Apple Überwachtmodus

Wie überwache ich iOS Geräte?

Dieser Artikel gibt Ihnen einen schnellen Überblick über den Apple Supervised Modus für iOS Geräte (Überwachung), seine Vorteile und wie man es im MDM implementiert.

Apple verlagert immer mehr MDM-Funktionen in iOS auf den "Überwacht"-Modus (supervised bzw. supervision), was bedeutet, dass nicht überwachte iOS-Geräte schwieriger verwaltbar werden. Für alle Unternehmen und Organisationen, die das DEP Programm zur Geräteeinschreibung verwenden empfiehlt Apple sogar, standardmäßig alle Geräte zu überwachen.

Supervision und das Device Enrollment Program (DEP)

Standardmäßig laufen alle iOS-Geräte im nicht überwachten Modus. Es gibt zwei Möglichkeiten ein Gerät in den supervised Modus zu bringen:

1. Nutzung eines Mac-Computers und dem Apple Configurator 2 Tool. Verbinden Sie das Gerät per USB und setzen das Gerät zurück. Offensichtlich ist dies keine praktikable Lösung für eine große Anzahl von Geräten - es skaliert einfach nicht gut und erfordert auch, dass jedes Gerät durch die IT-Abteilung geht bevor es an Nutzer geliefert werden kann.

2. Durch die Registrierung eines Geräts mit DEP.

Dies macht DEP in einem Unternehmenskontext zum einzigen gangbaren Weg, um Geräte zu überwachen. Außerdem ist DEP der einzige Weg, um zu erreichen, dass eine MDM-Registrierung obligatorisch und nicht löschbar ist, was eine Voraussetzung für viele Anwendungsfälle ist.

Das DEP-Programm von Apple ist eine großartige Technologie, die das Leben des Administrators sehr vereinfacht. Sie können sich für das automatische Einschreibungsverfahren registrieren, in dem Sie Apple DEP Portal aufrufen. Eine neue Apple ID wird während des Prozesses erstellt. Diese Apple ID muss eine zwei Faktoren Authentifizierung haben und kann auch für die VPP Registrierung verwendet werden. Sobald Sie sich in das DEP-Portal einloggen, können Sie Ihren MDM-Server spezifizieren und verbinden sowie Ihre DEP-Kundennummer einpflegen.

Von diesem Zeitpunkt an werden Geräte, die im Rahmen des DEP-Programms gekauft wurden, automatisch im MDM Inventar angezeigt, und benötigen keinen manuellen Einschreibeprozess mehr. Sie können die bestellten Geräte an Ihre Benutzer verteilen, ohne dass das IT-Personal die Geräte in die Hand nehmen muss. Sobald der Benutzer sein neues Gerät zum ersten Mal einschaltet wird es in Ihre MDM-Lösung aufgenommen.

Nach einem Zurücksetzen auf Wekseinstellungen eines DEP-registrierten iOS-Geräts kann der Nutzer die Einschreibung ins MDM nun nicht mehr verhindern.

Supervision und MDM

Apple verfolgt seit Jahren den Ansatz, dass viele Konfigurationsmöglichkeiten und Richtlinien nur noch im s.g. Supervised Modus bereitstehen und somit nur noch für DEP Geräte zur Verfügung stehen. Dazu gehören zum Beispiel:

• Blockieren von App-Installationen aus dem App Store

• Blockieren der App-Entfernung

• Blockieren der Game Center Verbindungen und Multiplayer-Gaming

• Blockieren der iCloud-Synchronisation von Dokumenten

• Blockierung von expliziten iTunes-Inhalten und/oder des gesamten iTunes-Stores

• Blockierung von Safari

• Blockieren von Videokonferenzen

Es wird erwartet, dass diese Liste mit jeder neuen iOS-Version wächst. Also ist es definitiv für die meisten MDM Nutzer mit Nicht-Privaten Geräten den Supervised Modus und DEP zu verwenden.

Einstellungen eines überwachten (supervised) iOS-Gerätes, das in einem MDM registriert ist. Keine Möglichkeit für den Benutzer, dieses MDM Profil zu entfernen.

Also, was soll ich tun?

Wenn Ihre iOS-Geräte DEP-registriert sind, können Sie die Überwachung (Supervision) im DEP-Profil in Ihrer MDM-Lösung angeben. Wenn nicht, können Sie dies mit dem Apple Configurator 2 überwachen lassen. Seit iOS 11 können auch nicht überwachte Geräte ins DEP Program aufgenommen werden. Dazu ist jedoch ein manueller Prozess mit jedem Gerät notwendig. Dieser Prozess ist fast identisch, es gibt nur ein weiteres Kästchen zum Ankreuzen und es gibt eine 30-tägige Gnadenfrist, in der der Benutzer die DEP-Teilnahme entfernen darf.