Apple iPhone, iPad & MacOS mit MDM für KMU verwalten – HowTo

Während Windows als das Betriebssystem schlechthin in fast allen Unternehmen eingesetzt wird, sorgt es zuletzt wieder immer öfter für negative Schlagzeilen – sei es wegen der schlecht abschaltbaren Telemetrie der Nutzerdaten zu Microsoft, immer mehr Druck „in die Cloud“ oder der ständigen Funktionsstörungen nach Updates.
Im Gegensatz dazu glänzen gerade mobile Betriebssysteme durch schlanke Prozesse und verhältnismäßig einfache Verwaltungseinstellungen.
Hunderte Gruppenrichtlinien, die um dutzende weitere Einstellungen z.B. im AD-Verwaltungscenter ergänzt werden? Ade!
Monatelang hängende Office-Updates weil diese nicht mehr im Neustart-Prozess sauber mitlaufen? Ade!
Massive Angriffsflächen für Schadsoftware, hochgestapelte Sicherheitsanwendungen die massiv Ressourcen schlucken und Anwendungen, die seit der Steinzeit nicht mehr an moderne Usability-Anforderungen heranreichen? Ebenfalls ade!

Sind mobile(re) Betriebssysteme perfekt?

Sicher nicht, nein.
Der simplere Aufbau mobiles Systeme hat natürlich auch seinen Preis – sei es das Fehlen von Legacy-Anwendungen, das einen Umstieg auf neue Software erfordern kann oder eingeschränkte administrative Möglichkeiten im Support-Fall, auch mobile Systeme haben ihre Ecken und Kanten.
Sie haben aber einen ganz großen Vorteil: Durch hohe Standardisierung und Automatisierung erreichen sie in der Masse, sofern einmalig korrekte Standards eingerichtet wurden, einen wahren „Betriebssegen“.
Und im worst case? Dem Benutzer ein neues iPad in die Hand drücken, Zero Touch Deployment genießen und das problematische Geräte einfach zurücksetzen und frisch eingerichtet wieder zurück in den Sparepart-Pool.

Umdenken in der IT-Abteilung für mehr Effizienz

Für viele eingesessene IT-Admins verstößt das natürlich gewissermaßen gegen die Berufsehre, weil man sich eben nicht mehr stundenlang im Debugging verlieren und final den Fehler selbst beheben wird. Für schlanke, kosten-orientiere Unternehmensprozesse, die auch meist auch noch mit dem Fachkräftemangel kämpfen, ist es aber der logische nächste Schritt.

Gerade Apple hat auch ein paar Eigenarten im Aufbau der zentralen Geräte-Verwaltung, die man unbedingt kennen sollte. Damit vermeidest du unangenehme Überraschungen und wählst von vorn herein das richtige Setup für dein Unternehmen.

Das vollständige Management und „Zero Touch Deployment“, also das automatische Einrichten von neuen Geräten, erhaltet ihr mit der Integration der nachfolgenden Funktionskette:

1. Eigene Apple Business ID: Darüber erhalten Unternehmen eine zentrale Identifikation bei Apple, damit künftige Einkäufe immer eindeutig dem richtigen Unternehmen zugewiesen werden. Diese Business ID muss explizit beantragt werden und wird nicht automatisch bei einem Einkauf über das Unternehmen erstellt – selbst wenn dieser direkt bei Apple erfolgt!
2. Registrierte Apple Händler: Diese können neue Geräte über die Seriennummer direkt deiner Apple Business ID zuweisen, sodass ohne manuelles Zutun alles direkt im richtigen ABM-Unternehmens-Account landet.
3. Apple Business Manager Account: Im „ABM“ verwaltest du dein „Apple Business“ – Organisationsweite Einstellungen für iCloud, genutzte Domänen, Benutzer-Accounts, Geräte und zentral eingekaufte und zu verteilende Apps, Lizenzen & co.
4. Managed Apple IDs: Quasi die Benutzer-Accounts der Apple-Welt. Diese können fest auf deine Unternehmens-Maildomäne zugewiesen werden, zentral erstellt und auf Wunsch sogar mit Microsoft Azure AD / Entra ID und Google Workspace synchronisiert werden.
5. Mobile Device Management: Ein MDM ermöglich dir, auf die Geräte die im ABM verwaltet werden ein Vielzahl von Einstellungen zentral verwaltet auszurollen. Diese können auf verschiedene Gruppen aufgeteilt werden, die z.B. unterschiedliche Apps benötigen oder andere Sicherheitsfreigaben haben. Außerdem kann das MDM mit abgespecktem Funktionsumfang auch BYOD (also vom Mitarbeiter selbst gekaufte Geräte) mit verwalten und auf diese die Unternehmens-Apps ausrollen

