Das große Thema auf der WWDC, zumindest unter den Anbietern von Mobile Device Management (MDM) und Geräteadministratoren, war die Benutzerregistrierung ("User Enrollment"). Bisher konnten Geräte per Device Enrollment Program (DEP), Apple Configurator (AC2) oder durch manuelle Installation eines MDM-Clients in ein MDM-System überführt werden. Dabei ging diese Aktivität immer von der jeweiligen Organisation aus und je nach Art des Rollouts hatte die Firma mehr oder weniger starken Zugriff auf die jeweiligen Geräte. Befand sich das iPhone oder iPad gar im Supervised Mode (Betreuungsmodus), hatte der Anwender kaum die Möglichkeit, eigene Veränderungen an dem Device vorzunehmen.
Foto: Travel man - shutterstock.com
Betreuungsmodus bisher
Dieser Betreuungsmodus ist ein spezieller Modus in iOS, der eine tiefere Verwaltung und Konfiguration durch einen MDM-Server ermöglicht. Eine wachsende Anzahl von Konfigurationen ist nur verfügbar, wenn sich das betreffende Gerät im Supervised Mode befindet. Aus Sicht eines Administrators spricht einiges dafür, firmeneigene Geräte im Betreuungsmodus zu betreiben. Zu den Konfigurationen, die nur im Supervised Mode möglich sind, gehören unter anderem:
Kamera deaktivieren;
App Store deaktivieren;
Safari deaktivieren;
Hinzufügen von E-Mail-Accounts deaktivieren.
Was sich für reine Firmengeräte als problemfrei darstellt, ist in Szenarien, in denen Mitarbeiter ihre eigenen Devices privat und beruflich (BYOD) allerdings ein Alptraum.
Apple hatte bereits in iOS 7 einige MDM-Verwaltungsfunktionen eingeführt, beispielsweise
Managed Open-In bei verwalteten Apps;
VPN-Konfiguration;
Kerberos-basiertes Singe Sign-On (SSO);
und verwaltete App-Konfigurationen (AppConfig).
Das MDM-Protokoll selbst ermöglichte jedoch eine Reihe von recht aufdringlichen Konfigurationen, Befehlen und Abfragen, mit denen viele Benutzer nicht vertraut waren. Dazu zählen etwa das Auflisten aller auf dem Gerät installierten Apps oder die Möglichkeit, ein Gerät aus der Ferne zu sperren und alle Inhalte zu löschen (Lock & Wipe). Für den Einsatz in BYOD-Szenarien sind solche Features allerdings ein Alptraum. Dies ändert sich nun mit iOS 13.
Endlich auch für BYOD
Apple adressiert mit der Benutzerregistrierung genau die klassischen BYOD-Anforderungen. Es handelt sich dabei um eine modifizierte Version des MDM-Protokolls, bei der der Schwerpunkt auf dem Schutz der Privatsphäre der Benutzer (Stichwort "User Enrollment") bei gleichzeitiger Informationssicherheit für die Organisation liegt. Berufliche Daten, Apps und Richtlinien werden nun nicht mehr an das Gerät, sondern an eine eigene Managed Apple-ID gebunden. Eine solche Apple-ID können Firmen im Apple Business Manager anlegen.
Sie können über die verknüpfte Authentifizierung den Apple Business Manager allerdings nun auch mit einer Instanz von Microsoft Azure Active Directory (AD) verbinden. Damit sind Benutzer in der Lage, ihre Microsoft-Azure-AD-Benutzernamen und -Passwörter gleichzeitig als verwaltete Apple-IDs zu verwenden. Anschließend können sie sich mit ihren Microsoft-Azure-AD-Anmeldedaten bei ihrem zugewiesenen iPhone, iPad oder Mac und sogar bei iCloud im Internet anmelden.
