Enterprise Mobility Management

iOS 9 wird für Unternehmen endlich besser

| Autor / Redakteur: Christof Baumgärtner / Peter Schmitz

Während bei iOS 7 und 8 das Mobile Device Management noch eine eher ungeliebte Pflichtaufgabe schien, macht Apple mit iOS 9 jetzt für Admins und Endanwender vieles endlich richtig.
Während bei iOS 7 und 8 das Mobile Device Management noch eine eher ungeliebte Pflichtaufgabe schien, macht Apple mit iOS 9 jetzt für Admins und Endanwender vieles endlich richtig. (Bild: Apple)

Auch wenn Apple mit iOS 7 und iOS 8 viele Anforderungen von Unternehmen umgesetzt hatte, gab es nicht unerhebliche Hemmnisse bei der Inbetriebnahme von Geräten und Applikationen im Unternehmensumfeld. Mit iOS 9 wird hier vieles deutlich einfacher, und zwar besonders dann, wenn Firmen ein Enterprise Mobility Management (EMM-) System für die Absicherung und Verwaltung ihrer Mobilgeräte-Flotte einsetzen.

Die Versionen 7 und 8 des mobilen Betriebssystems iOS mit ihren Schutzmechanismen für Unternehmens-Apps und Unternehmens-Daten (Open-in-Management, Per-App-VPN) und den DataShare-Möglichkeiten zur Vereinfachung von Workflows waren Meilensteine für die produktive und sichere Nutzung von iOS in den Unternehmen. Trotzdem blieben einige wichtige Fragen ungelöst. Die Defizite in früheren iOS-Versionen erläutern wir an einigen Beispielen:

  • 1. Beim Verteilen von Unternehmens-Apps auf die mobilen Endgeräte berechtigter Benutzer hat die IT-Sicherheit höchste Priorität. Viele Unternehmen mit einer iOS-Mobilgeräte-Flotte sahen deshalb bislang die Mittlerrolle des AppStores bei der Verteilung solcher Apps mit gemischten Gefühlen. Man konnte einfach nicht ausschließen, dass Kriminelle über diesen Kanal Angriffsvektoren auf die Endgeräte transportierten. Um dieses Risiko zu minimieren, aktivierte der Admin den AppStore gewöhnlich gerade so lange, bis die benötigten Apps auf den Endgeräten waren. Eine solche Operation war in der Regel eine Angelegenheit in der Nacht. Die korrekte Lieferung hielt der Admin in einem Protokoll fest. Danach sperrte er den Zugang zum AppStore wieder. Dieser ganze Prozess war nicht nur zeitraubend, sondern auch ein potenzielles Sicherheitsrisiko in der Zeit, da der AppStore nicht gesperrt war.
  • 2. In bisherigen iOS-Versionen war das Erstellen von Profilen für die Nutzer oft verwirrend und problematisch. So konnten zum Beispiel Richtlinien und Anforderungen miteinander im Konflikt stehen; und zuweilen kamen erstellte Profile gar nicht auf dem Gerät an.
  • 3. Der Registrierungsprozess von Geräten und Profilen bedurfte in früheren iOS-Versionen immer der Mithilfe der einzelnen Nutzer.
  • 4. Die Art und Weise, wie verwaltete Apps („managed Apps“) das Netzwerk nutzen, war auch noch in iOS 7 und iOS 8 relativ unflexibel. Admins hatten hier wenige Möglichkeiten, detailliertere Festlegungen zu treffen.

AppStore im Unternehmensumfeld nicht mehr nötig

Mit iOS 9 werden nun verschiedene Inbetriebnahme-Prozesse von Geräten und Applikationen sowohl für den Admin als auch für den Nutzer vereinfacht. Die neuen Sicherheits-Features in iOS 9 machen es in Kombination mit einem EMM-System wie etwa MobileIron für die IT sehr viel leichter, Geräte und Apps zu schützen, ohne dabei den jeweiligen Nutzer in seiner Arbeit zu stören.

