598868

Apple iOS Implementierung Handleiding

98
Verklein
Vergroot
Pagina terug
1/99
Pagina verder
iOS Implementierung –
Referenz
K Apple Inc.
© 2015 Apple Inc. Alle Rechte vorbehalten.
Apple, das Apple-Logo, AirDrop, AirPlay, Apple TV, Bonjour,
FaceTime, FileVault, iBooks, iLife, iMessage, iPad, iPad Air,
iPhone, iPod, iPod touch, iTunes, iWork, Keychain, Keynote, Mac,
MacBook Air, MacBook Pro, Numbers, OS X, Pages, Passbook,
Safari, Siri, Spotlight und Xcode sind Marken der Apple Inc.,
die in den USA und weiteren Ländern eingetragen sind.
AirPrint, Apple Pay, Apple Watch, Hando, iPad mini, iTunes U
und Touch ID sind Marken der Apple Inc.
AppleCare, App Store, iCloud, iCloud Keychain und iTunes Store
sind Dienstleistungsmarken der Apple Inc., die in den USA und
weiteren Ländern eingetragen sind.
iBooks Store ist eine Dienstleistungsmarke der Apple Inc.
Das Apple-Logo ist eine Marke der Apple Inc., die in den USA
und weiteren Ländern eingetragen ist. Die Verwendung des
Apple-Logos „Tastatur“ (Wahl-Umschalt-K) für kommerzielle
Zwecke ohne vorherige schriftliche Einwilligung durch
Apple kann eine Urheberrechtsverletzung und unlauteren
Wettbewerb darstellen und gegen US-Gesetze verstoßen.
Die Bluetooth®-Wortmarke und -Logos sind eingetragene
Marken der Bluetooth SIG, Inc. Die Verwendung solcher Marken
durch Apple Inc. wurde lizenziert.
IOS ist eine Marke oder eingetragene Marke von Cisco in den
USA und anderen Ländern und wird in Lizenz verwendet.
Die Rechte an anderen in diesem Handbuch erwähnten
Marken- und Produktnamen liegen bei ihren Inhabern und
werden hiermit anerkannt.
Die Nennung von Produkten, die nicht von Apple sind, dient
ausschließlich Informationszwecken und stellt keine Werbung dar.
Apple übernimmt hinsichtlich der Auswahl, Leistung oder
Verwendbarkeit dieser Produkte keine Gewähr. Alle Vereinbarungen,
Absprachen oder Garantien, sofern vorhanden, werden direkt
zwischen Anbietern und möglichen Kunden geschlossen.
Es wurden alle Anstrengungen unternommen um sicherzustellen,
dass die in diesem Dokument aufgeführten Informationen
korrekt sind. Apple übernimmt jedoch keine Gewähr für die
Richtigkeit des Inhalts dieses Handbuchs.
