Mit iPhone und iPad problemlos ins Unternehmensnetz

by Hamdija Trnjanin | Okt 03, 2018

Auch bei kleineren und mittleren Unternehmen lohnt es sich, die mobilen Geräte der Mitarbeiter der zentralen Verwaltung der Unternehmens-IT zu unterstellen. Damit lassen sich Smartphones & Co. einfacher konfigurieren und pflegen. Die Apple-Plattform ist von Haus aus darauf vorbereitet, viele wichtige Funktionen für das Gerätemanagement sind bereits tief im Betriebssystem iOS verwurzelt. Wir liefern Ihnen einen Überblick über die wichtigsten Maßnahmen, damit ein solches Projekt störungsfrei und schnell abgewickelt werden kann.

Cybersecurity, Datenschutz gemäß der DSGVO und die Effektivität der IT-Abteilung sind die drei wichtigsten Gründe, die im Unternehmen für ein zentrales Management der Mobilgeräte seiner Mitarbeiter sprechen. Je nach Use Case können sich Lösungen zum Mobile Device Management (MDM) schon ab wenigen Nutzern lohnen. In iOS, Apples Betriebssystem für iPhones und iPads, sind dafür bereits wichtige Vorbereitungen getroffen. Ebenso hat der Hersteller spezielle Programme aufgelegt, um MDM zu unterstützen. So ist es für die IT-Administration ausgesprochen einfach, iOS-Geräte zentral zu verwalten. Dabei sind die folgenden Konzepte zu berücksichtigen.

1. Grundlagen schaffen

  • Letztlich muss ein Unternehmen die Entscheidung zum Einsatz einer MDM-Lösung in seine IT-Gesamtstrategie einbetten. Eine der vorab zu klärenden Fragen lautet: Company-owned-Geräte oder Bring Your Own Device (BYOD)?

  • Bei den unternehmenseigenen Geräte muss darüber hinaus festgelegt werden, ob sie nur einer Person zur Verfügung stehen oder von mehreren Personen genutzt werden, wie etwa Pool-Geräte oder solche für einen festen Einsatzzweck, beispielsweise ein iPad für die Hotel-Rezeption. Im Falle von Apple-Hardware muss – abgesehen von der Beschaffung – am Ende nur entschieden werden, ob das Gerät personalisiert werden soll oder nicht. Personalisierte iPhones und iPads können vom Nutzer in den vorgegebenen Grenzen mit Apps und Inhalten bestückt werden, im anderen Fall obliegt das allein der IT-Administration.

  • Zur Umsetzung der Geräte-Strategie benötigen Sie zudem eine geeignete MDM-Lösung, mit der Sie die Geräte konfigurieren und verwalten sowie benötigte Apps und Inhalte drahtlos verteilen können. Bei iOS-Geräten geht dies besonders einfach, wenn das Unternehmen am Device Enrollment Program (DEP) teilnimmt. Dann kann die MDM-Registrierung der Geräte und die Installation von Konfigurationsprofilen automatisiert werden. Mit dem Volume Purchase Program (VPP) können Sie Apps und eBooks erwerben und an Benutzer verteilen.

  • Beide Programme setzen eine Registrierung voraus, für Unternehmen unter Apple Business Manager, Bildungseinrichtungen registrieren sich auf Apple School Manager. Hier können später auch Einstellungen zum MDM-Server getroffen werden.

2. Vorbereitung der Infrastruktur

  • Um Probleme bei der Einrichtung zu vermeiden, sollten Sie Ihre Infrastruktur vorab auf den Einsatz mit iOS-Geräten prüfen. Dazu zählt in erster Linie das Netzwerk inklusive WLAN, aber auch Anwendungsserver, beispielsweise für Mails, Kalender- und Kontaktdaten. Web-Proxy und Firewall-Ports müssen so konfiguriert sein, dass die Geräte auf den Aktivierungsserver von Apple, iCloud-Services sowie den iTunes Store zugreifen können.

  • Zudem sollten Sie sicherstellen, dass das WLAN für jeden User gleichzeitige Verbindungen von mehreren Geräten zulässt. In drahtlosen Netzwerken auf Basis von Cisco-Hard- und Software gibt es spezielle Funktionen zur Unterstützung von Apple-iOS-Geräten. Darüber lassen sich beispielsweise schnelles Roaming und Quality of Service (QoS) festlegen.

  • Über die Funktion „VPN on Demand“ können iPhone und iPad so eingestellt werden, dass VPN-Verbindungen nur bei Bedarf aufgebaut werden. Dies funktioniert nur, wenn die VPN-Gateways diese Funktion unterstützten; eventuell müssen dafür Lizenzen entsprechend der Nutzerzahl erworben werden. Beim Einsatz von Microsoft Exchange muss der ActiveSync-Dienst auf den neuesten Stand gebracht, für die Nutzung von Office-365-Services eine ausreichende Zahl an Lizenzen gekauft werden.

  • Darüber hinaus sollte auch für alle Netzteilnehmer Bonjour aktiviert sein. Dieses konfigurationslose Standardprotokoll dient dazu, Netzwerkdienste automatisch zu finden und zu nutzen, beispielsweise um Verbindungen zu AirPrint-kompatiblen Druckern oder zu AirPlay-fähigen Geräte wie Apple-TV aufzubauen oder Devices untereinander zu vernetzen.

