Mit dem iPhone 3G veröffentlichte Apple die Firmware iPhone 2.0, die auch für ältere Modelle geeignet ist. Die Software soll das Trend-Handy endgültig für den harten Firmeneinsatz fit machen. Entsprechend philosophierten Analysten metaphysisch darüber, ob das iPhone nun dem bisherigen Manager-Spielzeug Blackberry den Rang ablaufen kann. Über die Tools und Prozesse, mit denen Apple Systemadministratoren die Bereitstellung und Verwaltung der Geräte im Business-Umfeld erleichtern will, wurde dagegen wenig gesagt. Ryan Faas hat sich für die US-Schwesterpublikation "Computerworld" in einem ersten Schritt mit den Möglichkeiten der Aktivierung, Konfiguration und dem Deployment befasst.
Aktivierung und iTunes
Wer das iPhone privat oder im Unternehmen nutzen will, kommt um die Aktivierung via iTunes nicht herum. Im Enterprise-Umfeld stehen dazu zwei Möglichkeiten zur Auswahl. Zum einen ist das die Aktivierung über die IT-Abteilung, die Geräte mit einer begrenzten Anzahl von Computern und iTunes zentral freischaltet und an die Anwender verteilt. Die andere Möglichkeit wäre die Aktivierung durch die Nutzer selbst, die Zugang zu iTunes erhalten, um ihr iPhone zu aktivieren (mit Unterstützung) und zu synchronisieren.
Jede Methode hat ihre Vor- und Nachteile: Mitarbeitern den Zugriff auf iTunes zu erlauben, ist im Geschäftsumfeld etwas fragwürdig. Selbst wenn sie damit nur eine Musiksammlung aufbauen und mit ihrem Firmen-iPhone synchronisieren wollen, könnte iTunes dennoch für Updates oder die Wiederherstellung des Geräts genutzt werden - ohne dass die IT-Abteilung ihren Segen dazu gegeben oder neue Updates getestet hat. Auf der anderen Seite erstellt iTunes während jeder Synchronisierung auf der Festplatte des Host-Rechners ein Backup der iPhone-Inhalte, einschließlich aller Einstellungen. Dies ist hilfreich für den Fall, dass das Gerät Probleme bereitet, verloren oder gar gestohlen wird. Gleichzeitig bietet es eine bequeme Möglichkeit, Mail-Accounts, Kalender und Kontakte in einer Umgebung ohne Microsoft Exchange zu synchronisieren - plus Bookmarks für den Browser.
Kindersicherung schränkt iTunes ein
In überwiegenden Mac-Umgebungen ermöglicht Apples Managed Preferences Architecture die Begrenzung auf individuelle iTunes-Features (bekannt als "Kindersicherung"). Anleitungen hierzu finden Sie in einem Support-Artikel von Apple. Im Windows-Umfeld gibt es ähnliche Optionen durch das Editieren geeigneter Registry-Keys. Sollte sich Ihr Unternehmen für die Aktivierung und Synchronisierung durch den iPhone-Nutzer entscheiden, ist dies die bessere Alternative zum freien iTunes-Zugang. Eine Begrenzung der iTunes-Funktionen auf den reinen Datenabgleich mit dem iPhone ist jedoch nicht möglich.
Viele Unternehmen werden die zentrale iPhone-Aktivierung befürworten, insbesondere in einer Exchange-Umgebung, wo E-Mail- und Kalenderdaten direkt über den Exchange Server synchronisiert werden und nicht über den Computer. Mit diesem Schritt wird mehr Kontrolle über die auf dem iPhone befindlichen Daten ermöglicht, gleichzeitig muss iTunes nicht auf jedem Arbeitsplatz installiert werden, und die IT-Abteilung positioniert sich als Kontakt für alle iPhone-spezifischen Angelegenheiten. Positiver Nebeneffekt: Das Unternehmen kann Nutzer daran hindern, für ihr Gerät eine Apple-ID und einen Account für den iTunes-Store anzulegen - was Einkäufe, etwa im App Store, erschwert.