D019-00124/2015-04
Inhalt
6 Kapitel 1: iOS Implementierung – Referenz
6 Einführung
8 Kapitel 2: Implementierungsmodelle
8 Überblick
8 Implementierungsmodelle für den Bildungsbereich
8 Überblick
9 Eigentum der Einrichtung (Eins-zu-Eins)
12 Eigentum der lernenden Person
14 Gemeinsame Nutzung
16 Implementierungsmodelle für Unternehmen
16 Überblick
17 Angepasstes Gerät (BYOD)
19 Angepasstes Gerät (Eigentum des Unternehmens)
21 Nicht angepasstes Gerät (gemeinsam genutzt)
24 Kapitel 3: WLAN
24 Überblick
24 WLAN-Durchsatz
25 WLAN-Zugri
25 Roaming
27 Planen der Abdeckung und der Kapazität
28 Mögliche Designs
29 WLAN-Standards in iOS-Geräten
31 Kapitel 4: Infrastruktur und Integration
31 Überblick
31 Microsoft Exchange
33 Bonjour
34 AirPlay
36 Standardbasierte Dienste
37 Digitale Zertikate
38 Gesamtauthentizierung (SSO)
39 Virtuelle private Netzwerke (VPN)
39 Überblick
40 Unterstützte Protokolle und Authentizierungsmethoden
40 SSL VPN-Clients
41 Hinweise zur VPN-Konguration
44 VPN auf App-Basis
44 VPN On-Demand
44 Überblick
45 Etappen
3
45 Regeln und Aktionen
46 Abwärtskompatibilität
47 Permanentes VPN
47 Überblick
47 Implementierungsszenarien
49 Kongurationsprol für permanentes VPN
49 Payload für permanentes VPN
51 Kapitel 5: Internetdienste
51 Überblick
51 Apple-ID
52 „Mein iPhone suchen“ und Aktivierungssperre
53 Continuity
54 iCloud
54 iCloud Drive
55 iCloud-Schlüsselbund
55 iMessage
56 FaceTime
56 Siri
56 Apple-ID für Schüler
57 Apple-Dienst für Push-Benachrichtigungen (APNs)
58 Kapitel 6: Sicherheit
58 Überblick
58 Geräte- und Datensicherheit
58 Überblick
58 Coderichtlinien
59 Umsetzung von Richtlinien
59 Sichere Gerätekonguration
60 Datenschutz
60 Verschlüsselung
60 S/MIME auf E-Mail-Basis
61 Externe E-Mail-Adressen
61 Touch ID
62 Fernlöschen
62 Lokales Löschen
62 Netzwerksicherheit
63 Sicherheit von Apps
65 Kapitel 7: Konguration und Verwaltung
65 Überblick
65 Systemassistent und Aktivierung
66 Kongurationsprole
67 Mobile Device Management (MDM)
67 Überblick
68 Registrierung
68 Kongurieren
69 Accounts
69 Abfragen
70 Verwaltungsaufgaben
70 Verwaltete Apps
Inhalt 4
72 Verwaltete Bücher
72 Verwaltete Domains
72 Prolmanager
73 Betreute Geräte
74 Programm zur Geräteregistrierung
75 Apple Congurator
76 Kapitel 8: Verteilung von Apps und Büchern
76 Überblick
76 Programm für Volumenlizenzen (VPP)
76 Überblick
77 Registrieren für das Programm für Volumenlizenzen (VPP)
77 Erwerben von Apps und Büchern in großer Stückzahl
77 Verwaltete Verteilung
78 Eigene B2B-Apps
79 Interne Apps
80 Interne Bücher
80 Implementieren von Apps und Büchern
80 Überblick
80 Installieren von Apps und Büchern mithilfe von MDM
81 Installieren von Apps mit Apple Congurator
81 Caching-Server
83 Kapitel 9: Planung für Support
83 Überblick
83 AppleCare Help Desk Support
83 AppleCare OS Support
84 AppleCare für Unternehmen
84 AppleCare für Benutzer von iOS-Geräten
84 iOS-Direct-Service-Programm
84 AppleCare Protection Plan für Mac oder Apple-Displays
85 Kapitel 10: Anhänge
85 Einschränkungen
85 Überblick
85 Einstellungen für das Programm zur Geräteregistrierung
86 Gerätefunktionalität
88 Betreute Einstellungen
90 Einstellungen für Sicherheit und Privatsphäre
91 App-Verwendung
92 iCloud-Einstellungen
93 Einschränkungen für Benutzer und Benutzergruppen im Prolmanager
93 Drahtlose Installation interner Apps
Inhalt 5
1
6
Einführung
Dieses Referenzhandbuch richtet sich an alle IT-Administratoren, die iOS-Geräte in
ihren Netzwerken unterstützen möchten. Es enthält Informationen zur Bereitstellung
und Unterstützung von iPad, iPhone und iPod touch in großen Unternehmen oder
Bildungseinrichtungen. Es beschreibt die Möglichkeiten für:
Integration in Ihre vorhandene Infrastruktur
Umfassende Sicherheit
Leistungsstarke Werkzeuge für die Implementierung
Methoden zum Verteilen von Apps und Büchern an Mitarbeiter oder Schüler bzw. Studenten
Hinweis: Obwohl es in diesem Referenzhandbuch ausschließlich um die Implementierung von
iOS-Geräten geht, sind manche Abschnitte auch auf Mac-Desktop- und -Mobilcomputer anwendbar.
