iOS 8 im Unternehmen – Der Stand der Dinge

Die Grundlage - Konfigurationsprofile

Die "Bibel" zu allen "Over-the-Air" per MDM konfigurierbaren Einstellungen auf iOS-Geräten und damit auch die bindende Basis für alle Anbieter von EMM-Lösungen ist Apples Spezifikation "Configuration Profile Key Reference". Sie definiert sowohl die Möglichkeiten zur Gerätekonfiguration, um einerseits Unternehmensressourcen wie zum Beispiel Microsoft Exchange oder IBM Domino mit den nativen PIM Apps von iOS nutzen zu können, aber andererseits auch welche Restriktionen unerwünschter Betriebssystemfunktionen sich im dienstlichen Einsatz durchsetzen lassen. Die aktuelle Fassung der Configuration Profile Key Reference wurde von Apple offensichtlich mit heißer Nadel gestrickt. So fehlen jegliche Hinweise, welche Einstellungen erstmals mit iOS 8 verfügbar sind.

Gleiches gilt auch für Apples aktuelles grafisches Tool zur Generierung und kabelgebundenen Installation von Konfigurationsprofilen - "Apple Configurator" (Download Version 1.6 für Mac OS X "Mavericks" im Mac App Store). Apple Configurator ist auch unter iOS 8 heute noch das einzige Werkzeug der Wahl, wenn Dienstgeräte vor der MDM-Registrierung in den betreuten Modus ("supervised") gebracht werden sollen, um zusätzliche Konfigurationsoptionen freizuschalten. Wer keine technischen Spezifikationen analysieren möchte, findet zudem im Configurator eine Orientierungshilfe, welche aktuellen Möglichkeiten zur iOS-Geräteverwaltung eine EMM-Lösung mit optimaler iOS8-Unterstützung abdecken sollte.

Neben zusätzlichen Kontrollmöglichkeiten für neue iOS8-Anwender-Features wie iCloud Drive und Handoff, lässt sich nun mittels "Managed Web Domains" Safari als bisherige Lücke für einen unkontrollierten Datenabfluss schliessen. Werden zum Beispiel Dokumente mittels Safari aus einem internen SharePoint Site unter einer Managed Web Domain geladen, lassen sich diese nur noch an MDM-kontrollierte "Managed Apps" weiterreichen. Dieses Prinzip gilt auch für die neuen App Extensions.

Insbesondere Betreiber von Point-of-Sale-Systemen wird erfreuen, dass sich erstmals der gesamte Netzwerkverkehr von iOS8-Geräten mittels "Always-On VPN" über die Firmennetzwerkinfrastruktur kontrollieren lässt. Im Gegensatz zum bis dato nur verfügbaren "VPN-on-Demand" lässt sich die neue Zwangsanbindungsform von Anwendern nicht umgehen. Erforderlich wird im Backend ein VPN Concentrator, der IKEv2 und Apples spezifische Implementation (getrennte VPN-Kanäle für WiFi und WAN) beherrscht.

Auf den ersten Blick eher unscheinbar, für den Unternehmenseinsatz aber umso richtungsweisender ist die neue Kerberos Single-Sign-On Option auf Zertifikatsbasis auf Backend-Systeme wie Intranet-Sites und auch Web Services. Sie erlaubt mit der entsprechenden CA-Infrastruktur, die es mittels EMM-Lösung einzubinden gilt, Anwender ohne explizite Eingabe von Anmeldedaten transparent gegen das Active Directory zu authentifizieren.

Stellte Apple bisher nur die Standardfunktionen, um Apps per MDM dynamisch zu verwalten, lassen sich nun auch Unternehmensdokumente in den Formaten PDF und iBook gezielt in die iBooks App übertragen, aktualisieren und bei Bedarf auch wieder löschen.