iPhone-Konfiguration
Apple bietet gewisse Möglichkeiten, für den Business-Einsatz gedachte iPhones über Konfigurationsdateien beziehungsweise -Profile automatisch einzurichten. So besteht die Option, Kennwort- und Coderichtlinien für das Gerät vorzuschreiben - aber nicht zu erzwingen. Außerdem können einzelne Netzeinstellungen wie WLAN- und VPN-Zugangsdaten (für PPTP, L2TP und IPSec/Cisco-VPNs), Mail-Accounts oder Zertifikate für Business-Applikationen konfiguriert werden. Auch die Eingabe von APNs (Access Point Names) wird unterstützt, bei einem Gerät mit Simlock sind diese Einstellungen jedoch vorgegeben.
Die Profile im XML-Format können entweder über eine kostenlose Mac-OS-X-Anwendung erstellt werden - die iPhone Configuration Utility (in Deutsch als iPhone-Konfigurierungsprogramm erhältlich) - oder über ein Web-basierendes Tool, das sowohl auf Macs wie auch auf Windows-PCs läuft (leider nur in Englisch erhältlich).
Während jedes der Werkzeuge Konfigurationsdaten erstellen kann, erlaubt das Applikations-Interface zudem den Aufbau eines Verzeichnisses sämtlicher iPhones im Firmennetz - einschließlich Informationen über Nutzer und installierte Programme. Außerdem ermöglicht die Konsole einen einfachen Zugriff, um Daten zu protokollieren, wenn das iPhone mit dem Computer über die USB-Schnittstelle verbunden ist. Dies ist nützlich zur Problemlösung und zum Testen von Inhouse-Applikationen.
Schwächen im System
Es gibt allerdings zwei grundsätzliche Enttäuschungen, was Apples Implementierung von Konfigurationsdaten für Geschäftsumgebungen anbelangt: Erstens werden die Daten nicht über die Luftschnittstelle und schon gar nicht automatisch an die iPhone-Clients verteilt. Stattdessen müssen sie via E-Mail versendet oder auf einen Web-Server zum Download abgelegt werden. Dieser Umstand erschwert die Verteilung etwas - sowohl für die Erstinstallation wie auch für spätere Updates. Zweitens müssen die Anwender die bereitgestellten Installationen oder Updates aktiv ausführen, diese können (zumindest technisch) nicht erzwungen werden. Geradezu fatal ist der Umstand, dass die Nutzer sogar in der Lage sind, bestehende Profile in den Einstellungen zu löschen. Es gibt also keinerlei Garantie, dass Profile aktuell sind oder überhaupt genutzt werden.
Foto: Apple
Auch sonst können die Profile die mit dem iPhone möglichen Funktionen nicht stark begrenzen. So gibt es etwa keine Möglichkeit, die installierten Anwendungen einzuschränken, auf die Nutzer zugreifen können. Die Anwender können auch nicht daran gehindert werden, sich in andere als den im Profil aufgeführten (und als sicher bekannten) WLANs einzuloggen. Profile existieren nur, um den Setup-Prozess zu erleichtern und Policies vorzugeben.
Immerhin ist es möglich, Profile digital zu signieren. Entsprechende Zertifikate können von einer öffentlichen Autorität (etwa Verisign) stammen oder selbst vergeben werden, vorausgesetzt, eine Kopie des Zertifikats liegt auf dem iPhone. Kennwort- und Coderichtlinien lassen sich mit Hilfe von Exchange ActiveSync auch über die Luftschnittstelle durchsetzen. Legen Exchange und Profile verschiedene Regeln fest, wird die strengste Kombination von beiden im iPhone umgesetzt.
Ein besonders nützliches Feature besteht darin, dass ein einzelnes iPhone verschiedene Profile aufweisen kann. Dies ermöglicht es, für unterschiedliche Aufgaben modulare Profile zu definieren und umzusetzen. So kann man etwa davon ausgehen, dass alle iPhones die gleichen Zertifikate aufweisen müssen. In einem separaten Profil kann die Konfiguration für den VPN-Zugriff liegen, den nur eine bestimmte Gruppe von Anwendern benötigt. Der IT-Abteilung fällt es auf diese Weise leichter, Konfigurationen auf den neuesten Stand zu bringen, da sie nicht jedes einzelne Profil anpacken muss. Benutzer haben die Möglichkeit, bereits installierte Zertifikate beizubehalten, etwa wenn ein neues Profil installiert wird, das VPN- oder Account-Einstellungen enthält.
