Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist itunes_badge_md-300x110.png

In dieser Episode geht es um das Update zum Thema Mobile Devicemanagement. Viel Spaß beim Zuhören.


Weiterführende Links

in Bearbeitung


Einleitung

Herzlich Willkommen zu einer weiteren Episode von iPad4productivity und heute mit dem Schwerpunkt, erweiterte Mobile-Devicemanagement-Möglichkeiten mit iOS13.

Ja, in den letzten beiden Episoden haben wir uns hier mal angeschaut, was im Rahmen der WWDC dort so vorgestellt wurde. Zum einen die Keynote, in der letzten Woche ja einmal so die neueren Funktionalitäten und, so wie angekündigt, das Thema MDM ist doch eine eigene Episode wert.

Supervised-Modus

Ja, es wurden ein paar Kleinigkeiten und es wurde ein größeres Thema dort besprochen. Ja, vielleicht einmal die, ich sage mal, grundsätzlichen Themen, ein Thema was die regelmäßigen Hörer meines Podcasts kennen ist dieser absolute Fokus auf den Bereich Supervised. Was heißt Supervised? Und zwar, Apple bietet jetzt schon seit einigen Jahren die Möglichkeit an Geräte in den Supervised/ in den überwachten Modus zu setzen. Und mit dem Supervised-Modus haben Sie mehr Möglichkeiten der Administration, also für mich ein entscheidendes Merkmal, was Sie damit beispielsweise setzen können, ist, dass Sie verhindern können, dass ein dienstliches iPad synchronisiert werden kann mit einem privaten PC oder Mac. Das ist für mich ein absolutes NoGo, also ich finde das immer sehr witzig, wenn ich sehe, dass die IT-Kollegen so die Leitplanken gerne quer vor die Straße bauen zu sagen, jawohl, du kriegst jetzt so ein E-Mail-Container, damit kann man wirklich nicht vernünftig arbeiten, weil die meisten eben nicht Splitscreen-fähig sind, und damit kann ich gar nicht die Drag’n’Drop-Möglichkeiten nutzen. Also ich behindere die Produktivität der User, auf der anderen Seite sind die Geräte aber nicht im Supervised-Modus, wo ich sage, jeder kann es doch fleißig dann entsprechend per iTunes synchronisieren. Das ist dann für mich dieses Bild, wo die Leitplanke quer vor die Straße gesetzt wird und links und rechts gibt’s keine Leitplanken oder sehr löchrige. Und was passiert dann? Dann fahren die Leute eben rechts vorbei und das ist weder sicher, noch ist es produktiv und deswegen empfehle ich immer die Leitplanke quer wegzunehmen, also nicht mit den Containern zu arbeiten, sondern mit nativen Apps. Seit iOS11.3 können Sie private und dienstliche Daten sehr gut trennen, und dann sehr klar zwischen unmanaged und managed zu unterscheiden, und eben ganz klar, in den Supervised-Modus zu gehen. Und Apple hat nochmal sehr deutig gesagt, dass eben so ist, dass eben hier das Thema eben Non-Supervised in Zukunft nicht mehr unterstütz werden wird. Es wird so sein, wenn Sie Geräte haben, ab nächstem Jahr, die Sie eben einmal bügeln, dann ist es so, dass Sie auch dieses Device Enrollment Program nur noch mit Supervised machen können. Also das geht nur noch so. Diese Einschränkung, die ich Ihnen gerade genannt hatte, dass Sie nämlich diese sogenannte Host Pairing unterbinden können, ist eine Einstellung, die Sie heute noch beim Koppeln mit dem Device Enrollment Program, beziehungsweise in den Supervised-Modus noch einstellen können. Das ist eine Einstellung, die fand ich immer recht verwirrend, ehrlich gesagt, das Gute ist, mit iOS13 wird die wegfallen. Das heißt, Sie konnten bisher schon in, über ein Sicherheitsprofil einstellen, dass eben wenn das Gerät im überwachten Modus ist, dass Sie dort entsprechend dieses Host Pairing beispielsweise eben deaktivieren können. Das können Sie per Profil in Zukunft machen, und dass man das eben im Apple Configurator, oder im DEP entsprechend festgelegt wird, rauskommen.

