Wie Apple die Verwaltung mobiler Geräte verbessert

Apple hat auf der Entwicklerkonferenz WWDC eine Reihe von Änderungen vorgestellt, die sich auf das Mobile Device Management (MDM) insgesamt oder auf die deklarative Verwaltung einzelner Geräte beziehen. [...]

Auf der WWDC 2022 hat Apple etliche neue Funktionen zum Verwalten seiner (mobilen) Endgeräte vorgestellt. Foto: Apple

Wie erwartet, kündigte Apple auf der WWDC 2022 eine Reihe bedeutender Änderungen an, wie Macs, iPads, iPhones und Apple TVs in Unternehmen und Bildungseinrichtungen verwaltet werden. Die Änderungen lassen sich im Wesentlichen in zwei Gruppen unterteilen:

Hier eine Übersicht über die angekündigten Verbesserungen und ihre Bedeutung für die IT-Abteilung von Organisationen.

Änderungen beim allgemeinen Device Management

Apple Configurator

Der Apple Configurator ist ein Tool, das zahlreiche grundlegende Konfigurationsfunktionen bietet. Es war lange Zeit die übliche Methode, um iPhones und iPads in Unternehmen auszurollen, wenn keine automatisierten oder Selbstregistrierungs-Tools zum Einsatz kamen. Ursprünglich wurde das Tool als Mac-App ausgeliefert. Der große Nachteil dabei: Die Geräte mussten über USB mit dem Mac verbunden werden, auf dem die App lief.

Letztes Jahr stellte Apple bereits eine Version des Configurator für das iPhone vor, die den Arbeitsablauf des Originals umkehrte, d. h. die App konnte drahtlos verwendet werden, um Macs in die Verwaltung einzubinden.

Als große Neuerung in diesem Jahr erweitert Apple nun die Nutzung des Apple Configurator für iPhone auf das Enrollment von iPads und iPhones. Damit wird der Zeit- und Arbeitsaufwand für die Registrierung dieser Geräte erheblich reduziert. Eine Einschränkung gibt es jedoch: Geräte, die eine Mobilfunkaktivierung benötigen oder deren Aktivierung gesperrt wurde, müssen manuell aktiviert werden, bevor der Configurator verwendet werden kann.

Identity Management

Apple hat nützliche Änderungen für das Identitätsmanagement im Unternehmensumfeld vorgenommen. Die wichtigste Neuerung ist die Unterstützung zusätzlicher Identitätsanbieter, darunter Google Workspace und Oauth 2, was eine größere Anzahl von Anbietern ermöglicht. (Azure AD wurde bereits unterstützt.) Diese Identitätsanbieter können in Verbindung mit dem Apple Business Manager verwendet werden, um Managed Apple IDs für Mitarbeiter zu erstellen.

Das Unternehmen kündigte außerdem an, dass nach der Veröffentlichung von macOS Ventura und iOS/iPadOS16 im Herbst dieses Jahres auch ein plattformübergreifendes Single Sign On (SSO) unterstützt wird. Ziel ist es, die Benutzerregistrierung einfacher und effizienter zu gestalten, indem die Benutzer sich nur einmal authentifizieren müssen. Apple kündigte auch Platform Single Sign-on an, ein Versuch, den Zugang zu Unternehmens-Apps und -Websites zu erweitern und zu rationalisieren, wenn sie sich an ihren Geräten anmelden.

Managed Per-App-Networking

Apple bietet seit langem VPN-Funktionen für einzelne Apps an. Diese erlauben es bestimmten Unternehmens- oder arbeitsbezogenen Apps, eine aktive VPN-Verbindung zu nutzen. Indem nur der Traffic dieser App über eine VPN-Verbindung gesendet wird, sind sensible Informationen durch das Virtual Private Network geschützt, die Belastung für das VPN hält sich aber in Grenzen.

