Foto: Apple
Viele neue Funktionen von iOS 8, das seit dem 17. September offiziell verfügbar ist, stoßen bei den Anwendern auf positive Rückmeldung. Während bisher zum Beispiel das Zusammenspiel mehrerer Apps weitgehend auf den Transfer von Dokumenten untereinander mittels "Öffnen in ..." beschränkt war, ist nun mittels der neuen APIs für "App Extensions" eine wesentlich elegantere Form der funktionellen Verzahnung mit anderen Apps möglich, ohne die aktuelle App verlassen zu müssen. So unterstützen Apps mit Unterstützung für die neue "Share" Extension eine direkte Veröffentlichung in anderen Diensten.
Erster prominenter Vertreter dieser Gattung ist "Evernote", das zum Beispiel per Pop-Up in Safari Notizen zur aktuellen Web-Seite in seine Cloud aufnimmt. "iMovie" stellt als "Action" Extension seine Bearbeitungsfunktionen für Filme in der persönlichen Filmsammlung zur Verfügung. Der Cloud-Speicherdienst "Box" implementiert in seiner neuesten App-Version die "Document Provider" Schnittstelle, die es Apps mit implementierten "Document Picker" (zum Beispiel "Documents 5" von Readdle) erlaubt, Dokumente wie vom PC-Dateisystem gewohnt zu öffnen.
Foto: Peter Meuser, iTlab Consulting
Noch ist das Angebot von Apps, die diese Formen der App Extensions unterstützen, überschaubar, doch wird sich dies schnell ändern. Auch die breite Unterstützung von Apples neuen "iCloud Drive" sollte nicht lange auf sich warten lassen. Apps mit Document-Picker-Unterstützung navigieren durch die Dateiverzeichnisse auf dem iCloud Drive so einfach und leicht wie durch Netzlaufwerke.
Bei IT-Verantwortlichen bilden sich damit aber schon jetzt Sorgenfalten beim Gedanken an neue potentielle Datenlecks, die sich mit iOS 8 auf dienstlichen Mobilgeräten unkontrolliert öffnen. Da zudem keine technisch zuverlässige Methode existiert, ein anwendergesteuertes Update auf iOS 8 zu verhindern, gilt es die Kontrolle sensitiver Betriebsumgebungen entsprechend anzupassen. Welche Techniken sieht Apple vor, um neues Funktionsangebot und Unternehmensrichtlinien auch unter iOS 8 in Einklang zu bringen?
- Touch ID
: In iOS 8 stellt Apple die Fingerabdruckerkennung auch fremden Apps zur Verfügung. - Handoff
Stellt allen Entwicklern die Funktionen zum Unterbrechen und Fortsetzen der Arbeit auf unterschiedlichen Geräten bereit. - Extensions
Führt eine Schnittstelle zur Erweiterung von Apps ein, unter anderem für Fotobearbeitung, Widgets für die Mitteilungszentrale, das Freigabemenü und neue Tastaturen. - Kamera API
: Voller Zugriff auf Belichtung, Fokus und Weißabgleich erlaubt bessere Aufnahme-Apps. - Photokit
Regelt den Zugriff auf das Fotoarchiv. Apps können Bilder ohne vorherigen Import bearbeiten. - Cloudkit
Erleichtert die Nutzung von iCloud in Apps. Erlaubt die Legitimierung per Apple-ID. - Healthkit
Healthkit importiert Daten von Gesundheits- und Fitness- Apps und ermöglicht deren Kommunikation untereinander. - Homekit
Verwaltet Geräte zur Hausautomatisierung und regelt die Steuerung über Apps oder Siri. - Spritekit
Erweiterte Bibliothek zur Erstellung von Apps mit schneller 2D-Grafik, vor allem für Spiele. - Scenekit
Die umfangreiche Bibliothek für 3D-Grafik mit Physikengine und Partikeleffekten stärkt iOS als Plattform für 3D-Spiele. - Metall
Leistungsfähige Grafikengine, die durch parallele Nutzung von CPU- und Grafikkernen eine sehr hohe Rechenleistung bereitstellt. - Swift
Innovative Sprache zur Erstellung moderner Apps, macht komplexe Programmierung intuitiver.
