Dieses Bild hat ein leeres Alt-Attribut. Der Dateiname ist itunes_badge_md-300x110.png

In diesem Podcast erfahren Sie, wie das Device Enrollment Program von Apple Ihnen die Bereitstellung, Registrierung und Verwaltung von Apple-Geräten erleichtert. Viel Spaß beim Zuhören.


Weiterführende Links

Apple Deployment Programs

Apple Business Manager


Einleitung

Schön, dass Sie wieder mit dabei sind bei einer weiteren Episode von iPad4productivity und heute einmal dem Schwerpunkt Device Enrollment Programm. Der Eine oder die Andere, die jetzt als Einzeluser unterwegs sind, werden sich fragen, was hat es denn mit mir zu tun? Ja, als einzelner Anwender ist es etwas, was Sie eher nicht bruachen, aber wenn Sie das iPad im Unternehmen einsetzen, dann machen zwei Programme besonders viel Sinn. Das ist zum einen das VPP oder Volume-Purchasing-Programm und es ist das Device Enrollment-Programm oder DEP von Apple.

Basisausstattung: VPP & DEP

Das sind die zwei Bereitstellungsprogramme, und für welches Anwendungsszenario brauchen Sie was? Sie brauchen beides. VPP ist, dami t Sie Apps zentral kaufen können, denn, ich übersetze es immer gerne in die PC-Welt. Wenn Sie einer Mitarbeiterin, einem Mitarbeiter einen neuen PC hinstellen, dann würden Sie doch auch nicht einen leeren PC hinstellen, zu sagen, okay, ja, E-Mail habe ich dir gerade mal angebunden, oder eben deinen Lotus Notes oder deinen Outlook – alles Andere Datei-, Netzlaufwerke ist Teufelszeug, und das Thema Programme haben wir da kein installiert aber sucht dir welche frei aus, und installiere die, die du magst. Kein Mensch würde auf die Idee kommen, so PC’s auszurollen. Erfahrungsgemäß werden aber über 90% aller Unternehmen genau so ausgerollt. Und da bin ich ein großer Gegner davon, Sie kennen ja meine Einstellung, dass ich sage, erst Hirn einschalten und dann Technik. Und letztendlich geht es darum, einfach das Thema Sicherheit so zu machen, dass Sie links und rechts auf einer Schnellstraße richtig gute, stabile Leitplanken haben, und das, was die meisten IT-ler machen, die bauen die Leitplanke quer vor die Straße und links und rechts sind dann so ganze alte, löchrige, durchgängige Leitplanken da, die nicht richtig schützen. Und dann sind meistens die Systeme eben leider nicht sicher und so funktionseingeschränkt, dass man nicht vernünftig mit arbeiten kann.

Ich bin ein großer Freund davon, wirklich stabile Leitplanken zu bauen, also beispielsweise wenn ich dort Unternehmen begleite, dann ist es eben so, dass zentral festgelegt werden, welche Apps dort installiert werden und dass man dann private Applikationen sicherlich auch nochmal, das macht auch Sinn über den blauen Appstore installieren lässt, weil dann sind sie ungemanaged, und dann kann man eben zwischen einem gemanagten, also einem über MDM verteilten Applikation und zwischen ungemanagten Apps nichts nichts an Daten austauschen, aber das Ganze verbunden mit einer Whitelist, so dass dort auch entsprechend nur zugelassene Applikationen dort installiert werden dürfen im Regelfall.

Weshalb so restriktiv. Ich verlgeiche das immer mit zwei Dingen, zum einen mit dem PC, zum anderen mit dem Firmenwagen. Zum einen ist das so, dass Sie den Firmenwagen natürlich auch privat nutzen dürfen, aber Sie dürfen den nicht zum Wohnmobil umbauen, oder Taxi fahren, oder Rally fahren damit, also das heißt hier ist es erstmal ein von der Firma zur Verfügung gestelltes Arbeitsgerät und Statussymbol, und genauso ist das beim iPad. Und zum zweiten vergleiche ist es auch gerne mit dem PC, da darf man ja auch nicht rumdaddeln wie man lustig ist.

