Jul

05

iOS13 erhält User Enrollment, besser bekannt als BYOD


BYOD
Von Android Enterprise kennt man BYOD bereits dank Work Profile. Auf iOS ist eine reine BYOD Aktivierung, also ein privates Gerät sicher an die geschäftliche Infrastruktur anbinden, bisher nur mit einer reinen Verteilung von Arbeitsanwendungen möglich, ohne die Möglichkeit zentrale Daten wie WiFi, Geräterichtlinien oder dergleichen auf die Geräte zu verteilen. Mit iOS13 wird im Herbst diesen Jahres eine "vollwertige" BYOD Aktivierung hinzugefügt.

Im Blog haben wir eine Übersicht BYOD, COPE und COBO verschriftet.
Auf iOS Geräten konnte man bisher COBO (Corporate Owned, Business Only) und COPE (Corporate Owned, Personally Enabled) korrekt umsetzen, Apple nennt dies "Device Enrollment". Auf Wunsch auch automatisch per DEP (Device Enrollment Program), welches Ende 2019 durch Apple Business Manager abgelöst wird. Diese automatische Aktivierung nennt Apple "Automated Device Enrollment". BYOD ist derzeit eine MDM Aktivierung, bedeutet dass ein MDM Profil installiert wird und Admins weitreichende Befugnisse auf dem Gerät haben. Oder man setzt eine MAM-only (Mobile Application Management – only) Aktivierung ein.

Für BYOD setzt Apple nun die Aktivierung User Enrollment um. Technisch ist dies kein Multi-User Ansatz, sondern ein Multi-Account. Der Nutzer meldet sich auf dem Gerät zusätzlich zu seiner privaten auch mit seiner Managed Apple ID an. Folglich müssen Admins die eigene Domain bei Apple Business Manager (ABM) anmelden bzw den DEP Account upgraden auf ABM.
Wird das Gerät deaktiviert, wird automatisch die Managed Apple ID vom Gerät gelöscht.

Apps sind fest an eine Apple ID gebunden und können auch nur mit dieser genutzt werden. Ausgenommen sind Apps, welche auf Konten zugreifen wie Notizen, Kalender und Mail. Diese stellen dann über die Konten die Daten von verwalteten und nicht verwalteten Quellen zur Verfügung.
Bei der Aktivierung wird ein Managed APFS Volumen mit eigenen Schlüsseln erstellt damit private und berufliche Daten auf dem Gerät getrennt voneinander sind. Verwaltete Quellen, also vom EMM System verteilte Konten und Anwendungen, schreiben die Daten nur in dieses Volume: App Container, Notizen, iCloud Drive Dateien, Keychain, Mail Anhänge und Bodies, Kalenderanhänge. Bei Deaktivierung wird dieses und die dazugehörigen Schlüssel gelöscht.

Das MDM Protokoll liefert bei einer User Enrollment Aktivierung keine persistenten Daten wie UDID, IMEI und dergleichen. Zur Identifikation wird ein User-Enrollment-ID genutzt und an die MDM Server gemeldet, für einen Exchange wird eine EASID erstellt. Bei einer Deaktivierung werden diese dann gelöscht und ein Gerät bekommt bei einer erneuten Aktivierungen neue IDs.
Es wird für den Admin keine Möglichkeit geben, den Gerätepasscode zurückzusetzen oder einen Remote Wipe durchzuführen. Auch die Payloads sind an sich beschränkt. So muss zum Beispiel die Second Level Domain für VPN identisch sein mit der Second Level Domain des Unternehmens.
Admins können bei User Enrollments nur IT-Richtlinien umsetzen, welche kein Supervised Gerät vorsehen.
Fazit

Im Vergleich zu Android Enterprise Work Profile sind einige Einschränkungen hinzunehmen. So arbeitet iOS nicht mit einem globalen Container per Multi-User, daher kann man zum Beispiel eine App immer nur privat oder geschäftlich nutzen. Im Falle von Microsoft Office Anwendungen ist dies irrelevant, da die Apps selbst ein Account Management inkludiert haben.
In der heutigen Zeit ist ein BYOD Ansatz wichtig und die nun in iOS13 kommende Aktivierung User Enrollment stellt eine trotz der Abhängigkeiten eine Vereinfachung für Admins und Nutzer dar. Somit können private Geräte sicher an die geschäftliche Infrastruktur angebunden werden und die Daten werden auf den Geräten sauber getrennt.

Haben Sie Fragen zu diesen Produkten, möchten einen Workshop oder wollen diese einsetzen, dann nehmen Sie doch gerne Kontakt zu uns auf.

Ben Witt

Senior Consultant Mobility Solutions - PR