Das iPad bewährt sich längst auch im Unternehmen, in der Schule oder der Uni, denn mit seiner intuitiven Bedienung überzeugt es auch im professionellen Einsatz. Doch natürlich ist es daneben prima für private Zwecke zum Spielen, Filmeansehen und anderen Schabernack geeignet. Kein Wunder also, dass manche Unternehmen eher skeptisch sind, wenn es darum geht, Mitarbeiter mit iPads auszustatten. Denn diese könnten ab und zu ein Spielchen wagen und das Betriebsvermögen zweckentfremden, das iPad verlieren und so Fremden Zugang zu womöglich geheimen Daten verschaffen, sich Schädlinge einfangen, mit der Firmen-eigenen Apple-ID lustige Apps kaufen oder zahlreiche andere Schäden anrichten.

In vielen Unternehmen passen iPads zudem nur bedingt in die vorhandene IT-Struktur, in der PCs zentral administriert werden und den Mitarbeitern wenig eigene Rechte zugestanden werden.

Konfigurationsprofile am iPad

Eine sehr wirksame und schon seit Längerem verfügbare Methode, iOS-Geräte zu schützen und zu verwalten, sind die sogenannten Konfigurationsprofile, die der Administrator an zentraler Stelle erzeugen und auf iPads oder iPhones verteilen kann. Ein Konfigurationsprofil ist eine XML-Datei, die verschiedene Einstellungen enthält, die auf das iPad übertragen werden und dort wirksam werden.

Dies können Informationen wie Zugangsdaten und Kennwörter für Dienste wie WLAN oder E-Mail sein, die man theoretisch auf dem iPad selbst eingeben könnte. Konfigurationsprofile können aber auch in die Sicherheitseinstellungen des iPad eingreifen und beispielsweise den Zugang zu Diensten wie Youtube oder auch zu Features wie der eingebauten Kamera sperren. Über Profile kann der Administrator dem iPad-Nutzer außerdem Sicherheitsmaßnahmen wie beispielsweise die Einrichtung einer komplexen Code-Sperre oder das Verschlüsseln des Backups per iTunes aufzwingen und so verhindern, dass vertrauliche Daten in falsche Hände geraten.

Profile mit Konfigurationsprogramm erstellen

Profile lassen sich recht komfortabel mit dem "iPhone-Konfigurationsprogramm" erzeugen, das es für Windows und OS X gibt. Anders, als der Name verheißt, erzeugt und verwaltet es natürlich auch Profile für iPads. Auf den folgenden Seiten beschreiben wir dessen Bedienung, die jedoch relativ simpel ist.

01-iPCU_Start
In der Bibliothek finden sich nach dem Start Geräte, Apps und Profile. In der Gerätebibliothek merkt sich das Programm alle iPads und iPhones, die angeschlossen und verwaltet werden. Angeschlossene Geräte erscheinen ganz unten. Bereitstellungsprofile sind für nicht öffentliche Apps gedacht, die eigens für das Unterneh-men entwickelt wurden - ein eigenes Thema. Im Folgenden interessant sind vor allem Konfigurationsprofile.

02-iPCU_Profilsicherheit
Nachdem Sie über den Knopf oben links ein Profil angelegt haben, vergeben Sie zuerst unter allgemein einen Namen und vor allem eine eindeutige Kennung. Sehr wichtig ist die Einstellung unter Sicherheit, wo Sie den iPad-Nutzern das eigenhändige Löschen der Profile verbieten können. In diesem Fall kann das Profil nur von einem aktualisierten Profil mit gleichem Namen überschrieben werden. Bewahren Sie Profile daher sicher auf.

03-iPCU_WLAN-Konfiguration
Besonders gut eignen sich Profile für die Einrichtung von Zugängen zu Diensten wie etwa WLAN. Unter „Wi-Fi“ können Sie Namen und Typ des WLANs sowie dessen Kennwort angeben. Für einige Firmen-WLANs sind Zertifikate erforderlich, die Sie unter „Fenster > Zertifikate“ (Windows) beziehungsweise „Fenster > Schlüsselbundverwaltung“ (Mac) importieren und mit dem Konfigurationsprofil weitergeben können.

04-iPCU_Mail-Accounts
Auch die Mail-Einrichtung lässt sich mit Profilen beträchtlich vereinfachen. Dabei hat der Administrator zwei Möglichkeiten: Entweder erstellt er für jeden Benut-zer ein eigenes Profil und füllt alle Felder komplett aus. Oder aber er trägt nur die Namen der Server, Account-Typ und Identifizierungsmethoden ein und lässt den Rest einfach leer. Bei der Installation des Profils muss der Benutzer dann alle fehlenden Angaben nachtragen.