Wichtige Funktionsmerkmale für Apple MDM

Je nach Unternehmensumfeld können verschiedene Kombinationen dieser Verwaltungskette sinnvoll sein – Manche mögen komplett ohne ABM auskommen, weil nur BYOD genutzt wird und somit die Einbindung des MDM-Profils über den User selbst erfolgt. Für andere ist die Nutzung von Managed Apple IDs eine Hürde, weil diese gewisse Funktionseinschränkungen mit sich bringen.

Für eine bessere Übersicht, haben wir einmal die relevanten Unterschiede aufgeschlüsselt:

• Mobile Device Management
  • Geräte-Einbindung
    • Supervised (via ABM – ermöglich auch „Zero Touch Deployment“ bei Nutzung von registrierten Apple Händlern)
      • Vollständige Kontrolle der Sicherheitsrichtlinien
      • Tracking und Löschung des Geräts von remote
      • Alle MDM Funktionen nutzbar
      • Push von Apps & Einstellungen im Hintergrund, ohne Benutzer-Abfrage
      • Möglichst automatisierte Einrichtung der Geräte
    • Unsupervised oder BYOD (via Apple Push Notification)
      • Grundlegende Sicherheitseinstellungen wie PIN und isolierte Firmen-Apps möglich
      • Ein Reset bewirkt nur ein löschen der MDM-verwalteten Apps, nicht des Geräts
      • Gerät wird manuell durch Benutzer eingerichtet und das MDM Profil nachträglich installiert
      • Benutzer müssen Veränderungen / Installationen durch das MDM manuell bestätigen
• App-Verteilung
  • • ABM – Apps & Books
      • Keine Steuerung von Updates, Downloads, etc. durch Benutzer möglich
      • Klare Trennung von geschäftlichen Apps zu privaten Apps
      • Automatisierte Verteilung im Hintergrund
      • Allerdings auch erschwerter manueller Eingriff bei Problemen der Apps am Endgerät
    • Public App Store
      • Benutzer können selbst in den AppStore eingreifen, Updates durchführen, etc.
      • Benutzer müssen Veränderungen / Installationen manuell bestätigen
      • Eine angemeldete Apple ID am AppStore wird benötigt, daher kein „Zero Touch Deployment“
• Apple ID Nutzung
  • • Managed Apple ID
      • Vorteile
        • Zentrale Verwaltung
        • Zuweisung und Weitergabe von Lizenzen
        • Einfacherer Zugriff auf Apple ID & Geräte bei Ausscheiden (Aktivierungssperre)
        • Klare Trennung von geschäftlicher ID / Apps zu privater ID / Apps
      • Einschränkungen
        • Können keine Apps aus dem Public App Store laden
        • Können keine Apple Wallet zur Zahlung nutzen
    • Private Apple ID
      • Kann auch zusätzlich erstellt und für den AppStore genutzt werden, um individuelle Apps und Funktionen wie Apple Wallet zu beziehen, wenn das nötig ist
      • Kernthemen wenn man NUR private Apple IDs nutzt
        • Keine zentrale Verwaltung / Weitergabe von App-Lizenzen auf Benutzer-Basis möglich
        • Risiko der Aktivierungssperre durch Benutzer ohne Account-Zugriff
          • Kann minimiert werden wenn @unternehmensdomäne als Apple ID genutzt wird, da man über den Mailserver an das Postfach kommt
        • Weniger Kontrolle über iCloud Funktionen, dadurch DSGVO relevant
          • Organisatorische Maßnahme über eine Richtlinie: „Es dürfen nur @unternehmensdomäne Accounts genutzt werden“ kann das Thema etwas entschärfen
          • Da die „persönliche“ Apple ID dann die geschäftliche Mail ist, ist das Gerät quasi vollständig zur Firmennutzung vorgehsehen – es gibt keine Datentrennung zu einem „wirklich privaten“ Account, den Mitarbeiter nutzen könnten – es besteht mehr Risiko der Datenvermischung und demnach sollten nicht unternehmensrelevante Apps verboten werden
        • Die Geräte-Verwaltung, Zuweisung von Apps über das MDM und Installationen rein auf Geräte-Basis ohne Benutzerbezug sind weiterhin möglich

Wie könnte ein typisches Apple MDM Setup für KMU aussehen?

