Embed Size (px)
Citation preview
Die mobile Herausforderung meistern
Apple Devices im Unternehmenseinsatz
Detlev Pö)gen midpoints GmbH
about me
Detlev Pöttgen Consultant Co-Founder & CEO
Reach out any ,me Xing / Twi)er / LinkedIn => netzgoe)er Web
h)p://www.netzgoe)er.de h)p://www.midpoints.de
detlev.poe)[email protected]
about us
midpoints GmbH IBM Advanced Business Partner IBM Design Partner (Notes Domino, Mobile, Verse) Apple Enterprise Developer & MDM Group Member Samsung Enterprise Alliance Partner Services -‐ Enterprise Mobility Services -‐ Mobile Device und ApplicaUon Management -‐ IBM Notes Traveler und IBM Mobile Connect
Worum geht es?
1 2 3
MDM Grundlagen
iOS 9 What‘s new
VPP, DEP, Supervision
So sieht‘s in der
Praxis aus!
Worum geht es?
1 2 3
MDM Grundlagen
iOS 9 What‘s new
VPP, DEP, Supervision
So sieht‘s in der Praxis aus!
Mobile Plattformen
4 PlaAormen /4 Hersteller / 4 Ansätze
4 Pla]ormen /4 Hersteller / 4 Ansätze
4 Hersteller
4 Ansätze
zum Einsatz mobiler Geräte im Firmenumfeld
4 PlaAormen /4 Hersteller / 4 Ansätze
4 Pla]ormen /4 Hersteller / 4 Ansätze
Bietet keine eigene MDM & MAM Lösung * Integrierte MDM Schni)stelle als iOS Bestandteil Offen für Dri)anbieter. Kein MDM Client notwendig. Highlights: • Device Enrollment Program (Out of the Box MDM) • Volume Purchase Program VPP für kostenpflichUge Apps • App Sandbox und geprüfe Apps via App Store • App ConfiguraUons & Feedback Service • Trennung Managed / Unmanaged • Ausgereifeste ApplikaUonspla]orm • Geschlossene Pla]orm * Apple Profile Manager als Bestandteil des OS X Servers außen vor gelassen
4 Pla]ormen /4 Hersteller / 4 Ansätze
Zur Verwaltung von BlackBerry Devices wir ein Blackberry Enterprise Service (BES) benöUgt. MDM Schni)stelle integriert ins OS. Highlights: • Integrierte VPN Lösung • Trennung Privat / Geschäflich OS Bestandteil • Unterstützung für Android Apps • Sehr granulare Verwaltung der Blackberry Devices • MDM Unterstützung für iOS & Android & Win Phone • Container Apps für iOS & Android
4 Pla]ormen /4 Hersteller / 4 Ansätze
Google bietet als Bestandteil des OS keine vollwerUge MDM Schni)stelle an. Lediglich der Device Manager ermöglicht eine rudimentäre Verwaltung (Passcode oder Wipe) Zur weiteren Verwaltung müssen Hersteller wie Samsung mit Knox eigene Erweiterungen vornehmen, um die Geräte darüber hinaus zu verwalten. Highlights: • Android for Work (seit Q1 2015 verfügbar) • Breite Geräteauswahl • Großes App Angebot • Offene Pla]orm • Verwaltung über Google for Work
4 Pla]ormen /4 Hersteller / 4 Ansätze
Android for Work (ab v4 per App / ab v5L integriert)
4 Pla]ormen /4 Hersteller / 4 Ansätze
Microsof bietet integriert ins OS eine SyncML basierte MDM Schni)stelle an, über welche Dri)anbieter ohne MDM Client das Gerät verwalten können. Highlights: • GünsUge Lumia Geräte • Geschlossenes System • Tiefe IntegraUon in MS Ökosystem • Windows 10 Update
Alle Hersteller verwenden das gleiche Grundprinzip: • Das Binden des Gerätes an ein MDM System wird auch
Enrollment genannt. In der Regel erfolgt dies ZerUfikatsbasiert über das SCEP Protokoll
• Das MDM-‐System hat keine permanente Verbindung zum Device. Sondern kann diese lediglich über die Hersteller Push Services kontakUeren.
MDM Grundlagen
MDM Server Gerät
Hersteller Push
Service
MDM KommunikaUon Push KommunikaUon
MDM Grundlagen
Worum geht es?
1 2 3
MDM Grundlagen
iOS 9 What‘s new
VPP, DEP, Supervision
So sieht‘s in der Praxis aus!
