Mehr Privatsphäre auf BYOD-Geräten

iOS 13.1 bringt User Enrollment

24.09.2019
Von  und  


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Mark Zimmermann leitet hauptberuflich das Center of Excellence (CoE mobile) zur mobilen Lösungsentwicklung bei der EnBW Energie Baden-Württemberg AG in Karlsruhe. Er weist mehrere Jahre Erfahrung in den Bereichen Mobile Sicherheit, Mobile Lösungserstellung, Digitalisierung und Wearables auf. Der Autor versteht es, seine Themen aus unterschiedlichsten Blickwinkeln für unternehmensspezifische Herausforderungen darzustellen. Neben seiner hauptberuflichen Tätigkeiten ist er Autor zahlreicher Artikel in Fachmagazinen.
Adressierte iOS 13 eher Endanwender, folgen mit dem Update auf iOS 13.1 nun aus Enterprise-Sicht wichtige Veränderungen. Dazu zählt die Möglichkeit, mit der Funktion Benutzerregistrierung (User Enrollment), BYOD-Geräte besser zu verwalten. Das müssen Unternehmen jetzt wissen.

Bei der Benutzerregistrierung (User Enrollment) handelt es sich um eine neue Management-Möglichkeit von Apple, um die Privatsphäre der Nutzer auf Bring-Your-Own-Device (BYOD)-Geräten (iPhone, iPad, Mac) zu schützen und gleichzeitig die Sicherheit der beruflichen Daten zu gewährleisten. Aus Sicht von Experten zieht Apple damit endlich mit den "Work"-Profilen in Android Enterprise gleich. Bisher konnte der Hersteller aus Cupertino nichts Adäquates bieten. Es handelt sich somit um die größte Maßnahme von Apple seit iOS 7, um die geschäftliche Nutzung von privaten Endgeräten zu unterstützen.

Mit dem Update auf iOS 13.1 aktiviert Apple auch die Funktion User Enrollment.
Mit dem Update auf iOS 13.1 aktiviert Apple auch die Funktion User Enrollment.
Foto: Vitius Cangiulli - shutterstock.com

Verwaltung von Nutzern statt Geräten

Umgesetzt wird dies, indem die beruflichen Daten, Apps und Richtlinien nicht mehr an das Gerät, sondern an eine eigene Managed-Apple-ID geknüpft werden. Als Konsequenz "erfährt" ein Mobile-Device-Management (MDM)-System nun nicht mehr, welche persönlichen Apps der Benutzer installiert hat. Geräteadministratoren können auch keine persönlich installierten Apps in verwaltete Apps konvertieren oder den Geräte-Passcode löschen. Stattdessen steht dem Device Administrator lediglich die Möglichkeit zur Verfügung, einen langen komplexen Geräte-Code einzufordern. Eine geräteweite VPN-Kommunikation kann ebenfalls nicht definiert werden und es ist unmöglich geworden, WiFi-Proxys zu hinterlegen.

Trotzdem können Geräteadministratoren weiterhin unter anderem:

  • dienstliche Apps und dienstliche Konten installieren und konfigurieren;

  • für das Gerät einen Passcode erzwingen;

  • Daten abfragen, die sich auf die dienstlichen Apps, Zertifikate und Konfigurationsprofile beziehen;

  • die Per-App-VPNs konfigurieren.

Um die Sicherheit der Unternehmensdaten auf dem Gerät zu gewährleisten, werden diese nun in einem separaten Apple-File-System (APFS)-Volume gespeichert, das bei der Registrierung erstellt und getrennt von den Benutzerdaten verschlüsselt wird. Dieses ist Speicherort für:

  • verwaltete, der Managed-Apple-ID zugewiesene Apps;

  • Daten der Notizen-App;

  • Enterprise-iCloud-Drive-Dokumente;

  • dienstliche Keychain-Einträge;

  • E-Mail-Anhänge und Mail-Body (restliche Metadaten bleiben im normalen System);

  • Kalender-Anhänge.

Das Gerät wird auch nicht mit seinen Gerätekennungen wie UDIC, Seriennummer oder IMEI bekannt. Stattdessen existiert nun eine EnrollmentID, die mit jeder Registrierung neu angelegt wird. Wird ein Gerät aus dem MDM entfernt, werden Managed APFS Volume und EnrollmentID gelöscht.

