Business-Funktionen

Was Unternehmen zu iOS 14 wissen müssen

23.07.2020 von Mark Zimmermann  
Im Zusammenhang mit iOS 14 und iPadOS 14 wurde auf der WWDC 2020 eine riesige Menge neuer Funktionen für den Business-Einsatz vorgestellt. Hier die wichtigsten Themen für Unternehmen.
Mit iOS 14 erscheinen auch eine Reihe Business-relevanter Features für das iPhone.
Foto: everything possible - shutterstock.com

Die für Herbst angekündigten Betriebssystem-Updates iOS 14 und iPadOS 14 bringen zahlreiche praktische Features wie clevere Widgets, eine App Library, App Clips oder mehr Möglichkeiten für Kurzbefehle und rücken das Thema Datenschutz noch stärker ins Rampenlicht. Es gibt aber auch eine Unzahl an Business-relevanten Funktionen, die Unternehmen und insbesondere deren IT-Abteilung vor dem Einsatz von iOS 14, beziehungsweise iPadOS 14 sorgfältig prüfen und bewerten sollten. Hier eine Auswahl.

Neue Single-Sign-on-Möglichkeiten

Mit iOS 14 hat Apple einige Verbesserungen an der integrierten Kerberos-SSO-Erweiterung vorgenommen, insbesondere für das Per-App-Tunneling. Per-App-Tunneling für die SSO-Erweiterung bedeutet, dass auch Benutzer außerhalb des Unternehmensnetzwerks Kerberos-Tickets für SSO erhalten und ihr Active-Directory-Passwort verwalten können. Die Single-Sign-On-Kerberos-Erweiterung existiert dabei schon seit iOS 7, mit iOS 14 verfügt diese auch über neue Konfigurationsoptionen, wie unter anderem:

VPN nun pro Konto möglich

Apple unterstützte bisher VPN-Konfigurationen, die das gesamte Gerät betreffen, Domain-spezifische VPNs und VPNs pro App. Mit der neuen Betriebssystem-Version iOS 14 fügt Apple nun eine neue Funktion namens VPN pro Account hinzu. Administratoren können somit MDM-VPN-Konfigurationen per VPNUUID gezielt für verschiedene Account-Typen auswählen, wie

Jeglicher Datenverkehr, der über diese Konten erfolgt, wird über die spezifische VPN-Konfiguration getunnelt, um den Datenschutz und die Sicherheit zu erhöhen. Administratoren sind so also in der Lage, mehrere kontenbasierte Profil-Payloads einer VPN-Verbindung zuzuordnen. Persönliche oder nicht verwaltete Konten verwenden dabei den spezifischen Tunnel nicht.

Secure-DNS-Einstellungen

Mit iOS 14 lassen sich jetzt DNS-Konfigurationen per Profil für abgesicherte DNS-Zugriffe (DNS-over-HTTPS/ DNS-over-TLS) konfigurieren. Dazu wird das Transportprotokoll mithilfe des Konfigurationsschlüssels DNSProtocol als String (HTTPS oder TLS) definiert. Die IPv4/IPv6 Adresse des DNS Servers kann über den Parameter ServerAddresses, der Hostname eines DNS-over-TLS-Servers (zur Validierung des Server-Zertifikats gemäß RFC 7858) über den Konfigurationsschüssel ServerName gepflegt werden. Dieser Schlüssel darf nur vorhanden sein, wenn TLS als DNS-Protokoll genutzt wird. Wurde die zuvor benannte ServerAdresses-Information nicht gepflegt, wird ServerName zur Bestimmung der Serveradressen verwendet.

Bei einem DNS-over-HTTPS-Server (RFC 8484) muss die URL zur Validierung des Server-Zertifikats verwendet werden. Dieser Schlüssel darf nur vorhanden sein, wenn HTTPS als DNSProtokoll verwendet wird. Abschließend definiert der Administrator eine Liste von Domänen-Strings. Mit deren Hilfe wird bestimmt, welche DNS-Abfragen den DNS-Server verwenden sollen (SupplementalMatchDomains). Wird hier kein Inhalt übergeben, laufen alle Anfragen zur Namensauflösung über den DNS-Server.

