iPhone-Konfigurationsprogramm

iOS-Praxis: Das iPhone einfach verwalten

11.09.2012 von Thomas Joos
Apple stellt für das Management von iOS-Geräten das kostenlose iPhone-Konfigurationsprogramm zur Verfügung. Dieses bietet Administratoren erweiterte Möglichkeiten, die Geräte optimal an die Bedürfnisse des Unternehmens anzupassen.

Das Mobile-Device-Management ist für IT-Abteilungen längst eine der großen Herausforderungen. Schließlich greifen Anwender mit Smartphones oder Tablet-PCs auf Ressourcen im Unternehmen zu. Daher müssen auf den entsprechenden Endgeräten Einstellungen so gesetzt sein, dass diese optimal mit dem Netzwerk harmonieren und sicher sind.

Installation und Einrichtung von Apps gehören inzwischen häufig zu den Aufgaben von Administratoren. Apple stellt für das Mobile-Device-Management von iOS-Geräten, also iPhones und iPads, das iPhone-Konfigurationsprogramm zur Verfügung. Damit können Admins die Geräte besser an die eigene Umgebung anpassen. Durch die MDM-Unterstützung von iPhones und iPads ist es aber auch möglich, sie mit Verwaltungslösungen anderer Hersteller zu verbinden.

Das iPhone-Konfigurationsprogramm im Überblick

Apple entwickelt das iPhone-Konfigurationsprogramm ständig weiter. Deshalb sollten Sie bei neuen Versionen von iOS auch das Konfigurationsprogramm aktualisieren lassen. Sie können zwar mit neuen Versionen des Tools auch die ältere Verwandtschaft von iOS verwalten, aber mit alten Tool-Versionen keine neuen iOS-Varianten. Das gilt vor allem dann, wenn Apple in neuen iOS-Versionen auch neue Funktionen integriert. Basis des iPhone-Konfigurationsprogramms sind Profile auf XML-Basis.

Hilfreiches Werkzeug: Mit dem iPhone-Konfigurationsprogramm kann man Profile erstellen.

Konfigurationsprofile steuern Einstellungen auf iOS-Geräten, Bereitstellungsprofile die Installation von Apps. Sie können zum Beispiel Lizenzen von Apps erwerben, diese im Bereitstellungsprofil integrieren und so an die Anwender verteilen. Die Installation erfolgt über den App Store, aber die Anwender müssen die App nicht kaufen, sondern erhalten den Link für die Installation als Code zugestellt. Apple bietet dazu das Volume Purchase Program (VPP) an.

Längst sind in Unternehmen eigene Apps Standard, etwa um Prozesse abzubilden, die früher übers Intranet abgewickelt wurden. Wenn Firmen eigene Apps entwickeln und diese bereitstellen wollen, funktioniert auch dies über die Bereitstellungsprofile. Wenn Sie eigene iOS-Apps für die Nutzung in Ihrem Unternehmen entwickeln, arbeiten Sie am besten mit dem iOS Developer Enterprise Program. Dazu müssen Sie sich bei Apple registrieren lassen. Unternehmenseigene Apps sind natürlich nicht zwingend im App Store bereitzustellen. Sie können die Installationsdateien in einem iTunes-lesbaren Format versenden, oder mit speziellen MDM-Verwaltungs-Tools installieren lassen. Auch die Installation über das iPhone-Konfigurationsprogramm ist über diesen Weg möglich.

Mobile Device Management
Mit dem iPhone-Konfigurationsprogramm kann man Profile erstellen.
Mobile Device Management
Sie können sich die installierten Apps anzeigen lassen.
Mobile Device Management
Das Profil lässt sich einfach per Mail versenden
Mobile Device Management
hier die verschiedenen Payload-Segmente eines Konfigurationsprofils.
Mobile Device Management
iPhones lassen sich an vorhandene MDM-Server anbinden.
Mobile Device Management
Konfigurationsprofile können Sie einfach installieren.