In diesen Fällen bezieht sich der Begriff Apple-Geräte auf iPhone, iPad, iPod touch sowie
Mac-Desktop- und -Mobilcomputer. Die Implementierung von Apple TV wird im Abschnitt
AirPlay in diesem Referenzhandbuch behandelt.
Dieses Handbuch ist in die folgenden Abschnitte unterteilt:
Implementierungsmodelle
Es gibt mehrere Möglichkeiten, iOS-Geräte in Ihrer Organisation zu implementieren. Unabhängig
vom gewählten Implementierungsmodell ist es ratsam, sich die für eine möglichst reibungslose
Implementierung erforderlichen Maßnahmen anzuschauen. Dieses Handbuch umfasst alle Aspekte
der Implementierung von iOS-Geräten. Unternehmen und Bildungseinrichtungen können ihre
Implementierungen aber auch anders angehen.
WLAN einrichten und kongurieren
Apple-Geräte können bereits ab Werk eine sichere Verbindung zu Unternehmens- oder
Gast-WLANs herstellen, sodass Benutzer sich überall schnell und einfach mit verfügbaren
Funknetzwerken verbinden können. In diesem Kapitel werden WLAN-Standardprotokolle zur
Datenübertragung und -verschlüsselung behandelt.
Infrastruktur und Integration
iOS-Geräte verfügen über integrierte Unterstützungsfunktionen für eine ganze Reihe von
Netzwerkinfrastrukturen. Dieser Abschnitt bietet Informationen zu den von iOS unterstützten
Technologien und bewährten Verfahren für die Integration mit Microsoft Exchange, VPN und
weiteren Standarddiensten.
Internetdienste
Apple hat eine Reihe zuverlässiger Dienste ins Leben gerufen, mit deren Hilfe Benutzer ihre
Apple-Geräte optimal nutzen können. Zu diesen Diensten gehören iMessage, FaceTime,
Continuity, iCloud, iCloud-Schlüsselbund und das Einrichten und Verwalten der Apple-IDs für den
Zugri auf diese Dienste.
iOS Implementierung – Referenz
Kapitel 1 iOS Implementierung – Referenz 7
Sicherheitsbedenken
iOS wurde gezielt unter dem Gesichtspunkt des sicheren Zugris auf Unternehmensdienste und
des Schutzes wichtiger Daten entwickelt. iOS bietet die starke Verschlüsselung für die Daten während
der Übertragung, bewährte Authentizierungsmethoden für den Zugri auf Unternehmensdienste
sowie die Hardwareverschlüsselung für alle auf iOS-Geräten gespeicherten Daten. Dieser Abschnitt
enthält eine Übersicht über die sicherheitsrelevanten Funktionen von iOS.
Konguration und Verwaltung
Apple-Geräte unterstützen fortschrittliche Werkzeuge und Technologien um sicherzustellen, dass
sie ohne großen Aufwand eingerichtet, den jeweiligen Anforderungen entsprechend konguriert
und in einer großen Umgebung mühelos verwaltet werden können. In diesem Abschnitt werden
die verschiedenen Werkzeuge beschrieben, die für die Bereitstellung verfügbar sind. Dazu gehört
ein Überblick über die Verwaltung mobiler Geräte (Mobile Device Management, MDM) und das
Programm zur Geräteregistrierung (Device Enrollment Program, DEP).
Verteilung von Apps und Büchern
Für die betriebsweite Bereitstellung von Apps und Inhalten in einer Organisation gibt es eine
Reihe von Möglichkeiten. Programme von Apple wie das Programm für Volumenlizenzen
(Volume Purchase Program, VPP) und das iOS Developer Enterprise Program ermöglichen es
einer Organisation, Apps und Bücher für Benutzer zu kaufen, zu erstellen und bereitzustellen.
Dieser Abschnitt enthält detaillierte Informationen über diese Programme und die Bereitstellung
von Apps und Büchern, die gekauft oder für interne Zwecke entwickelt wurden.
Planung für Support
Apple stellt eine Vielzahl von Programmen und Optionen für den Support von Benutzern von
Apple-Geräten bereit. Ermitteln Sie vor der Implementierung der Apple-Geräte die für Ihre
Organisation verfügbaren Angebote und planen Sie den erforderlichen Support ein.
Die folgenden Anhänge umfassen technische Details und Voraussetzungen:
MDM-Einschränkungen
In diesem Anhang werden die Einschränkungen beschreiben, die bei der Konguration von
iOS-Geräten verwendet werden können, um bestehende Sicherheits-, Code- und sonstige
Anforderungen zu erfüllen.
Drahtlose Installation interner Apps
Dieser Anhang beschreibt die Verteilung interner Apps über das eigene webbasierte Portal.
Weitere Ressourcen
www.apple.com/de/education/it
www.apple.com/ipad/business/it (auf Englisch)
www.apple.com/iphone/business/it (auf Englisch)
Hinweis: Die Webversion dieses Handbuchs nden Sie unter
https://help.apple.com/deployment/ios.
Hinweis: Wenn der iBooks Store in Ihrem Land bzw. Ihrer Region verfügbar ist, können Sie
dieses Referenzhandbuch im ePub-Format laden. Suchen Sie einfach nach iOS-Implementierung:
Referenz.
2
8
Überblick
Es gibt mehrere Möglichkeiten, iOS-Geräte zu verteilen und einzurichten – von der vorgefertigten
Konguration bis hin zur Self-Service-Konguration durch Mitarbeiter oder Schüler/Studenten.
Schauen Sie sich zunächst die verschiedenen Möglichkeiten an. Die Werkzeuge und Vorgehensweise
für die Implementierung hängen auch vom jeweiligen Implementierungsmodell ab.
Im Bildungsbereich gibt es üblicherweise drei Implementierungsmodelle für iOS-Geräte:
Eigentum der Einrichtung, Eigentum der lernenden Person und gemeinsame Nutzung. Obwohl
die meisten Einrichtungen ein bevorzugtes Modell haben, können in einer Einrichtung mehrere
Modelle vorkommen.
In Unternehmen gibt es mehrere mögliche Methoden, um iOS-Geräte in einer Organisation
zu implementieren. Ganz gleich, ob Sie iOS-Geräte implementieren, die dem Unternehmen
gehören, ob Mitarbeiter sich iOS-Geräte teilen oder ob Sie eine Richtlinie für das Mitbringen
eigener Geräte festlegen (Bring your own device bzw. BYOD) – es ist in jedem Fall sinnvoll,
sich vorab die nötigen Schritte zu überlegen um sicherzustellen, dass die Implementierung
möglichst reibungslos verläuft.
Nachdem die Implementierungsmodelle bestimmt wurden, kann Ihr Team die Implementierungs-
und Verwaltungsmöglichkeiten von Apple im Detail prüfen. Diese Werkzeuge und Programme
werden in dieser Publikation umfassend behandelt und sollten zusammen mit den
Entscheidungsträgern in Ihrer Organisation geprüft werden.
Implementierungsmodelle für den Bildungsbereich
Überblick
Mit dem iPad halten viele interessante Werkzeuge Einzug ins Klassenzimmer. Wenn Sie die richtigen
Strategien und Werkzeuge wählen, kann dies zu einem ganz neuen Bildungserlebnis für Lehrkräfte,
Lernende und andere Benutzer beitragen.
