iOS-Geräteverwaltung: Alles, was Sie wissen müssen


In diesem Artikel erfahren IT-Entscheider und -Administratoren, wie sie Apple-Geräte professionell konfigurieren und einsetzen, Sicherheitsrisiken minimieren und die iOS-Geräteverwaltung vereinfachen.

In unserem Leitfaden erfahren IT-Entscheider und -Administratoren, wie sie Apple-Geräte professionell konfigurieren und einsetzen, Sicherheitsrisiken minimieren und die iOS-Geräteverwaltung vereinfachen.

Übersicht

Das iOS-Betriebssystem von Apple begeistert Verbraucher weltweit wegen seiner Qualität und der innovativen Features. Mit den richtigen iOS-Management-Tools und entsprechender MDM-Software (Mobile Device Management) können Unternehmen, Organisationen und Bildungseinrichtungen die Leistungsfähigkeit von iPhone, iPad & Co. auch für professionelle und pädagogische Zwecke nutzen.

Dieser Artikel stellt die wichtigsten Aspekte des iOS-Managements vor. Er gibt einen Überblick über Apples eigene MDM-Tools und iOS-spezifischen Funktionen, mit denen sich IT-Administratoren vertraut machen sollten, um sicheres und produktives mobiles Arbeiten zu ermöglichen.

iPhone und iPad: Geräte, die unsere Arbeitswelt verändern

Die Vorteile sprechen für sich: Mobile Geräte haben sich zu leistungsstarken Produktivitätswerkzeugen entwickelt, die Anwendern eine neue Freiheit im Arbeitsalltag bieten. Beim mobilen Arbeiten sind Hard- und Software von Apple nicht mehr wegzudenken.

Mit den erforderlichen technischen Spezifikationen und einer Reihe leistungsstarker Apps eignen sich iPhones, iPads und andere Apple-Hardware für vielfältige Einsatzgebiete und alltägliche Aufgaben.

Dank des ansprechenden und benutzerfreundlichen Designs haben unterschiedliche Endbenutzer – vom Schulkind bis zur Führungskraft – Freude an der Verwendung von iOS-Geräten. Diese hohe Benutzerakzeptanz sollte nicht unterschätzt werden, wenn Unternehmen und Bildungseinrichtungen bestehende Arbeitsweisen verändern wollen. Denn die Anwender müssen motiviert sein, die mobilen Geräte zu verwenden und einen persönlichen Nutzen im mobilen Arbeiten ausmachen können.

Die weltweite Digitalisierung wird i.d.R. positiv aufgenommen, verspricht sie doch eine hohe wirtschaftliche Produktivität und Mitarbeiterzufriedenheit. Wenn iOS-Geräte adäquat bereitgestellt und verwaltet werden und eine MDM-Lösung verwendet wird, die die integrierten Business-Funktionen zu nutzen vermag, kann diese Vision Realität werden.

Warum sollten iOS-Geräte verwaltet werden?

Unternehmen müssen die Kontrolle über alle Geräte haben, die auf die IT-Infrastruktur, sensible Informationen oder Arbeitsplatzressourcen zugreifen können. iOS-Geräte bilden da keine Ausnahme.

Ein Mobile-Device-Management-Tool ist der effektivste Weg, um Unternehmensinformationen zu schützen, Sicherheitseinschränkungen für Geräte zu implementieren und eine regelmäßige Überwachung der mobilen Geräte zu gewährleisten.

Doch geht es beim Einsatz von iOS-Management-Software nicht nur um Sicherheit. Per iOS-Management gelangen vollkonfigurierte iOS-Geräte mit vorinstallierten Apps, Einstellungen und Benutzerrechten schneller in die Hände der Benutzer. Dank der hohen Skalierbarkeit bleibt für die Admins alles überschaubar – ganz gleich, ob 10 oder 1000 Mitarbeiter mit iOS-Geräten ausgestattet werden sollen.

Ein Blick auf häufige Herausforderungen zeigt, warum die Nutzung von entsprechenden Managementtools klare Vorteile bringt.

