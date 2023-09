Declarative Device Management – die Verwaltungsmethode der Zukunft

Das Declarative Device Management wurde bereits 2021 als neue Art der Geräteverwaltung angekündigt – mit dem Versprechen, schneller und zuverlässiger zu sein als die heute gängige Methode. Der Unterschied: Geräte werden in die Lage versetzt, in Echtzeit auf Zustandsänderungen zu reagieren und Konfigurationen einer Logik entsprechend anzuwenden – ohne auf den Server warten zu müssen. Das klang schon damals interessant. Zum Einsatz gekommen ist die Methodik bisher aber nur bei wenigen Unternehmen – auch, weil noch nicht alle UEM-Hersteller sie unterstützten.

Genau das ändert sich jetzt: Immer mehr Anbieter implementieren das Declarative Device Management in ihre Lösungen und machen die Vorteile damit auch für Unternehmen zugänglich. Das ist auch gut so – denn das Declarative Device Management entwickelt sich ebenfalls weiter und bietet nicht nur mehr und mehr Funktionen für das klassische Management, sondern auch für viele andere Bereiche. So können IT-Teams etwa steuern, wann und wie ein Update erzwungen werden soll. Und da das Declarative Device Management auch in Zukunft eine wichtige Rolle spielen wird, sollten Administrator:innen sich unbedingt mit dessen neuen Möglichkeiten beschäftigen.

Neue Anwendungsfälle für Managed Apple

Managed Apple IDs lassen sich künftig – dank erweitertem iCloud-Support und Einführung des accountgesteuerten Device Enrollments – für einige neue Zwecke einsetzen. Die Ausweitung des iCloud-Supports für Apps wie Continuity, Keychain und Wallet etwa gestattet es Nutzern, nahtlos mit verschiedenen Geräten zu arbeiten, auf denen sie mit einer Managed Apple ID angemeldet sind, und beispielsweise geräteübergreifend auf Passwörter zuzugreifen. Unternehmen können den Zugang zu bestimmten Services mithilfe neuer Managementoptionen steuern und auch eine passwortlose Authentifizierung bei internen Services umsetzen.

Mit dem accountgesteuerten Device Enrollment führt Apple eine Methode ein, die ganz ähnlich funktioniert wie das profilbasierte Device Enrollment. Nutzer können ihr Unternehmensgerät mithilfe der Managed Apple ID im UEM-System registrieren, ohne das Profil manuell herunterladen und installieren zu müssen. Der Prozess lässt sich ganz einfach starten: beim iPhone und iPad über die Einstellungen und beim Mac über die Systemeinstellungen. Im Unterschied zum profilbasierten Device Enrollment werden berufliche und private Inhalte hierbei klar voneinander getrennt.

„Return to Service“ – ein gelungener Mittelweg

Musste ein iPhone oder anderes Gerät repariert werden oder wurde es an eine andere Person übergeben, mussten sich IT-Teams hierbei bisher zwischen dem Löschen von Unternehmensdaten und dem kompletten Löschen des Geräts entscheiden. Nun gibt es einen guten Mittelweg, der weniger aufwändig und dennoch sicher ist. Die Option „Return to Service“ nämlich erlaubt es, alles, was sicherheitsrelevant ist, vom Gerät zu löschen, während sich an den Konfigurationen wie WiFi, Sprache oder Region auf dem Gerät nichts ändert. Je nach Einstellungen kann auch eine vorhandene eSIM erhalten bleiben.

Mehr Sicherheit und Privatsphäre auf iOS- und iPadOS-Geräten

Bei Nutzung des automatischen Device Enrollments lässt sich über ein UEM-System künftig vorgeben, welche minimale Betriebssystemversion auf einem Gerät vorhanden sein muss. Entspricht diese nicht den Vorgaben, müssen Nutzer:innen zunächst ein Update durchführen, um mit dem Setup fortfahren zu können. Dies stellt sicher, dass Firmengeräte die „richtige“ Betriebssystemversion verwenden.

Damit Unternehmen auf privaten Geräten zukünftig hingegen weniger Einfluss auf die Privatsphäre der Mitarbeitenden nehmen können, lassen sich einige Restriktionen wie Allow Auto Unlock, Allow In App Purchases oder Safari Allow Popups nur noch bei „supervised“ – also überwachten – Geräten anwenden.

