iPCU – Profilerstellung für iPhone und iPad im Unternehmen
Die Einführung von Apples iPhone als Smartphone im Unternehmen stellt an die Unternehmens-IT spezielle Anforderungen. Was für den Privatgebrauch mit wenigen Einstellungen zu erledigen ist, bedarf bei einem organisierten Rollout spezieller Planung und Konfiguration.
Die zentrale Verwaltung von iOS-Geräten steckt nach wie vor in den Kinderschuhen. Eine Erleichterung einer einheitlichen Konfiguration ermöglicht Apple mit dem in Eigenregie hergestellten Konfigurationstool – ein Blick auf das »Configuration Utility«.
Ohne iTunes geht’s auch
Der Standardweg des Endanwenders zum erstmaligen Setup von iPhone oder iPad über iTunes, die Erstellung eines eigenen Accounts eingeschlossen, ist für den Admin einer IT-Abteilung mit einer Vielzahl von Geräten kein gangbarer Weg. Der Einsatz des „iPhone Configuration Utility“ hilft, diese Hürde zu überwinden.
Mithilfe der kleinen Software erstellt der Administrator vorgefertigte Konfigurationen für die portablen Geräte und kann diese einfach und schnell auf die Geräte übertragen.
Einfach und kostenlos
Die Software von Apple ist kostenlos zum Download verfügbar und kann ohne Anmeldung von deren Support-Seite geladen werden. Es steht sowohl eine Variante für Windows wie auch eine für Mac-OS zum Download bereit. Das wenige MB große Tool ist schnell geladen und ohne Kenntnisse zu installieren. Windows-Anwender sollten auf die Voraussetzung des .Net-Frameworks achten. Beim Download selbst ist nur die richtige Sprachversion zu wählen.
Das Profil als XML
Der von Apple angedachte Konfigurationsprozess ist einfach. Der Konfigurator erstellt mittels grafischer Benutzeroberfläche eine XML-Datei, die dann in das Gerät importiert wird. Damit wird eine Einheitlichkeit der Einstellungen garantiert. Darüber hinaus können alle erstellten Profile im iPCU verwaltet werden. Wer sich intensiver mit den einzelnen Parametern des XML-Setups befassen will, der sollte das Support-Dokument von Apple lesen.
iOS-Version beachten
Obwohl Profile, die mit dem iPCU erstellt wurden, auch auf Geräte mit älteren iOS-Versionen ausgerollt werden können, sollte zuvor auf eine aktuelle Version des Betriebssystems der Endgeräte geachtet werden. Einstellungen, die von älteren Geräten nicht unterstützt werden, werden beim Import einfach ignoriert.
Das Konfigurationsprofil
Das erstellte Profil – es gilt sowohl für iPhone wie auch für iPad-Tablets – beinhaltet sämtliche gewünschten Grundeinstellungen für die Auslieferung an die Unternehmensmitarbeiter. Im einfachsten Fall besteht diese nur aus wenigen Einträgen: den Angaben zur Organisation, einer eindeutigen Kennung sowie der Sicherheitseinstellung des eingespielten Profils. In der Praxis sollten aber einige Einstellungen mehr konfiguriert werden.
Profilerstellung im Detail
Nach dem Start des Konfigurators wird über die Menüzeile „Datei“ ein neues Konfigurationsprofil erstellt. Sofort der erste Abschnitt „Allgemein“ enthält die Pflichtangaben. Wichtig für die Verwaltung ist der Name, da damit innerhalb des Programms die einzelnen Profile identifiziert werden. Hier sollte eine Zuordnung wie Abteilung oder Standort ablesbar sein. Unterschiedliche Exchange-Server oder Sicherheitseinstellungen benötigen differierende Profile. Ein wenig Planung ist gefragt. Letztlich obliegt dies der individuellen Strukturierung im jeweiligen Unternehmen.
Der folgende Eintrag, die Kennung, wird vom iOS-Gerät intern für das Profil benötigt. Hier ist eine Einheitlichkeit wichtig, wenn Profile überschrieben und aktualisiert werden müssen. Die Syntax muss in umgekehrter FQDN-Notation erfolgen (hat aber nichts mit etwaigen DNS-Einträgen zu tun).
Das Beschreibungsfeld ist optional, sollte aber für zukünftige Referenzen sinnvoll gefüllt werden. Viel wichtiger ist der letzte Eintrag an dieser Stelle. Für die „Sicherheit“ werden drei Optionen geboten. Hier geht es darum, ob und wie das eingespielte Profil gelöscht werden darf. Die Auswahl „Mit Authentifizierung“ ermöglicht dem Anwender, mit einer Kennworteingabe das Profil zu entfernen. „Immer“ ist keine sinnvolle Wahl, da damit jegliche Konfiguration durch den User rückgängig gemacht werden kann.
Entscheiden Sie sich für die Kennwort-Variante, so sollte das Kennwort keinem bereits verwendeten entsprechen. Letztlich macht aber auch diese Variante wenig Sinn, da alle Geräte, die dieses Profil erhalten, auch dasselbe Löschkennwort erhalten. Die Option „Nie“ hat zur Folge, dass das iPhone auf die Werkseinstellungen zurückgesetzt werden muss, um das Profil zu löschen.
