Getty Images/Hero Images
Für iOS-Administratoren: Neue MDM-Begriffe von Apple
Apple hat einen neuen BYOD-freundlichen Verwaltungsmodus für iOS und MacOS eingeführt und die bestehenden Apple MDM-Modi umbenannt. Eine Erklärung drei neuer Begriffe.
Wie ein Uhrwerk führt Apple jedes Jahr im Herbst neue Funktionen zur Verwaltung mobiler Geräte für iOS, macOS, tvOS und auch für das neue iPadOS ein.
Die größte letzte Änderung User Enrollment, ein neuer, speziell für das Management von privaten Geräten im Unternehmen (BYOD, Bring Your Own Device) entwickelter Verwaltungsmodus. Zusammen mit allen OS-Updates gab es auch eine semantische Änderung: Apple verwendet jetzt neue Begriffe für die verschiedenen Typen von Apple MDM (Mobile Device Management).
User Enrollment (Benutzerregistrierung)
Die Benutzerregistrierung (User Enrollment) hat Apple auf seiner Worldwide Developers Conference 2019 angekündigt. Dieser neue Verwaltungsmodus entstand aus dem Wunsch nach einer stärkeren Abgrenzung zwischen Unternehmensanwendungen sowie persönlichen Anwendungen und Daten auf Geräten in einem BYOD-Szenario.
User Enrollment basiert auf Apples vorhandenem MDM-Protokoll. Wenn aber ein Administrator den Registrierungsprozess so kennzeichnet, dass er auf Benutzerregistrierung basieren soll, gibt das Gerät den IT-Administratoren nur einen begrenzten Satz an Rechten frei. User Enrollment ist auf iOS und iPadOS und in eingeschränkter Form auf MacOS verfügbar.
Um das Gerät für die Nutzer vorzubereiten, kann die IT-Abteilung die erforderlichen Anwendungen installieren, Benutzerkonten konfigurieren und einige geräteweite Richtlinien festlegen, wie etwa die Notwendigkeit eines sechsstelligen Passworts. Die Geräte speichern Unternehmensdaten in einem separaten verschlüsselten Bereich des Datenträgers. Die Benutzer müssen sich zudem mit einer verwalteten Apple-ID an ihren Geräten anmelden, die ihr Unternehmen zur Verfügung stellt.
Die Benutzerregistrierung ist deshalb so BYOD-freundlich, weil sie die Befugnisse der Admins in diesem MDM-Modus einschränkt. So kann ein Administrator beispielsweise keine in die Privatsphäre eingreifenden Funktionen für die Verwaltung der Geräte umsetzen. Dazu gehören Funktionen wie das Löschen der Inhalte auf dem Gerät, der Befehl zum Entsperren des Geräts oder die Anzeige einer Liste der vom Benutzer installierten Anwendungen.
Es gibt allerdings noch einige Fallstricke. Unternehmen benötigen den Apple Business Manager oder Apple School Manager, um verwaltete Apple IDs zu erstellen. Diese Dienste sind nicht in allen Regionen verfügbar. Es wird auch eine Weile dauern, bis IT- und Sicherheitsteams die Benutzerregistrierung evaluieren und Richtlinien erstellen können.
Trotz dieser Probleme ist die Tatsache, dass Apple eine ganz neue MDM-Variante für BYOD entwickelt hat, ein Zeichen dafür, wie wichtig das BYOD-Szenario grundsätzlich in Unternehmen ist. Darüber hinaus reagiert Apple endlich auf die strikter getrennten BYOD-Optionen, die in den Android-Enterprise-Arbeitsprofilen von Google zur Verfügung stehen.
Device Enrollment (Geräteregistrierung)
Der traditionelle MDM-Modus von Apple, der seit 2010 verfügbar ist, heißt jetzt Device Enrollment (Geräteregistrierung). Device Enrollment unterstützt iOS, iPadOS, macOS und tvOS. Die IT-Abteilung kann jetzt Apple Watches verwalten, indem sie Einschränkungen auf die Geräte anwendet, mit denen sie gekoppelt sind. Es gibt auch keine regionalen Abhängigkeiten, um die man sich Sorgen machen muss. Das Device Enrollment ist aus Sicht der Administration recht flexibel.
Die IT-Abteilung kann diese Methode mit wenig Aufwand und verschiedenen verfügbaren Richtlinien auf Anwendungsebene für BYOD-Geräte verwenden. Es ist zudem möglich, die Geräteregistrierung mit dem Apple Configurator zu kombinieren, um den überwachten Modus durchzusetzen und unternehmenseigene Geräte nach Bedarf zu sperren.
Automatisiertes Device Enrollment
Das seit 2014 verfügbare Programm für Geräteregistrierung heißt jetzt Automated Device Enrollment.
Die automatische Geräteregistrierung verwendet einen Zero-Touch-Device-Provisioning-Prozess. Die IT-Abteilung kann neue Geräte so einstellen, dass sie sich direkt beim ersten Start des Benutzers im MDM registrieren, ohne dass eine weitere Benutzerinteraktion erforderlich ist. Dadurch wird auch verhindert, dass Benutzer MDM durch das Löschen von Geräten umgehen. Das stellte in einigen frühen großen Implementierungen ein Problem dar.
Das wichtigste neue Feature für die automatische Geräteregistrierung ist die Anpassung des Setup-Assistenten. Dies ermöglicht es Administratoren, moderne, webbasierte Authentifizierungsabläufe einzurichten oder benutzerdefinierte Inhalte wie etwa Nutzungsbedingungen während des Anmeldevorgangs anzuzeigen.
Die automatische Geräteregistrierung ist mittlerweile in jedem Szenario für das Gerätemanagement von unternehmenseigenen Geräten üblich. Die Benutzerregistrierung wird wahrscheinlich ebenfalls üblich werden. Das Standardmodell für die Geräteregistrierung wird jedoch nicht verschwinden.