Ein Beispiel ist die Möglichkeit, Apps ohne die Nutzung des AppStores auf die Endgeräte zu übertragen. Unter iOS 9 können Apps über den EMM-Server oder die neue Version 2 des Apple Configurator auf mobile Endgeräte geladen werden. Der Admin spielt, ohne dass der Nutzer etwas merkt oder tun muss, Apps über „Send Message“ auf überwachte Geräte oder er kennzeichnet bestimmte Apps, die der Nutzer installieren soll. Auf der Basis dieser neuen Funktionalität lassen sich auch überwachte Apps sowie Positiv- und Negativ-Listen im EMM-Server verwalten; ebenso können Nutzer daran gehindert werden, nicht-autorisierte Apps auf das Gerät zu laden.

Vereinfacht wird die Arbeit von Admin und Endanwender auch durch die Tatsache, dass letztere in iOS 9 keine Apple ID mehr benötigen, um Apps zu installieren. Bislang verursachte nämlich der Einsatz der Apple ID im Unternehmensumfeld Probleme. Entweder benutzten die Administratoren bei der Ausbringung von neuen Apps eine einzige ID für alle Geräte (was eine Verletzung der Endnutzer-Lizenzbedingungen von Apple darstellte) oder sie generierten eine individuelle Apple ID für jeden einzelnen Nutzer und gingen davon aus, dass der jeweilige Nutzer diese ID verwendete, um Zugriff auf verwaltete Apps zu erhalten. Diese Vorgehensweise erzeugte viele Helpdesk-Anrufe von verwirrten Nutzern, die nicht wussten, welche ID für welche App genutzt werden sollte. Mit den bisherigen iOS-Versionen war es darüber hinaus auch nicht möglich, den Prozess mithilfe des EMM-Systems zu vereinfachen.

Einfaches Handling von Unternehmens-Apps

In iOS 9 haben die EMM-Admins nun die volle Kontrolle über die App-Distribution und entsprechende Updates: die Nutzer benötigen lediglich ihre EMM-Anmeldedaten, um die Apps herunterzuladen, die sie benötigen. Des Weiteren lässt sich unter iOS 9 mithilfe eines EMM-Systems eine vom Nutzer installierte App ohne Zutun des Nutzers in eine Unternehmens-App umwandeln, ohne dass Nutzerdaten verloren gehen. In früheren iOS-Versionen war das ein ziemlich aufwendiger Prozess: der Nutzer musste nämlich zuerst die App löschen und dann dieselbe App aus dem jeweiligen Unternehmens-AppStore neu herunterladen.

Bei iOS 9 ist das jetzt sehr einfach: die App wird in eine verwaltete App umgewandelt, die Nutzer profitieren daraufhin von allen Sicherheitsmechanismen, die im Unternehmen installiert sind. Auf einem verwalteten Gerät ist die Änderung nicht sichtbar für den Nutzer, bei einem nicht-verwalteten Gerät muss der Nutzer der Änderung natürlich zustimmen.

Verbessert wurde in iOS 9 auch die Unterstützung von EMM-Systemen bei B2B-Apps, also Apps für Zulieferer und Partner (Wartungspartner, Franchisenehmer etc.), die nicht öffentlich zugänglich sind. In früheren iOS-Versionen waren die Metadaten in iTunes nicht vorhanden, sodass diese Informationen nicht automatisch in den EMM-App-Katalog übernommen werden konnten. Daher war es für EMM-Provider nicht einfach, mit B2B-Apps umzugehen. Unter iOS 9 werden nun die Metadaten in den iTunes-Metadaten-Stream eingebunden, sodass EMM-Hersteller Zugriff auf Informationen bekommen, die nötig sind, um sie in ihren App-Katalog einzustellen.

Management ohne Störung der Nutzer

Der oben erwähnte Konflikt zwischen Richtlinien und Anforderungen in früheren iOS-Versionen, der unter anderem zuweilen dazu führte, dass erstellte Profile gar nicht auf dem Gerät ankamen, wird in iOS 9 beseitigt. Das geschieht unter anderem dadurch, dass der EMM-Server, der das Gerät verwaltet, dieses solange im „Setup Assistant“-Modus belässt, bis alle Einstellungen komplett sind.