Privatnutzung ja – aber kontrolliert.

Ich bin duchaus ein Freund der kontrollierten Privatnutzung, weil dann hat es den Vorteil, dass die Anwender zum einen die Geräte wirklich täglich auch nutzen, zum zwiten passiert sonst genau das, dass dann private Geräte, die eben so konfiguriert, wie die Mitarbeiter das wollen, dann eher auch für dienstliche Zwecke genutzt werden, und dann sind wir a Way Out of Control der IT und weit außerhalb von Compliance. Also für mich ist immer nicht die thoeretische IT-Sicherheit wichtig, sondern, und ich bin wirklich 4-5 Tage die Woche in Unternehmen, ich erlebe es immer wieder. Für mich ist die realisierte IT-Sicherheit wichtig und da geht’s darum, mit welchen Systemen arbeiten den die Mitarbeiterinnen und die Mitarbeiter wirklich.

Das Nutzen vom Device Enrollment Programm?

Ja, wenn wir wieder zum Thema der Episode DEP kommen, das Device Enrollement Programm, gemeinsam mit dem VPP mittlerweile zusammengefasst in den Apple Business-Manager. Und bei dem Apple Business-Manager, dort ist es eben so, wenn Sie beides beantragt haben, dann können Sie Geräte über das Device Enrollment Programm auf der einen Seite vereinfacht ausrollen. Das braucht man nicht, wenn man weniger iPads hat, aber bei mehreren, und zum zweiten können Sie bestimmte Restriktionen eben nur über den sogenannten Supervised Modus auch durchsetzen. Und Apple hat das vor längerer Zeit schon angekündigt, das es eben so ist, dass viele der Restriktionen nur noch im sogenannten supervisten Modus auch ziehen, und wenn Sie in den gängigen Mobile-Device-Managementsystemen die Sicherheitsprofile einstellen, dann steht dort bei den meisten Restriktionen dahinter zum einen eine iOS-Version, das ist praktisch die iOS-Version ab der diese Restriktion zieht, und zum zweiten steht dort überwacht oder supervised. Und alles, wo da überwacht oder supervised steht, diese Restriktionen ziehen nur dann, wenn Sie dieses Gerät im Supervised-Modus haben.

Was ist das Host Pairing und welche Risiken bringt das?

Und ich gebe Ihnen eine, die für mich absolut essenziell ist. Und zwar eine Restriktion, die man nur im Supervised-Modus abklemmen kann, ist Host Pairing. Was heißt das? Das heißt, dass Sie, wenn Sie ein dienstliches iPad an einen privaten PC anschließen, das einfach ignoriert wird. Denn Sie können ja tausendmal erzählen, iTunes braucht man nicht mehr, wir sind es nur so gewohnt und die Leute synchronisieren fleißig mit dem iTunes. Und wenn Sie eben ein dienstliches Gerät an einen privaten PC oder Mac anschließen, sind Sie einfach in einer Phase oder in einer Zone, wo Sie einen unkontrollierbaren Datenzu- und -abfluss zwischen einem privaten oder einem dienstlichen Endgerät haben. Und das ist etwas, was für mich ein absolutes No-Go ist. Und deswegen lache ich mich echt immer tot, wenn die sogenannten IT-Profis dann sagen, jaaa, hier so ein Thema, Zugriff auf die Daten wird überhaupt nicht gemacht und solche Dinge, aber auf der anderen Seite eben dieses Host Pairing deaktivieren. Also das ist so ein bisschen, wie wenn man sagt, Cloudservices sind böse, und man schickt unverschlüsselte E-Mails, die genauso sicher sind wie Postkarten, die Sie per Post verschicken. Also lassen Sie sich da auch nicht immer mit solidem Halbwissen abspeisen von weniger fitten IT-Kollegen, denn ich erlebe das auch immer wieder, es gibt dort wirklich pfiffige IT-Abteilungen, die genau das verstehen, dass die sagen, Mensch, Sicherheit ist wichtig und ziehen Leitplanken, die gehören aber bitte nicht quer auf die Straße, sondern die gehören stabil links und rechts auf die Straße, dann wird da ein Schuh draus, weil dann kann man oft auch das Thema Produktivität mit Sicherheit durchaus auch kombinieren. Das muss kein Widerspruch sein.