Wenn sich iOS-Gerät per WLAN mit dem Firmennetzwerk verbinden, können Sie die Installation über das Netzwerk durchführen lassen. Dazu lädt der Anwender die entsprechende XML-Datei (Manifest-Datei) auf sein iPhone. Die Datei enthält die URL für die App, die Sie auf einem Webserver im Unternehmen ablegen. Wie Sie dabei vorgehen, erklärt Apple in der Hilfe zum iPhone-Konfigurationsprogramm.

Daten von iPhones auslesen

In Konfigurationsprofilen nehmen Sie wiederum Einstellungen für iOS-Geräte vor. Diese schicken Sie per E-Mail an die Anwender oder installieren sie direkt auf dem entsprechenden Endgerät. Neben der Weitergabe von Einstellungen und dem Sperren von Apps auf iPhones lassen sich mit dem Tool auch Daten von iPhones auslesen, zum Beispiel die genaue iOS-Version, der Netzbetreiber, installierte Apps oder bereits gesetzte Einstellungen. Über die Konfigurationsprofile des iPhone-Konfigurationsprogramms können Sie auch Einstellungen auf den Smartphones vorgeben, zum Beispiel die Einrichtung von E-Mail-Konten oder Daten für VPNs und WLANs.

Da sich der App Store sperren lässt, können Sie sogar verhindern, dass Anwender neue Apps installieren. Allerdings kann auch das iPhone-Konfigurationsprogramm nicht das Jailbreaken von iPhones aus der Welt schaffen.

iPhone an iPhone-Konfigurationsprogramm anbinden

Betreiben Sie das Konfigurationsprogramm an einem PC oder Mac, auf dem Sie iTunes installiert haben, bindet sich das jeweilige iPhone automatisch in das Konfigurationsprogramm ein.

Übersicht: Sie können sich die installierten Apps anzeigen lassen.

Sobald Sie das iPhone mit dem Computer verbinden, liest das Konfigurationsprogramm die Daten aus. Um Profile weiterzugeben, müssen Sie natürlich nicht jedes iPhone an den PC anschließen, sondern nur wenn Sie Daten auslesen wollen.

Über die Registerkarte Zusammenfassung erhalten Sie die wichtigsten Daten. Bereits zugewiesene Konfigurationsprofile sehen Sie auf der Registerkarte Konfigurationsprofile, und Bereitstellungsprofile finden Sie auf der Registerkarte Bereitstellungsprofil. Über Programme sehen Sie alle installierten Apps auf dem entsprechenden iPhone, ebenso die Version. Das kann bei der Fehlersuche helfen, wenn bestimmte Programme nicht mehr funktionieren.

Ausrollen: Das Profil lässt sich einfach per Mail versenden.

Über Datei/Per E-Mail senden erstellt das iPhone-Konfigurationsprogramm automatisch eine neue E-Mail mit dem Standard-E-Mail-Programm des Clients und hängt Informationen des Geräts als Anlage an. Diese Anlage ist mit dem iPhone-Konfigurationsprogramm zu lesen. Das heißt, Anwender können sich auch selbst das iPhone-Konfigurationsprogramm installieren, Daten auslesen und an Administratoren senden. Auch das hilft bei der Problemsuche, da auf diesem Weg Administratoren alle notwendigen Daten erhalten.

Konfigurationsprofile einlesen

Alle Einstellungen, die Sie in den Konfigurationsprofilen festlegen, sind auf den Endgeräten verfügbar, wenn Sie das entsprechende Konfigurationsprofil übertragen. Sie können die Einstellungen dazu per E-Mail versenden oder auf einem Webserver zur Verfügung stellen. Anwender können das Profil in der Anlage von E-Mails selbst installieren. Das hilft vor allem bei der Anbindung an E-Mail-Server wie Exchange.

Sie haben hier drei verschiedene Möglichkeiten, die Sicherheit des entsprechenden Konfigurationsprofils festzulegen:

Ohne - Die Konfigurationsdatei kann auf jedem beliebigen iPhone eingelesen werden. Sicherheitsrelevante Daten sind in der Datei aber aus Sicherheitsgründen nicht auslesbar.