-‐ Neuer Payload Netzwerknutzung
-‐ Neue RestrikUonen
-‐ Maildrop RestrikUon im E-‐Mail Payload
-‐ Custom SSL Felder bei VPN
-‐ AcUve Sync v16 Unterstützung -‐ Unterstützung von Anhängen und LokaUon bei Kalendereinträgen
-‐ Sync von Entwürfen -‐ Freie Zeitsuche (Traveler: NTS_FREE_BUSY_SUPPORT=true)
iOS 9 – What’s New
-‐ Neuer Payload Netzwerknutzung
iOS 9 – What’s New
Neue Restrik,onen
-‐ AirDrop unterbinden für verwaltete Anwendungen -‐ iCloud Photo Library verbieten -‐ Screenshots RestrikUon erweitert um Screen Capture
Nur Supervision: -‐ AutomaUschen App Download für Käufe auf anderen Geräten unterbinden -‐ Keyboard Shortcuts erlauben -‐ Änderung des Gerätenamens erlauben -‐ Änderung des Passcodes erlauben -‐ Änderung des Hintergrundbildes verbieten -‐ News App erlauben -‐ Pairing mit einer Apple Watch verbieten -‐ Ausblenden des App Stores
iOS 9 – What’s New
App Management • Änderung Status Managed / Unmanaged einer App
• Für verwaltete Apps pushen von App-‐Updates
• App InstallaUon bei deakUviertem Apple App Store
• Änderungen im Volume Purchase Program (VPP)
iOS 9 – What’s New
Anforderung: Zentraler Einkauf von Apps (kostenlos, wie kostenpflichUg) Lösung: Apple Volume Purchase Program – kurz VPP
iOS 9 – What’s New – VPP 3.0
Was muß ich tun, um VPP nutzen zu können?
• Registrieren: h)ps://www.apple.com/de/business/vpp/
BenöUgt D.U.N.S Nummer (InternaUonales „Handelsregister“) • VPP Token: Im VPP Portal erzeugen und im MDM hinterlegen • Kaufen: Apps über das VPP-‐Kaufen und den Benutzern per
MDM zuweisen
iOS 9 – What’s New – VPP 3.0
Bisher zwei VPP „Varianten“ 1. VPP -‐ Freischaltcodes (xls-‐Liste)
Feste einmalige Zuordnung zur Apple ID des Mitarbeiters Voucher für genau eine App Voucher kann auf beliebigen Device eingelöst werden Die App wird verschenkt!
2. VPP -‐ Managed Distribu,on (seit iOS 7) Unternehmen bleiben Eigentümer der App Lizenzen Die Lizenz wird einem Mitarbeiter zugewiesen Entziehung und Neuzuweisung der Lizenzen Voraussetzung: VPP-‐fähiges MDM
iOS 9 – What’s New – VPP 3.0
Zwei „Varianten“
iOS 9 – What’s New – VPP 3.0
Mit iOS 9 dri)e VPP „Variante“ 3. VPP per Device Assignment
Die Lizenz wird nicht mehr einem Benutzer, sondern genau einem Gerät zugewiesen. Vorteil: VPP-‐per-‐Device Apps können bereits ohne auf dem Gerät hinterlegte Apple ID installiert werden
iOS 9 – What’s New – VPP 3.0
• Unterschied Benutzer zu Gerätezuweisung
VPP per Device VPP per User
-‐-‐-‐-‐-‐-‐ Apple ID erforderlich
-‐-‐-‐-‐-‐-‐ VPP Einladung
Lizenz ist Gerät zugeordnet Lizenz ist User (Apple-‐ID) zugeordnet
Ggfs. höhere Lizenzkosten Nutzbar auch auf „Zweit“-‐Geräten
App ist nicht in Purchase History In Purchase History angezeigt
Keine Update Info via Apple App Store App Update über App Store
iOS 9 – What’s New – VPP 3.0
iOS 9 – What’s New – VPP 3.0
Worum geht es?
1 2 3
MDM Grundlagen
iOS 9 What‘s new
VPP, DEP, Supervision
So sieht‘s in der
Praxis aus!
DEP, VPP, Supervision - Praxis
Die Sicht aus Cupertino
Für Apple ist die User-‐Experience sehr wichUg. Soll das Gerät durch die IT verwaltet werden, stellt Apple die integrierte MDM-‐Schni)stelle zur Verfügung. Hierbei soll der Benutzer aber über ein MDM nicht grundlegend beschni)en werden. Apple sieht hier insbesondere bei BYOD die Hoheit über das Gerät immer noch beim Benutzer. Bei reinen Firmengeräten ermöglicht Apple als Ergänzung zu einem MDM den sogenannten Supervisions-‐Modus an. Geräte im Supervisions-‐Modus können erweitert verwaltet werden.
