Foto: Apple
Viele neue Funktionen von iOS 8, das seit dem 17. September offiziell verfügbar ist, stoßen bei den Anwendern auf positive Rückmeldung. Während bisher zum Beispiel das Zusammenspiel mehrerer Apps weitgehend auf den Transfer von Dokumenten untereinander mittels "Öffnen in ..." beschränkt war, ist nun mittels der neuen APIs für "App Extensions" eine wesentlich elegantere Form der funktionellen Verzahnung mit anderen Apps möglich, ohne die aktuelle App verlassen zu müssen. So unterstützen Apps mit Unterstützung für die neue "Share" Extension eine direkte Veröffentlichung in anderen Diensten.
Erster prominenter Vertreter dieser Gattung ist "Evernote", das zum Beispiel per Pop-Up in Safari Notizen zur aktuellen Web-Seite in seine Cloud aufnimmt. "iMovie" stellt als "Action" Extension seine Bearbeitungsfunktionen für Filme in der persönlichen Filmsammlung zur Verfügung. Der Cloud-Speicherdienst "Box" implementiert in seiner neuesten App-Version die "Document Provider" Schnittstelle, die es Apps mit implementierten "Document Picker" (zum Beispiel "Documents 5" von Readdle) erlaubt, Dokumente wie vom PC-Dateisystem gewohnt zu öffnen.
Foto: Peter Meuser, iTlab Consulting
Noch ist das Angebot von Apps, die diese Formen der App Extensions unterstützen, überschaubar, doch wird sich dies schnell ändern. Auch die breite Unterstützung von Apples neuen "iCloud Drive" sollte nicht lange auf sich warten lassen. Apps mit Document-Picker-Unterstützung navigieren durch die Dateiverzeichnisse auf dem iCloud Drive so einfach und leicht wie durch Netzlaufwerke.
Bei IT-Verantwortlichen bilden sich damit aber schon jetzt Sorgenfalten beim Gedanken an neue potentielle Datenlecks, die sich mit iOS 8 auf dienstlichen Mobilgeräten unkontrolliert öffnen. Da zudem keine technisch zuverlässige Methode existiert, ein anwendergesteuertes Update auf iOS 8 zu verhindern, gilt es die Kontrolle sensitiver Betriebsumgebungen entsprechend anzupassen. Welche Techniken sieht Apple vor, um neues Funktionsangebot und Unternehmensrichtlinien auch unter iOS 8 in Einklang zu bringen?
Die Grundlage - Konfigurationsprofile
Die "Bibel" zu allen "Over-the-Air" per MDM konfigurierbaren Einstellungen auf iOS-Geräten und damit auch die bindende Basis für alle Anbieter von EMM-Lösungen ist Apples Spezifikation "Configuration Profile Key Reference". Sie definiert sowohl die Möglichkeiten zur Gerätekonfiguration, um einerseits Unternehmensressourcen wie zum Beispiel Microsoft Exchange oder IBM Domino mit den nativen PIM Apps von iOS nutzen zu können, aber andererseits auch welche Restriktionen unerwünschter Betriebssystemfunktionen sich im dienstlichen Einsatz durchsetzen lassen. Die aktuelle Fassung der Configuration Profile Key Reference wurde von Apple offensichtlich mit heißer Nadel gestrickt. So fehlen jegliche Hinweise, welche Einstellungen erstmals mit iOS 8 verfügbar sind.
Gleiches gilt auch für Apples aktuelles grafisches Tool zur Generierung und kabelgebundenen Installation von Konfigurationsprofilen - "Apple Configurator" (Download Version 1.6 für Mac OS X "Mavericks" im Mac App Store). Apple Configurator ist auch unter iOS 8 heute noch das einzige Werkzeug der Wahl, wenn Dienstgeräte vor der MDM-Registrierung in den betreuten Modus ("supervised") gebracht werden sollen, um zusätzliche Konfigurationsoptionen freizuschalten. Wer keine technischen Spezifikationen analysieren möchte, findet zudem im Configurator eine Orientierungshilfe, welche aktuellen Möglichkeiten zur iOS-Geräteverwaltung eine EMM-Lösung mit optimaler iOS8-Unterstützung abdecken sollte.
Foto: Peter Meuser, iTlab Consulting
Neben zusätzlichen Kontrollmöglichkeiten für neue iOS8-Anwender-Features wie iCloud Drive und Handoff, lässt sich nun mittels "Managed Web Domains" Safari als bisherige Lücke für einen unkontrollierten Datenabfluss schliessen. Werden zum Beispiel Dokumente mittels Safari aus einem internen SharePoint Site unter einer Managed Web Domain geladen, lassen sich diese nur noch an MDM-kontrollierte "Managed Apps" weiterreichen. Dieses Prinzip gilt auch für die neuen App Extensions.
Insbesondere Betreiber von Point-of-Sale-Systemen wird erfreuen, dass sich erstmals der gesamte Netzwerkverkehr von iOS8-Geräten mittels "Always-On VPN" über die Firmennetzwerkinfrastruktur kontrollieren lässt. Im Gegensatz zum bis dato nur verfügbaren "VPN-on-Demand" lässt sich die neue Zwangsanbindungsform von Anwendern nicht umgehen. Erforderlich wird im Backend ein VPN Concentrator, der IKEv2 und Apples spezifische Implementation (getrennte VPN-Kanäle für WiFi und WAN) beherrscht.