Durch diese Vorgehensweise sind keine Prozeduren nötig, die prüfen, ob irgendetwas vergessen wurde. Das reduziert Anrufe beim Helpdesk. Solcherart registrierte Geräte lassen sich vom Admin in einem Rutsch aktualisieren.

Des Weiteren kann der Registrierungsprozess in iOS 9 ganz ohne die Mitarbeit der Nutzer durchgeführt werden. Der Admin listet in diesem Fall alle Einstellungen auf und verbindet das Gerät mit dem Apple Configurator 2, der automatisch alle Einstellungen vornimmt. Muss eine ganze Reihe von Geräten eingestellt werden, dann hängt man sie über ein USB-Kabel an den Apple Konfigurator, der die Geräte mit den notwendigen Settings versieht. Dieses neue iOS 9-Feature ist ideal für kleinere Unternehmen und Einrichtungen wie Schulen, die eine Reihe von Geräten verwalten müssen, aber keinen EMM-Provider haben.

Diese Beispiele vom Registrieren von Geräten und dem Verteilen von Geräteprofilen zeigen zusammen mit den zuvor behandelten Maßnahmen im App-Management, dass iOS 9 den Administratoren die Arbeit erleichtert und den übrigen Unternehmens-Mitarbeitern störungsfreie Arbeitsprozesse ermöglicht, will heißen: Administrationsarbeiten wie das Registrieren, Konfigurieren und Aktualisieren von Geräten laufen im Hintergrund ab, die Nutzer werden nicht durch Abfragen, Statusmeldungen und Eingabeaufforderungen während ihrer Arbeit gestört.

Detailliertere Einstellungsmöglichkeit im Netzwerk-Verkehr

Verbesserungen gibt es in iOS 9 auch bei der Kontrolle des Netzwerk-Verkehrs, sprich: bei der Flexibilisierung der Einstellungen, wie verwaltete Apps das Netzwerk nutzen. So wird bei den Per-App-VPN-Verbindungen jetzt das UDP-Protokoll unterstützt (ein Vorteil für Apps, die bei Audio- und Videostreaming auf UDP basieren, wie beispielsweise MS Skype for Business); das Weiteren kann der Netzwerk- oder EMM-Admin jetzt spezifische Netzwerkwege und DNS-Einstellungen für eine verwaltete App, die über die Per-App-Verbindung übertragen wird, festlegen, und zum dritten können in iOS 9 die integrierten IPSec-Clients (IKEv1 und IKEv2) für das Management von Per-App-Verbindungen verwendet werden, wodurch sich auch existierende VPN-Verbindungen nutzen lassen. Nicht zuletzt können Admin festlegen, dass bestimmte verwaltete Apps wie etwa Netflix Funkzellen oder Roaming-Mechanismen nicht nutzen dürfen.

Fazit

Aus der großen Menge an neuen Verfahren und Leistungsmerkmalen in iOS 9, die die Einsatzfähigkeit des mobilen Betriebssystems im Unternehmen weiter verbessern, wurde in diesem Artikel vor allem auf Erleichterungen im Bereich bei der Inbetriebnahme und der sicheren Verwaltung von Geräten und Apps abgehoben. Angesichts der zunehmenden Zahl von Mobilgeräten in den Unternehmen, die zudem immer mehr auch zur primären oder sogar einzigen Plattform werden, schien uns diese Fokussierung besonders wichtig. Dafür musste das ganze Bündel an kontext-sensitiven Funktionen, durch die iOS 9 den einzelnen Nutzer in seinem Arbeiten durch automatisches Mitdenken und proaktives Vorschlagen unterstützt, außen vor bleiben.

Über den Autor

Diplom-Informatiker Christof Baumgärtner ist Vice President Sales DACH, Benelux, Nordics, Eastern Europe, Middle East and Africa beim Mobile Security-Spezialisten MobileIron

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43596060 / Mobile Security)