Die Sicht aus Cupertino
Apple empfiehlt
Kein Supervision == BYOD
Supervision == Firmengeräte
Supervision ermöglicht ...
30 zusätzliche Restrik,onen iMessage erlauben? Manuelle Geräte-‐Löschung erlauben? Nachschlagen-‐Funk,on erlauben?
Filter für unangebrachte Wörter ak,vieren
Ändern der Touch ID-‐Fingerabdrücke erlauben?
Internet-‐Such-‐Resultate in Spotlight erlauben?
Benutzer-‐generierte Inhalte erlauben?
Endernen von Apps erlauben? Änderungen an FindMyFriends erlauben?
AirDrop erlauben? Installa,ons-‐Dialog erlauben? Apple Watch Pairing erlauben?
Ändern des Passcode erlauben? Mobilfunk-‐Verbindung für Apps erlauben?
News-‐App erlauben?
Ändern des Gerätenames erlauben? App-‐IDs, welche den Kiosk-‐Modus autonom aufrufen dürfen?
Vorschläge bei Texteingabe erlauben?
Ändern des Hintergrundbildes zulassen?
Automa,sche App-‐Downloads erlauben?
Automa,sche Korrektur erlauben?
Manuelle Installa,on von Profilen erlauben?
InHouse Apps manuell vertrauen? Rechtschreibprüfung erlauben?
Konto-‐Modifika,onen erlauben? GameCenter zulassen? Nachschlagen erlauben?
Konfigura,on von Einschränkungen erlauben?
iBookstore erlauben? Keyboard Shortcuts erlauben?
Supervision ermöglicht ...
• App ohne BenutzerinterakUon (de-‐)installieren
• Die Festlegung eines globalen HTTP Proxys für die Geräte
• App Lock / Kiosk Modus
• ein WhitelisUng von AirPlay Geräten
• WebContentFilter (Spam-‐Blocker) einzubinden
Ankündigung mit iOS 9
Folgende Einschränkungen / Verbote werden demnächst nur noch mit Supervision genutzt werden können. (Gelten jetzt schon als nur noch in Supervision zu verwenden = deprecated)
• FaceTime verbieten • Safari verbieten • iTunes verbieten • Jugendschutz einschränken • iCloud Dokumente-‐ und DatensynchronisaUon einschränken • MulUplayer Gaming und GameCenter Freunde verbieten
Supervision - bisher
• Bisher nur über Apple Configurator per USB –Verbindung auf Gerät setzbar. (Configurator gibt es nur für den Mac)
• Keine Übernahme von Bestandsdaten auf dem Gerät
Problem der Unternehmen
„Alle Geräte vor Auslieferung an den Mac hängen? Vorbereiten mit dem Apple Configurator?“ PrakUsch logisUsche Herausforderung: -‐ Geräte und Mac mit Configurator nicht an einem Ort -‐ Geräte hin-‐ und herschicken -‐ Das Gerät wird bei der Verbindung zum Configurator
zurückgesetzt -‐ (ZerUfikatske)e der) Supervision Hosts sichern
h)p://www.apple.com/de/business/programs/
Device Enrollment Program - DEP
Device Enrollment Program - DEP
• Bereitstellungsprogramm von Apple für Unternehmenskunden.
• Ermöglicht Geräte drahtlos direkt nach dem Öffnen der Originalverpackung beim Erststart des Devices in Ihr MDM zu enrollen und Profile aufzubringen.
• In Verbindung mit VPP-‐per-‐Device ist die Bereitstellung von ApplikaUonen ohne Kenntnis der Apple ID & Passwort möglich.
• (Fast) alle Setup-‐Schri)e können übersprungen werden.
Verfügbarkeit DEP
Man benöUgt: • Händler, der am Device Enrollment Program teilnimmt • Registrierung am DEP Portal • Ein MDM das DEP unterstützt • Binden des MDM Servers an den eigenen DEP Account • Geräte Kaufen & Im DEP Portal zuweisen
Device Enrollment Program - DEP
Geräte kaufen – Aber, wo?
Gerätekauf über:
• Apple direkt beziehen • ZerUfizierten DEP Apple Händler, der im DEP Portal zu
hinterlegen ist
• Ab Dezember bei Telekom verfügbar
Der Händler hat von Apple eine DEP-‐Reseller-‐ID erhalten, diese muß er Ihnen mi)eilen.