Ein Setup, das hohe Kontrolle mit ausreichend persönlicher Flexibilität und wenig administrativem Aufwand abbildet, kann also wie folgt aussehen:

• Erstellung eines Apple Business Manager Accounts für das Unternehmen
• Einrichtung eines Mobile Device Management Systems für das Unternehmen inkl. der benötigten Sicherheitsrichtlinien und App-Verteilung (ggf. Mehrere Standard-Vorlagen, je nach Abteilung und Sicherheitsstufe).
• Bestellung der Geräte immer über einen bestimmten, eingetragenen Apple-Händler mit Eintragung der Geräte vom Händler direkt zu deinem ABM
• Die Geräte werden dadurch über die Seriennummer automatisch in die ABM-Verwaltung genommen.
• Einrichtung der automatischen Zuweisung aller neuen Geräte im ABM zum genutzten MDM. Neue Geräte werden dadurch auch automatisch vom ABM an das MDM weiter gegeben.
• Im MDM weisst der Administrator dann neuen Geräten die passende Richtlinie zu.
• Das Gerät zieht sich beim Einschalten automatisch über seine Seriennummer das korrekte MDM-Profil. Achtung: Internetzugang beim Einrichten benötigt.
• App-Verteilung: Zentrale Unternehmens-Apps wie Microsoft 365 werden aus Apple Apps & Books im ABM an das MDM verteilt und von dort auf die Endgeräte.
• Apple-IDs: Es werden KEINE „Managed Apple IDs“ genutzt, sondern persönliche Apple IDs vom Benutzer auf seine geschäftliche Mailadresse erstellt.
  ✅ Vorteil: Benutzer können flexibel „Zusatz-Apps“ beziehen und haben alle Komfort-Funktionen wie Apple Wallet aktiv.
  ❗Achtung: Benutzerrichtlinie, dass diese Geräte ausschließlich zur Arbeitsnutzung zugelassen sind und keine privaten Apps eingerichtet werden dürfen. „Bekannte“ Problem-Apps wie WhatsApp, TikTok, Facebook, etc. Können in der Regel auch über das MDM blockiert werden.
  💡 Alternative: Einige MDMs bieten eine Art „App-Kiosk“ an. Damit kann der Public AppStore gesperrt werden und nur manuell freigegebene Apps können installiert werden – was aber mehr Aufwand im Freigabe-Prozess von ggf. kleinsten Hilfs-Apps erfordert.

Wie sieht das ganze nun für MacOS aus?

Tatsächlich arbeitet Apple bei der Einbindung von MacOS quasi identisch zu iOS und iPadOS – vom Einkauf, über den ABM bis zum MDM.
Der einzige Unterschied, den du zur zentralen Verwaltung von MacBooks und co beachten musst, ist die Handhabung von Software. Neben dem AppStore kann auf MacOS natürlich auch „klassische“ MacOS Legacy-Software genutzt werden, über PKG und DMG Installationsdateien.

Für maximale Sicherheit empfiehlt sich hier das Evaluieren einer Strategie, simultan zu Windows Clients: Müssen dem Endbenutzer lokale Administrationsrechte entzogen werden, sodass immer eine Genehmigung und Einrichtung über den IT-Support notwendig ist oder reicht es ggf., ihm zwei separate Benutzer zur Verfügung zu stellen – einen mit Admin-Rechten zur Einrichtung von Anwendungen und einen ohne Admin-Rechte, für die tägliche Nutzung.

Zentrale Verwaltung der Benutzer

Zusätzlich zur zentralen Verwaltung der Geräte, bietet auch Apple inzwischen eine Einbindung sowohl von ABM für Apple IDs als auch von MacOS für lokal genutzte Konten in Microsoft Entra ID an. Damit dieser Artikel nicht zu sehr ausufert, wird dieses Thema allerdings in einem unserer nächsten „HowTo : Apple in KMU“ Blog-Beiträge behandelt!

Wenn du trotz dieses ausführlichen Beitrags noch unsicher bist, wie du die zentrale Verwaltung von iOS, iPadOS oder MacOS bei dir im Unternehmen umsetzen sollst und dir bei der Evaluierung gerne Hilfestellung wünschst, dann stehen wir dir gerne zur Verfügung.