Wann mach das DEP wirklich Sinn?

Ich sprach vorhin darüber, dass Sie mit DEP auch ein vereinfachtes Ausrollen haben. Das macht dann Sinn, wenn Sie ein paar mehr iPads ausrollen, also ich habe mehrere Kunden die durchaus auch ein paar Hundert oder ein paar Tausend iPads ausgerollt haben. Und wenn Sie da jedes einzelne Gerät immer manuell konfigurieren müssten, dann ist das sehr viel komplexer, als wenn Sie einfach User und Passwort beim ersten Mal eingeben und dann werden alle Sachen weitestgehend automatisch installiert. Leider können Sie noch nicht alles automatisch vordefinieren, aber es geht vieles, und Sie können im Device Enrollment Programm beispielsweise auch komplett ohne Apple ID ausrollen. Das empfehle ich auch, nämlich dann empfehle ich, dass die Apple ID für private Zwecke durchaus genutzt werden kann, also wenn jemand über Music Match oder über die iCloud Photo-Mediathek private Photos oder Musik synchronisieren möchte, dann hat er nämlich genau das, dass er es auf seinem privaten PC auf iTunes hat, hat seine Musik, hat seine Fotos und alles dabei , und er hat das auch synchronisiert mit seinem dienstlichen iPad. Also es geht mir nicht darum Funktionalitäten abzuklemmen, sondern es geht mir darum die Funktionalitäten die die Anwender sowohol dienstlich, als auch privat gerne haben wollen, durchaus zu realisieren, aber bitte Compliance-gerecht, und wenn man weiß, wie es geht, dann geht da mehr als der eine oder die andere denken.

Also das heißt, hierüber geht das, und mit diesem Device Enrollment Programm bei vielen ist das so, dass es eben dieses vereinfachte Ausrollen Sinn macht. Aber auch bei wenigen iPads macht es Sinn, weil mit dem Supervised Programm können Sie die iPads in den supervised oder über den überwachten Modus setzen. Das ganze geht über das Device Enrollment Programm, wie das so schön heißt, Over the Air, das heißt drahtlos. Sie müssen diese Geräte nicht per Kabel anschließen. Es gibt noch einen zweiten Weg, und zwar, Sie können das auch machen über einen Mac. Dafür brauchen Sie die gratis verfügbare Software des Apple Configurators. Und hier ist es so, diese gibt es leider nicht für den PC. Mittlerweile ist es aber so, dass Sie das auch auf mehreren Mac’s installieren können, weil in der Startphase war immer das Problemm, dass Sie das nur mit dem Mac auch wieder bearbeiten konnten, mit dem Sie es ausgerollt haben, mit dem Sie die iPad’s in den Supervised Modus versetzt haben. Und das Gute ist, das geht mittlerweile auch, wenn Ihnen der Mac mal abraucht auch mit anderen Mac‘s.

Ja, Sie können das über den Apple Configurator dann sowohl in den überwachten Modus setzen, als auch wenn das entsprechend von der Konfiguration des Mobile-Device-Management-Servers her möglich ist, auch sogar ins DEP mit aufnehmen. Sie wissen, ich bin ja viel bei Volks- und Raiffeisenbanken unterwegs, hier gibt es das Agree21-MDM der Fiducia und GAD IT AG, also der Rechenzentrale, und hier ist es so, dass dadurch, dass es mandantenfähig ist, ist es so, wenn Sie die Serveradresse eingeben, dann können Sie das leider nicht auflösen auf den einzelnen Institutsmandanten, das heßt, Sie können die Geräte nicht ins DEP reinnehmen, aber Sie können sie in den Supervised Modus versetzen. Also das funktioniert und damit spart man sich auch nochmal Geld, weil bei der Telekom kostet es, glaube ich, irgendwie  nochmal einen 5er pro Gerät, an der anderen Seite dann aber auch wieder zu sagen, macht das Sinn über Apple zu machen? Im Regelfall macht das mehr Sinn dort auch über die Telekom oder bei dem Anbieter Ihrer Wahl zu machen. Stichwchort nochmal zur Telekom. Also die Telekom hat aus meiner Erfahrung jetzt aus vielen Projekten, wo wir das DEP auch über die Telekom eingeführt haben, einen sehr sehr guten Service. Sie müssen dort das DEP entsprechend beantragen, wenn Sie übrigens die Unterstützung dazu brauchen, die E-Mail-Adressen, die Telefonnummer, die Anträge brauchen, schreiben Sie mir gerne eine E-Mail an t.jekel@jekelteam.de. Das ist mein tägliches Brot, also die kennen mich mittlerweile schon fast persönlich bei der Telekom-Hotline.

