Mit dem Update auf iOS 17.4 hat Apple nach langem Kampf auf die Forderung der EU mit dem Digital Markets Act (DMA) reagiert, iPhone-Nutzern mehr Wahlfreiheit zu ermöglichen. Eine der bedeutendsten Änderungen ist dabei, dass Apps nun auch über alternative Marktplätze installiert werden können und nicht mehr über den Apple AppStore bezogen werden müssen. Während diese Änderung für private Benutzer neue Möglichkeiten bietet, bereitet sie Unternehmen, die überwachte iOS-Geräte verwalten, eine Reihe zumindest theoretischer Probleme, nämlich:
Security-Risiken durch ungeprüfte oder zumindest weniger streng geprüfte Apps;
Umgehung von App-Richtlinien (Positiv/Negativ-Listen) durch Anwender;
Erhöhte Komplexität der Überwachung und Verwaltung aufgrund mehrerer App-Quellen;
Potenzielle Verstöße gegen bestehende Richtlinien und Compliance-Anforderungen, insbesondere in Bezug auf Datensicherheit, Privacy und App-Management.
Wenngleich Apple angekündigt hat, sämtliche Apps weiterhin zu überprüfen und es aktuell ohnehin noch keine alternativen App-Marktplätze gibt, sollten IT-Sicherheitsverantwortliche und Admins dennoch dringend Vorkehrungen treffen. Dabei empfehlen Mobile-Security-Spezialisten, die Mitarbeiter über die inhärenten Gefahren aufzuklären - und soweit möglich - zumindest den Zugang zu alternativen App-Stores zu blockieren.
Sideloading in iOS 17.4 deaktivieren - so geht's
Die gute Nachricht: Apple stellt in iOS 17.4 zusammen mit der Öffnung für neue App-Marktplätze in der EU auch gleich eine Reihe von Möglichkeiten für Unternehmen bereit, um die mit alternativen App-Stores verbundenen Risiken zu minimieren oder sogar zu eliminieren.
Dazu zählen folgende neue, beziehungsweise aktualisierte, MDM Policies für überwachte iPhones:
allowMarketplaceAppInstallation
(neu): Wenn diese Option auf "false" gesetzt ist, blockiert iOS die Installation von alternativen Marketplace-Apps aus dem Web und verhindert, dass Apps von bereits installierten alternativen App-Marktplätzen installieren werden können.allowAppInstallation
(upgedated): Wenn auf false gesetzt, deaktiviert iOS den App Store und das System entfernt sein Symbol vom Home-Bildschirm. Dies gilt auch für alternative Marketplace-Stores/Apps.allowAppRemoval
(aktualisiert): Wenn auf false gesetzt, deaktiviert iOS das Entfernen von Apps von einem iOS-Gerät, einschließlich alternativer Marketplace-Apps.allowListedAppBundleIDs
(aktualisiert): Wenn vorhanden, gilt dies auch für die Verwendung von Marketplace-Apps und Marketplace-gehosteten Apps.blockedAppBundleIDs
(aktualisiert): Die Policy verhindert nun auch die Nutzung von Marketplace-Apps und von auf dem Marketplace gehosteten Apps.
Gleichzeitig hat Apple auch einige MDM-Kommandos entsprechend angepasst:
InstalledApplicationList
enthält jetzt einen DistributorIdentifier für Marketplace-Apps und auf dem Marketplace gehostete Apps, dessen Wert auf die Distributor-ID der App gesetzt wird.InstallApplication
kann zwar nicht verwendet werden, um Marketplace-Apps oder auf dem Marketplace gehostete Apps zu installieren. Auf Geräten, die via Device-Enrollment in Betrieb genommen wurden, kann es aber genutzt werden, um die Verwaltung solcher Apps zu übernehmen, wenn sie bereits installiert sind.RemoveApplication
kann verwendet werden, um eine verwaltete alternative Marketplace-App oder eine auf dem Marketplace gehostete App zu entfernen.
Der Haken bei der Sache: Während iOS 17.4 bereits zum Download bereitsteht, haben noch nicht alle Unified-Endpoint-Management (UEM)-Anbieter die neuen Einschränkungen in ihren Lösungen integriert. Hier hilft nur, regelmäßig zu checken und seine Verwaltungslösung aktuell zu halten.
Mit enforcedSoftwareUpdateDelay
, gefolgt von einem Wert zwischen 1 und 90, gibt es dazu die Möglichkeit, das Update auf iOS 17.4 auf gemanageten Devices um bis zu 90 Tage herauszuzögern.