Aus MDM wird DDM

Das bringt iOS 15 für Unternehmen

18.06.2021
Von   
Mark Zimmermann leitet hauptberuflich das Center of Excellence (CoE mobile) zur mobilen Lösungsentwicklung bei der EnBW Energie Baden-Württemberg AG in Karlsruhe. Er weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Der Autor versteht es, seine Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Neben seiner hauptberuflichen Tätigkeiten ist er Autor zahlreicher Artikel in Fachmagazinen.
Bei der Entwicklung von iOS 15 und iPadOS 15 hat Apple auch an die Anforderungen von Unternehmen gedacht. Allerdings werden sich die schwerwiegendsten Änderungen wohl erst so richtig auf künftige iOS/iPadOS-Versionen auswirken. Ein Überblick.

Auch wenn der Business-Kontext der neuen Betriebssystem-Versionen iOS 15 und iPadOS 15 auf der Keynote der WWDC 2021 etwas unterging - in den nachfolgenden Sessions der Apple-Entwicklerkonferenz waren Anpassungen für den Unternehmenseinsatz sehr wohl ein Thema und es gab eine Reihe spannender Ankündigungen. Die wichtigsten wollen wir Ihnen hier vorstellen.

Auf der diesjährigen Entwicklerkonferenz kündigte Apple mit iOS 15 auch etliche neue Funktionen für Business-Nutzer an.
Auf der diesjährigen Entwicklerkonferenz kündigte Apple mit iOS 15 auch etliche neue Funktionen für Business-Nutzer an.
Foto: rafapress - shutterstock.com

Neue MDM-Kommandos / Restriktionen

Derzeit bietet Apple verwaltete Open-In-Einstellungen für (verwaltete) Kontakte und (verwaltete) Apps/Domänen und Dateien an. Mit dieser Einstellung können Administratoren verhindern, dass Daten und Inhalte verwalteter Apps in nicht verwaltete Apps verschoben werden (und/oder umgekehrt). Mit iOS/iPadOS 15 kann nun auch die Kopier- und Einfügefunktion der Zwischenablage entsprechend konfiguriert werden. Das bedeutet, dass zum einen aus Unternehmens-Apps kopierte Informationen nicht in nicht verwaltete Apps eingefügt werden können. Und auch umgekehrt ist es möglich, das Einfügen von Informationen aus nicht verwalteten Apps in Unternehmens-Apps zu unterbinden.

Weitere Neuerungen in diesem Kontext:

  • Auf verwalteten Geräten kann ein Mobile-Device-Management- (MDM-)System nun eine einzelne "erforderliche" App installieren, ohne den Anwender zur Abgabe einer Benutzerberechtigung aufzufordern. Dies ist vor allem dann nützlich, wenn eine Anwendung für die Verwaltung erforderlich ist, wie zum Beispiel die Agentenanwendung des MDM-Systems selbst.

  • Außerdem kann das MDM nachträglich die Verwaltung einer nicht verwalteten Anwendung einfordern, wenn diese auf einem Gerät von einem Anwender installiert wurde. Der Anwender erhält hierzu eine entsprechende Aufforderung, sofern es sich nicht um ein Gerät im Supervised Modus handelt. Diese Anfrage fordert den Anwender auf, die Verwaltung der Anwendung zuzulassen. Gemäß einer neuen Regelung von Apple kann diese Eingabeaufforderung dem Anwender nur noch bis zu dreimal angezeigt und abgelehnt werden, danach erscheint die Eingabeaufforderung 24 Stunden lang nicht mehr.

  • Auch wichtig: Anwender haben neu die Möglichkeit, auf iOS 15 oder iPadOS 15 zu aktualisieren oder können weiterhin auf iOS 14 und iPadOS 14 verweilen und lediglich Bug-fixes einspielen. Auf der anderen Seite können Administratoren jedoch die iOS-Geräte zwingen, alle Updates (z. B. Upgrade auf iOS 15) zuzulassen und/oder nur Updates der aktuellen Hauptversion (z. B. Bug-fix für iOS 14) aufzuspielen.

  • Apple verlangt von MDM-Herstellern ab sofort, dass jede Payload innerhalb eines Konfigurationsprofils eine eigene eindeutige Kennung mitbringt. Dies sollten die MDM-Hersteller bis Erscheinen von iOS/iPadOS 15 umgesetzt bekommen. Auch das neue Declarative Device Management lässt sich per MDM-Kommando aktivieren.

