Verwaltung von iPhones mit Microsoft Intune und Apple Automated Device Enrollment

Autor: Thomas WelslauCompetence Lead Security–Auf LinkedIn vernetzen

Durch das mobile und flexible Arbeiten unabhängig von Ort und Zeit nimmt die Endgeräteanzahl stark zu, mit denen die Mitarbeiter auf Unternehmensressourcen zugreifen, und somit erhöhen sich auch die Anforderungen an die Verwaltung der Geräte. Konzepte wie Bring Your Own Device (kurz BYOD) oder Corporate Owned Personally Enabled (kurz COPE) spielen eine immer wichtiger werdende Rolle und haben hohe Anforderungen an Mobile Device Management Lösungen. Zum Schutz der Firmendaten müssen dennoch alle Geräte verwaltet und auf Richtlinienkonformität geprüft werden können.

Microsoft bietet mit dem Produkt Intune aus der Enterprise Mobility + Security Suite eine cloudbasierte Lösung zur Verwaltung von mobilen Endgeräten und Anwendungen. Zusätzlich besteht innerhalb der Suite durch das Azure Rights Management die Möglichkeit der mobilen Datenverwaltung und der Absicherung der Daten. Im Bereich des Mobile Device Managements beinhaltet Microsoft Intune Funktionen wie z.B. Conditional Access, Verteilung von E-Mail-Profilen, Verteilen von Kompatibilitätsrichtlinien und das Remotezurücksetzen von Endgeräten.

Microsoft Intune: iOS-/iPadOS-Geräte registrieren

Verwaltet werden können die Endgeräte nach dem diese in Intune registriert wurden. Für die mobilen Plattformen iOS, Android und macOS kann dieser Vorgang über die App „Unternehmensportal“ ausgeführt werden. Nach einer erfolgreichen Registrierung können die Geräte dann über die Ferne verwaltet werden.

Um den Ansatz COPE noch tiefergehend zu unterstützen, hat Apple die Automated Device Enrollment Funktion (kurz ADE), ehemals bekannt als Device Enrollment Program (DEP) eingeführt. Firmen haben durch die Registrierung beim ADE die Möglichkeit ihre iPhones von Apple Resellern in dem eigenen Apple Business Manager zu hinterlegen. Das ADE und Intune können miteinander verknüpft werden, sodass die Geräte, die im Business Manager hinterlegt sind, automatisch mit Intune verwaltet werden.

Unternehmensrichtlinie können beim Einschalten direkt eingestellt werden.

iPhone über Unternehmensporal direkt bei Intune registriert

Beim Einschalten eines neuen iPhones wird das Gerät ohne manuellen Eingriff über das Unternehmensportal direkt bei Intune registriert, sodass anhand von Gruppenzugehörigkeiten Apps, Profile und Richtlinien auf dem Endgerät installiert werden können.

Verknüpfung Apple Business Manager Intune

Verknüpfung zwischen Apple Business Manager und Microsoft Intune

Im Hintergrund meldet sich das iPhone standardmäßig nach dem Einschalten zunächst zur Aktivierung des Gerätes bei Apple. Da die Seriennummer des anfragenden Gerätes einem Apple Kunden Portal zugeordnet ist, wird die Anfrage nach der Aktivierung dorthin weitergeleitet. Wie in Abbildung 3 zu sehen ist, besteht zwischen dem Apple Business Manager und Microsoft Intune eine Verknüpfung, sodass Geräte, die sich bei ADE melden, automatisch mit Microsoft Intune verwaltet werden.

Intune ADE-Unternehmensrichtlinie auf iPhone

Durch das iOS Mobile Device Management Protokoll wird die Intune ADE-Unternehmensrichtlinie auf das Gerät übertragen. In dieser Richtlinie können die iPhone Einrichtungsassistenten wie z.B. der Sprachsteuerungsdienst „Siri“ aktiviert oder deaktiviert werden. Des Weiteren wird das iPhone direkt einer Gerätegruppe in Intune zugeordnet, sodass die verteilten Apps, Konfigurationsrichtlinien und Kompatibilitätsrichtlinien, die der Gruppe zugewiesen sind, auch automatisch für das neue Gerät bereitgestellt werden. Nach der Ersteinrichtung des iPhones ist dem Gerät ein Management Profil zugeordnet, welches bereits die Kompatibilitätsrichtlinie enthält. Für die Übertragung von weiteren Richtlinien ist in erster Instanz der Apple Push Notification Service (APNS) zuständig. Bei Änderungen in den zugewiesenen Richtlinien informiert dieser Dienst das iPhone, welches dann die Anfrage zur erneuten Synchronisierung an Intune sendet. Nach der Synchronisierung werden dem Gerät hier im Beispiel zwei Apps, eine Kompatibilitätsrichtlinie und ein ActiveSync Profil zugeordnet.

Management-Profil für Microsoft Intunes.

Geräte sofort einsatzbereit und vor Diebstahl und Verlust geschützt

Diese automatisierte Vorgehensweise bietet sich besonders für COPE-Geräte an, da die iPhones, die vom Reseller im Apple Business Manager hinterlegt sind, auch beim Zurücksetzen des iPhones immer wieder dem Unternehmen zugeordnet werden. Neben dem hohen Schutz bei Diebstahl oder Verlust des iPhones bringt das Automated Device Enrollment in Verknüpfung mit Intune außerdem den Vorteil, dass die Endgeräte ab Auslieferungszeitpunkt für die Benutzer einsatzbereit sind, da die Firmenkonfiguration automatisch ausgerollt wird. Die Grundkonfiguration des Endgerätes benötigt bis auf die Authentifizierung keinen Eingriff vom Benutzer und das iPhone kann nach der Ersteinrichtung direkt verwendet werden. Somit weist der Aufbau mit Apple ADE und Microsoft Intune eine sehr hohe Benutzerfreundlichkeit auf.

Mit der Integration von dem Automated Device Enrollment in Microsoft Intune wird die Mobile Device Management Lösung Intune für iOS-Geräte vereinfacht und die Möglichkeiten zur Verwaltung erweitert. Zusätzlich bleibt die zentralisierte Administration aller mobilen Betriebssysteme erhalten.