aus dem Netzwerk Insider August 2020
Geräteverwaltung mit noch mehr Features
Die Apple Worldwide Developer Conference (WWDC) hat vor kurzem die Änderungen veröffentlicht, die sowohl in der neuesten Version von iOS 14 als auch in iPadOS 14 vorgenommen wurden. Ich möchte diesen Artikel nutzen um die aktuell vorliegenden Informationen mit Ihnen zu teilen.
Apple Business Manager (ABM) und Apple School Manager (ASM) bieten schon lange die Möglichkeit, Geräte in den DEP-Modus zu versetzen. In diesem Modus ist das Überspringen von Bildschirmen für Setup-Assistenten während der Geräteregistrierung ebenfalls von Anfang an möglich (automated device enrollment). Die neuen Screens in iOS 14 sind mit Erscheinen natürlich ebenfalls dabei. In Zukunft können MDM-Administratoren jedoch auch Bildschirme, die sich bei Betriebssystem-Upgrades ergeben, überspringen lassen. Dabei müssen die Geräte angeblich nicht mehr DEP-konfiguriert sein, dies soll bei Updates auch für Superviced Geräte möglich sein.
Aber auch auf der Seite der Gerätekonfiguration hat sich etwas getan und wirft seine Schatten voraus. Bisher konnten Administratoren so beispielsweise verhindern, dass Benutzer die Standard-iOS-Apps auf überwachten Geräten (Supervised) entfernen können. Mit der neuen Version können Administratoren einzelne Apps definieren, die nicht entfernbar sein sollen. Auch können Administratoren nun die hinterlegte Zeitzone der eingesetzten Geräte per MDM abfragen und konfigurieren. Letzteres ist gerade in Situationen notwendig, in denen die verwalteten Geräte keine aktivierte Ortung haben, um sich diese Konfiguration selbst umsetzen.
Zum Schutz der Privatsphäre und der Datensicherheit kann man ferner den DNS-Verkehr zwischen Geräten und DNS-Servern verschlüsseln. Zuvor war eine VPN-Verbindung erforderlich, um den DNS-Verkehr in einen verschlüsselten Kanal einzubinden oder eine speziell erzwungene App mit einer zugehörigen NetworkExtension.
Mit iOS 14 verwendet ein Gerät, wenn es mit einem Wi-Fi-Netzwerk verbunden ist, eine zufällige MAC-Adresse anstelle der tatsächlichen eigenen Hardware-MAC-Adresse. Bei Netzwerken in Unternehmen, die firmeneigene Portale oder Filter verwenden, kann diese neue Funktion zu einem unerwarteten Verhalten führen, da das Gerät möglicherweise nicht identifiziert werden kann. Ein iOS-Gerät schaltet in diesem Fall intern auf seine echte MAC-Adresse zurück.
Ein Anwender kann dies für seine persönlichen Netzwerke selbst (de-)aktivieren. MDM-Administratoren können dies für per MDM-Profil verteilte WiFi-Konfigurationen selbst festlegen und als Funktion (de-)aktivieren.
Es gibt drei Arten von VPN, die von iOS unterstützt werden:
Mit iOS / iPadOS14 können VPN-Konfigurationen an Accounts (Account-VPN) gebündelt werden. Dies ermöglicht es Administratoren, ein VPN für Kontakte, Kalender und Mail-Domänen zu wählen.
So gänzlich neu ist das nicht. Apple hat dies für User-Enrolled-Geräte schon in Ansätzen ermöglicht. Administratoren konnten hier für E-Mail (MailDomains), Kontakte (ContactsDomains) und Kalender (CalendarDomains) eine Domain-VPN Regel festlegen, sofern der Second-Level-Domain des VPN-Servers mit den Sync-Werten der Keys übereinstimmen. Apple wird mit iOS/iPadOS 14 nun diese Möglichkeit umstellen, um VPN-Profilen verschiedene Nutzlasttypen zuzuordnen, sodass das Betriebssystem bei der Interaktion mit diesen Diensten den Datenverkehr über eine VPN-Verbindung sendet. Die neuen Profile, die diese Funktionalität unterstützten sollen, sind:
Die Erweiterung erlaubt nun die VPNUUID entsprechend zu hinterlegen.
MDM-Administratoren können innerhalb des neuen Betriebssystems per MDM verteilte unternehmenskritische Apps als „nicht entfernbar“ markieren. Der Anwender kann diese dann nicht von seinem Gerät entfernen. Diese Geräte lassen sich von iOS auch nicht auslagern, falls diese länger nicht genutzt werden.
Mit iOS/iPadOS 14 haben Administratoren auch neue Möglichkeiten, mit den neuen Features des Betriebssystems umzugehen. So lassen sich App-Clips zulassen / verbieten. Eine spannende Neuigkeit ist auch, dass Administratoren die App-Software-Updates erzwingen können, nicht durchgeführt (verzögert) zu werden.
Für Benachrichtigungen (Notifications) werden Administratoren eine Darstellung für die Benachrichtigungsvorschau (nie anzeigen, immer anzeigen, nur nach Entsperren des Gerätes) optional definieren können. Für die SCEP-Konfiguration wurde die Schlüsselgröße (Keysize) mit 4096bits mit aufgenommen.
Die Single-Sign-On Kerberos-Erweiterung existiert eigentlich schon seit iOS 7, mit iOS 14 verfügt diese über neue Konfigurationsoptionen, wie unter anderem:
Mithilfe des Content-Cachings, einer Eigenschaft von MacOS, konnten Administratoren das Zwischenspeichern von iCloud-Inhalten und von Softwareupdates für Geräte im eigenen Netzwerk optimieren. In der kommenden iOS/iPadOS-Version wird das MDM-Protokoll nun erweitert, um Metriken über dieses Zwischenspeichern von Inhalten erheben zu können. Administratoren werden damit in die Lage versetzt bestimmen zu können, wie gut das Zwischenspeichern von Inhalten von ihren registrierten Geräten genutzt wird.
Auch beim „shared iPad“, dem gemeinsam genutzten iPad, gibt es Neuigkeiten. Dieses unterstützt jetzt die Definition der Speichermenge, die für jeden Benutzer zur Verfügung steht. Außerdem kann ein Administrator eine App mit SSO-Erweiterung installieren und nutzen. Zusätzlich lassen sich alle Anwender mit einem Befehl per MDM von einem Gerät entfernen.
Die Kurzbefehle in der Kurzbefehle-App unterstützten nun „managed open in“. Führt ein Kurzbefehl eine Aktion aus, die aufgrund der Geräterichtlinien untersagt ist, wird der Kurzbefehl im Ganzen gestoppt. Auf diese Weise wird nun endlich sichergestellt, dass die Daten einer Organisation auch hier nicht in die falschen Hände gelangen können.
Ich würde mich freuen, mit Ihnen die (zusätzlichen) Entwicklungen in iOS / iPadOS14, nicht nur im MDM-Umfeld, näher zu diskutieren. Ich werde in meinem Seminar zusätzlich auf die Neuigkeiten im Umfeld Datenschutz, Kurzbefehle und alle anderen Produktivitätsfeatures eingehen.
ComConsult GmbH
Pascalstraße 27
DE-52076 Aachen
Telefon: 02408/951-0
Fax: 02408/951-200
E-Mail: info@comconsult.com
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen