Am 16. September hat Apple die neueste Version seines Mobile-Betriebssystems, iOS 9, weltweit als kostenloses Update bereitgestellt. Für Unternehmen bedeutet dies indirekt, dass Scharen von technologiebegeisterten iPhone- und iPad-Nutzer nur darauf warten, iOS 9 auf ihren Geräten zu installieren – und dies sobald möglich auch tun. Doch kein Grund zur Panik: Anders als iOS 8 reißt das neue Update kaum neue Sicherheitslücken im Business-Umfeld auf, sondern hilft IT-Admins vielmehr dabei, einige wieder zu schließen.
AirDrop-Lücke wird geschlossen
"So war in früheren iOS-Versionen beispielsweise das Apple-Tool AirDrop, mit dem Daten über Funk zwischen einzelnen Geräten transportiert werden können, eine potenzielle Quelle von Datenverlusten in Unternehmen", erklärt Sean Ginevan, Senior Director of Strategy beim EMM-Spezialisten MobileIron. Hier schaffe iOS 9 Abhilfe, indem sich AirDrop nun als nicht verwaltetes Ziel markieren lasse, sodass Nutzer Unternehmensdaten, die auf "managed Apps" liegen, dorthin nicht übertragen können.
Außerdem können mit iOS 9 bei allen verwalteten iPhones und iPads neben Screenshots auch Bildschirmaufzeichnungen untersagt werden und über das EMM-System aufgespielte Enterprise-Apps gelten automatisch als sicher. Bei Supervised Devices sind künftig folgende Restriktionen zusätzlich verfügbar: Automatische App-Downloads, iCloud-Foto-Bibliothek, Tastaturkürzel, das Verändern von Gerätenamen, Passcode oder Hintergrundbild, News (die neue Nachrichten-App) sowie das Pairing mit einer Apple Watch. Außerdem kann die IT hier für bestimmte Managed Apps die Art der Netzwerkverbindung festlegen, bzw. vorschreiben, dass diese keine Mobilfunk- oder Roaming-Verbindung nutzen dürfen.
Änderungen beziehungsweise Erweiterungen gibt es auch bei der Funktion "Per App VPN", die Apple bereits 2013 mit iOS 7 eingeführt hatte: Mit iOS 9 wird nun etwa auch UDP-Traffic (User Datagram Protocol) unterstützt - davon profitieren Apps, die auf das Protokoll zum Streamen von Audio und Video aufsetzen. Außerdem kann Per App VPN nun so konfiguriert werden, dass es mit allen installierten VPN-Clients von iOS funktioniert, unterstützt werden laut Apple sowohl IPSec (IKEv1) und IKEv2 VPN-Clients.
Von der privaten zur verwalteten App
Vor ein anderes Problem stellte iOS bislang IT-Admins, wenn diese eine App verwalten wollten, die der Anwender bereits selbst privat als nicht verwaltete App installiert hatte. Dieser Umstand führte in der Vergangenheit bei einigen Container-Lösungen zu Sicherheitslücken, die dann von den EMM-Anbietern umständlich geflickt werden mussten.
Mit iOS 9 lassen sich jetzt solche Apps in Managed Apps - also Anwendungen, auf die MAM-Policies über einen MDM-Server angewandt werden können - umwandeln, ohne dass eine Neuinstallation erforderlich ist. Bei Supervised Devices passiert dies im Hintergrund, bei normalen Endgeräten wird der Anwender aufgefordert, das Management der App zu akzeptieren.
Verbesserungen bei App-Verteilung und App-Management
Auch sonst widmete sich Apple in dem neuen Update gleich mehrmals dem Thema App-Verteilung und App-Management. "Vor iOS 9 war es für IT-Abteilungen praktisch unmöglich, ohne den Apple AppStore Apps auf Geräte der Mitarbeiter zu verteilen", führt MobileIron-Manager Ginevan aus. Das typische Szenario sei gewesen, den App Store auf verwalteten iOS-Devices gerade solange zu aktivieren, bis die benötigten Business-Apps installiert sind - idealerweise mitten in der Nacht. Nach dem Deployment wurde der AppStore wieder deaktiviert. Mit iOS 9 kann die IT-Abteilung nun Apps ohne Nutzung des AppStores auf überwachte Geräte verteilen - mit Hilfe des EMM-Servers oder des neuen Apple Configurator 2.
Apple ID nicht unbedingt erforderlich
Eine der größten Neuerungen in iOS 9 ist die Möglichkeit, App-Lizenzen nun direkt Geräten zuzuordnen statt Anwendern - eine Apple-ID ist dazu nicht mehr erforderlich. Diese Änderung kommt insbesondere Szenarien entgegen, wo mehrere Anwender sich ein Device teilen, also etwa in einem Shop oder Lagerhaus. Voraussetzung dafür ist allerdings, dass alle Apps über das Programm für Volumenlizenzen für Unternehmen (VPP) erworben werden, dieses ist wie das Programm zur Geräteregistrierung (DEP) aber inzwischen außer in den USA und Kanada in weiteren 24 Ländern verfügbar. Für Unternehmen mit Zweigstellen in einem Land ohne VPP (beispielsweise Österreich) besteht außerdem die Möglichkeit einer multinationalen App-Zuweisung, die Anwendung muss dazu aber zumindest in dem nationalen AppStore angeboten werden. Alternativ ist nach wie vor auch eine Anwender-basierte Lizensierung via Apple-ID möglich.
Verbessertes Setup und Enrollment
Um die Verbreitung von iOS-Devices im Business weiter voranzutreiben, überarbeitete Apple im Zuge von iOS 9 auch den Setup- und Rollout-Prozess und schuf neue Funktionen im Programm zur Geräteregistrierung (DEP) sowie im Apple Configurator. Während das bisherige Programm zur zentralen Verwaltung, Sicherung und Bestückung von iOS-Geräten auf den drei Grundfunktionen Vorbereiten, Überwachen und Zuweisen basierte, ist Apple Configurator 2 jetzt viel flexibler. So können IT-Admins damit alle iOS-Devices in einer Ansicht verwalten und Geräte nach Kriterien wie Abteilung, Benutzername oder Gebäude markieren. Zudem ist es Apple zufolge möglich, Konfigurationseinstellungen zu speichern und auf mehreren Geräten oder sogar über mehrere Apple-Configurator-Stationen vorzunehmen.
Dank der tiefen Integration in das Device Enrollment Program (DEP) lassen sich so mit wenigen Klicks Hunderte oder Tausende von im EMM-Server registrierten iOS-Devices und ausrollen. Außerdem hält ein integrierter MDM-Server den Setup-Assistenten aktiv, bis die neuen iPhones oder iPads komplett konfiguriert und einsatzbereit sind. Auf diese Weise wird sichergestellt, dass sämtliche Policies eingerichtet wurden, bevor das Gerät in Betrieb genommen wird.
Verfügbarkeit und Unterstützung
iOS 9 wird ab iPhone 4s, iPad 2, iPad mini und der fünften Generation des iPod Touch unterstützt. Die beschriebenen Funktionen in Verbindung mit einer EMM-Lösung. Eine Reihe von Anbietern wie Airwatch, MobileIron oder SOTI haben angekündigt, iOS 9 ab dem ersten Tag zu unterstützen. Inwieweit dies auch für alle beschriebenen Funktionen gilt, bleibt jedoch abzuwarten.