Ganz gleich, ob Ihre Einrichtung iOS-Geräte in einer einzelnen Klasse oder für alle Klassenstufen
implementiert – es gibt viele Möglichkeiten, iOS-Geräte und Inhalte ohne großen Aufwand zu
implementieren und zu verwalten.
Implementierungsmodelle
In Bildungseinrichtungen gibt es drei gängige Implementierungsmodelle für iOS-Geräte:
Eigentum der Einrichtung
Eigentum der lernenden Person
Gemeinsame Nutzung
Obwohl die meisten Einrichtungen ein bevorzugtes Modell haben, können in einer Einrichtung
mehrere Modelle vorkommen.
Implementierungsmodelle
Kapitel 2 Implementierungsmodelle 9
Es folgen Beispiele dafür, wie diese Modelle in einer typischen Bildungseinrichtung
angewendet werden:
Eine Grundschule kann ein Eins-zu-Eins-Modell (Eigentum der Einrichtung) für alle
Klassenstufen planen und implementieren.
Ein Schulbezirk kann zunächst ein Eins-zu-Eins-Modell (Eigentum der Einrichtung) an nur einer
weiterführenden Schule und in einem zweiten Schritt identische Modelle für den gesamten
Bezirk implementieren.
Eine K-8-Schule (nach amerikanischem Vorbild) kann sowohl ein Eins-zu-Eins-Modell
(Eigentum der Einrichtung) für die Klassenstufen 5 bis 8 als auch ein gemeinsam genutztes
Modell für den Kindergarten bis zur Klassenstufe 4 implementieren.
Bei Fachhochschulen und Universitäten ist das Modell „Eigentum der lernenden Person“ auf
der Ebene einer oder mehrerer Einrichtungen üblich.
Die genauere Untersuchung dieser Modelle hilft Ihnen dabei, das am besten geeignete
Implementierungsmodell für Ihre Umgebung zu nden.
Eigentum der Einrichtung (Eins-zu-Eins)
Ein Eins-zu-Eins-Implementierungsmodell (Eigentum der Einrichtung) bietet die größte Chance,
dass iOS-Geräte den Lernprozess positiv beeinussen.
Bei einer typischen Eins-zu-Eins-Implementierung (Eigentum der Einrichtung) erwirbt die
Einrichtung die iOS-Geräte für alle beteiligten lernenden Personen und Lehrkräfte. Dies kann für
eine bestimmte Klassenstufe, eine bestimmte Fakultät oder einen bestimmten Schulbezirk oder
eine komplette Fachhochschule oder Universität geschehen.
Bei diesem Modell wird jedem Benutzer ein iOS-Gerät zugewiesen, das von Ihrer Einrichtung
konguriert und verwaltet wird. Eine Lösung zur Verwaltung von Mobilgeräten (MDM)
wird diesen Prozess vereinfachen und automatisieren. Wenn die iOS-Geräte direkt bei
Apple oder einem autorisierten Apple-Händler erworben werden, kann Ihre Einrichtung
das Geräteregistrierungsprogramm (Device Enrollment Program, DEP) verwenden, um die
Registrierung bei MDM zu automatisieren, sodass die iOS-Geräte Benutzern direkt übergeben
werden können.
Kapitel 2 Implementierungsmodelle 10
Nachdem die iOS-Geräte verteilt wurden, durchlaufen die Benutzer einen optimierten und assis-
tierten Kongurationsprozess, in dessen Verlauf sie automatisch bei MDM registriert werden;
danach können sie ihre iOS-Geräte weiter anpassen oder eigene Inhalte laden. Benutzer können
auch eine Einladung empfangen, bestimmte Bildungsinhalte zu laden, z. B. iTunes U-Kurse oder
Apps und Bücher, die über das Programm für Volumenlizenzen (VPP) erworben wurden.