    Kommt im Netzwerk ein macOS-Server zum Einsatz, dann können Sie mit Hilfe des integrierten Caching-Servers die erforderliche Bandbreite des Netzwerks optimieren. Häufig benötigte Inhalte aus App Store, macOS Appstore, iTunes Store und iBook Store werden im Caching-Server zwischengespeichert, darüber hinaus auch Software-Updates für iOS- und macOS-Geräte.

3. MDM in der Praxis

Nachdem Sie die beschriebenen Vorbereitungen abgeschlossen haben, können Sie mit der Einrichtung des MDM-Servers beginnen. Nach der Installation muss der zunächst mit den Deployment-Programmen DEP und VPP verknüpft werden. Dies erfolgt online über die oben genannten Apple Business bzw. School Manager. Die einzelnen Geräte werden anschließend über die Seriennummer mit dem MDM verbunden.

Vorkonfiguration der Geräte

Im nächsten Schritt werden die Geräte vorkonfiguriert, am besten direkt in der MDM-Lösung. Als Besonderheit ist bei der Konfiguration die Optionen „Betreutes Gerät“ zu beachten. Eine spätere Änderung dieser Option ist nur möglich, wenn das Gerät komplett gelöscht wird. Für betreute Geräte sind einige zusätzliche Funktionen verfügbar, die es bei nicht betreuten Geräten nicht gibt. Einen Gesamtüberblick finden Sie hier. Aus diesen Einstellungen wird ein Konfigurationsprofil in Form einer XML-Datei erstellt, die auf die Geräte verteilt wird, entweder per MDM, per Configurator oder einfach per Mail.

Wer statt über das MDM seine iOS-Geräte direkt im Apple Business Manager anmelden will – was eher die Ausnahme sein dürfte – kann auf die Desktop-Anwendung Apple Configurator 2 zurückgreifen. Mit dem kostenlosen Configurator, zu finden im macOS-App-Store, kann ebenfalls die Erstinstallation der Geräte vorbereitet werden, inklusive Update des Betriebssystems, Konfiguration von Einstellungen und Beschränkungen, zu installierende Apps und der Anmeldung beim MDM-Server.

Installation der benötigten Apps

Nach der Konfiguration fehlt nur noch die Installation der benötigten Apps. Über das VPP lassen sich Anwendungen wahlweise Geräten oder Nutzern zuordnen. Apps, die Geräten zugewiesen sind, werden automatisch installiert. Wenn Apps einem Nutzer zugewiesen werden, erhält dieser eine entsprechende Einladung; er entscheidet jedoch selbst, welche Anwendungen er installiert. Die Apps stehen ihm auf allen seinen Geräten zur Verfügung. Gleiches gilt auch für eBooks, beispielsweise digitale Handbücher. Über das Volume Purchase Program erworbene Lizenzen für Anwendungen und Inhalte verbleiben beim Unternehmen. Wird eine App von einem Nutzer nicht mehr gebraucht, oder scheidet der Mitarbeiter aus, kann die App einem anderen Nutzer zugewiesen werden.

4. Inbetriebnahme durch den Nutzer

Für alle diese Vorarbeiten müssen die Geräte selbst nicht angefasst werden. Sie können originalverpackt an die Mitarbeiter ausgehändigt werden. Wenn dieser sein iPhone oder iPad in Betrieb nimmt und über den Systemassistenten aktiviert, wird automatisch das Konfigurationsprofil installiert, das Gerät beim MDM-Server registriert und die zugewiesene Software installiert. Bei personalisierten Unternehmensgeräten und bei BYO-Devices trägt der Anwender seine persönliche Apple-ID ein, um damit Services wie FaceTime, iMessage und iCloud nutzen zu können. Damit erhält er auch Zugriff auf seine privaten Konten bei iTunes Store und App Store, seine persönlichen Mails, Termine und Kontakte.

Diese privaten Daten bleiben aber getrennt von Unternehmensdaten. Insbesondere die iCloud, in der auch automatisierte Backups der Gerätedaten erstellt werden, kann per MDM eingeschränkt werden, so dass beispielsweise verwaltete Apps und ihre Inhalte nicht in die iCloud gesichert werden.

Fazit

Es ist nicht schwer, iOS-Geräte wie iPhones und iPads über die IT-Administration des Unternehmens zentral managen zu lassen. Apple stellt eine Reihe von Funktionen und Tools zur Verfügung, die den Einsatz von MDM-Lösungen deutlich erleichtern. Die Einrichtung erfordert nur geringen Aufwand, und mit ein wenig Vorbereitung geht der Rollout problemlos über die Bühne. Besonders wichtig – sowohl für das Unternehmen wie für die Nutzer – ist die für den Benutzer völlig transparente Trennung zwischen persönlichen und geschäftlichen Daten und Anwendungen. So behält die Unternehmens-IT die volle Kontrolle über die Firmendaten; der privaten Nutzung des Geräts steht aber kaum etwas entgegen.

Checkliste iOS Geraete

 

Autor: Hamdija Trnjanin

Business Development Manager