Setzen Unternehmen das iPhone für zahlreiche Anwender ein, ist es notwendig, Einstellungen, wie zum Beispiel die Anbindung an WLANs, VPNs und Sicherheitseinstellungen, automatisch zu erledigen. Die Installation von Apps lässt sich gleichfalls automatisieren. Beim Einsatz von Exchange Server 2007/2010/2013 können Administratoren zwar über Exchange-ActiveSync-Richtlinien zumindest Sicherheits- und E-Mail-Einstellungen automatisieren, aber für weitergehende Automatismen benötigen Administratoren zusätzliche Mittel.
Apple stellt dazu das kostenlose iPhone-Konfigurationsprogramm zur Verfügung. Auch geübte Anwender, die Einstellungen lieber bequem am PC oder Mac vornehmen und dann auf ihr iPhone importieren, profitieren von dem Tool. Es steht für Windows und MacOS zur Verfügung und ermöglicht die weitreichende Konfiguration von iPhones. Unternehmen, die intern auf MacOS-Rechner setzen, sollten sich zusätzlich den Apple Configurator ansehen. Neue Payloads und Einstellungen für Konfigurationsprofile, die in iOS 8 eingeführt wurden, unterstützt das Tool bereits.
Starten Sie das iPhone-Konfigurationsprogramm, dann erhalten Sie in manchen Fällen eine Fehlermeldung dahingehend, dass das Tool keine Verbindung zum iPhone aufbauen kann. In diesem Fall kopieren Sie die beiden Dateien libxml2.dll und CFNetwork.dll aus dem Verzeichnis C:\Program Files (x86)\Common Files\Apple\Apple Application Support in das Installationsverzeichnis des iPhone-Konfigurationsprogramms. Hierbei handelt es sich normalerweise um das Verzeichnis C:\Program Files (x86)\iPhone-Konfigurationsprogramm. Starten Sie das Programm neu, sollte sich eine Verbindung zum iPhone aufbauen lassen.
Einstieg in das iPhone-Konfigurationsprogramm
Administratoren, die im Unternehmen zahlreiche iPhones verwalten müssen, finden bei Apple ausführliche Informationen zum Thema iPhone-Deployment im Unternehmen sowie den Download-Link zum iPhone-Konfigurationsprogramm und verschiedene Anleitungen. Das Tool ermöglicht die Erstellung, Verwaltung, Verschlüsselung und Bereitstellung von Profilen, die sich auf iPhones anwenden lassen. Bei den Profilen handelt es sich im Grunde genommen um XML-Dateien, die auf die Endgeräte kopiert werden müssen. iPhones und iPads erkennen die Dateien und führen die hinterlegten Änderungen aus. Auf diesem Weg lassen sich viele Einstellungen in iPhones vorgeben.
Diese Profile enthalten verschiedene Einstellungen für iPhones. Sie können problemlos auch mehrere Profile zur Verfügung stellen, die verschiedene Einstellungen auf dem iPhone anpassen. Auch Apps lassen sich über das Tool verteilen, und die Installation von Apps durch Anwender lässt sich darüber verhindern.
Zusätzlich können Administratoren mit dem Tool Informationen von iPhones auslesen, zum Beispiel das Konsolenprotokoll, das ausführliche Daten enthält.
Grundlage des Tools sind Konfigurationsprofile. Hierbei handelt es sich um XML-Dateien, in denen Sie Einstellungen des iPhones vordefinieren und verteilen können. Einstellungen können zum Beispiel Sicherheitsrichtlinien, Einstellungen für VPNs und WLANs, die Anbindung an Exchange, sonstige E-Mail-Einstellungen sowie Zertifikate sein. Welche Möglichkeiten es gibt, sehen Sie direkt in der grafischen Oberfläche, die sich sehr leicht bedienen lässt.