Declarative Device Management

Im Wesentlichen basieren alle MDM-Konfigurationen von Apple auf dem gleichen Mechanismus, der seit der Einführung einer Geräteverwaltung gilt. Auch wenn dem MDM-Protokoll von Apple im Laufe der Jahre kontinuierlich neue Möglichkeiten und Funktionen hinzugefügt wurden, ist die dahinterliegende Struktur des Protokolls weitgehend unverändert geblieben. Bislang - denn auf die von Apple ab sofort als "reaktive Verwaltung" bezeichneten Praxis folgen nun mit dem "Declarative Device Management" neue Konzepte und Mechanismen.

Der Hintergrund: Bislang muss das MDM-System ein verwaltetes Endgerät danach abfragen, um Änderungen wie installierte Apps, ausgerollte Konfigurationen, ein Betriebssystem-Update zu erkennen. Dies liegt daran, dass ein MDM-System ein Gerät immer mit Befehlen und Kommandos versorgen muss, damit dieses reagiert - das Gerät benachrichtigt das MDM nicht von allein. Daher kommt auch die Bezeichnung "reaktive" Verwaltung.

Die nun neu vorgestellte deklarative Verwaltung ist für den MDM-Server optimiert und ermöglicht es, Geräten autonomer zu verwalten und proaktiver reagieren zu können. Mit anderen Worten, Geräte können auf Statusänderungen eigenständig reagieren und eigenständig Logik basierend auf diesen Änderungen anwenden, ohne vom MDM-Server dazu aufgefordert zu werden. Darüber hinaus können Geräte jetzt den MDM-Server informieren, wenn relevante Änderungen auftreten. Apple bietet drei Bereiche in der deklarativen Verwaltung.

1. Deklarationen werden verwendet, um eine Richtlinie zu übermitteln - sie können zum Konfigurieren von Konten, Einstellungen und Einschränkungen verwendet werden. Es gibt vier Arten von Deklarationen:

  • Configurations: Diese ähneln den vorhandenen Konfigurationsprofilen. Einer der Hauptunterschiede zwischen Deklarationen und Konfigurationsprofilen besteht darin, dass Deklarationen in Form eines JSON-Objekts und nicht als Plist-Datei an Geräte gesendet werden.

  • Assets: Hierbei handelt es sich um Referenzdaten, die von Konfigurationen benötigt werden. Sie können auf Daten vom MDM-Server oder von einem separaten CDN-Dienst (Content Delivery Network) verweisen. Diese Daten können allgemein oder auch anwenderspezifisch sein. Als Beispiel kann ein Asset auf Daten eines Identitätsanbieters verweisen, um Informationen wie Benutzername, E-Mail-Adresse, Passwörter, Zertifikate usw. bereitzustellen. Das Asset könnte von mehreren Konfigurationen verwendet werden. Der Vorteil besteht entsprechend darin, dass nicht mehr mehrere Konfigurationen aktualisiert werden müssen, um Änderungen in diesen Daten wiederzugeben, sondern nur das Asset geändert werden muss.

  • Activations: Diese stellen Schablonen für Konfigurationen dar, die auf Geräte angewendet werden, ähnlich wie ein "Blueprint". Aktivierungen haben eine Many-to-Many-Beziehung mit Konfigurationen. Das bedeutet, dass komplexe Logik angewendet werden kann, um zu bestimmen, wann einzelne Konfigurationen installiert werden. Auf diese Weise sind Administratoren beispielsweise in der Lage, eine Reihe von Richtlinien festzulegen, die nur dann auf eine Reihe von Geräten angewendet werden, wenn diese eine bestimmte Betriebssystemversion einsetzen. Diese Richtlinien werden neu bewertet, wenn sich der Gerätezustand (z. B. aktualisiertes Betriebssystem) ändert, sodass verschiedene Richtlinien ohne Interaktion mit dem MDM angewendet werden können.

  • Management: Diese Art der Deklaration wird verwendet, um Informationen über den Status der Gesamtverwaltung eines Geräts zu ermitteln (und zu übermitteln), wie z. B. Organisationsinformationen.

2. Der Statuskanal (Status Channel) ermöglicht es einem MDM-Server, bestimmte Änderungen im Gerätestatus zu abonnieren. Auf diese Weise ist das System beispielsweise in der Lage, Benachrichtigungen von Geräten zu erhalten, bei denen die Betriebssystemversion aktualisiert wird.