  • Wie lassen sich die mobilen Geräte einrichten und mit den notwendigen Geschäftsanwendungen bereitstellen?
    Zum Einrichtungsprozess der Arbeitsgeräte gehört die Erstkonfiguration der Konten, Anwendungen und Richtlinien. Anstatt jede Konfiguration manuell auf jedem Gerät durchzuführen, können IT-Administratoren mit speziell entwickelten iOS-Management-Tools den gesamten Prozess optimieren und verbessern.
  • Wie kann sichergestellt werden, dass alle Geräte wie vorgesehen eingesetzt werden?
    iOS-Geräte sind eigentlich für den Consumer-Markt konzipiert und werden vom zweitgrößten Consumer App Store mit fast 2 Millionen verschiedenen Apps unterstützt. Viele Unternehmen wollen den Zugriff auf einige dieser Anwendungen oder bestimmte Gerätefunktionen aus rechtlichen oder sicherheitstechnischen Gründen einschränken, sind sich aber unsicher, wie sie dies am effektivsten erreichen können, insbesondere wenn es sich um private Geräte handelt. Über MDM-Software können einzelne Geräteoptionen entsprechend aktiviert oder deaktiviert werden.
  • Wie lassen sich sensible Unternehmensdaten zuverlässig schützen?
    Problematisch ist, dass mobile Geräte nicht immer nur mit dem geschützten Unternehmensnetzwerk verbunden sind. Anwender können öffentliche Wi-Fi-Hotspots nutzen, die nicht vertrauenswürdig sind und in denen sensible Daten von Dritten abgefangen werden könnten. Eine weitere Bedrohung stellen private Apps dar, da sie auf Unternehmensdaten, die auf mobilen Geräten gespeichert sind, zugreifen können. iOS-Management-Einstellungen können diese Probleme lösen, indem sie einzelne Apps und Datenflüsse verwalten.
  • Wie können Geräte während ihrer Nutzung überwacht und neue Software oder Apps installiert werden?
    Ein gewisses Maß an Transparenz und Kontrolle über die im Betrieb befindlichen Geräte ist erforderlich, um Software zu aktualisieren, neue Anwendungen zu installieren und flexibel auf sich ändernde Bedingungen oder Bedürfnisse reagieren zu können. Sobald die iPhones und iPads in der Management-Software registriert sind, können Administratoren all diesen Anforderungen komfortabel aus der Ferne gerecht werden.

  • Wie ist mit einem Gerät umzugehen, das das Ende seines Lebenszyklus erreicht hat, etwa weil es für einen anderen Zweck neu konfiguriert werden muss oder der Mitarbeiter das Unternehmen verlässt?
    Endbenutzer, die ein Unternehmen – manchmal sogar recht plötzlich – verlassen, können, weiterhin Zugriff auf Unternehmensdaten auf ihrem Gerät haben, und App-Lizenzen weiterhin ihrer persönlichen Apple-ID zugeordnet sein. Für diesen Fall benötigen Unternehmen eine Lösung, auf die sie sich verlassen können.

Welche iOS-Management-Software wird benötigt?

Eine MDM-Lösung eines Drittanbieters ist unerlässlich und wird von Apple empfohlen. Eine Reihe von zusätzlichen iOS-Management-Tools, die Apple entwickelt hat und die eine MDM-Lösung voraussetzen, sind ebenfalls von großem Nutzen.

Mit einer MDM-Lösung und dem Apple Business Manager können Sie die iPhone-Geräteverwaltung aktivieren und:

  • geeignete iOS-Geräte einfach identifizieren und kaufen.
  • sich auf einem MDM-Server registrieren, um Geräte problemlos über das Internet zu konfigurieren.
  • Geräte sowie die notwendigen Apps, Profile und Konfigurationen im Unternehmen bereitstellen.
  • Unternehmensdaten von persönlichen Daten und Apps auf dem Gerät trennen.
  • Geräte überwachen und bei Bedarf die Systemsoftware oder -einstellungen ändern.
  • im Falle von Geräteausfall oder wenn ein Mitarbeiter das Unternehmen verlässt, Daten löschen oder übertragen.

1) MDM-Lösung

Eine MDM-/MAM-Lösung bietet eine zentrale Anlaufstelle für fast alle Aufgaben des Device Management von iPhones und iPads, z.B. Verbindungsaufbau mit Apples MDM-Programmen, Registrierung und Zuweisung von Benutzern, Erstellung von Profilen, Pushen von Anwendungen auf die Geräte, Festlegen von Geräterichtlinien, Verschlüsselung von Daten und Aktualisieren der Software. Sie dient auch als Reporting-Tool und Referenz für alle in das Firmennetzwerk integrierten Geräte.

2) Apple Business Manager/Apple School Manager

Der Apple Business Manager (ABM) ist ein webbasiertes Portal, das IT-Administratoren dabei unterstützt, iOS-, macOS- und tvOS-Geräte automatisiert bereitzustellen, und zwar ab dem Zeitpunkt, an dem die Geräte von Apple oder einem Reseller erworben wurden. Im Apple Business Manager werden das Device Enrollment Program (DEP) und das Volume Purchasing Program (VPP) in einem einzigen Interface vereint.