Stichwort Apple Configurator

Wie bisher auch, können Sie eben über den Apple Configurator an einem Mac per USB-Kabel Geräte anschließen, die in den überwachten Modus setzen, oder eben per Device Enrollment Program, und da ist es eben so, dass man sagt, das läuft dann entsprechend komplett eben beim DEP nur noch über supervised.

Dann ein großes Motto war Same Tools for All, also zu sagen, Apple School Manager, Apple Business Manager, das sind ja die beiden Bereiche. Apple School Manager wird auch komplett ersetzen die alten Bereitstellungsportale, das heißt, einige von Ihnen, die Apps zentral gekauft haben über das sogenannte Volume Purchasing Program, die kennen vielleicht noch die alte VPP-Seite, die wird zum Ende des Jahres eingestellt, das heißt, sie wird nur über den Apple Business Manager und im Schulbereich über den Apple School Manager gearbeitet. Hier können Sie ja heute auch schon User hinterlegen, Sie können Apps kaufen. Übrigens ich empfehle auch nicht nur die bezahlten Apps darüber zu kaufen, sondern auch die kostenfreien darüber zu kaufen, dann haben Sie nämlich, also die kosten ja nichts, aber Sie haben die komplette Übersicht über die browserbasierte eben Apple Business Manager Logik schon, welche bezahlten und welche kostenfreien Apps Sie wann entsprechend bezogen haben, und können hier dann auch sagen, okay, die stellen Sie dem MDM über die Token-Systematik zur Verfügung. Sollte das Ganze für Sie jetzt etwas verwirrend klingen und Sie da Unterstützung brauchen, schicken Sie mir einfach gerne die E-Mail an t.jekel@jekelteam.de und dann kriegen Sie da von mir gerne auch InHouse-Unterstützung.

Ja, zusätzlich zu den kostenfreien und den bezahlten Apps werden jetzt auch mit iOS13 die InHouse-Apps verteilbar sein, über das Thema des Apple School Managers, also das wird auch nochmal gehen und es wird ein Bereich geben, der heißt, AppleSeed for IT mit erweiterten Dokumentationen. Also hier gibt es noch mehr Dokus, die Apple Dokus sind ohnehin recht gut, muss ich ganz ehrlich sagen, und hier gibt es nochmal eine ganze Menge an mehr Sachen, die man mit dabei hat. Was ich klasse finde ist, dass es den Apple Business Manager seit kurzem auch verfügbar wird im Browser des iPads. Sie haben ja mitbekommen, dass Desktop Class Browsing mit iOS13 kommt, also ich weiß noch nicht so richtig, ob da einfach nur eingestellt ist, dass halt Desktop Modus erstmal der Standard ist, oder ob es auch die, aus meiner Sicht nervigen Einschränkungen gerade beim Verfassen von E-Mail-Newslettern, beispielsweise, ob die leichter werden, das werde ich mir nochmal in der nächsten Episode auch nochmal anschauen, aber eben was interessant ist, Sie können heute schon übrigens, es geht auch schon mit iOS12, das habe ich durch Zufall vor Kurzem mal entdeckt, auch auf dem iPad jetzt schon den Apple Business Manager nutzen, weil das fand ich irgendwie super nervig, dass das eben nur auf entsprechenden Browsern auf dem PC oder auf dem Mac gab. Ja, also Same Tools for All ist Apple School Manager, Apple Business Manager, Classroom wird jetzt auch auf den Mac kommen, also inklusive Restriktionen, und es gibt eine schöne neue Logik(??? 07:32), die heißt eben hier Hide Apps. Das heißt, Sie können sagen, Apps, wenn die offen sind bei Studenten, die können Sie eben zumachen, Remote als Lehrer in diesem Bereich, also hier ist immer auch, selbst wenn Sie kein Lehrer sind, interessant zu gucken, was so im Schulbereich passiert, weil stufenweise kommen diese Funktionalitäten meist auch in den Business-Bereich.