Mit macOS Ventura und iOS/iPadOS 16 fügt Apple einen App-spezifischen DNS-Proxy sowie die Möglichkeit, Webinhalten pro App zu filtern, hinzu. Dies hilft dabei, den Datenverkehr dieser Apps zu sichern und funktioniert genauso wie Per-App-VPN. Änderungen an den Apps selbst müssen nicht vorgenommen werden. Der DNS-Proxy unterstützt systemweite oder App-bezogene Optionen, während die Inhaltsfilterung systemweite oder bis zu sieben App-bezogene Instanzen unterstützt.

eSIM-Bereitstellung

Für iPhones, die eSIMs unterstützen, ermöglicht Apple der MDM-Software die Konfiguration und Bereitstellung einer eSIM. Unterstützt werden die Szenarien Bereitstellung eines neuen Geräts, die Migration von Netzbetreibern, die Verwendung mehrerer Netzbetreiber oder die Konfiguration für Reisen und Roaming.

Verwaltbare Bedienungshilfen

Apple ist dafür bekannt, auf seinen Geräten zahlreiche Funktionen für Menschen mit besonderen Bedürfnissen bereitzustellen. In iOS/iPadOS 16 ermöglicht es Apple nun dem MDM, eine Handvoll der gängigsten Funktionen automatisch zu aktivieren und zu konfigurieren.

Dazu zählen:

  • Textgröße,
  • Voice Over,
  • Zoom,
  • Touch-Anpassungen,
  • fetter Text,
  • Bildrate beschränken,
  • Kontrast erhöhen
    und
  • Transparenz reduzieren.

Neuheiten beim Declarative Device Management

Apple hat Declarative Device Management letztes Jahr als Verbesserung seines ursprünglichen MDM-Protokolls vorgestellt. Sein großer Vorteil besteht darin, dass ein Großteil der Geschäftslogik, der Compliance und des Managements vom MDM-Dienst auf die einzelnen Geräte verlagert wird. Dadurch können die Devices ihren Zustand proaktiv überwachen und die Notwendigkeit entfällt, dass der MDM-Dienst ständig den Gerätestatus abfragt und daraufhin Befehle ausgibt. Stattdessen nehmen die Geräte diese Änderungen auf der Grundlage ihres aktuellen Zustands und der an sie gesendeten Deklarationen vor und melden sie an den Dienst zurück.

Das Declarative Device Management stützt sich auf Deklarationen, die sich auf Dinge wie Aktivierungen und Konfigurationen beziehen. Ein Vorteil davon ist, dass eine Deklaration mehrere Konfigurationen sowie die Aktivierungen enthalten kann, die angeben, wann oder ob die Konfiguration aktiviert werden soll. ´

Das bedeutet, dass eine einzige Deklaration alle Konfigurationen für alle Benutzer enthalten kann, gepaart mit Aktivierungen, die angeben, für welche Benutzer sie gelten sollen. Dies reduziert den Bedarf an großen Mengen unterschiedlicher Konfigurationen, da das Gerät selbst bestimmen kann, welche Konfigurationen für das Gerät aufgrund seines Benutzers aktiviert werden sollen.

In diesem Jahr hat Apple die Einsatzmöglichkeiten von Declarative Device Management erweitert. Ursprünglich war es nur für iOS/iPadOS 15-Geräte verfügbar, die das 2019 eingeführte User Enrollment nutzten. Künftig werden alle Apple-Geräte mit macOS Ventura oder iOS/iPadOS/tvOS 16 unterstützt, unabhängig von der Art der Registrierung.

Das bedeutet, dass die Geräteanmeldung (einschließlich überwachter Geräte) durchgängig unterstützt wird, ebenso wie gemeinsam genutzte iPads (ein Anmeldetyp, der es mehreren Benutzern ermöglicht, dasselbe iPad gemeinsam zu nutzen, jeder mit seiner eigenen Konfiguration und seinen eigenen Dateien).

Mehr noch: Apple hat deutlich gemacht, dass das deklarative Management die Zukunft des Apple Gerätemanagements ist und dass alle neuen Managementfunktionen nur für das deklarative Modell zur Verfügung stehen werden. Obwohl traditionelles MDM noch für eine unbestimmte Zeit verfügbar sein wird, ist es veraltet und wird abgeschafft werden.