05-iPCU_Codesperre_setzen
Zeit, sich um die Sicherheit zu kümmern und gleichzeitig den Anwendern den Spaß zu vermiesen: Unter „Code“ sollte eine komplexe Code-Sperre erzwungen werden, damit Diebe oder Finder eines Firmen-iPads nicht an die Daten kommen.

06-iPCU_Einschraenkungen
Unter „Einschränkungen“ kann ganz gezielt der Zugang zu Diensten und Features gesperrt werden. Wird die Benutzung der Kamera verboten, findet sich auf dem iPad nicht einmal mehr die zugehörige App. Selbst den Zugang zum App Store, zu iCloud oder Youtube darf man sperren. Ebenfalls erzwungen werden kann die Verschlüsselung der Backups per iTunes auf Mac oder PC.

07-iPCU_Profil_installieren
Ist ein iPad direkt per USB mit dem Rechner verbunden, können Sie es auswählen und das Profil direkt installieren. Sie können das Profil auch per Mail verschi-cken oder auf einer sicheren, firmeninternen Webseite bereitstellen und den iPad-Besitzern nur die URL schicken. Dafür müssen Sie das Profil zunächst exportieren.

08-iPCU_Profil_exportieren
Wenn das Profil Kennwörter enthält, sollten Sie es signieren und verschlüsseln, damit niemand die Daten einsehen kann. Dabei wird für jedes iPad in der Liste ein eigenes Profil erzeugt. Dieses verschicken Sie per Mail oder legen es auf einem Intranet-Server bereit. Unter Windows klappt das direkte Mailen nur mit Outlook.

09-Profil_installieren
Wenn Sie eine „.mobileconfig“-Datei aus einer Mail oder auf einer Webseite öffnen, werden Sie ebenso wie bei der direkten Übertragung per USB direkt zur Installation geführt. Sie können Titel, Beschreibung und Signatur des Profils einsehen, bevor Sie es installieren. Wenn Sie es tun und im Profil Angaben wie beispielsweise Benutzernamen oder Passwörter fehlen, werden Sie nun direkt danach gefragt, bevor das Profil wirksam installiert wird.

10-Profilverwaltung
Nach der Installation eines Profils finden Sie dieses auf dem iPad unter „Einstellungen > Allgemein > Profil“. Sie können dort noch die zugehörigen Zertifikate und Einschränkungen einsehen. Abhängig von den Sicherheitseinstellungen des Profils können Sie es entweder per Knopfdruck, mit Passwort oder gar nicht entfernen. Im letzteren Fall kann nur der Administrator per Konfigurationsprogramm die Sperren wieder aufheben.

11-Programme_in_Bibliothek
Solange Apple das Volume Purchase Program nur in den USA anbietet, lassen sich mit dem Konfigurationsprogramm nur kostenlose Apps auf dem iPad installie-ren. Dazu müssen diese zunächst per Drag-and-drop aus der iTunes-Bibliothek in das iPhone-Konfigurationsprogramm importiert werden. Für kostenpflichtige Programme bleibt derzeit nur der Umweg über den Kauf eines Geschenkgutscheins durch den Admin.

12-Programme_installieren
Direkt auf den iPads installieren lassen sich Apps derzeit nur dann, wenn diese direkt per Kabel mit dem Administrationsrechner verbunden sind. Über die Programmliste lassen sich Apps auch deinstallieren. Hat man dem Anwender verboten, Apps zu installieren, muss man diese Sperre zunächst durch ein geändertes Sicherheitsprofil aufheben, was sehr umständlich ist. Insgesamt überzeugt die zentrale App-Verwaltung kaum.

13-Configurator_vorbereiten
Der Apple Configurator leistet deutlich mehr als das Konfigurationsprogramm. Kreuzt man „Betreuung“ an, lassen sich die iPads immer wieder auf einen definierten Stand zurücksetzen - ideal für Schulungen.

13a-Configurator_Prefs
Ohne Dauerbetreuung ist das Programm ideal, um neue Geräte auf ihren Einsatz vorzubereiten. Konfigurationsprofile lassen sich, wie zuvor beschrieben, anlegen oder importieren.

13b-Configurator_Apps
Da Apples Volume Purchasing Program für Apps in Deutschland noch nicht verfügbar ist, kann der Configurator bisher nur kostenlose Apps sinnvoll verwalten. Diese lassen sich aber immerhin komfortabel auf die Geräte verteilen.

14a-Backup_sichern
Wenn Sie den Configurator nutzen wollen, um eine einmal gefundene Grundkonfiguration auf eine Vielzahl von iPads zu verteilen, wählen Sie „Vorbereiten > Wiederherstellen > Sichern“, um ein Backup zu speichern.

14b-Backup_erstellen
Nun können Sie weitere iPads anschließen, das Backup auswählen und mit einem Klick auf „Vorbereiten“ aufspielen.