Device Enrollment Program (DEP)

Ja, bei TV-OS, also bei den Apple-TVs könen Sie mittlerweile jetzt auch managed Software-Updates machen, also dass Sie sagen können, iOS-Updates werden auch mit Datum und Uhrzeit gespeichert. Ja, was war nochmal besonders interessant, und zwar, es wird eine weitere Möglichkeit des Enrollments geben. Und zwar heute kann ich ja per Device Enrollment Program arbeiten, oder ich kann einfach sagen, ich mache das ohne Device Enrollment Program, das heißt, entweder habe ich im Endeffekt Null Kontrolle, oder so gut wie keine Kontrolle, oder ich habe die volle Kontrolle über das Gerät. Jetzt wird es eine dritte Möglichkeit geben, die heißt User Enrollment. Und die Idee von User Enrollment von Apple ist, vor allem dieses Thema Bring Your Own Device etwas stärker nach vorne bringen zu können. Sie wissen, ich bin kein großer Freund von Bring Your Own Device, weil meiner Erfahrung nach, erhöht es eher die Komplexität, als das es sie reduziert, aber wir haben ja eine Möglichkeit mehr, die vielleicht für den einen oder anderen von Ihnen vielleicht auch durchaus interessant ist. Also was Sie machen können ist, Sie können sogenannte Managed Apple-ID dort im Apple Business Manager dort erstellen. Und dann ist es so, dass er eben beim Enrollment dann so ist, dass er zwei Apple-IDs auf diesem Gerät hat. Also einmal die Managed-ID und er hat die Unmanaged-ID. Und dann wird eben sehr stark getrennt, das heißt, Sie haben dann auch in der Dateienapp, haben Sie dann eben ein Dateienbereich für Managed und Sie haben einen Bereich für Unmanaged. Also Managed ist dann der dienstliche Bereich, Unmanaged ist der private. Wird komplett getrennt, also Sie haben dort wirklich einen separaten Schlüsselbund, Sie haben separate App Container, separate Notizen, separate Mail Attachments, separate E-Mails, die Sie komplett getrennt haben, und hier gibt es, wenn Sie Applikationen haben, die Account-basiert arbeiten, wie die Notizen-App, oder wie die E-Mail-App, dann haben Sie eben die verschiedenen Accounts in einer App, so wie auch bei Dateien, da sehen Sie dann dienstliche Dateien und Sie sehen private Dateien, und wenn Sie eben sagen, ich habe komplette Apps die getrennt sind, dann haben Sie eben dienstliche Apps, die Sie verteilen über das Mobile-Devicemanagement-System und Sie haben private die der User über den normalen AppleStore installiert. Der Unteschied bei dem privaten Bereich ist, vor allen Dingen, dass Sie im Gegensatz zu der anderen Enrollment-Methoden nicht im MDM sehen, was der Mitarbeiter für Apps drauf hat. Also hier ist der Privatbereich wirklich privat, das heißt, ganz interessant, ich sehe das vor allen Dingen für externe Dienstleister, dass man sagt, die man so entsprechend reinnehmen kann. Das Problem, was ich damit nur immer wieder habe ist, dass Sie ein Gerät immer nur in ein MDM reinpacken können. Also Sie können immer nur in einem MDM-System drin sein. Jetzt habe ich mein Mobile-Devicemanagement-System, mein eigenes, jetzt werde ich doch nicht mein Gerät aus meinem MDM auschecken, und bei jemand anders reinchecken. Also deswegwen halte ich das auch nicht 100% ausgereift, aber durchaus auch für den einen oder anderen sicherlich interessant, wenn ich vielleicht irgendwo Vertriebspartner habe, die mit eigenen Geräten auf Ihren Systemen arbeiten wollen. Sie sagen, Mensch, Sie wollen eben hier die Privatsphäre Ihrer Partner schützen, dass eben Sie gar nicht sehen können, welche Apps dadrauf sind. Was eben in diesem User Enrollment auch nicht funktioniert ist, dass Sie mit dem Mobile-Devicemanagementsystem das Gerät komplett bügeln können. Sie können auch nicht das Kennwort zurück setzen, Sie können nur den Business-Bereich praktisch bügeln. Hat Vor- wie Nachteil. Also deswegen lässt Apple auch nur eine maximale Kennwortkomplexität von irgendwie 6 Zeichen zu, weil das Problem ist, wenn der User dieses Kennwort entsprechend versaubeutelt, dann kann er nur das Gerät zurücksetzen, aber Sie können nicht zentral sagen, ich setzte dieses Kennwort zurück. Also das heißt, das geht definitiv nicht vor dem Hintergrund dieser klaren Trennung. Es wird auch hier eine Identifikation des Gerätes nur temoprär vorgenommen, also hier die HD-ID (??), also die Identifikation des Gerätes braucht das MDM eben für den Setup, wird aber dann nur eine temporäre Enrollment-ID gemacht, die dann auch wieder zerstört wird, wenn dieses Gerät wieder ausgecheckt wird. Das heißt, wenn ein Gerät später wieder mal eingecheckt wird, weiß das MDM nicht, dass das da schon mal drin war. Also das heißt, hier wirklich die Idee der Privatsphäre dort entsprechend zu schützen, also es können auch hier, wie gesagt, nur die Sachen entsprechend gelöscht werden, die auch zentral geschickt werden, und wenn das Gerät aus diesem User Enrollment eben rausgeht, dann werden auch die Apps automatisch gelöscht, die Sie dort darüber draufgepackt haben. Diese Methode gewölbt (??? 13:07) auch für den Mac verfügbar sein, also für beides, also eine dritte Art des Enrollments. Meine persönliche Empfehlung ist immernoch, ich würde mit Device Enrollment Program arbeiten, und das Ganze eben so machen, dass Sie sagen, auf alle Fälle mit Supervised, und dass Sie sagen, alle dienstlichen Applikationen werden verteilt über das Mobile-Devicemanagementsystem als Managed Apps, auch die dienstlichen Exchange- oder LotusNotes-Accounts, und private Sachen kommen auf eine White List, und diese werden dann entsprechend über den normalen Apple AppStore vom User dort installiert, ein Denkansatz ist hier beispielsweise die Apps, die Sie auf der White List haben, auf einer Webseite in einem Intranet beispielsweise zu verlinken, das heißt, dann können User da einfach drauftippen, mit Links in den normalen Apple AppStore und dann wissen Sie, das sind die Dinge, die Sie über den normalen AppStore installieren können. Dann ist da auch nicht irgendwie Trial & Error angesagt, sondern dann hat man eine Seite, die dann als Art interner AppStore praktisch fungiert, dass heißt, Sie können sagen, lieber User, für die Businessdinge habt ihr eben ein Business AppStore, und für die privaten Sachen, die auf der White List sind, dann haben wir eben eine Webseite, da sind alle verlinkt mit der Information, was die alle können, und wenn dort weitere Wünsche sind, dann werden die geprüft und kommen dort entsprechend mit drauf.