Dies hat erhebliche Auswirkungen auf bereits im Einsatz befindliche Geräte. Geräte, die nicht mit macOS Ventura oder iOS/iPadOS 16 laufen können, werden schließlich ausgemustert, und alle, die noch in Betrieb sind, müssen ersetzt werden. Angesichts des Umfangs der Geräte, die nicht mehr unterstützt werden, könnte dies für einige Unternehmen eine kostspielige Umstellung bedeuten.

Auch wenn die Umstellung nicht unmittelbar bevorsteht, sollten Sie damit beginnen, den Umfang und die damit verbundenen Kosten zu bestimmen und zu überlegen, wie Sie diese bewerkstelligen werden. Dies gilt insbesondere, da im Zuge der Umstellung wahrscheinlich auf Apple Silicon gewechselt werden muss, das die Ausführung von Windows oder Windows-Anwendungen nicht unterstützt.

Neben der Erweiterung der Produkte, die die deklarative Verwaltung nutzen können, hat Apple auch die Funktionalität erweitert, einschließlich der Unterstützung von Passcode-Konfigurationen, Enterprise Accounts und MDM-gesteuerten App-Installationen.

Passcode-Option

Die Passcode-Option ist komplexer als das einfache Erfordernis eines Passcode-Typs. Die Einhaltung von Passwörtern ist traditionell für bestimmte sicherheitsrelevante Konfigurationen erforderlich, z. B. für das Senden der Wi-Fi-Konfiguration des Unternehmens an ein Gerät. Im deklarativen Modell können diese Konfigurationen an das Gerät gesendet werden, bevor ein Passcode festgelegt wird. Sie werden zusammen mit der Kennwortanforderung gesendet. Das Gerät wird anschließend erst dann aktiviert, wenn der Benutzer ein Kennwort erstellt, das dieser Richtlinie entspricht. Sobald der Benutzer einen Passcode festgelegt hat, erkennt das Gerät die Änderung und aktiviert die Wi-Fi-Konfiguration mit mehreren Verbindungen zum MDM-Dienst, wobei das Wi-Fi sofort aktiviert und der Dienst über die Aktivierung informiert wird.

Enterprise Accounts

Konten, etwa für E-Mails, Notizen, Kalender und abonnierte Kalender, funktionieren ähnlich. In einer Deklaration können alle Arten von Konten angegeben werden, die innerhalb der Organisation unterstützt werden, sowie alle abonnierten Kalender. Das Gerät entscheidet dann auf der Grundlage des Benutzerkontos und der Rolle(n) innerhalb der Organisation, ob es aktiviert und freigeschaltet wird.

MDM-gesteuerte App-Installation

Die vom MDM initiierte Installation von Apps ist die wichtigste Ergänzung zur deklarativen Verwaltung, da die App-Installation eine der Aufgaben ist, die ein MDM am meisten belastet und den größten Engpass bei Massengeräteaktivierungen darstellt (z. B. beim Onboarding neuer Mitarbeiter, bei der Einführung neuer Geräte oder am ersten Schultag). In einer Deklaration können alle potenziellen Apps angegeben werden, die bei der Aktivierung eines Geräts installiert und an dieses gesendet werden sollen, noch bevor es dem Benutzer ausgehändigt wird.

Auch hier bestimmt das Gerät anhand des Benutzers, welche App-Installationskonfigurationen aktiviert und verfügbar gemacht werden sollen. Dadurch wird vermieden, dass jedes Gerät den Dienst wiederholt abfragen und Apps und deren Konfigurationen herunterladen muss. Außerdem wird der Prozess der Aktivierung (oder Deaktivierung) von Apps vereinfacht und beschleunigt, wenn sich die Rolle eines Benutzers ändert.

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation Computerworld.

*Ryan Faas ist IT-Fachautor aus Saratoga Springs, New York


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*