Microsoft Azure AD ist hierbei der Identitätsprovider (IdP), der die Benutzernamen und Passwörter der Accounts enthält, die Sie mit dem Apple Business Manager verwenden können. Die verknüpfte Authentifizierung verwendet Security Assertion Markup Language (SAML), um den Apple Business Manager mit Microsoft Azure AD zu verbinden. Für die beruflichen Daten, Apps und Richtlinien auf einem iOS-Gerät wird nun genau diese Managed Apple-ID genutzt, ähnlich wie die Funktionsweise bei Android Enterprise.
Als Konsequenz "erfährt" ein MDM-System nun nicht mehr, welche persönlichen Apps der Benutzer installiert hat. Geräteadministratoren können auch nicht persönlich installierte Apps in verwaltete Apps konvertieren. Der Gerätepasscode kann nicht gelöscht werden. Dem Device Administrator steht lediglich die Möglichkeit zur Verfügung, einen langen komplexen Geräte-Code einzufordern. Eine geräteweite VPN-Kommunikation kann ebenfalls nicht definiert werden. Auch das Hinterlegen von WiFi-Proxys ist unmöglich geworden.
Trotzdem können Geräteadministratoren weiterhin unter anderem:
dienstliche Apps und dienstliche Konten installieren und konfigurieren;
für das Gerät einen Passcode erzwingen;
Daten abfragen, die sich auf die dienstlichen Apps, Zertifikate und Konfigurationsprofile beziehen;
die Per-App-VPNs konfigurieren.
Der Workflow für die Benutzerregistrierung ist sehr einfach. MDM-Systeme können das notwenige personalisierte Profil (Managed Apple-ID ist als Referenz hinterlegt) dem Nutzer zum Download bereitstellen. Einmal heruntergeladen, muss der Anwender dieses in der Einstellungen-App auswählen und den Rollout-Prozess durchführen. Anschließend wird beim Registrierungsvorgang ein neuer Informationsdialog mit wenigen ominösen Warnungen und Schaltflächen angezeigt. Der letzte Schritt besteht darin, dass sich der Benutzer mit seiner Managed Apple-ID am MDM authentifiziert.
Unternehmensdaten werden nun in einem separaten APFS-Volume (Apple File System) gespeichert, das bei der Registrierung erstellt und getrennt von den Benutzerdaten verschlüsselt wird. Dieses ist Speicherort für:
verwaltete, der Managed Apple-ID zugewiesene Apps;
Daten der Notizen-App;
Enterprise-iCloud-Drive-Dokumente;
dienstliche Keychain-Einträge;
E-Mail-Anhänge und Mail-Body (restliche Metadaten bleiben im normalen System);
Kalender-Anhänge.
Das Gerät wird auch nicht mit seinen Gerätekennungen wie UDIC, Seriennummer oder IMEI bekannt. Viel mehr existiert nun eine EnrollmentID. Diese EnrollmentID wird mit jedem Enrollment neu angelegt. Wird ein Gerät aus dem MDM entfernt, wird das Managed APFS Volume und die EnrollmentID entfernt.
Eine Sache hat Apple allerdings noch nicht adressiert: Alle Apps von Drittanbietern müssen entweder eine persönliche App sein oder mit der verwalteten Apple-ID und MDM verknüpft sein. Sie können nicht in beiden Modi ausgeführt werden. Einige System-Apps wie Notes und Files unterstützen jedoch sowohl geschäftliche als auch private Konten.
Neue Möglichkeiten im klassischen MDM-Umfeld
Aber auch sonst bietet Apple einige Neuigkeiten. Die nun folgende Liste erhebt dabei keinen Anspruch auf Vollständigkeit. Geräteadministratoren können nun:
veranlassen, dass eine eSIM neue Informationen zum Vertrag abruft;
festlegen, ob Apps auf Stimmkommandos des Anwenders hören dürfen;
eine ICCID-basierende Liste mit erlaubten Mobilfunkanbietern definieren;
Zertifikate als "nicht extrahierbar" festlegen;
fein granular die Synchronisation von Mail, Kalender, Kontakte, Notizen und Erinnerungen mit einem Exchange-Server (de-)aktivieren;
WPA3 als Verschlüsselungsstandard für WLANs hinzufügen.