Profile erstellen
Falls Sie das iPhone-Konfigurationsprogramm für Mac OS X nutzen, finden Sie in der Seitenleiste unter "Configuration Profiles" eine Liste verfügbarer Profile (plus Erstelldatum), die sich auch bearbeiten lassen. Hier gibt es auch die Möglichkeit zur Bereitstellung von Profiles und Applikationen - diese eignen sich zum Deployment von selbst entwickelten Anwendungen - sowie eine Liste aller iPhones, die mit dem Computer verbunden wurden.
Das entsprechende Web-Programm erlaubt es, Profile zu erstellen und zu exportieren oder per E-Mail an iPhone-Nutzer zu schicken. Import und Modifikation bestehender Profile sind ebenfalls möglich, nicht jedoch die Verwendung von Inhouse-Applikationen oder eines Verzeichnisses der angebundenen iPhones.
Der Zugriff auf das Web-basierende Tool erfolgt über die IP-Adresse des Hosts über Port 3000. Sowohl Port wie auch Benutzername-Passwort-Kombination (default: "admin"/"admin") können jedoch geändert werden.
Zum Erstellen von Profilen gibt es acht Kategorien:
-
General: Hier können Sie allgemeine Informationen über das Profil festlegen und haben die Möglichkeit, es digital zu signieren. Außerdem gibt es verschiedene Optionen zum Import oder Export und Informationen, wie das Profil direkt an die Nutzer geschickt werden kann.
-
Passcode: Hier können Sie verschiedene Kriterien für iPhone-Passwörter definieren. So lässt sich nicht nur grundsätzlich die Verwendung eines Passworts vorschreiben, um das Gerät zu entsperren. Es ist auch möglich, Stärke (Länge, alphanumerisch) und Alter des Codes zu definieren, ebenfalls die Anzahl der Versuche und die Zeit, bis das iPhone bei Inaktivität automatisch verriegelt wird. Nach mehr als sechs Anläufen wird eine Wartezeit bis zum nächsten Versuch erhoben - diese nimmt mit jedem weiteren falschen Passwort zu.
-
Wi-Fi: Hier können Sie die Konfigurationsdaten für ein oder mehrere WLANs festlegen (SSID, sichtbar/unsichtbar, verschlüsselt/offen, WEP oder WPA/WPA2). Unter anderem werden die Authentifizierungprotokolle TLS, LEAP, TTLS, PEAP und LEAP-FAST unterstützt. Die Schlüssel für WLANs können nicht in die Profile eingeschlossen werden.
-
VPN: Zum Aufbau von VPN-Verbindungen unterstützt das iPhone die Protokolle L2TP, PPTP und IPsec. Die Möglichkeiten entsprechen denen der meisten VPN-Clients. Für L2TP und PPTP erlaubt das iPhone die Authentifizierung sowohl über Passwörter wie auch über RSA SecurIDs. Außerdem kann festgelegt werden, ob sämtlicher Traffic über die VPN-Verbindung laufen soll oder nur solcher für Ziele im Remote-Netz.
-
E-Mail: Hier können Sie POP/Imap-Accounts konfigurieren. Dabei besteht die Möglichkeit, alle Einstellungen mit Ausnahme des Passworts (Server-Einstellungen, Benutzername, angezeigte E-Mail-Adresse) für einen Nutzer vorzunehmen oder nur die allgemeinen Daten des Mail-Servers - die restlichen Angaben werden auf dem iPhone selbst abgefragt.
-
Exchange: Zur Konfiguration des Push-Mail-Dienstes Exchange ActiveSync können Sie hier Informationen zu dem Exchange Server angeben. Optional ist es möglich, einen speziellen Namen für den Account festzulegen (Default auf dem iPhone ist Exchange ActiveSync). Außerdem können Sie hier festlegen, dass die Kommunikation SSL-verschlüsselt wird. Wie im Bereich E-Mail lassen sich zudem Account-Informationen und E-Mail-Adresse definieren.