Macs und iPads einfacher gemeinsam nutzen

Im Schichtbetrieb oder bei Poolgeräten in Banken oder Versicherungen sollen häufig verschiedene Personen ein und dasselbe Gerät nutzen können. Dank der Funktion „Shared iPad“ ist dies beim iPad seit einiger Zeit gut möglich, beim Mac hingegen war dies bisher eine Herausforderung. Nun wird ersteres noch besser und zweiteres deutlich leichter möglich.

So lässt sich die initiale Anmeldung an einem überwachten iPad vereinfachen, indem man es anweist, die Sprache und lokalen Systemeinstellungen im Anmeldeprozess für alle neuen Benutzer:innen zu verwenden. Das Gerät ist dann viel schneller einsatzbereit. Zudem kann die Nutzungsbereitschaft eines Gerätes so lange verzögert werden, bis alle relevanten Konfigurationen und Apps vorhanden sind. Dies verhindert, dass sich User:innen auf geteilten Geräten anmelden und eine App nicht nutzen können, weil ein Zertifikat zur Anmeldung fehlt.

Beim Mac hingegen sorgt eine Erweiterung der Plattform-SSO-API dafür, dass sich auf dem Gerät lokale Accounts anlegen lassen, die die Anmeldeinformationen eines Identity Providers verwenden können. Dies erlaubt es mehreren Personen, denselben Mac zu nutzen.

Verwaltung von Apple Watches

Mit watchOS 10 führt Apple einige Verwaltungsmöglichkeiten für Apple Watches ein. Administrator:innen können zukünftig Accounts konfigurieren, Apps verwalten, Passcode-Anforderungen erstellen und verschiedene Restriktionen vornehmen. Dadurch lassen sich einige Anwendungsfälle realisieren, die auch für Unternehmen relevant sind. Denkbar wäre es zum Beispiel, dass Lagermitarbeiter:innen eine Uhr per NFC zum Scannen nutzen oder dass Uhren mithilfe von Zertifikaten Bürotüren öffnen.

Allerdings gibt es bei der Umsetzung ein paar Stolpersteine, da es nicht möglich ist, Apple Watches eigenständig zu verwalten, sondern diese mit einem iPhone verbunden sein müssen. Das Problem: Während die Apple Watch häufig ein privates Gerät ist, handelt es sich bei iPhones meist um gemanagte Firmengeräte. Wenn ein Unternehmen Declarative Device Management verwendet und Nutzer:innen ein neues „supervised“ iPhone bekommen, möchte auch die Apple Watch überwacht werden. Das jedoch würde bedeuten, dass Administrator:innen auf die private Apple Watch Einfluss nehmen können, den sich die meisten Nutzer:innen wohl nicht wünschen. So etwa könnten IT-Teams die Uhr über das UEM-System sperren oder zurücksetzen, und sobald ein iPhone außer Dienst gestellt wird, würde das auch mit der Apple Watch passieren. Stimmen Nutzer:innen hingegen nicht zu, wird die Apple Watch nicht mit dem iPhone verbunden.

Auch wenn die Umsetzung noch nicht optimal ist, hat Apple nun einen Rahmen für die Verwaltung von Apple Watches geschaffen, der viele neue Möglichkeiten eröffnet. Unternehmen müssen sich Gedanken machen, wie sie mit den aktuellen Herausforderungen umgehen, während sie darauf hoffen, dass das Management zukünftig besser umgesetzt wird.

Apple Vision Pro – Apples Eintritt in die Welt des Spatial Computing

Im Hardware-Bereich sticht in diesem Jahr vor allem die Apple Vision Pro hervor, mit der Apple erstmals den Weg ins Spatial Computing geht und schon heute, aber sicherlich vor allem in Zukunft zahlreiche neue Perspektiven bietet. Die Brille verbindet digitale Inhalte mit der realen Welt und erlaubt es, auf ganz neue Weise miteinander zu interagieren und mithilfe einer dreidimensionalen Oberfläche zu arbeiten. Dank der Unterstützung von Continuity ist es beispielsweise möglich, ein Fenster vom Mac in den Raum zu ziehen, sodass die Inhalte weiterhin im Blick bleiben. Die Apple Vision Pro kann so für mehr Effizienz, Genauigkeit und Geschwindigkeit sorgen und eine bessere, ortsunabhängige Zusammenarbeit gestatten. Es ist davon auszugehen, dass es auch für die Apple Vision Pro zukünftig Managementoptionen geben wird.

Roman Usiatycki

ist IT-Experte und leitet das Team Service Specialists bei EBF-EDV Beratung Föllmer.