Exchange und ActiveSync
Ab dieser Stelle beginnen die optionalen Einträge im Konfigurator – aber auch die wichtigen. Für die meisten Unternehmen gehört sicherlich die einheitliche Konfiguration für den Zugang zum eigenen Exchange-Server zur Pflichtübung. Der Einsatz von ActiveSync (Direct Push) ermöglicht dem Exchange-Administrator einige wichtige Funktionen im Rahmen der Fernkonfiguration durchzuführen. Unter anderem fällt die Remote-Löschung eines Geräts in diesen Bereich, was bei einem Geräteverlust einen entscheidenden Schritt in Sachen Datensicherheit bringt.
Die vorzunehmenden Einträge im Abschnitt „Exchange-ActiveSync“ sollten für den Mailadministrator keine Hürde darstellen. Neben dem Account-Namen (erscheint in den Einstellungen des Geräts und sollte für den Endanwenders sprechend sein) gibt es aber auch hier wichtige Optionen. „Bewegen zulassen“ nennt sich jener Eintrag, der festlegt, ob Mailnachrichten zwischen einzelnen Accounts verschoben werden können. Sollten zusätzlich zum beruflichen Mailserver auch private Mailkonten auf dem Gerät zugelassen werden, so gilt diesem Eintrag erhöhte Aufmerksamkeit.
Die Option „Nur in Mail verwenden“ bewirkt, dass der User aus keiner anderen Anwendung auf dem iPhone Mails versenden kann. Damit ist u.a. eine Nachrichtenerstellung aus der Foto-App ebenso blockiert, wie der Mailversand aus Safari.
SSL sollte in der Mailübertragung Pflicht sein, S/MIME nur dann, wenn im Unternehmen eine PKI-Infrastruktur implementiert ist. Die Angaben zu Benutzer, Mailadresse und Kennwort sollten leer bleiben. Damit bleibt das Profil mehrfach verwendbar. Beim ersten Kontakt zum Server werden diese Daten vom Nutzer abgefragt und gespeichert.
Apropos Zertifikat: Sollte ein solches zur Identifizierung zum Einsatz kommen, so sollte auch das iOS-Betriebssystem auf Version 5 oder höher aktualisiert werden. Es gibt zwar an dieser Stelle eine Kompatibilitätsoption, der Overhead im Datenverkehr ist aber beträchtlich und kann mit dem Upgrade des iOS einfach umgangen werden.
Sicherheit und VPN
Einstellungen zur Gerätesicherheit sollten unbedingt konfiguriert werden. Nur so wird die geräteinterne Verschlüsselung aktiviert und der einfache Zugang zum Smartphone wird verhindert. Diese Richtlinie finden Sie unter dem Eintrag „Code“. Die „Zeitgrenze für Gerätesperrung“ ist hier ebenso zu aktivieren wie auch die automatische Sperre. Sicherheit ist die Devise.
Die meisten der Einstellungen an dieser Stelle können auch auf Exchange-Serverseite konfiguriert werden und greifen dann ab dem ersten Serverkontakt.
Sind über den Zugriff auf den Exchange-Server hinaus noch weitere Datenverbindungen ins Unternehmensnetzwerk notwendig, so führt kein Weg an VPN vorbei. Die notwendige Konfiguration muss nicht unbedingt an dieser Stelle erfolgen. Manchmal kommt auch eine spezielle Hersteller-App (Cisco, Sonicwall, u.a.) zum Einsatz, um den Zugriff auf Dokumente oder das Starten von Terminalsessions zu ermöglichen.
Fazit
Durch den Einsatz des iPhone Configuration Utility wird der einheitliche Rollout von iPhone und iPad in Unternehmensnetzwerken erheblich vereinfacht. Obwohl das Apple-Tool bei weitem nicht an professionelle Smartphone-Managementlösungen à la Blackberry herankommt, ist es doch ein Schritt in die unverzichtbare Richtung. Letztlich bleibt damit aber das Management der Geräte der ActiveSync-Verwaltung des Exchange-Administrators vorbehalten – mit allen Einschränkungen.
PDF-Dokument zum Download
Auch für diesen Artikel gibt es für unsere Newsletter-Abonnenten wiederum ein Gimmick: der erweiterte Artikel mit einer Vielzahl von Schaubildern als PDF-Datei zum Download.
Wie verwalten Sie Ihre mobilen Geräte? Anregungen und Kritik sind wie immer in den Kommentaren zu diesem Beitrag sehr willkommen.
Anzeige
Hallo zusammen,
toller Artikel.
Sie bieten an, den erweiterten Artikel als PDF zu versenden.
Können Sie mir diesen bitte noch mailen.
=> Newsletter habe ich bereits bestellt.
Danke + schönen Sonntag.
Jürgen
Die PDF-Varianten der Artikel werden von uns immer erst kurz vor dem Newsletter-Versand zusammengestellt. Ich bitte um etwas Geduld.
Danke für den Eintrag im Newsletter.