DEP in Zukunft nur noch supervised

Ja, DEP geht eben Device Enrollment Program wird in Zukunft mit iOS13 nur noch supervised gehen, was ich auch für total sinnvoll halte, weil DEP Non Supervised macht aus meiner Sicht wenig sind, und wenn Sie in die Sicherheitsprofile reingehen, dann werden Sie sehen, da steht ganz ganz oft immer nur Supervised, das heißt, diese Restriktionen ziehen eben ohnehin nur im Supervised Modus und da sind fast keine mehr übrig, die auch ohne Supervised funktionieren.

Single Sign On

Ja, was gibt es noch? Es gibt zum Thema MacOS vielleicht nochmal zwei-drei Dinge, dass man sagt, okay, Apple Remote Desktop kann ich eben auch hier per Mobile-Devicemanagement-System aktivieren oder deaktivieren. Ich kann auch dieses Thema Single Sign On etwas beisammen machen, also das ist nochmal ein Thema, was eben hier mit iOS13 kommt, also dass ich sage, ich habe die Möglichkeit sowohl über sogenannte Redirect Extensions, als über Credential Extentions kann ich eben arbeiten, so dass ich sage, die User haben eben einen einzigen User und Passwort für eine unternehmensweite Single Sign On, wo Sie dann eben entweder über eben Weiterleitung an einen Identitätsprovider dort eben solche Sachen – das sind die Redirect Extensions, oder über Credential Extensions, also Kerberos ist so der Klassiker, den Sie dort haben. Mitten auch eine Active Directory Integration und mit der Möglichkeit das mit Smart Cards zu integrieren, also hier die Anmeldung an Unternehmenssysteme mit nur einem User und Kennwort, beziehungsweise auch mit der Zeifaktorauthentifizierung wird hier unterstützt.

