Immer mehr Unternehmen wie Axel Springer, BMW, SAP und viele weitere setzen auf Ipads und Iphones als mobile Arbeitsgeräte für Mitarbeiter. Doch Apple selbst stellt nur begrenzt technische Ansätze zur Verfügung, um IOS-basierte Mobilgeräte in die Unternehmens-IT zu integrieren. Das gilt auch für die Verteilung von Inhouse-Apps oder externen Anwendungen aus dem Apple App Store auf Iphones und Ipads. Hier helfen Lösungen für das Mobile-Device-Management (MDM).

 

Die Apple-Geräte Iphone und Ipad werden in Unternehmen immer beliebter: Apple hat das Ipad ursprünglich als Unterhaltungsgerät geplant, doch im Zuge der Trends „Consumerization“ (berufliche Nutzung der für den privaten Sektor entwickelten Geräte) und „Bring Your Own Device“ (berufliche Nutzung der vom Mitarbeiter erworbenen Endgeräte) gelangten die IOS-Geräte in die Unternehmen. Die Nutzung der Geräte dürfte weiter steigen, sieht man auf die aktuellen Zahlen von Apple: Allein im vierten Quartal 2011 verkaufte Apple 37,04 Millionen Iphones und 15,4 Millionen Ipads. Nach Stückzahlen besetzt das Ipad damit 17 Prozent des PC-Markts (sofern man das Gerät zu den PCs zählt).
 
Doch der Aufwand für die Einführung von Ipads und Iphones im Unternehmen ist nicht zu unterschätzen, da Apple keine zentrale Verwaltung liefert, sondern eher auf die Selbstverwaltung der Endanwender setzt. Die IT-Abteilung muss insbesondere den sicheren Umgang mit sensiblen Daten gewährleisten und dafür sorgen, dass sich das komplette System zentral administrieren lässt. Sie muss kontrollieren können, wer auf welche Daten und Anwendungen zugreift, und eine Plattform für die Konfiguration, Softwareverteilung und Administration schaffen.
 
Herausforderung App-Verteilung
 
Mittlerweile hat Apple einige Funktionen in sein Betriebssystem IOS integriert, die das zentrale Management der Geräte vereinfachen. Zudem gibt es das Iphone-Konfigurationsprogramm, mit dem Administratoren Konfigurationsprofile für einzelne IOS-Geräte (auch Ipads) erstellen können. Diese enthalten beispielsweise Sicherheitsrichtlinien, VPN- und WLAN-Einstellungen oder Accounts für E-Mail- und Kalenderfunktionen. Geht es um die zentrale Verwaltung vieler mobiler Geräte, bieten sich spezielle MDM-Lösungen an. Sie bieten mehr Sicherheit, Komfort und automatisierte Funktionen für die Verwaltung von Smartphones und Tablets, insbesondere auch bei der Verteilung von Apps.
 
Neben der Anbindung an E-Mail- und Kalender-Server sowie Verzeichnisdienste gewinnen vor allem Apps an Bedeutung. Bei der Softwareverteilung sind viele Fragen zu klären: Wie gelangt meine Inhouse-Anwendung ohne App Store auf die Geräte? Wie gehe ich mit Updates um? Kann ich verhindern, dass meine Unternehmensanwendung auf privaten Ipads zum Einsatz kommt? Welche Möglichkeiten zur Verteilung über Funk gibt es?
 
Push-Funktion seit Apple IOS 5
 
Auch bei der Verwaltung der mobilen Anwendungen auf den Clients hat Apple noch Nachholbedarf. Immerhin hat das Unternehmen bei der Version IOS 5 nachgebessert. Seitdem lassen sich Apps über eine MDM-Plattform direkt auf Iphones oder Ipads pushen. Dies stellt sicher, dass die Mitarbeiter auch tatsächlich an die gewünschte Anwendung kommen.
 
Dies funktioniert folgendermaßen: Der MDM-Server nutzt für die Kommunikation mit den IOS-Geräten den Apple Push Notification Service, einen Apple-Server, der ständig mit dem IOS-Endgerät verbunden ist. Steht beispielsweise eine App zur Verteilung an, schickt der MDM-Server eine Botschaft wie „Ipad mit der ID 2345df, melde dich bei deinem MDM“ an den Apple-Server. Dieser leitet diese Nachricht an das entsprechende Ipad weiter. Das Gerät verbindet sich automatisch mit dem MDM-Server und die App kann auf das Gerät geladen werden.
 