Einschränkungen festlegen
Das Tool unterstützt auch die MDM-Funktionen (Mobile Device Management) in iOS sowie die funkgestützte Übertragung von Konfigurationsprofilen. MDM ermöglicht die Verwaltung und Konfiguration von verschiedenen Einstellungen auf iPhones, die Sie mit Konfigurationsprofilen steuern. Zusätzlich bietet diese Funktion das Auslesen von Informationen, zum Beispiel die genaue iOS-Version des iPhones, des Netzbetreibers, installierte Apps oder bereits gesetzte Einstellungen.
Mit dem Tool lassen sich auch einzelne Funktionen im iPhone sowie installierte Apps deaktivieren und ausblenden. Die Installation neuer Apps kann gleichfalls verhindert werden, ebenso die Anbindung an unsichere WLANs. Die entsprechenden Punkte finden Sie vor allem im Bereich Einschränkungen bei Konfigurationsprofile. Einschränkungen geben Sie als Konfigurationsprofil weiter, wie alle anderen Einstellungen auch.
Sie haben in diesem Bereich verschiedene Möglichkeiten der Einschränkung. Setzen Sie eine bestimmte Einstellung, wenn Sie zum Beispiel die Verwendung von Safari oder Youtube verbieten, blendet das iPhone auch die entsprechenden Icons auf dem iPhone aus. Das Programm ist also für den Anwender nicht mehr sichtbar. Auf diese Weise unterbinden Sie zudem die Installation von Apps aus dem App-Store, da auch das App-Store-Icon auf dem iPhone nicht mehr verfügbar ist. Die Verwendung der Kamera oder das Erstellen von Bildschirmfotos lässt sich auf die gleiche Weise verhindern.
iPhone an das Konfigurationsprogramm anbinden
Wenn Sie das Konfigurationsprogramm auf einem PC oder Mac betreiben, auf dem Sie iTunes installiert haben, bindet sich das jeweilige iPhone automatisch in das Konfigurationsprogramm ein. Sobald Sie das iPhone mit dem Computer verbinden, liest das Konfigurationsprogramm die Daten aus.
Auf verschiedenen Registerkarten erhalten Sie die zugewiesenen Konfigurations- und Bereitstellungsprofile sowie Informationen zu den installierten Apps und das Konsolenprotokoll mit Fehlern und Daten zum iPhone.
Auf der Registerkarte Konfigurationsprofile sehen Sie die Konfigurationsprofile, die Sie angelegt haben. Sie haben auch die Möglichkeit, die Daten des iPhones zu speichern und per E-Mail zu versenden (Datei\Per E-Mail senden). Auf diese Weise lassen sich die Informationen auf anderen Computern mit installiertem Konfigurationsprogramm einlesen.
Die Erstellung eines Profils ist denkbar einfach: Sie klicken auf Konfigurationsprofile, legen einen Namen, eine Kennung und eine Beschreibung fest und klicken sich durch die verschiedenen Einstellungen. Im Fenster haben Sie die gleichen Möglichkeiten wie auf dem iPhone selbst. Sie sollten aber möglichst nicht alle Einstellungen in einem einzelnen Profil festlegen, sondern besser mehrere Konfigurationsprofile anlegen.
WLAN-Anbindung
Vor allem die Konfiguration für Exchange-Postfächer oder die Anbindung an WLANs lässt sich mit dem Tool automatisieren. Die Anbindung an zertifikatsbasierte 802.1x-WLANs ist ebenfalls möglich. Die entsprechenden Einstellungen finden Sie wieder über Konfigurationsprofile. Im Bereich WLAN geben Sie die SSID des WLANs ein und legen den Sicherheitstyp sowie das Kennwort fest. Abhängig von Ihrer Auswahl erscheinen weitere Felder, in die Sie Daten eintragen können.
Die Zertifikate, die Sie mit dem Konfigurationsprogramm verteilen, steuern Sie über Konfigurationsprofile\Zertifikate.