Managed Apps vor Löschen schützen

Mit iOS 14 können Administratoren nun einfach verwaltete Apps als nicht entfernbar markieren, anstatt - wie bisher - den gesamten Startbildschirm sperren und die Entfernung jeglicher Apps auf einem Gerät blockieren zu müssen. Somit erhält der Benutzer wieder etwas mehr Kontrolle über seinen Homescreen zurück. Gleichzeitig wird sichergestellt, dass er (kritische) Unternehmensanwendungen nicht entfernen kann. Dies ist eine echte Hilfe für die Nutzer, da sie ihre Startbildschirme neu anordnen, neue Apps hinzufügen und andere installierte Apps löschen können, ohne dass die IT die Kontrolle über die unternehmenseigenen Anwendungen verliert.

Aufruf von App-Informationen für SSO

Diese Möglichkeit soll dazu beitragen, die SSO-Sicherheit in iOS/iPadOS 14 zu erhöhen, da Administratoren nun sicherstellen können, dass eine App SSO-Zugangsdaten verwendet.

Zufällige MAC-Adressen deaktivieren

Mit iOS 14 verwenden Geräte bei der Verbindung mit Wi-Fi-Netzwerken standardmäßig randomisierte MAC-Adressen. Schlägt eine solche Verbindung fehl, können die Geräte auf die echte Hardware-MAC-Adresse für einen erneuten Versuch zurückgreifen - sofern der Anwender dies in den WiFi-Einstellungen konfiguriert hat. Als Alternative können Administratoren dieses Vorgehen bereits im Vorfeld per MDM deaktivieren (DisableAssociationMACRandomization: boolean) und so die Anmeldung mit der echten Hardware-MAC-Adresse forcieren.

App-Clips zulassen/verbieten

Mit iOS/iPadOS 14 haben Administratoren auch neue Möglichkeiten, mit den neuen Features des Betriebssystems umzugehen. So können etwa App-Clips zugelassen, beziehungsweise verboten (allowAppClips: Boolean) werden. Eine spannende Neuigkeit ist auch, dass Administratoren verzögerte Software-Updates von Apps erzwingen können.

Aber auch an vielen weiteren Stellen hat Apple gearbeitet. Bei Benachrichtigungen bekommen Administratoren jetzt die Möglichkeit, die Darstellung für die Benachrichtigungsvorschau (PreviewType : 0 immer, 1 nur nach Entsperren des Gerätes oder 2 nie) definieren zu können. Für die SCEP-Konfiguration (Simple Certificate Enrollment Protocol) wurde die Schlüsselgröße (Keysize) von 4096 Bits mit aufgenommen.

Überspringen von Screens

Normalerweise wird jeder neue iOS-Version mit neuen Onboarding Screens im Einrichtungsassistenten eingeführt. Diese Screens konnten schon lange im Rahmen des DEP (Device Enrollment Program) individuell (standardmäßig) für den Benutzer ausgeblendet werden. iOS 14 und iPadOS 14 ermöglichenden Administratoren nun jedoch eine neue Profil-Konfiguration. Mit dieser kann man auch die Dialoge überspringen, die im Rahmen einer Geräteaktualisierung mit anschließendem Neustart erscheinen. Dabei ist nicht zwingend ein DEP-Gerät erforderlich, ein Supervised-Gerät reicht bereits aus. Dies ist großartig für Unternehmen, die diesen Prozess automatisieren und danach streben, ihn wirklich "Zero-Touch" zu halten.

Einstellen der Gerätezeitzone

Wie viele Anwender und Administratoren wissen, kann eine falsch eingestellte Zeitzone auf einem Gerät zu Problemen führen, etwa bei Schlüsseldiensten wie Authentifizierung sowie bei Anwendungen, die von genauen Zeitstempeln abhängen. Auch die GPS-basierte Navigation wird in Mitleidenschaft gezogen. Mithilfe eines neuen MDM-Kommandos können Administratoren nun einstellen, welche Zeitzone für ein Gerät gelten soll, ohne dass dieses auf Ortsdienste zugreifen muss. Gerade in Szenarien, in denen die Ortungsdienste deaktiviert sind oder sein müssen, ist dies sehr hilfreich.