Die Grundlage - Konfigurationsprofile
Die "Bibel" zu allen "Over-the-Air" per MDM konfigurierbaren Einstellungen auf iOS-Geräten und damit auch die bindende Basis für alle Anbieter von EMM-Lösungen ist Apples Spezifikation "Configuration Profile Key Reference". Sie definiert sowohl die Möglichkeiten zur Gerätekonfiguration, um einerseits Unternehmensressourcen wie zum Beispiel Microsoft Exchange oder IBM Domino mit den nativen PIM Apps von iOS nutzen zu können, aber andererseits auch welche Restriktionen unerwünschter Betriebssystemfunktionen sich im dienstlichen Einsatz durchsetzen lassen. Die aktuelle Fassung der Configuration Profile Key Reference wurde von Apple offensichtlich mit heißer Nadel gestrickt. So fehlen jegliche Hinweise, welche Einstellungen erstmals mit iOS 8 verfügbar sind.
Gleiches gilt auch für Apples aktuelles grafisches Tool zur Generierung und kabelgebundenen Installation von Konfigurationsprofilen - "Apple Configurator" (Download Version 1.6 für Mac OS X "Mavericks" im Mac App Store). Apple Configurator ist auch unter iOS 8 heute noch das einzige Werkzeug der Wahl, wenn Dienstgeräte vor der MDM-Registrierung in den betreuten Modus ("supervised") gebracht werden sollen, um zusätzliche Konfigurationsoptionen freizuschalten. Wer keine technischen Spezifikationen analysieren möchte, findet zudem im Configurator eine Orientierungshilfe, welche aktuellen Möglichkeiten zur iOS-Geräteverwaltung eine EMM-Lösung mit optimaler iOS8-Unterstützung abdecken sollte.
Foto: Peter Meuser, iTlab Consulting
Neben zusätzlichen Kontrollmöglichkeiten für neue iOS8-Anwender-Features wie iCloud Drive und Handoff, lässt sich nun mittels "Managed Web Domains" Safari als bisherige Lücke für einen unkontrollierten Datenabfluss schliessen. Werden zum Beispiel Dokumente mittels Safari aus einem internen SharePoint Site unter einer Managed Web Domain geladen, lassen sich diese nur noch an MDM-kontrollierte "Managed Apps" weiterreichen. Dieses Prinzip gilt auch für die neuen App Extensions.
Insbesondere Betreiber von Point-of-Sale-Systemen wird erfreuen, dass sich erstmals der gesamte Netzwerkverkehr von iOS8-Geräten mittels "Always-On VPN" über die Firmennetzwerkinfrastruktur kontrollieren lässt. Im Gegensatz zum bis dato nur verfügbaren "VPN-on-Demand" lässt sich die neue Zwangsanbindungsform von Anwendern nicht umgehen. Erforderlich wird im Backend ein VPN Concentrator, der IKEv2 und Apples spezifische Implementation (getrennte VPN-Kanäle für WiFi und WAN) beherrscht.
Auf den ersten Blick eher unscheinbar, für den Unternehmenseinsatz aber umso richtungsweisender ist die neue Kerberos Single-Sign-On Option auf Zertifikatsbasis auf Backend-Systeme wie Intranet-Sites und auch Web Services. Sie erlaubt mit der entsprechenden CA-Infrastruktur, die es mittels EMM-Lösung einzubinden gilt, Anwender ohne explizite Eingabe von Anmeldedaten transparent gegen das Active Directory zu authentifizieren.
Stellte Apple bisher nur die Standardfunktionen, um Apps per MDM dynamisch zu verwalten, lassen sich nun auch Unternehmensdokumente in den Formaten PDF und iBook gezielt in die iBooks App übertragen, aktualisieren und bei Bedarf auch wieder löschen.