Verwaltung von iPhones mit Microsoft Intune und DEP.

Verwaltung von iPhones mit Microsoft Intune und DEP

Durch das mobile und flexible Arbeiten unabhängig von Ort und Zeit nimmt die Endgeräteanzahl stark zu, mit denen die Mitarbeiter auf Unternehmensressourcen zugreifen, und somit erhöhen sich auch die Anforderungen an die Verwaltung der Geräte. Konzepte wie Bring Your Own Device (kurz BYOD) oder Corporate Owned Personally Enabled (kurz COPE) spielen eine immer wichtiger werdende Rolle und haben hohe Anforderungen an Mobile Device Management Lösungen. Zum Schutz der Firmendaten müssen dennoch alle Geräte verwaltet und auf Richtlinienkonformität geprüft werden können.

Microsoft bietet mit dem Produkt Intune aus der Enterprise Mobility Suite eine cloudbasierte Lösung zur Verwaltung von mobilen Endgeräten und Anwendungen. Zusätzlich besteht innerhalb der Suite durch das Azure Rights Management die Möglichkeit der mobilen Datenverwaltung und der Absicherung der Daten. Im Bereich des Mobile Device Managements beinhaltet Microsoft Intune Funktionen wie z.B. Conditional Access, Verteilung von E-Mail-Profilen, Verteilen von Kompatibilitätsrichtlinien und das Remotezurücksetzen von Endgeräten.

Verwaltet werden können die Endgeräte nach dem diese in Intune registriert wurden. Für die mobilen Plattformen iOS, Android, Windows Phone und Windows 10 Mobile kann dieser Vorgang über die App „Unternehmensportal“ ausgeführt werden. Nach einer erfolgreichen Registrierung können die Geräte dann über die Ferne verwaltet werden.

Um den Ansatz COPE noch tiefergehend zu unterstützen, hat Apple das Device Enrollment Program (kurz DEP) eingeführt. Firmen haben durch die Registrierung beim DEP die Möglichkeit ihre iPhones von Apple Resellern in dem eigenen DEP-Portal zu hinterlegen. Das DEP und Intune können miteinander verknüpft werden, sodass die Geräte, die im DEP hinterlegt sind, automatisch mit Intune verwaltet werden.

Unternehmensrichtlinie

Beim Einschalten eines neuen iPhones wird das Gerät ohne manuellen Eingriff über das Unternehmensportal direkt bei Intune registriert, sodass anhand von Gruppenzugehörigkeiten Apps, Profile und Richtlinien auf dem Endgerät installiert werden können.

DEP

Im Hintergrund meldet sich das iPhone standardmäßig nach dem Einschalten zunächst zur Aktivierung des Gerätes bei Apple. Da die Seriennummer des anfragenden Gerätes einem DEP-Kunden Portal zugeordnet ist, wird die Anfrage nach der Aktivierung an das DEP-Kunden Portal weitergeleitet. Wie in Abbildung 3 zu sehen ist, besteht zwischen dem DEP-Kunden Portal und Microsoft Intune eine Verknüpfung, sodass Geräte, die sich bei DEP melden, automatisch mit Microsoft Intune verwaltet werden.

Inunes Serverdetails

Durch das iOS Mobile Device Management Protokoll wird die Intune DEP-Unternehmensrichtlinie auf das Gerät übertragen. In dieser Richtlinie können die iPhone Einrichtungsassistenten wie z.B. der Sprachsteuerungsdienst „Siri“ aktiviert oder deaktiviert werden. Des Weiteren wird das iPhone direkt einer Gerätegruppe in Intune zugeordnet, sodass die verteilten Apps, Konfigurationsrichtlinien und Kompatibilitätsrichtlinien, die der Gruppe zugewiesen sind, auch automatisch für das neue Gerät bereitgestellt werden. Nach der Ersteinrichtung des iPhones ist dem Gerät ein Management Profil zugeordnet, welches bereits die Kompatibilitätsrichtlinie enthält. Für die Übertragung von weiteren Richtlinien ist in erster Instanz der Apple Push Notification Service (APNS) zuständig. Bei Änderungen in den zugewiesenen Richtlinien informiert dieser Dienst das iPhone, welches dann die Anfrage zur erneuten Synchronisierung an Intune sendet. Nach der Synchronisierung werden dem Gerät hier im Beispiel zwei Apps, eine Kompatibilitätsrichtlinie und ein ActiveSync Profil zugeordnet.

Management-Profil

Diese automatisierte Vorgehensweise bietet sich besonders für COPE-Geräte an, da die iPhones, die vom Reseller im DEP-Kunden Portal hinterlegt sind, auch beim Zurücksetzen des iPhones immer wieder dem Unternehmen zugeordnet werden. Neben dem hohen Schutz bei Diebstahl oder Verlust des iPhones bringt das Device Enrollment Program in Verknüpfung mit Intune außerdem den Vorteil, dass die Endgeräte ab Auslieferungszeitpunkt für die Benutzer einsatzbereit sind, da die Firmenkonfiguration automatisch ausgerollt wird. Die Grundkonfiguration des Endgerätes benötigt bis auf die Authentifizierung keinen Eingriff vom Benutzer und das iPhone kann nach der Ersteinrichtung direkt verwendet werden. Somit weist der Aufbau mit Apple DEP und Microsoft Intune eine sehr hohe Benutzerfreundlichkeit auf.

Mit der Integration von dem Apple Device Enrollment Program in Microsoft Intune wird die Mobile Device Management Lösung Intune für iOS Geräte vereinfacht und die Möglichkeiten zur Verwaltung erweitert. Zusätzlich bleibt die zentralisierte Administration aller mobilen Betriebssysteme erhalten.

Haben Sie Fragen oder benötigen Sie Unterstützung dann nehmen Sie mit uns Kontakt auf.

Autor: Thomas Welslau