Standortfrage ungeklärt

Mit iOS 14 hat Apple aber auch Änderungen an den Standortdiensten vorgenommen. Die Ortungsdienste können nun entweder einen genauen oder einen ungefähren Standort, basierend auf der Auswahl des Anwenders, zurückgeben. Dies kann Auswirkungen auf die Standortverfolgung von verschiedenen EMM-Lösungen haben, die etwas Derartiges mit ihren MDM-Agent-Apps anbieten. Standardmäßig erlaubt Apple keine Ortung per MDM-System, außer das Gerät wird als verloren markiert. Es gibt jedoch Workarounds. Um herauszufinden, inwieweit Sie hier betroffen sind oder sein werden, sollten Sie einen Blick auf die bei Ihnen implementierte Lösung werfen.

Apple Business Manager

Auch rund um den Apple Business Manager (ABM) gibt es Neuigkeiten. Bisher konnte einzig Azure AD als Identity Provider (IdP) genutzt werden, um Benutzer für den Apple Business Manager zu authentifizieren und Authentifizierungs-Token auszustellen. Da der ABM Azure AD unterstützt, arbeiten auch andere IdPs, die mit Azure AD zusammenhängen - etwa Active Directory Federated Services (ADFS) - mit dem ABM zusammen. Die ADFS verwenden SAML (Security Assertion Markup Language), um den Apple Business Manager mit Azure AD zu verbinden. Auf diesem Wege konnten Apple-Benutzer-Accounts, die einer Organisation gehören und von ihr verwaltet werden auf Basis des Azure AD - durch erste Anmeldung des Anwenders - erzeugt werden. Aufgaben der Account-Verwaltung wie das Erstellen, Löschen und Verwalten von Kennwörtern wurden/werden hier von IT-Administratoren durchgeführt.

Die so erstellten verwalteten (managed) Apple-IDs konnten Anwender verwenden, um ihre Geräte zu personalisieren und/oder um auf Apple-Dienste zuzugreifen. So verwenden Mitarbeiter im ABM diese, um sich an selbigen anzumelden und Aufgaben wie die Geräteverwaltung und den Kauf von Anwendungen für ein Unternehmen durchzuführen. Auch einige Funktionen im Umgang und den Möglichkeiten mit Apple-Geräten, wie die Benutzerregistrierung oder Shared iPad, sind nur für die Verwendung mit managed Apple IDs verfügbar. Allerdings war dies keine Lösung für die Herausforderungen, die sich durch (spontanes) Ausscheiden von Mitarbeitern, Umbenennung (nach Hochzeit / Trennung) oder ähnlichen Fällen ergeben.

Mit SCIM können Sie dies um den "Lebenszyklus" einer Anwenderkennung oder einer Gruppe von Kennungen erweitern. Die Abkürzung SCIM steht für "System for Cross-Domain Identity Management". Dabei handelt es sich um ein Datenschema zur Beschreibung von Personen (und Gruppen) anhand eines offenen Standards zur automatisierten Bereitstellung von Benutzerkonten.

Der auf REST-Schnittstellen basierende Standard vermittelt Daten zur Benutzeridentität zwischen Identitätsanbietern (etwa Microsoft Azure) und Dienstanbietern, die diese Daten benötigen (etwa Apple Business Manager oder Apple School Manager). Auch wenn Apple dies unabhängig von iOS 14 angekündigt hat, ist dieses Feature aktuell noch nicht freigeschaltet.

Neue Bundle IDs

Es kommt ab und an vor, dass IT-Administratoren Apps per Blacklist ausblenden möchten. Die Adressierung der Apps erfolgt dabei anhand von Bundle IDs. Da iOS 14 auch hier neue Apps aufgenommen hat, hier eine Liste der möglichen Bundle IDs für die Build-In Apps (Stand iOS 14 Beta 2). (mb)