Man benöUgt: • Händler, der am Device Enrollment Program teilnimmt • Registrierung am DEP Portal • Ein MDM das DEP unterstützt • Binden des MDM Servers an den eigenen DEP Account • Geräte Kaufen & Im DEP Portal zuweisen
Device Enrollment Program - DEP
DEP-Account erstellen
h)ps://deploy.apple.com
DEP – benötigt dedizierte Apple ID mit Zwei-Faktor-Authentifizierung
DEP-Account erstellen
• Die DEP Reseller ID muss beim Händler erfragt werden. • Wenn ein Händler dies nicht hat, so können auch bereits gekaufe Geräte
nicht nachträglich aufgenommen werden. • En}ällt, wenn Geräte über Apple bezogen werden, sta)dessen Apple
Kunden-‐Nr. angeben.
DEP-Account erstellen
DEP-Account erstellen
Validierungsanruf von Apple innerhalb von 24h -‐ Überprüfung der Kontaktdaten -‐ Hinweis das ein MDM benöUgt wird -‐ Zwei-‐Faktor-‐AuthenUfizierung für verwendete Apple-‐ID
DEP-Account erstellen
• Nach erfolgter Registrierung erhält man eine DEP-‐Customer-‐ID
• Die DEP-‐Customer-‐ID wird meinem DEP-‐Händler mitgeteilt
4711
DEP-Account erstellen
Man benöUgt: • Händler, der am Device Enrollment Program teilnimmt • Registrierung am DEP Portal • Ein MDM das DEP unterstützt • Binden des MDM Servers an den eigenen DEP Account • Geräte Kaufen & Im DEP Portal zuweisen
Device Enrollment Program - DEP
Man benöUgt: • Händler, der am Device Enrollment Program teilnimmt • Registrierung am DEP Portal • Ein MDM das DEP unterstützt • Binden des MDM Servers an den eigenen DEP Account • Geräte Kaufen & Im DEP Portal zuweisen
Device Enrollment Program - DEP
Zuordnung MDM Server – DEP Portal
Zuordnung MDM Server – DEP Portal
Zuordnung MDM Server – DEP Portal
Man benöUgt: • Händler, der am Device Enrollment Program teilnimmt • Registrierung am DEP Portal • Ein MDM das DEP unterstützt • Binden des MDM Servers an den eigenen DEP Account • Geräte kaufen & Zuweisung im DEP Portal
Device Enrollment Program - DEP
Geräte kaufen & Zuweisung
• Unbedingt Angabe der DEP-‐Customer-‐ID beim Gerätekauf • Nachricht von Apple nach ca. 1 -‐ 7 Tagen
• Erst nach erhalt der Mail ist das Device im DEP-‐Portal sichtbar.
Geräte kaufen & Zuweisung
Geräte kaufen & Zuweisung
Geräte kaufen & Zuweisung
Demo: DEP Enrollment
DEP Settings im MDM
Gerät nach DEP Enrollment
1. Das Gerät hat ein (nicht) en}ernbares MDM Profil 2. Das Gerät befindet sich in Supervision 3. Einrichtungsprofile mit
– Sicherheit / Passcode – AcUveSync Mailzugang per zerUfikatsbasierter Auth. – WiFi / VPN Zugang usw.
4. Kostenfreie / kostenpflichte Apps über VPP-‐per-‐Device bezogen (ohne hinterlegte Apple ID)
5. Der nächste iOS Update kann vom Administrator veranlasst werden. (Neues iOS 9 Feature für DEP-‐Geräte)
6. VPP-‐per-‐Device App können vom Admin upgedated werden.
Was mit DEP, Supervision und VPP möglich ist
• Zustand: – Nutzer hat sich eine „verbotene“ App installiert auf seinem Firmengerät installiert. (WhatsApp, Dropbox ...)
• Maßnahme: – Man wandelt die unmanaged App in eine managed App – Man bindet die managed App an die Geräte ID – Man en}ernt die App per Zuweisungsentzug
Die richtige Strategie
• DEP, wenn es der Reseller anbietet • Reseller in Zukunf auch nach diesem Kriterium auswählen
(@Einkauf) • Wenn kein DEP, dann Supervision mit Apple Configurator, wenn
organisatorisch machbar • VPP-‐per-‐Device App Deployment auch für kostenfreie Apps, da
Deployment ohne Apple ID möglich • Datenabfluss-‐Risiko minimieren
– Privat / Business == Unmanaged / Managed – Erweiterte Supervision Möglichkeiten
• Unmanaged Apps ohne Datenverlust in managed Apps wandeln und so verwaltbar machen