Konfigurationsprofile bereitstellen
Alle Einstellungen, die Sie in den Konfigurationsprofilen festlegen, sind auf den iPhones selbstredend erst dann verfügbar, wenn Sie das entsprechende Konfigurationsprofil übertragen haben. Der einfachste Weg ist das Versenden des Profils per E-Mail. Dazu müssen Sie nach den Einstellungen lediglich auf Freigeben klicken und können dann das Profil per E-Mail versenden. Empfängt der Anwender die E-Mail auf dem iPhone, kann er das Profil einfach anklicken und die Einstellungen durch einen Klick installieren.
Eine weitere Möglichkeit, das Konfigurationsprofil zu veröffentlichen, ist der Download über eine Website oder die direkte Installation per Dateifreigabe. Dazu kopieren Sie die Datei des Profils an den entsprechenden Speicherort, auf den die Anwender dann zugreifen dürfen: Geben Sie ein Konfigurationsprofil frei, müssen Sie festlegen, welche Sicherheitsoption Sie einsetzen.
Sie haben hier drei verschiedene Möglichkeiten, die Sicherheit des entsprechenden Konfigurationsprofils zu konfigurieren:
Ohne: Die Konfigurationsdatei lässt sich auf jedem beliebigen iPhone einlesen. Sicherheitsrelevante Daten sind in der Datei aber aus Sicherheitsgründen nicht auslesbar.
Konfigurationsprofil signieren: Das Profil wird signiert und lässt sich bei Änderungen an der Datei nicht auf dem Gerät installieren. Ein so installiertes Profil kann nur aktualisiert werden, wenn Sie dieselbe Kennung verwenden und den gleichen PC mit gleichem iPhone-Konfigurationsprogramm verwenden.
Verschlüsseltes, signiertes Konfigurationsprofil für diese Geräte erstellen: Wählen Sie diese Option aus, verschlüsselt das Konfigurationsprogramm die Datei noch. Das Profil lässt sich in diesem Fall aber nur von einem bestimmten Endgerät einlesen. Dazu müssen Sie das entsprechende iPhone einmal mit dem Computer verbinden und auswählen, damit das Konfigurationsprogramm Zugriff auf den Verschlüsselungscode des iPhones hat.
Verschiedene Konfigurationsprofile nutzen
Anstelle eines einzelnen, großen Konfigurationsprofils bietet es sich an, mehrere Profile zu erstellen, in denen Sie verschiedene Einstellungen vornehmen. Im Unternehmen ist es sicherlich sinnvoll, ein eigenes Konfigurationsprofil für Exchange zu erstellen und mit diesem die Exchange-Anbindung zu steuern. Das Gleiche gilt für weitere Profile für Sicherheit, WLAN und Zertifikaten.
Sicherheitseinstellungen, die Exchange betreffen, führen Sie zusätzlich mit Exchange-ActiveSync-Richtlinien durch. Apple unterscheidet zwischen Konfigurationsprofilen und Payload-Segmenten. Die gesamte XML-Datei enthält alle Einstellungen, die Sie im Profil festgelegt haben und die das Konfigurationsprogramm zur Verfügung stellt.
Payload-Segmente sind einzelne Einstellungsbereiche im Konfigurationsprofil, zum Beispiel VPN, E-Mail oder Exchange-ActiveSync. Wenn Sie ein Konfigurationsprofil installieren, das nur ein bestimmtes Payload-Segment steuert, zum Beispiel Exchange-ActiveSync, bleiben die anderen Einstellungen auf dem iPhone erhalten, etwa die installierten Zertifikate oder Einstellungen für VPNs. Ein Profil überschreibt nur die Einstellungen, die im entsprechenden Profil und im konfigurierten Payload-Segment ausgewählt und konfiguriert sind.
Mit Profilen arbeiten
Wenn Sie in einem Profil nicht alle Einstellungen eines Payload-Segments angeben, erhalten Anwender eine Information vom iPhone und müssen die fehlenden Daten selbst eingeben, zum Beispiel Benutzernamen und Kennwörter.