So stellen Sie die Verwaltung auf User Enrollment um

Die Verfügbarkeit des Features mit iOS 13.1 bedeutet nicht, dass ein Unternehmen sofort alle gemanagten Apple-Devices auf User Enrollment umstellen kann. Man benötigt dazu in erster Linie eine Plattform für MDM, UEM (Unified Endpoint Management) oder EMM (Enterprise Mobility Management), die User Enrollment bereits unterstützt. Nach aktuellem Stand stehen die meisten Player in den Startlöchern: Unseren Informationen zufolge bieten auf jeden Fall VMware (im Release 1909 von Workspace ONE) und Microsoft anfänglichen Support, Citrix und Jamf haben zumindest Unterstützung angekündigt und bei SimpleMDM war User Enrollment schon in der Betaphase öffentlich verfügbar.

Außerdem muss sich das Unternehmen (falls noch nicht geschehen) im Portal Apple Business Manager registrieren, um die Managed-Apple-IDs anzulegen. Dank der Möglichkeit, den Apple Business Manager mit einer Instanz von Microsoft Azure Active Directory (AD) zu verbinden, können Unternehmen dabei Microsoft-Azure-AD-Benutzernamen und -Passwörter gleichzeitig als verwaltete Apple-IDs verwenden. Anschließend sind die Anwender in der Lage, sich mit ihren Microsoft-Azure-AD-Anmeldedaten bei ihrem zugewiesenen iPhone, iPad oder Mac und sogar bei iCloud im Internet anmelden.

Der Workflow für die Benutzerregistrierung ist einfach: MDM-Systeme können das notwenige personalisierte Profil (Managed-Apple-ID ist als Referenz hinterlegt) dem Nutzer zum Download bereitstellen. Einmal heruntergeladen, muss der Anwender das Profil in der Einstellungen-App auswählen und den Rollout-Prozess durchführen. Anschließend wird beim Registrierungsvorgang ein neuer Informationsdialog mit wenigen ominösen Warnungen und Schaltflächen angezeigt. Der letzte Schritt besteht darin, dass sich der Benutzer mit seiner Managed-Apple-ID am MDM-System authentifiziert.

Bei dem Vorgang gilt es ein paar Dinge zu beachten: So müssen bereits gemanagte Devices zuvor vom MDM entkoppelt werden. Außerdem können Geräte jeweils nur mit einer Managed-ID assoziiert werden - um iPhones und iPads von Dienstleistern (mit verschiedenen Kunden) einzubinden, muss eventuell auf eine andere Methode (Mobile Application Management (MAM) oder Instant-MDM) zurückgegriffen werden.

Was die Nutzung angeht, hat Apple zwei wichtige Aspekte noch nicht adressiert: Alle Apps von Drittanbietern müssen entweder persönliche Apps sein, oder mit der verwalteten Apple-ID und dem MDM verknüpft sein. Sie können nicht in beiden Modi ausgeführt werden. Einige System-Apps wie Notes und Files unterstützen jedoch sowohl geschäftliche als auch private Konten. Außerdem gibt es nach wie vor Restriktionen, die für das ganze Gerät gelten.

Fazit: Auf einem guten Weg

Obwohl noch in einer Art Rohfassung, adressiert Apple mit User Enrollment bereits viele aktuelle Probleme in BYOD- und Corporate-Owned, Personally-Enabled (COPE)-Szenarien. Man darf entsprechend gespannt sein, wohin die Reise in den nächsten Jahren geht und ob es Apple schafft, bei bislang kritischen Themen wie der Existenz einer persönlichen und einer berufliche App-Version über seinen Schatten zu springen. Man darf allerdings nicht vergessen, dass es - ähnlich wie nach dem Erscheinen von Samsung Knox oder Android Work Profiles - weiterhin einen Bedarf für Mobile App Management und Containerisierung gibt. In Situationen, wo beispielsweise etwas granularere Features benötigt werden, ergibt es durchaus Sinn, auch diese im Auge zu behalten.