3. Der dritte Bereich Erweiterbarkeit (Extensibility) wiederum ermöglicht es sowohl MDM als auch Geräten sich gegenseitig zu benachrichtigen, wenn bestimmte Funktionen unterstützt werden. Wird beispielsweise das Betriebssystem eines Geräts aktualisiert, womit eine vom MDM unterstützte Funktion verfügbar ist, meldet das Device dies und übernimmt die Änderung vom MDM. Ähnlich verhält es sich, wenn der MDM-Dienst aktualisiert wird, um eine neue Funktion zu unterstützen, die mit dem Gerät kompatibel ist: Das System , benachrichtigt das Gerät und dieses erhält die Änderung.

Wichtig zu wissen: Das Deklarative Management ist so konzipiert, dass es nahtlos mit dem bestehenden MDM-Protokoll koexistiert. Das bedeutet, dass MDMs eine schrittweise Einführung der neuen Funktionalitäten ohne Unterbrechung der bestehenden Funktionalitäten übernehmen können.

Apple Configurator

Der Apple Configurator ist ein Tool, das grundlegende Verwaltungsfunktionen (z. B. die Möglichkeit, Profile anzuwenden, Apps zu installieren und Aktionen wie das Zurücksetzen eines Geräts, das Upgrade der Software und das Aktivieren des betreuten Modus durchzuführen) bietet, wenn ein Gerät per Kabel verbunden ist.

Auf der WWDC wurden auch neue Funktionen für den Apple Configurator vorgestellt.
Auf der WWDC wurden auch neue Funktionen für den Apple Configurator vorgestellt.

Die neue Version widmet sich verstärkt den Verwaltungsfunktionen für macOS-Geräte mit dem T2- / M1-Chip. Die neuen Hauptfunktionen beinhalten unter anderem das Löschen aller Anwenderdaten, die Firmware-Wiederherstellung und das Installieren einer neueren macOS-Version.

Darüber hinaus unterstützt der Apple Configurator die Möglichkeit, macOS, iOS- und tvOS-Geräte, die außerhalb eines formellen Geschäftskanals gekauft wurden, mit der sogenannten vorläufigen Registrierung dem Apple Business Manager oder Apple School Manager hinzuzufügen. Früher war dies für macOS-Geräte nicht möglich.

User Enrollment

2019 hat Apple mit iOS 13 und dem User Enrollment einen modernen Bring Your Own Device (BYOD)-Ansatz vorgestellt. Das erklärte Ziel von User Enrollment ist es, die Art und Weise, wie Mitarbeiter (BYOD) oder Dienstleister mit eigenen Geräten auf Unternehmensressourcen zugreifen, zu verbessern und zu sichern.

Mit dem neuen Betriebssystem iOS 15 geht Apple nun noch einen Schritt weiter und erweitert das User Enrollment um einen besseren Schutz der Unternehmensdaten und der Privatsphäre der Nutzer: Meldet sich ein Anwender mit einer verwalteten Apple ID mit seinem persönlichen Gerät in einem Unternehmensnetzwerk an, kann ihm endlich auch der Zugriff auf ein freigegebenes Enterprise iCloud Drive gewährt werden. Selbst wenn er mit seiner persönlichen Apple ID angemeldet ist, hat er damit gleichzeitig Zugriff auf sein persönliches als auch auf das Enterprise iCloud Drive. Dies trägt dazu bei, Unternehmensdaten zu schützen, indem sie innerhalb des verwalteten iCloud Drive-Bereichs verbleiben und nicht auf einer iCloud-Instanz, die an die persönliche Apple ID des Anwenders gebunden ist. Die Datentrennung kann über den Apple Business Manager (de-)aktiviert werden.

AirPrint

Fotos und Dokumente lassen sich seit Jahren über AirPrint-fähige Drucker auf Papier bringen. Bisher standen dem Anwender hier nur wenige Optionen für den Druck zur Verfügung. Mit dem neuen Betriebssystem kann der Anwender Voreinstellungen laden, die Papierfachauswahl, Medienart und die Druckqualität auswählen und PDF-Anmerkungen (optional) mit drucken lassen. Auch die Möglichkeit im Hoch- oder im Querformat zu drucken, steht endlich zur Verfügung.

AirPrint bietet dem Anwender nun detailliertere Konfigurationen zum Ausdrucken von Dokumenten.
AirPrint bietet dem Anwender nun detailliertere Konfigurationen zum Ausdrucken von Dokumenten.

(mb)