-
Credentials: Der Bereich Credentials wird zur Verwendung von Zertifikaten auf dem iPhone genutzt - unterstützt werden PKCS1- (.cer, etc.) oder PKCS12-Formate (.p12).
-
Advanced: Hier lassen sich die Einstellungen zu den Zugangspunkten ins Mobilfunknetz (APNs) konfigurieren. Ist das iPhone jedoch - wie bei T-Mobile - mit einem Simlock versehen, ist diese Funktion ohne Bedeutung.
Zusatzoptionen für Mac-Nutzer
Wie bereits beschrieben, wartet das iPhone-Konfigurationsprogramm für Mac OS X mit weiteren Features auf. Eines davon ist die Möglichkeit, zu sehen, welches iPhone momentan an dem Computer angeschlossen ist. Außerdem kann der Administrator ein Verzeichnis über alle iPhones erstellen, die mit dem Rechner verbunden waren. Diese Funktionen sind äußerst nützlich zum Rollout oder zum Test von eigenentwickelten Applikationen, haben aber noch andere Vorteile - etwa für die Inventur.
Foto: Apple
Die Liste der angeschlossenen Geräte in der Seitenleiste ermöglicht unter dem Reiter Summary einen einfachen Zugang zu den Informationen über ein iPhone - ähnlich den Details über das Device in iTunes. Hier finden sich der iPhone-Name, die Speicherkapazität, Firmware-Version, Seriennummer, die ID, das Datum der letzten Verbindung und die mit dem Gerät verbundene Telefonnummer. Als Option kann man außerdem Nutzername und E-Mail-Adresse mit einem iPhone assoziieren.
Über den Reiter "Provisioning Profiles" können Sie einsehen, welche Bereitstellungsprofile auf einem Gerät installiert sind. Unter dem Punkt "Applications" findet man eine Übersicht über alle installierten Anwendungen, einschließlich Name, ID und Versionsnummer. Beide Reiter beziehen sich mehr auf Entwicklung und Installation von Inhouse-Applikationen als auf gekaufte Anwendungen aus dem App Store.
Letztendlich, wenn ein iPhone verbunden ist, können Sie über den Button "Console" sein Logfile ansehen. Wenngleich diese Maßnahme primär dazu genutzt wird, Probleme bei der Entwicklung von Eigenanwendungen zu behandeln, bietet sie auch eine breite Auswahl an Informationen, etwa über aufgetretene Probleme. So kann man über die Suchfunktion bestimmte Aktionen aufrufen. Zum Beispiel fördert die Eingabe des Suchbegriffs Wi-Fi Informationen über sämtliche WLAN-Netze zutage, auf die das iPhone zugegriffen hat. Was der Betriebsrat zu einer solchen Maßnahme sagt, ist eine andere Sache, auch der Umstand, dass das Logfile zur späteren Betrachtung gespeichert werden kann, dürfte ihm sauer aufstoßen.
Fazit
Mit der Einführung von Konfigurationsdateien sowie der Möglichkeit, iTunes lediglich zur Aktivierung und Wiederherstellung eines iPhone zu nutzen, kann Apple einige Bedenken über die Verwendung des Jesus-Phone als Business-Gerät zerstreuen. Damit ist ein guter Anfang gemacht. Allerdings bleiben Firmen, die anstelle von Exchange Notes und andere Systeme einsetzen, weitgehend in ausgeschlossen. Außerdem überlässt Apple die Implementierung von Konfigurationsprofilen dem Anwender und bietet der IT-Abteilung keine technische Möglichkeit, deren Verwendung und mögliche Updates durchzusetzen. Mag das iPhone in puncto Optik und Bedienbarkeit andere Smartphones deklassieren, hinkt es, was Security und Verwaltbarkeit anbelangt, vor allem den Konkurrenten aus dem Windows-Mobile- und Blackberry-Lager hinterher. Ein Sicherheitskonzept, das den Namen verdient, und sich nicht allein auf die guten Absichten des Anwenders verlässt, tut not.