Darüber hinaus steht Ihnen mit dem Apple School Manager ein separates, auf den Einsatz im Bildungsbereich spezialisiertes Webportal zur Verfügung. Wie bereits erwähnt, ist eine MDM-Lösung erforderlich, um alle Tools nutzen zu können.

Automatisierte Registrierung von Geräten mit DEP: Das Apple Device Enrollment Program hilft Unternehmen und Bildungseinrichtungen, einfach und schnell eine große Anzahl von Firmengeräten in ihrer MDM-Lösung zu registrieren und die iOS-Geräte ab dem Auspacken sicher zu managen.

Volume Purchasing Plan (VPP) für den Mengeneinkauf: Apples VPP (Volume Purchase Program) ermöglicht es Unternehmen und Bildungseinrichtungen, App-Lizenzen in großen Mengen für iOS- und macOS-Geräte zentral zu erwerben.

Nachdem die gewünschten Apps für die mobilen Benutzer ausgewählt wurden, können sie schnell und einfach über die MDM-Lösung auf die iOS-Geräte ausgerollt werden. Die Unternehmen bleiben Eigentümer der App-Lizenzen.

Eine umfassende Anleitung zur Geräteverwaltung mit dem Apple Business Manager finden Sie in unserem Blog.

Welche Managementfunktionen sind auf Apple-Geräten verfügbar?

Mit den oben genannten Tools sind IT-Administratoren in der Lage, die folgenden Funktionen zu nutzen und Richtlinien zu definieren. Dies ist keineswegs eine vollständige Aufzählung aller Optionen, sondern lediglich eine Zusammenfassung der wichtigsten iOS-Management-Funktionen, die für den professionellen Einsatz von Apple-Geräten nützlich sind.

Verwaltete Apps

Die Kontrolle über Anwendungen auf einem iOS-Gerät erfolgt über den Ansatz sogenannter verwalteter Apps. Mittels verwalteter Apps lassen sich die vom iPhone und iPad gespeicherten und abgerufenen Daten vom Unternehmen kontrollieren.

Jede vom MDM-Client installierte App wird als verwaltet eingestuft und kann vom Unternehmen entsprechend überwacht werden. Die Unterscheidung zwischen privaten und verwalteten Apps und die geregelte Kommunikation zwischen ihnen ist besonders für BYOD-Programme relevant. Auf dem mobilen Gerät befinden sich dann „Container“ für berufliche Zwecke oder den Privatgebrauch.

Aufbauend auf diesem Prinzip können auch „verwaltete Domains“, native E-Mail-Anwendungen und Safari in einen sicheren Container aufgenommen werden, indem verwaltete URLs und Subdomains angegeben werden. Heruntergeladene Dokumente bleiben im Container und können nur mit MDM-gesteuerten Managed Apps verwendet werden.

Verwaltetes Open-in

Über die Managed-Open-In-Konfiguration können Administratoren festlegen, welche Apps Dokumente öffnen dürfen. So können Administratoren ihre verwalteten Anwendungen klassifizieren und beispielsweise festlegen, dass Microsoft-Office-Dokumente nur über andere verwaltete Anwendungen geöffnet und verarbeitet werden dürfen. In Kombination mit Managed-App- und den Managed-Domain-Features kann geregelt werden, wie Unternehmensdaten auf jedes Gerät übertragen und gespeichert werden können.

Per-App VPN

Administratoren können ein VPN pro Anwendung einführen, so dass verwaltete Anwendungen im nativen Container die VPN-Verbindung des Unternehmens nutzen. Dies führt zu einer geringeren VPN-Auslastung sowie einem effektiven VPN-Zugang für den Benutzer, wobei persönliche Anwendungen außen vor gelassen werden.

Verwaltete Kontakte

Eine weitere wichtige Einschränkung kann bei der Kontakte-App vorgenommen werden. Administratoren können festlegen, ob Kontaktinformationen aus verwalteten Konten (z.B. einem Firmen-Exchange-Profil) von nicht verwalteten Anwendungen/Konten gelesen oder verwendet werden dürfen. Die korrekte Nutzung dieser Funktion ist für die Einhaltung der grundlegenden Datenschutzbestimmungen erforderlich, sodass private Anwendungen von Drittanbietern nicht auf die geschäftlichen Kontaktinformationen zugreifen können.