Über den Apple Push Notification Service hält der MDM-Server Kontakt zu den Endgeräten, ohne deren Leistung und Akkulaufzeit zu mindern. Schließlich besteht keine ständige Verbindung: Diese wird nur aufgebaut, wenn neue Anwendungen, Updates etc. vorliegen. Für die sichere Kommunikation mit dem Apple-Server muss ein SSL-Zertifikat auf dem MDM-Server installiert sein. Dieses ist einfach und kostenlos erhältlich. Dazu stellt das Unternehmen eine Anfrage (Certificate Signing Request, CSR) an seinen MDM-Anbieter. Ist das CSR vorhanden, erhält man auf der Website identity.apple.com/pushcert das Zertifikat für die sichere Verbindung.
 
Inhouse-Apps und externe Apps
 
Für die Bereitstellung der IOS-Apps über die MDM-Lösung an die Mitarbeiter gibt es zwei Optionen: Die Inhouse-Verteilung über eine unternehmenseigene Download-Seite (seit IOS 4 möglich) oder der Kauf von Apps über Itunes und Apples öffentlichen App Store (seit IOS 5). Zuvor konnten die Mitarbeiter eine Anwendung nur direkt mit ihrer persönlichen Apple-ID im App Store kaufen und herunterladen.
 
Bietet ein Unternehmen Anwendungen wie Keynote, Numbers, Pages oder Good Reader über den öffentlichen Apple App Store an, erfahren die Mitarbeiter per Push über deren Verfügbarkeit. Sie müssen dann ihre Apple-ID eingeben, um die App herunterladen zu können. Bei einer Inhouse-App entfällt die Eingabe der Apple-ID, da sie vom internen MDM-Server stammt. Um den Verkauf von Apps an Unternehmen zu fördern, hat Apple kürzlich in den USA ein Volumenlizenzprogramm gestartet. Unternehmen können dort Apps in größerer Anzahl kaufen und dann per Gutschein an die Mitarbeiter verteilen.
 
Um Inhouse-Apps an beliebige IOS-Geräte verteilen zu können, muss sich das Unternehmen für 299 Dollar Jahresbeitrag beim Apple IOS Developer Enterprise Program registrieren. Der interne oder externe Entwickler benötigt ein Xcode-Entwicklerzertifikat. Liegt eine fertige App im Apple-Dateiformat .ipa vor, kann der Administrator sie im Unternehmen verteilen. Wichtig: Die App liegt dann auf dem MDM-Server des Unternehmens. Apple prüft die App im Gegensatz zu denjenigen im öffentlichen App Store nicht.
 
Verteilung per MDM-Lösung
 
Über die Administrationsoberfläche einer modernen MDM-Lösung lassen sich einzelne oder mehrere Apps verteilen und neue Versionen hinterlegen. Zur einfacheren Verwaltung der Geräte kann der Administrator auch die Option aktivieren, dass auf dem IOS-Gerät bei der erstmaligen Anmeldung am MDM-Server neben dem Konfigurationsprofil des Benutzers automatisch bestimmte Apps installiert werden.
 
Installierte Inhouse-Apps lassen sich auch wieder entfernen (ab IOS 5.1). Dies gilt aber nur für Apps, die das Unternehmen über das MDM verteilt hat. Vom Mitarbeiter privat installierte Apps (Facebook, Spiele etc.) kann die IT-Abteilung nicht über diese Funktion löschen; diese bleiben auch in Itunes erhalten. Die Anwendungen werden automatisch gelöscht, wenn der Benutzer sein komplettes MDM-Profil mit VPN-Einstellungen etc. entfernt. Eine Blacklist für das Verbot einzelner Apps hat Apple bislang nicht eingeführt.
 
Seit der Version IOS 5 kann der Administraotr mit einer MDM-Lösung auch festlegen, ob eine App im App-Backup auf Itunes oder in der Icloud laufen darf. Dies gilt es zu unterbinden, da ein Mitarbeiter, der das Unternehmen verlässt, sonst die Daten oder die App mitnehmen könnte. 

Mit einer modernen MDM-Lösung kann der Administrator bequem Inhouse-Lösungen und per Apple App Store erworbene Software gemeinsam bereitstellen. Bild: Equinux

Die zentrale Verwaltung von Apple-IOS-Geräten im Unternehmen erfordert das Zusammenspiel von MDM-Server und Apple Push Notification Service. Bild: Equinux

LANline.