Apple DEP: Was ist das Device Enrollment Programm und wie funktioniert es?


In diesem Artikel stellen wir Ihnen das Apple Device Enrollment Program vor und erläutern, wieso das Program für Unternehmen so wichtig ist.

Apple Device Enrollment Program (DEP)
Mit dem Apple Device Enrollment Programm (DEP) lassen sich iOS-Geräte schnell und einfach ausrollen,

Was ist Apple DEP (Device Enrollment Program)?

Apple Device Enrollment Program (DEP) ist ein Teil von Apples Business- und Bildungsprogrammen, die Unternehmen und Bildungseinrichtungen dabei helfen, ihre iOS-, macOS- und tvOS-Geräte einfach und effizient zu verwalten. DEP wurde in die Software Apple Business Manager (ABM) für Unternehmen und Apple School Manager (ASM) für Bildungseinrichtungen integriert.

Mit Apple DEP können Organisationen ihre Geräte direkt bei Apple oder autorisierten Händlern kaufen und dann automatisch in ihren Verwaltungssystemen registrieren lassen. Die Geräte werden dann bei der ersten Einrichtung automatisch konfiguriert und mit den gewünschten Einstellungen, Apps und Inhalten versehen, ohne dass ein manuelles Setup erforderlich ist. Das Programm erleichtert somit die Bereitstellung und Verwaltung von Apple-Geräten in großem Umfang.

DEP und Apple Business Manager

Den Weg, den iPhone und iPad in der Businesswelt genommen haben, war so nicht unbedingt vorherzusehen. Initial als Produkt für die Privatanwendung konzipiert, konnte sich Apple durch Bedienkomfort und Design durchsetzen. Für die IT bedeutet dies, dass man sich mit dem Management dieser Geräte befassen muss.

Unabhängig davon, ob es sich um Firmen- oder Privatgeräte handelte, wurden diese Geräte von der IT-Administration im Bring-Your-Own-Device-Modus (BYOD) ausgerollt. D.h. das Gerät wurde normal initialisiert und dann mit einem gemanagten MDM-Profil (Mobile Device Management) versehen. Dass dabei einige Funktionen fehlten, überrascht nicht. Der Businessmarkt ist für Apple zu verlockend, um dieses Feedback ungehört verstreichen zu lassen.

Als Lösung wurde Apple Business Manager ins Leben gerufen, welches sich explizit an Unternehmen wendet und ihnen dabei helfen soll, eine große Anzahl an Firmengeräten einfach und schnell zu konfigurieren. Die Nützlichkeit des Programms ist jedoch immer nur so gut wie die Implementierung in der Praxis.

Nachfolgend möchten wir deshalb das Apple Device Enrollment Program und seine Funktionen etwas näher vorstellen und dabei erläutern, wieso das Apple DEP so wichtig ist für Unternehmen, die die Company-Owned-Private-Enabled-Strategie (COPE) verfolgen.

Wie funktioniert DEP?

  1. Anmeldung beim Apple Deployment Program
    Da das Device Enrollment Program als Teil des Apple Business Managers geführt wird, ist das Anlegen eines ABM-Accounts unerlässlich. Über https://deploy.apple.com/ kann sich jedes qualifizierte Unternehmen und jede Bildungseinrichtung anmelden. Wichtig für Unternehmen ist dabei eine existierende Dun & Bradstreet Nummer (D-U-N-S), die aber unserer Erfahrung nach für beinahe alle Unternehmen bereits vorhanden ist.
  1. Gerätebeschaffung
    Bei der Beschaffung der Geräte muss für die Teilnahme am Apple DEP einiges beachtet werden. So dürfen die Geräte nur direkt bei Apple (also im Apple Store) oder bei einem autorisierten Händler gekauft werden. Auch einige Carrier bieten beim Vertragsabschluss die Möglichkeit an, Geräte per DEP zu beschaffen.
  1. Mobile Device Management (MDM) mit DEP Support
    Nicht jede MDM-Lösung unterstützt das Apple DEP. Vor der Teilnahme am Apple Deployment Program sollte daher unbedingt sichergestellt werden, dass man softwareseitig dafür gewappnet ist. Die MDM-Lösung muss im Anschluss auf der ABM-Webseite verlinkt werden.
  1. Geräte ans DEP anbinden
    Alles was jetzt noch bleibt, ist, die Apple Geräte an der ABM-Konsole dem entsprechenden MDM-Server zuzuweisen. Hierbei können sowohl einzelne Geräte als auch komplette Bestellungen an den Server angebunden werden.

Welchen Vorteil bringt das Apple DEP?

Nach der Verknüpfung mit dem Mobile-Device-Management-System erfolgt alles Weitere vollautomatisch. Weder iPhone noch iPad müssen jemals in Händen der Administration liegen. Vielmehr können Sie die gekauften Geräte direkt an den Nutzer schicken, der dann das „out-of-the-box“ Gefühl genießen kann.

Das Unternehmen behält trotzdem die volle Kontrolle über das Gerät. So lässt sich verhindern, dass das MDM-Profil durch den Nutzer gelöscht werden kann. Der Apple DEP-Admin ist dabei die einzige Instanz, die die Verzahnung zwischen Gerät und Server aufheben kann, die direkt auf den Apple Servern hinterlegt ist. Damit können gestohlene oder verlorene Geräte dauerhaft an einer Neuinitialisierung gehindert werden – ein immenser Sicherheitsgewinn.

Insbesondere für Firmengeräte ist darüber hinaus interessant, dass DEP-Geräte die Möglichkeit bieten, „over-the-air“ in den Supervised Modus versetzt zu werden. Damit sind tiefergreifende Sicherheitsmaßnahmen auf dem Gerät möglich, um sensible Daten und das Firmeneigentum zu sichern.