Konfigurationsprofil signieren - Das Profil wird signiert und lässt sich bei Änderungen an der Datei nicht auf dem Gerät installieren. Ein so installiertes Profil lässt sich nur aktualisieren, wenn Sie dieselbe Kennung verwenden und auf dem gleichen PC mit gleichem iPhone-Konfigurationsprogramm arbeiten.

Verschlüsseltes, signiertes Konfigurationsprofil für diese Geräte erstellen - Wählen Sie diese Option aus, verschlüsselt das Konfigurationsprogramm die Datei. Das Profil lässt sich nur von einem bestimmten Endgerät einlesen. Dazu müssen Sie das iPhone einmal mit dem Computer verbinden und auswählen, damit das Konfigurationsprogramm Zugriff auf den Verschlüsselungscode des iPhones hat.

Konfigurationsprofile einstellen

Es ist allerdings nicht erforderlich, alle Einstellungen, die Sie vornehmen, in einem großen Profil festzulegen. Effizienter ist es, verschiedene Einstellungen und Einschränkungen voneinander zu trennen und auf den Smartphones zu installieren. Im Konfigurationsprogramm spielen dazu die Payload-Segmente eine wichtige Rolle, wenn Sie neue Konfigurationsprofile erstellen.

Dabei handelt es sich um die einzelnen Einstellungsbereiche im Konfigurationsprofil, zum Beispiel VPN, E-Mail oder Exchange-ActiveSync. Konfigurieren Sie ein Konfigurationsprofil, das nur ein bestimmtes Payload-Segment steuert, zum Beispiel Exchange-ActiveSync, bleiben die anderen Einstellungen auf dem iPhone unverändert. Bei der Installation des Konfigurationsprofils ändert die Datei lediglich die Einstellungen im entsprechenden Payload-Segment.

Segmentierung: hier die verschiedenen Payload-Segmente eines Konfigurationsprofils.

Geben Sie in einem Konfigurationsprofil nicht alle notwendigen Einstellungen eines Payload-Segments an, können Anwender diese Daten selbst ergänzen. Beispiele dafür sind Benutzernamen und Kennwörter. Im Feld Kennung jedes Konfigurationsprofils können Administratoren die Einstellungen entsprechend einzigartig und jederzeit wieder identifizierbar machen.

Über die Kennung kann das iPhone feststellen, ob Einstellungen und Profile mit gleichem Namen vorhanden sind. Die Kennung unterscheidet Konfigurationsprofile voneinander. Stimmt die Kennung eines Profils mit jener eines bereits installierten Profils überein, überschreibt das iPhone die bisherigen Einstellungen mit den neuen Einstellungen. Im Bereich Sicherheit der allgemeinen Einstellungen legen Sie fest, ob Benutzer ein installiertes Konfigurationsprofil löschen dürfen. Aktivieren Sie die Option Nie, lässt sich das entsprechende Konfigurationsprofil zwar mit neuen Einstellungen überschreiben, aber nicht vom Anwender löschen.

Konfigurationsprofile aktualisieren und löschen

Aktualisieren Sie ein Konfigurationsprofil, muss dieses erneut freigegeben werden. Anschließend müssen Anwender das neue Profil erneut installieren. Bei diesem Vorgang überschreibt das iPhone die alten Einstellungen und setzt die neuen. Die Kennung muss dazu übereinstimmen, das gilt auch für die Signatur.

Einstellungen, die Sie über ein Konfigurationsprofil vorgeben, lassen sich auf dem iPhone nicht mehr manuell anpassen. Löschen Sie ein Konfigurationsprofil, entfernt das iPhone alle Einstellungen, die das Profil betreffen, und alle Einstellungen der verschiedenen Payload-Segmente, die Sie im Profil gesetzt haben. Von diesem Löschvorgang können auch E-Mails betroffen sein, die zu dem entsprechenden Konto gehören, das Sie mit dem Profil auf dem iPhone konfiguriert haben.

Profile in der Praxis erstellen

Kontaktaufnahme: iPhones lassen sich an vorhandene MDM-Server anbinden.