14c-Backup_wiederherstellen
Mit aktiven USB-Hubs kann der Configurator bis zu 30 iOS-Geräte parallel bedienen.

15-Geraet_herausgeben
Wenn Sie „Betreuung“ aktivieren, übernimmt der Configurator die Kontrolle über die iPads. Dabei kümmert sich das Programm auf Wunsch um iOS-Aktualisierungen und vieles mehr. Unter „Zuweisen“ können Sie Benutzer definieren und diesen ein iPad aus dem Verwaltungspool zuweisen und später wieder zurücknehmen. Dabei verwaltet der Configurator Backups der Benutzerdaten und stellt diese auf anderen iPads wieder her.

Alle Profile bestehen aus einem allgemeinen Teil mit Namen und Beschreibung sowie Einstellungen für verschiedene Bereiche, die Apple "Payloads" nennt. Zur Wahl stehen Code-Sperre, Zugangseinschränkungen, WLAN-, VPN-, Mail- und Exchange-Zugänge, die Anmeldung bei LDAP-, CalDAV- und CardDAV-Servern, Kalender-Abos, Webclips, Zertifikate direkt oder von SCEP-Servern, die Anmeldung bei MDM-Servern sowie die Einrichtung firmenspezifischer APNs für den Zugang zu mobilen Datennetzen. Um bei Änderungen flexibel zu bleiben, sollte man nicht alle Accounts und Informationen in ein einziges Profil zwängen, sondern mehrere einzelne Profile erzeugen, die sich bei Änderungen leichter pflegen lassen.

Im allgemeinen Teil des Profils lässt sich bestimmen, ob der Anwender es selbst wieder entfernen darf oder nicht. Im letzteren Fall kann nur der Admin das Profil entfernen oder überschreiben. Anwender, Diebe oder Finder eines iPads können Profile nur mit einem Total-Reset entfernen - wurde das iPad mit einer komplexen Code-Sperre gesichert, kommen sie also nicht an die Daten.

Apple Configurator für kleinere Unternehmen

Mit Konfigurationsprofilen ist bereits eine sehr komfortable Verwaltung des iOS-Gerätebestands möglich, doch es kommen noch weitere Möglichkeiten hinzu. Ist ein iPad mit einem Microsoft Exchange-Server verknüpft, kann dieser eine ganze Reihe seiner Activesync-Richtlinien vom erzwungenen Gerätekennwort bis zum Browserverbot auch auf dem iPad durchsetzen. Die weitergreifende Alternative besteht im Einsatz von "Mobile Device Management"-Servern (MDM), die ihre Richtlinien per Push-Nachricht durchsetzen und vor allem für größere Unternehmen eine nochmals komfortablere Alternative sind.

Bislang ausschließlich für OS X bietet Apple ein neues Tool namens "Apple Configurator" im Mac App Store, das sich vor allem für kleinere Unternehmen, Schulen und Universitäten ideal eignet. Der Configurator kann die Geräte ebenfalls mit Konfigurationsprofilen bestücken, kümmert sich aber auch um die zentrale Verwaltung, Sicherung und Bestückung von iOS-Geräten. So lassen sich beispielsweise die Geräte für den Unterricht mit Apps und Dokumenten bestücken, einem Anwender zuordnen und nach der Rückgabe ganz einfach wieder in den vorherigen Zustand zurückversetzen.

Spaßbremse Administrator?

Aus Anwendersicht liegen Gut und Böse eng beisammen: Einerseits können die Administratoren durch die bereitgestellten Profile das Leben sehr angenehm machen, indem sie beispielsweise alle Passworte für Firmen-WLANs einrichten, den VPN-Zugang ganz ohne Konfiguration ermöglichen oder Kalender-Abos automatisieren. Mit der eigenhändigen Einrichtung dieser Dienste sind Mitarbeiter nicht selten überfordert, wohingegen das Profil für den Administrator schnell geschrieben ist.

Aber andererseits können Profile von paranoiden Admins den Mitarbeitern schnell den Spaß vermiesen. Spätestens wenn die Kamera nicht mehr funktioniert, man keine eigenen Apps mehr installieren und keine Filme mehr sehen darf, dürften manche Mitarbeiter das iPad in die Ecke legen. Hier ist also Fingerspitzengefühl statt der Daumenschrauben gefragt, wenn man möchte, dass das iPad von den Mitarbeitern auch aktiv genutzt wird.

Profile für jedermann

Das iPhone-Konfigurationsprogramm bietet noch weitere Möglichkeiten. So lassen sich in Grenzen auch Apps verwalten oder die Konsole des iPad nach Fehlermeldungen durchwühlen. Und selbst Privatanwender dürften es meist einfacher finden, Zugangsdaten für Mail-Server oder WLANs am Rechner einzutippen und als Profil an sich selbst zu schicken.

Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation Macwelt.