Auf den ersten Blick eher unscheinbar, für den Unternehmenseinsatz aber umso richtungsweisender ist die neue Kerberos Single-Sign-On Option auf Zertifikatsbasis auf Backend-Systeme wie Intranet-Sites und auch Web Services. Sie erlaubt mit der entsprechenden CA-Infrastruktur, die es mittels EMM-Lösung einzubinden gilt, Anwender ohne explizite Eingabe von Anmeldedaten transparent gegen das Active Directory zu authentifizieren.
Stellte Apple bisher nur die Standardfunktionen, um Apps per MDM dynamisch zu verwalten, lassen sich nun auch Unternehmensdokumente in den Formaten PDF und iBook gezielt in die iBooks App übertragen, aktualisieren und bei Bedarf auch wieder löschen.
Die Stunde der EMM-Lösungen
Wer die neuen MDM-Features von iOS 8 im Unternehmen aktiv einsetzen möchte, ist auf die entsprechende Unterstützung der im Einsatz befindlichen EMM-Lösung angewiesen. Glaubt man der aktuellen Flut von Whitepapers, Webinars und Pressemeldungen der einschlägigen EMM-Hersteller zum Thema "iOS 8 für Enterprise", sollten eigentlich schon alles zum Start bereitstehen. Bei genauerer Betrachtung ergibt sich aber ein durchaus differenzierteres Bild.
Foto: Peter Meuser, iTlab Consulting
MobileIron bietet mit "Core 7.1" lediglich "Kompatibilität" zu iOS 8. Der Basisbetrieb bricht also für iPhones und iPads unter iOS 8 nicht zusammen. Die neuen Features lassen sich aber auch nicht adäquat verwalten. Abhilfe dieses Mankos soll das kommende Release 7.5 Ende Oktober schaffen. Good Technology kündigt bereits vollmundig Unterstützung "der neuen MDM-Funktionen von iOS 8" an, ein "Serverupgrade ist nicht nötig". Unter den iOS-MDM-Konfigurationsmöglichkeiten von "Good for Enterprise" ist davon aber noch nichts zu finden.
Foto: Peter Meuser, iTlab Consulting
In unserer begrenzten EMM-Testrunde kann bisher nur AirWatch mit breiten iO8-Fähigkeiten punkten, die wir auch im Labor praktisch prüfen konnten. Andere Anbieter wie z.B. SOTI agieren zumindest so transparent mit dem Versprechen gegenüber ihren Kunden, dass Sie eine umfassende Unterstützung von iOS 8 in Bälde anbieten wollen.
Unternehmen, die andere EMM-Lösungen in dieser frühen Phase schon für die Verwaltung der iOS8-Spezialitäten einsetzen möchten, können unsere Übersichtstabelle nutzen, um die bisher bereitgestellten MDM-Support mit dem Hersteller abzugleichen.
Überblick neuer MDM-Konfigurationsmöglichkeiten mit iOS 8 und deren bisherige Unterstützung durch ausgewählte EMM-Lösungen
Funktion | Airwatch (Console 7.2.6.0) | Good for Enterprise (GMC 2.5.3.723) | MobileIron (Core 7.1) |
Generelle "Kompatibilität" zu iPhone/iPad mit iOS 8.x | |||
MDM-Funktionen | ja | ja (Funktionalität Stand iOS 7) | ja (Funktionalität Stand (iOS 7) |
Apps (MDM Agent, Secure Browser, PIM Container etc.) | ja | ja | ja |
Enterprise App SDK | ja (Airwatch SDK 4.2) | ja (Good Dynamics SDK 1.9.4337) | ja (AppConnect SDK 1.8.0.32) |
Neue Funktionen zur Geräteverwaltung | |||
Abfrage zusätzlicher Gerätedetails | teilweise | - | - |
Set device name (supervised) | ja | - | - |
Neue iOS 8 Restriktionen | |||
Allow Handoff | ja | - | - |
Allow Internet search results in Spotlight (supervised) | ja | - | - |
Allow erasing of content and settings (supervised) | ja | - | - |
Allow configuring restrictions | ja | - | - |
iCloud: Allow storing data from managed apps | ja | - | - |
iCloud: Allow backup of enterprise books | ja | - | - |
iCloud: Allow syncing of notes and highlights in enterprise books | ja | - | - |
Clear restrictions passcode (supervised) | ja | - | - |
Neues Content Management unter iOS 8 | |||
Install, inventory, update & remove of iBooks/PDFs (via "iBooks" App) | ja | - | - |
Managed web and email domains (Data Leak Prevention) | ja | - | - |
Configuration of web content filtering with 3rd party provider for WebKit/Socket traffic (supervised) | ja | - | - |
Neue Connectivity- und PIM-Optionen mit iOS 8 | |||
IKEv2 VPN with option "Always-On VPN" (supervised) | ja | - | - |
WiFi: WPA2-only | - | - | - |
Enterprise WiFi: User Per-Connection Password | ja | - | - |
Exchange ActiveSync/E-Mail: Per mail S/MIME | ja | - | - |
Kerberos Single-Sign-On (SSO) with certificate-based authentication | ja | - | - |
Mark external email addresses | ja | - | - |
Erweiterung der iOS8-Unterstützung | - | Nicht offiziell angekündigt | Core 7.5 (Ende Oktober) |