Wie (gefühlt) jedes Jahr gibt Apple den Hinweis heraus, dass einige Konfigurationen jetzt nur noch im Supervised-Modus funktionieren, etwa:
allowAddingGameCenterFriends
allowAppInstallation
allowCamera
allowCloudBackup
allowCloudDocumentSync
allowCloudKeychainSync
allowExplicitContent
allowiTunes
allowMultiplayerGaming
allowSafari
allowVideoConferencing
safariAllowAutoFill
Diese Liste ist nicht neu. Apple bietet aber auch eine Migrationsunterstützung für Geräte an, die "noch" im Umlauf sind und sich nicht im Betreuungsmodus befinden. So können Geräte, die diese genannten Einschränkungen nutzen, dies auch weiterhin tun, selbst wenn sie sich nicht im Supervised Mode befinden. Diese Migrationsunterstützung gilt jedoch nur, solange es sich nicht um ein neu aufgesetztes oder ein gelöschtes (und wiederhergestelltes) Gerät handelt. In diesem Fall muss das Gerät im Betreuungsmodus sein, um die Einschränkungen korrekt zu verarbeiten.
Neues Modell für die App-Verteilung
Apple hat ein neues Modell für die direkte Verteilung in Form von benutzerdefinierten Apps eingeführt. Dieses Modell soll Unternehmen ermutigen, sich von der internen App-Verteilung mithilfe von Unternehmenszertifikaten abzuwenden. Wer die Meldungen in den Medien verfolgt hat, weiß, dass es in letzter Zeit wieder vermehrt Missbräuche von Enterprise-Zertifikaten gab. Diese neue Art der Verteilung bietet Apple die Gelegenheit hier entgegenzuwirken.
Die benutzerdefinierte App-Verteilung basiert auf dem Deployment-Modell für B2B-Apps, das die öffentliche Apple-App-Store-Infrastruktur verwendet. Genauer betrachtet ist es technisch kein neuer Weg. Früher war es jedoch verboten, sich selbst als Business-Kunde einzutragen.
Apple hebt dieses Verbot nun auf - mit der Konsequenz, dass Apps nicht mehr neu signiert und gehostet werden. Der Umgang mit Updates wird ebenfalls sichergestellt. Dies bringt natürlich auch den Nachteil (je nach Blickwinkel) mit sich, dass derart eingereichte Apps von Apple ähnlich wie im öffentlichen Store überprüft werden.
Unter der Hand heißt es jedoch, dass das Regelwerk hier etwas einfacher gehandhabt wird, auch wenn die Richtlinien gleich sind. Eine offizielle Aussage habe ich dazu aber noch nicht gefunden.
Benutzerdefinierte Apps können natürlich weiterhin per MDM oder über Einlöse-Codes an Partner, Kunden, Franchise-Nehmer, interne Mitarbeiter et cetera verteilt werden. Dies ist natürlich keine Rechtsberatung. Werfen Sie einen Blick in Ihren Lizenzvertrag mit Apple, um die korrekte Nutzung sicherzustellen. Kostenlose Apps aus dem AppStore lassen sich auch weiterhin nicht per Einlöse-Code verteilen. Diese Möglichkeit besteht nur für Customer-Apps.
Fazit
Die Benutzerregistrierung ist eine grundlegend überarbeitete Form der Geräteverwaltung im MDM-Umfeld. Gerade in BYOD-Szenarien realisiert Apple damit viele wichtige Datenschutzfunktionen - sowohl für den Anwender als auch für das Unternehmen. Dies stellt eine signifikante Veränderung dar, wie in Unternehmen mit iOS-Geräten umgegangen werden kann. (mb)