Erstellen Sie ein Konfigurationsprofil, dann sollten Sie im Bereich Allgemein auf jeden Fall das Feld Kennung pflegen. Über diese Daten erkennt das iPhone, ob bereits Einstellungen und Profile mit gleichem Namen vorhanden sind. Die Kennung definiert sozusagen die Konfigurationsprofile und unterscheidet diese voneinander.
Stimmt die Kennung eines Profils mit der eines bereits installierten Profils überein, überschreibt das iPhone die bisherigen Einstellungen mit den neuen Einstellungen. Daher ist es wichtig, dass Sie für jeden Einstellungsbereich bestimmte Payload-Segmente verwenden und den Namen eindeutig festlegen. Sie können den Namen der Kennung frei bestimmen.
Ändern Sie jedoch Exchange-Einstellungen auf dem iPhone, muss zuerst ein existierendes Profil gelöscht werden, bevor Sie neue Einstellungen einlesen. Löschen Sie ein solches Konfigurationsprofil auf dem iPhone, dann löschen Sie damit auch die Exchange-Einstellungen und hinterlegten Exchange-Konten auf dem iPhone. In den allgemeinen Einstellungen eines Konfigurationsprofils können Sie im Bereich Sicherheit festlegen, ob ein Benutzer selbst ein installiertes Konfigurationsprofil löschen darf. Setzen Sie hier die Option Nie, lässt sich das entsprechende Konfigurationsprofil zwar mit neuen Einstellungen überschreiben, aber nicht vom Anwender löschen.
Konfigurationsprofile aktualisieren und löschen
Wenn Sie ein Konfigurationsprofil aktualisieren, müssen Sie dieses erneut freigeben und den Anwendern zuschicken. Anschließend müssen die Anwender das aktualisierte Profil installieren wie ein neues Profil. Bei diesem Vorgang überschreibt das iPhone die alten Einstellungen und setzt die neuen des aktualisierten Profils.
Allerdings müssen dazu die Kennung sowie die Signatur übereinstimmen, wenn Sie diese Option aktiviert haben. Einstellungen, die Sie über ein Konfigurationsprofil vorgeben, lassen sich auf dem iPhone nicht mehr manuell anpassen.
Für den Fall, dass Sie ein Konfigurationsprofil löschen, entfernt das iPhone alle Einstellungen, die das Profil betreffen, und sämtliche Einstellungen der verschiedenen Payload-Segmente, die Sie im Profil gesetzt haben.
Von diesem Löschvorgang können auch E-Mails betroffen sein, die zu dem Konto gehören, das Sie mit dem Profil auf dem iPhone konfiguriert haben.
Sicherheitseinstellungen beachten
Im Bereich Code des Konfigurationsprofils legen Sie Einstellungen fest, die für Kennwörter auf dem iPhone gelten. Sie können diese Einstellungen mit Exchange ActiveSync-Richtlinien kombinieren. Das iPhone verwendet automatisch eine Kombination der beiden Richtlinien und berücksichtigt dabei die sichere Einstellung der entsprechenden Richtlinie.
Zusätzlich zu den Einstellungen des Konfigurationsprofils haben Sie mit Exchange-ActiveSync-Richtlinien noch weitere Möglichkeiten:
Fernlöschen (Remote Wipe)
Erzwingung eines Codes zum Sperren des Gerätes
Mindestlänge für Kennwörter
Mindestanzahl/Maximale Anzahl falscher Eingaben, bis sich das Gerät selbst löscht oder sperrt
Kennwort muss Ziffern und Buchstaben erhalten
Inaktivitätszeit
Einfaches Kennwort zulassen
Kennwortablauf und Kennwortverlauf
Aktualisierungsintervall für Richtlinien
Mindestanzahl komplexer Zeichen im Kennwort
Kamera zulassen oder sperren
Ausführliche Informationen zur Anbindung des iPhones an Microsofts Mail-Server liefert Ihnen der Beitrag iPhone-Praxis: Anbindung an Exchange und SharePoint Server. (cvi)