Reality-Check EMM-Unterstützung

iOS 8 im Unternehmen – Der Stand der Dinge

unabhängiger Enterprise Mobility Solutions Architect aus Seefeld bei München.
Führende EMM-Anbieter wie Airwatch, Good Technology und MobileIron nutzen die Aufmerksamkeit für Apples Produktneuheiten, um die Bedeutung ihrer Lösungen für die Wertschöpfung von iOS 8 im Unternehmen hervorzuheben. Tatsächlich fällt ein Blick auf die tatsächliche EMM-Unterstützung der neuen iOS-Funktionen zum Teil noch immer ernüchternd aus, die Hersteller vertrösten auf "später im Jahr".
In iOS 8 hat Apple zahlreiche Enterprise-Funktionen integriert - Voraussetzung ist häufig jedoch die Unterstützung durch ein EMM-System.
In iOS 8 hat Apple zahlreiche Enterprise-Funktionen integriert - Voraussetzung ist häufig jedoch die Unterstützung durch ein EMM-System.
Foto: Apple

Viele neue Funktionen von iOS 8, das seit dem 17. September offiziell verfügbar ist, stoßen bei den Anwendern auf positive Rückmeldung. Während bisher zum Beispiel das Zusammenspiel mehrerer Apps weitgehend auf den Transfer von Dokumenten untereinander mittels "Öffnen in ..." beschränkt war, ist nun mittels der neuen APIs für "App Extensions" eine wesentlich elegantere Form der funktionellen Verzahnung mit anderen Apps möglich, ohne die aktuelle App verlassen zu müssen. So unterstützen Apps mit Unterstützung für die neue "Share" Extension eine direkte Veröffentlichung in anderen Diensten.

Erster prominenter Vertreter dieser Gattung ist "Evernote", das zum Beispiel per Pop-Up in Safari Notizen zur aktuellen Web-Seite in seine Cloud aufnimmt. "iMovie" stellt als "Action" Extension seine Bearbeitungsfunktionen für Filme in der persönlichen Filmsammlung zur Verfügung. Der Cloud-Speicherdienst "Box" implementiert in seiner neuesten App-Version die "Document Provider" Schnittstelle, die es Apps mit implementierten "Document Picker" (zum Beispiel "Documents 5" von Readdle) erlaubt, Dokumente wie vom PC-Dateisystem gewohnt zu öffnen.

Evernote nimmt dank neuer "Share Extension" Notizen direkt aus Safari auf.
Evernote nimmt dank neuer "Share Extension" Notizen direkt aus Safari auf.
Foto: Peter Meuser, iTlab Consulting

Noch ist das Angebot von Apps, die diese Formen der App Extensions unterstützen, überschaubar, doch wird sich dies schnell ändern. Auch die breite Unterstützung von Apples neuen "iCloud Drive" sollte nicht lange auf sich warten lassen. Apps mit Document-Picker-Unterstützung navigieren durch die Dateiverzeichnisse auf dem iCloud Drive so einfach und leicht wie durch Netzlaufwerke.

Bei IT-Verantwortlichen bilden sich damit aber schon jetzt Sorgenfalten beim Gedanken an neue potentielle Datenlecks, die sich mit iOS 8 auf dienstlichen Mobilgeräten unkontrolliert öffnen. Da zudem keine technisch zuverlässige Methode existiert, ein anwendergesteuertes Update auf iOS 8 zu verhindern, gilt es die Kontrolle sensitiver Betriebsumgebungen entsprechend anzupassen. Welche Techniken sieht Apple vor, um neues Funktionsangebot und Unternehmensrichtlinien auch unter iOS 8 in Einklang zu bringen?

Die Grundlage - Konfigurationsprofile

Die "Bibel" zu allen "Over-the-Air" per MDM konfigurierbaren Einstellungen auf iOS-Geräten und damit auch die bindende Basis für alle Anbieter von EMM-Lösungen ist Apples Spezifikation "Configuration Profile Key Reference". Sie definiert sowohl die Möglichkeiten zur Gerätekonfiguration, um einerseits Unternehmensressourcen wie zum Beispiel Microsoft Exchange oder IBM Domino mit den nativen PIM Apps von iOS nutzen zu können, aber andererseits auch welche Restriktionen unerwünschter Betriebssystemfunktionen sich im dienstlichen Einsatz durchsetzen lassen. Die aktuelle Fassung der Configuration Profile Key Reference wurde von Apple offensichtlich mit heißer Nadel gestrickt. So fehlen jegliche Hinweise, welche Einstellungen erstmals mit iOS 8 verfügbar sind.

Gleiches gilt auch für Apples aktuelles grafisches Tool zur Generierung und kabelgebundenen Installation von Konfigurationsprofilen - "Apple Configurator" (Download Version 1.6 für Mac OS X "Mavericks" im Mac App Store). Apple Configurator ist auch unter iOS 8 heute noch das einzige Werkzeug der Wahl, wenn Dienstgeräte vor der MDM-Registrierung in den betreuten Modus ("supervised") gebracht werden sollen, um zusätzliche Konfigurationsoptionen freizuschalten. Wer keine technischen Spezifikationen analysieren möchte, findet zudem im Configurator eine Orientierungshilfe, welche aktuellen Möglichkeiten zur iOS-Geräteverwaltung eine EMM-Lösung mit optimaler iOS8-Unterstützung abdecken sollte.

Apple Configurator 1.6 hät sich darüber bedeckt, welche Einstellungen mit iOS8 neu sind.
Apple Configurator 1.6 hät sich darüber bedeckt, welche Einstellungen mit iOS8 neu sind.
Foto: Peter Meuser, iTlab Consulting

Neben zusätzlichen Kontrollmöglichkeiten für neue iOS8-Anwender-Features wie iCloud Drive und Handoff, lässt sich nun mittels "Managed Web Domains" Safari als bisherige Lücke für einen unkontrollierten Datenabfluss schliessen. Werden zum Beispiel Dokumente mittels Safari aus einem internen SharePoint Site unter einer Managed Web Domain geladen, lassen sich diese nur noch an MDM-kontrollierte "Managed Apps" weiterreichen. Dieses Prinzip gilt auch für die neuen App Extensions.

Insbesondere Betreiber von Point-of-Sale-Systemen wird erfreuen, dass sich erstmals der gesamte Netzwerkverkehr von iOS8-Geräten mittels "Always-On VPN" über die Firmennetzwerkinfrastruktur kontrollieren lässt. Im Gegensatz zum bis dato nur verfügbaren "VPN-on-Demand" lässt sich die neue Zwangsanbindungsform von Anwendern nicht umgehen. Erforderlich wird im Backend ein VPN Concentrator, der IKEv2 und Apples spezifische Implementation (getrennte VPN-Kanäle für WiFi und WAN) beherrscht.

Auf den ersten Blick eher unscheinbar, für den Unternehmenseinsatz aber umso richtungsweisender ist die neue Kerberos Single-Sign-On Option auf Zertifikatsbasis auf Backend-Systeme wie Intranet-Sites und auch Web Services. Sie erlaubt mit der entsprechenden CA-Infrastruktur, die es mittels EMM-Lösung einzubinden gilt, Anwender ohne explizite Eingabe von Anmeldedaten transparent gegen das Active Directory zu authentifizieren.

Stellte Apple bisher nur die Standardfunktionen, um Apps per MDM dynamisch zu verwalten, lassen sich nun auch Unternehmensdokumente in den Formaten PDF und iBook gezielt in die iBooks App übertragen, aktualisieren und bei Bedarf auch wieder löschen.