte und Konten auf das Gerät spielen. Sobald ein Gerät nicht mehr länger beim MDM registriert ist, werden alle Unternehmensinformationen automatisch gelöscht. Anwender müssen sich aber keine Sorgen machen, weil das Löschen die persönlichen Daten nicht betrifft.

Was ist der Apple Configurator?

Den Apple Configurator kann jeder kostenlos aus dem Mac App Store herunterladen. Administratoren können damit bis zu 30 verschiedene Geräte gleichzeitig konfigurieren. Apple Configurator bietet drei Optionen. Beim Geräte vorbereiten (Prepare Devices) erstellen die Administratoren die Konfigurationen für jedes Gerät und weisen sie den Geräten zu.

Die nächste Option nennt sich Betreuung für Geräte starten (Supervise Devices). Ist Supervise aktiviert, dann hat die IT-Abteilung die komplette Kontrolle über das Gerät. Das ist ideal, wenn sich mehrere Anwender mehrere Geräte teilen. Geräte zuweisen (Assign Devices) erlaubt es den Administratoren, überwachte oder kontrollierte Geräte an Anwender auszugeben. Die Anwenderprofile lassen sich außerdem sichern. Sobald ein Mitarbeiter das nächste Mal ein gemeinsam genutztes Gerät verwendet, hat er Zugriff auf seine Daten.

Welche MDM-Funktionen sind in Geräte von Apple eingebaut?

Apples eingebaute MDM-Frameworks erlauben es Administratoren, die Anwenderkonten zu verwalten und Informationen über die Gerätenutzung zu sammeln.

Das Device Enrollment Programm (DEP) gilt für Geräte, die qualifizierte Organisationen direkt von Apple beziehen. Damit erhält das Unternehmen auch die Grundlagen für Apples Mobile Device Management, ohne dafür ein Produkt eines Drittanwenders zu benötigen. Sollten sie sich für ein MDM-Produkt eines Drittanbieters entscheiden oder auf Apples eingebaute MDM-Frameworks setzen, können Administratoren DEP verwenden, um Anwendergeräte automatisch zu registrieren. IT-Administratoren erstellen einfach ein DEP-Konto und konfigurieren die Einstellungen für das Gerät vor. Sobald die Anwender ihr Gerät zum ersten Mal in Betrieb nehmen und aktivieren, dann werden diverse Anwendungen limitiert und andere installiert. Das DEP schickt ebenfalls automatische Profilinformationen an das Gerät des Anwenders.

Wie können Administratoren die Daten selbst kontrollieren?

Bei einem guten MDM-Produkt können IT-Administratoren speziellen Anwendern und Apps Datenzugriff gewähren, für andere wiederum limitieren. Gleichzeitig lassen sich die restlichen Daten auf dem Gerät Verschlüsseln. Das gilt auch für Daten, die gerade übertragen werden. Managed Open-in hilft Administratoren sicherzustellen, dass Unternehmensdaten innerhalb den von der IT-Abteilung genehmigten Apps bleiben. Um das Maximum aus MDM und Open-in zu holen, können Administratoren die beiden koppeln. Auf diese Weise lassen sich bestimmte Apps für die Verwendung freigeben (Whitelist) und andere sperren (Blacklist), die als gefährlich eingestuft werden.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Mobile Management