Neulich habe ich übrigens auch einen sehr guten Tipp bekommen. Und zwar ist das so, dass Sie ja laut Apple nur bis zu einem gewissen Alter Geräte ins Device-Enrollment-Programm aufnehmen können, hinterher, dass die auch supervised Over die Air verwaltet werden können. Mir sagte allerdings vor Kurzem im Rahmen eines iPad-Rollout-Projektes der Kollege von der Telekom-Hotline, dass Sie das nicht überprüfen. Das heißt, wenn Sie den einfach eine Exceldatei, eine CSV-Datei schicken, wo die IMEI-Nummer entsprechend drind sind, die Geräte die Sie ins DEP haben wollen, dann prüfen die das nicht, übernehmen das, also damit hat neulich sogar jemand irgendwie einen iPhone 4S oder sowas sogar noch mit rein bekommen, in das Device-Enrollment-Programm. Und Sie sollten idealerweise, sobald wie möglich alle Ihre Geräte auf alle Fälle ins DEP mit reinnehmen. Apple hat nämlich angekündigt, dass es bald nur noch über das Device-Enrollment-Programm gehen wird, und man sieht es vom Release zu Release, es gibt immer weniger Funktionen, die über Non-DEP funktionieren und wirklich sicher und Compliance-gerecht können Sie es heute eigentlich nur mit dem DEP entsprechend nehmen.

Der Apple Business-Manager als neue zusammengefasste Benutzeroberfläche

Vielleicht nochmall einen Hinweis zu denjenigen, die vielleicht schon länger das VPP nutzen, Sie können das noch mit dem alten Portal auch nutzen, wenn Sie nicht automatisch sogar schon einen Hinweis kriegen, upzugraden auf den Apple Business-Manager.

Der Apple Business-Manager ist jetzt die neue zusammengefasste Oberfläche, in der Sie die Apps entsprechend kaufen, in der Sie die User einrichten, DEP, also Sie haben eine Oberfläche. Was ein bisschen fies ist, das Ding läft nicht im Firefox, also Sie brauchen den Chrome dafür, idealerweise, also das heißt, entweder haben Sie den nochmal installiert oder einen Internet Explorer, da geht’s auch. Es geht nicht auf dem iPad. Auch die Erfahrung, also wenn Sie in Volks- und Raiffeisenbanken sind, am besten ist es, wenn man irgendwo nochmal einen Rechner hat, wo man auch Chrome installieren kann, da läuft’s erfahrungsgemäß am reibungslosesten.

Fazit

Wenn Sie da, wie gesagt, noch Unterstützungsbedarf haben, wenn Sie da nochmal Fragen haben, schreiben Sie mir gerne eine E-Mail an t.jekel@jekelteam.de. Und wenn Sie das Ganze auch nochmal nachlesen möchten, ja vielleicht auch nochmal Ihrem IT-Systempartner weiterleiten möchten mit den entsprechenden Links auch zum Apple Business-Manager zu dem Bereitstellungsprogramm, dann gehen Sie einfach auf www.iPad4productivity.com, und melden Sie sich zum Gratis-Hörerservice dieses Podcasts an und dann kriegen Sie regelmäßig von mir immer einen Link auch zu dem Transkript und zu den weiteführenden Links zu jeder Episode.

Ich freue mich auf Sie. Bis zum nächsten Mal. Ihr Thorsten Jekel.