Also auch hier dieses Thema Azure Active Directory wird hier entsprechend, über eine sogenannte Federated Authentication dort mit unterstützt, also hier über eine gemanagte Apple-ID gibt es hier mehr Möglichkeiten nochmal der Anmeldung an entsprechende Unternehmensnetzwerke. Ja, also hier tut sich eine ganze Menge, auch übrigens, wenn Sie mit dem Device Enrollment Program mehrere Geräte ausrollen, dann gibt es die Möglichkeit, dass Sie das Ganze noch stärker anpassen, also dass Sie Bedienungshilfe noch stärker auch eben im Enorllmentprogram schon anzeigen, und was ich schön finde, Sie können eben statt dem Apple-Branding ein Unternehmensbranding drauf haben, sondern dann kommt eben Ihr Firmen-Logo mit Ihrem Text, mit Ihrem Branding und so weiter Tutto Completti dazu.

E-Mail Accounts zentral verwalten

Ja, Last but not Least, gibt auch ein paar kleinere Sachen, die ich ganz klasse finde, also wenn Sie Managed Accounts haben per Exchange oder LotusTraveller, können Sie jetzt auch sagen, dass ich eben einzeln steuere, dass für dieses Account zentral die einzelnen Komponenten, die E-Mails, Kalender, Adressbücher, Aufgaben einzeln ein- oder angeschaltet werden. Finde ich total super, so können Sie beispielsweise sagen, Sie lassen den Zugriff auf den Kalender von jemand anders zu, ohne dass man eben auf dessen E-Mails zugreifen kann. Dass war für mich immer noch so ein Ding, wo ich sage, selbst, wenn man irgendwie zwischen Chef und Sekretariat sagt, man möchte auf Kalender gemeinsam zugreifen, dann will man vielleicht nicht immer, dass der- oder diejenige auf die E-Mails zugreift, und so kann man sagen, jawohl, hier gibt es die Möglichkeit, dass man sagt, du kannst eben nur auf den Kalender zugreifen. Und das finde ich eben etwas, was gerade bei diesem Thema Freigabe von Accounts sehr gut ist, gerade, wenn Sie noch nicht Office 365 haben. Wenn Sie Office 365 haben, dann können Sie in Outlook auch, sogar auf dem iPad freigegebene Kalender von anderen Office365-Usern sehen, oder sogar Ihren eigenen Kalender freigeben, aber für die, die keinen Office 365 haben, hier ist es jetzt so, da können Sie eben in iOS13 diese einzeln haken, die man bisher auf dem iPad an- oder aushaken konnte, zentral per MDM auch steuern.

Einstellungsmöglichkeiten bei dem Benutzerprofil

Ja, was gibt es im Supervised-only noch für neue Payloads, also für neue Einstellungsmöglichkeiten bei dem Benutzerprofil? Da können Sie sagen, du darfst eben das Thema Hotspot ändern, ja oder nein, darfst du das Thema Find My Device / Find My Friends, darfst du das oder darfst du das entsprechend nicht, dann kann man eben eine ausklemmen, ob man dieses Thema Quickpart Keyboard, also dieses Wischkeyboard, ob man das nutzen darf oder nicht, dann ob man die W-LAN-Einstellungen ändern darf, also auch ganz gut, wenn Sie sagen, so, Sie haben hier bestimmte W-LANs angelegt, das ist ja nötig, da darf nichts mehr geändert werden, so wie man das eben heute auch bei den E-Mail-Accounts kann, und man kann eben beim AppleTV, kann man noch sagen, okay, ist das Ding eben immer Ready für Airplay, ja oder nein, und erlaube ich, dass das Ding eben in den Standby-Modus runterfährt.

Fazit

Ja, das vielleicht nochmal ein paar neue Payloads. Ich verlinke Ihnen gerne in dieser Episode auch nochmal die Links zu dieser Session, beziehungsweise auch zu den erweiterten Dokumentationslinks. Also, wenn Sie zum Thema Mobile-Devicemanagement da weitere Fragen haben, gerne einfach eine E-Mail an t.jekel@jekelteam.de schreiben und nächste Woche geht es dann man Hands On über die ersten Erfahrungen mit der iOS13 Beta.

Ich freue mich, wenn Sie nächste Woche wieder mit dabei sind, wenn es wieder darum geht, wie Sie mit dem iPad noch produktiver werden können. Bis zum nächsten Mal, Ihr Thorsten Jekel.