iOS und macOS mit dem Apple Business Manager verwalten
Fäden in der Hand
Im neuen Apple Business Manager finden sich die alten Bereitstellungsprogramme DEP und VPP wieder. Mit ihnen können Administratoren ihre iOS- und macOS-Systeme einfach verwalten.
Apples Bereitstellungsprogramme für Hard- und Software existieren seit vielen Jahren unter den Namen Device Enrollment Program (DEP) und Volume Purchase Program (VPP). Nun hat der Konzern beide überarbeitet und im Apple Business Manager (ABM) zusammengeführt. Ziel ist, dass der Administrator mit den Programmen und seinem MDM-System (Mobile Device Management) iOS- und macOS-Geräte effizient, zuverlässig und ohne Fehler konfigurieren und verwalten kann.
Das MDM dient dazu, mobile Endgeräte, etwa ein iPhone, aus der Ferne mit Befehlen zu steuern. So lassen sich Geräteeinstellungen (Konfigurationsprofile) vornehmen oder Apps und digitale Bücher verteilen und verwalten. Bei Verstößen gegen die Unternehmensrichtlinien oder beim Verlust des Geräts kann der Administrator es zudem aus der Ferne orten, löschen und sperren.
Zusammenspiel mit dem MDM
Ein MDM-Server kommuniziert mit dem Apple Push Notification service (APNs) und überträgt so die Befehle, Einstellungen und Apps auf die Geräte. Der APNs (zum Testen: api.development.push.apple.com:443, produktiv: api.push.apple.com:443) unterhält eine ständige Verbindung zu den Clients. Damit ein MDM-System per APNs Nachrichten senden darf, muss es ein gültiges Push-Zertifikat (https://identity.apple.com/pushcert/) beantragen und erhalten.
Jede Interaktion beginnt mit einer POST-Anforderung von einem MDM-Server, die eine JSON-Payload und ein Geräte-Token enthält. Der APNs leitet die Benachrichtigungs-Payload an das Gerät oder die App weiter. Ob es sich um den korrekten Client handelt, erkennt das MDM-System anhand des enthaltenen Geräte-Tokens der APNs-Anfrage.
Empfängt ein Gerät den Hinweis, dass neue Befehle vorliegen, kommuniziert es mit dem MDM-System und empfängt die Anweisungen, Konfigurationsprofile oder Apps. Dies erhöht die Vertraulichkeit, da die APNs-Server so nie den Inhalt der Befehle kennen und zum Beispiel Kennwortrichtlinien oder VPN-Einstellungen nicht einsehen können.