Ein Leitfaden für die DSGVO-konforme Umsetzung empfohlener Richtlinien bei der Verwaltung von iOS-Geräten finden Sie in unserem Whitepaper: So richten Sie iPhone & iPad BSI-konform ein.

Wie man iPhones und iPads verwaltet und registriert

Benutzerregistrierung (für BYOD)

Die Benutzerregistrierung ist eine Multi-Persona-Registrierungsoption, die für Unternehmen entwickelt wurde, die BYOD (Bring Your Own Device) im Einsatz haben. Wenn private iPads und iPhones bei der Arbeit verwendet werden, wird durch die Benutzerregistrierung ein separater APFS-Datenträger für alle Unternehmensdaten erstellt, der mit den verwalteten Anwendungen verbunden ist. Dies gewährleistet eine bessere Datentrennung. Sobald ein Gerät nicht mehr registriert ist, werden alle verwalteten Daten entfernt.

Nachfolgend haben wir einige Restriktionen aufgelistet, die ein Administrator auf dem Gerät implementieren kann:

Kennwort erzwingen und Komplexität definieren Automatische Backups deaktivieren (Enterprise Books, Notes, Highlights)Sperrbildschirm erzwingen
Vorschau von Mitteilungen im Sperrbildschirm + Heute-Ansicht deaktivierenSynchronisierung zwischen iCloud und verwalteten Apps deaktivieren Bildschirmfoto-Funktion und Siri deaktivieren
Verschlüsselte Backups erzwingenBetrugswarnung in Safari erzwingenKontrollzentrum deaktivieren
Beispiele für Restriktionen, die per MDM-System zentral für iPhones und iPads gesteuert werden können.

Einer der größten Vorteile der Benutzerregistrierung ist der verbesserte Schutz der Privatsphäre des Benutzers. Dadurch eignen sich iOS-Geräte hervorragend für Ihre BYOD-Strategie. Mehr dazu erfahren Sie in unserem Bericht über die Benutzerregistrierung

Unternehmenseigene Geräte im Supervised Mode (Automated Device Enrollment)

Für Szenarien, in denen unternehmenseigene Geräte eingesetzt werden sollen, ohne dass auch ihre private Nutzung erlaubt ist, gibt es den „Supervised mode“ (Betreuungsmodus). In diesem Modus lässt sich das MDM nicht entfernen. Administratoren können über die unten aufgeführten Bereiche ein größeres Maß an Kontrolle ausüben. Der Betreuungsmodus geht Hand in Hand mit der automatisierten Bereitstellung per Apple Business Manager und ist daher die empfohlene Registrierungsmethode, wenn eine große Anzahl von Geräten mit strengen Datensicherheitsregeln oder gesetzlichen Anforderungen eingesetzt werden sollen.

Höchste Sicherheit: Der Supervised Mode ermöglicht zusätzliche Einschränkungen in folgenden Bereichen (eine Auswahl):

  • Vorinstallierte Apps: Safari, iTunes, FaceTime, Messages
  • Einfache Gerätefunktionen: App-Installation und -Entfernung, Kamera, Multiplayer-Spiele
  • Konnektivität: AirDrop, AirPlay, AirPrint, Bluetooth, USB, iCloud Dokumente und Daten
  • Explizite Inhalte
  • Credentials: Passwort-Freigabe und AutoFill-Funktion, Fingerprint-Änderung

Zusammenfassung

Es ist nicht möglich, alle Aspekte des mobilen Gerätemanagements vollständig zu thematisieren und der Komplexität der Implementierungsszenarien, die sich von Unternehmen zu Unternehmen stark unterscheiden, gerecht zu werden. Dennoch sollte klar geworden sein, dass eine MDM-Lösung und Tools wie der Apple Business Manager wichtige Funktionen bieten, die bei der Bereitstellung und Einrichtung von iPhones und iPads für den Unternehmenseinsatz genutzt werden sollten.

iOS Management

Kostenloses White Paper

So richten Sie iPhones und iPads BSI-konform ein

Das BSI gilt als national und international anerkanntes Kompetenzzentrum für Fragen der IT-Sicherheit. In seinem IT-Grundschutz-Kompendium definiert es grundlegende Anforderungen und Empfehlungen für den sicheren Betrieb von iOS-Geräten in Unternehmen.

Unser White Paper erläutert die Anforderungen und zeigt am Beispiel von Cortado MDM, welche konkreten Einstellungen erforderlich sind, um die Empfehlungen in die Praxis umzusetzen.