Um ein Profil zu erstellen, klicken Sie im iPhone-Konfigurationsprogramm auf Konfigurationsprofile und dann auf Neu. Haben Sie bereits Profile erstellt, können Sie diese über Datei\Duplizieren kopieren, wenn Sie ähnliche Einstellungen in einem neuen Profil festlegen wollen. Anschließend legen Sie einen Namen für das Profil sowie eine Kennung fest.

Die Sicherheitseinstellungen legen Sie beim Erstellen fest. Diese Einstellungen finden Sie im Bereich Allgemein. Anschließend können Sie in den verschiedenen Payload-Segmenten festlegen, ob Sie Einstellungen vornehmen wollen. Klicken Sie auf ein Payload-Segment, aktivieren Sie die Einstellungen über den Link Konfigurieren. Mit dem Minuszeichen können Sie die Einstellungen wieder zurücksetzen. Über Verwaltung mobiler Geräte haben Sie die Möglichkeit, iPhones an spezielle MDM-Verwaltungslösungen anzubinden, die über eigene Server verfügen. Über diesen Weg lassen sich weitere Einstellungen an iPhones weitergeben.

Update: Konfigurationsprofile können Sie einfach installieren.

Wenn Sie alle Einstellungen vorgenommen haben, klicken Sie auf Freigeben und legen fest, ob Sie das Profil signieren wollen oder nicht. Anschließend können Sie das Profil per E-Mail versenden. Über Exportieren haben Sie die Möglichkeit, das Profil in einer Datei zu hinterlegen und diese zum Beispiel über einen Webserver zur Verfügung zu stellen. Konfigurationsprofile lassen sich auch mit dem iPhone-Konfigurationsprogramm installieren. Dazu verbinden Sie das entsprechende iPhone mit dem PC und starten das iPhone-Konfigurationsprogramm. Klicken Sie dann auf das Gerät und wechseln auf die Registerkarte Konfigurationsprofile. Hier sehen Sie die installierten Profile und können diese installieren.

MDM-Server und iPhones

In den Konfigurationsprofilen können Sie, wie bereits erwähnt, iPhones auch an MDM-Server von Drittherstellern anbinden. Nach der Anbindung rufen die iPhones automatisch Einstellungen vom Server ab. Weitere Einstellungen müssen Sie dann im iPhone-Konfigurationsprogramm nicht durchführen.

Damit die Anbindung funktioniert, muss der Server allerdings über ein Zertifikat des Apple-Push-Certificates-Portals verfügen. Der MDM-Server muss über den TCP-Port 2195/2196 und 5223 kommunizieren können. Über diese Ports läuft die Kommunikation mit den iPhones und dem Benachrichtigungsdienst von Apple. Bevor Sie eine MDM-Lösung kaufen, sollten sie daher sicherstellen, dass diese absolut kompatibel mit den entsprechenden Apple-Diensten ist. Mehr Informationen dazu stellt Apple als PDF zur Verfügung.

Wichtig ist, dass sich die Endgeräte am Server registrieren. Unabhängig davon, welche Smartphone-Systeme im Netzwerk Einsatz finden, sollten Unternehmen Möglichkeiten schaffen, die angebundenen Geräte zentral verwalten und notfalls löschen zu können. Das gilt auch dann, wenn mehrere Systeme im Einsatz sind. Beispiele für Lösungen sind etwa Juniper Pulse Mobile Security oder Good for Enterprise.

Diese Anwendungen sichern Endgeräte ab und halten die installierten Programme unter Kontrolle. Administratoren können zentral Daten löschen und so sicherstellen, dass kein Unbefugter Zugriff auf Firmendaten erhält, wenn Smartphones verloren gehen. Good for Enterprise trennt beispielsweise zwischen Firmendaten und privaten Daten auf den Smartphones. Firmendaten laufen über die Good-App auf dem iPhone, iPad oder Android-Gerät. Unternehmen, die Anwendern erlauben, auf Firmendaten zuzugreifen, sollten solche Lösungen in die Planung mit einbeziehen. Da die Verwaltungslösungen nicht zu allen Editionen und Systemen kompatibel sind, sollte auch dieser Punkt in die Auswahl des entsprechenden Geräts mit einfließen. (Tecchannel)