Für Schüler unter 13 Jahren kann Ihre Einrichtung die Erstellung einer Apple-ID in ihrem Namen
im Rahmen des Programms „Apple-ID für Schüler“ (Apple ID for Students) veranlassen, damit
ihnen Apps und Bücher bereitgestellt werden können. Ihre Einrichtung kann diese Ressourcen
jederzeit während des Schuljahres drahtlos bereitstellen oder aktualisieren. Mit Caching-Servern
können die meisten dieser Downloads aus dem lokalen Netzwerk der Einrichtung erfolgen.
Wenn iOS-Geräte betreut werden, werden Apps automatisch installiert.
Kapitel 2 Implementierungsmodelle 11
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers
bei einer Eins-zu-Eins-Implementierung (Eigentum der Einrichtung):
Vorbereiten
Administrator:
Prüfen, beschaen und implementieren Sie eine
MDM-Lösung.
Registrieren Sie sich bei DEP, VPP und dem
Programm „Apple-ID für Schüler“ (Apple ID for
Students).
Packen Sie das iOS-Gerät aus und versehen Sie es
(optional) mit einem Geräteetikett.
Lassen Sie Apple-IDs für Schüler unter 13 erstellen
(falls zutreend).
Benutzer:
Erstellen Sie Apple-IDs, iTunes Store- und
iCloud-Accounts.
Einrichten und kongurieren
Administrator:
Weisen Sie iOS-Geräte in DEP zur Betreuung und
optimierten Registrierung bei MDM zu.
Verwenden Sie Apple Congurator anstelle von
DEP und MDM, um die iOS-Geräte zu kongurieren
und zu betreuen.
Kongurieren und installieren Sie Accounts,
Einstellungen und Einschränkungen drahtlos
über MDM.
Benutzer:
Der Benutzer erhält ein iOS-Gerät.
Geben Sie die Anmeldedaten Ihrer Einrichtung im
Systemassistenten für DEP ein (optional).
Passen Sie das iOS-Gerät mit dem
Systemassistenten an und geben Sie eine persönli-
che Apple-ID ein.
Die Einstellungen und Kongurationen für die iOS-
Geräte werden von MDM automatisch empfangen.
Geräte und Inhalte verteilen
Administrator:
Kaufen Sie Apps und Bücher über das VPP und
weisen Sie sie den Benutzern per MDM zu.
Senden Sie den Benutzern eine VPP-Einladung.
Installieren Sie Caching-Server, um die
Bereitstellung von Inhalten über das lokale
Netzwerk zu beschleunigen.
Benutzer:
Akzeptieren Sie die VPP-Einladung.
Laden und installieren Sie die Ihnen von Ihrer
Einrichtung zugewiesenen Apps und Bücher.
Wenn das iOS-Gerät betreut wird, können Apps
unbeaufsichtigt im Push-Modus an das Gerät des
Benutzers gesendet werden.
Laufende Verwaltung
Administrator:
Ziehen Sie Apps nach Bedarf per MDM zurück und
weisen Sie sie anderen Benutzern zu.
Mit MDM kann ein Administrator verwaltete
iOS-Geräte abfragen, um die Einhaltung von
Richtlinien bzw. Vorgaben zu überwachen oder
Warnungen auszulösen, wenn Benutzer nicht
genehmigte Apps oder Inhalte hinzufügen.
MDM kann auch iOS-Geräte sperren, beliebige
verwaltete Accounts oder Daten per Fernzugri
löschen oder iOS-Geräte vollständig löschen.
Implementieren Sie Apple TV, um AirPlay
zu unterstützen.
Benutzer:
Erstellen Sie über iTunes oder iCloud eine
Sicherungskopie für das iOS-Gerät, um Dokumente
und andere persönliche Inhalte zu speichern.
Wenn das iOS-Gerät verloren geht oder gestohlen
wird, kann der Benutzer es über „Mein iPhone suchen“
aunden.
Kapitel 2 Implementierungsmodelle 12
Weitere Ressourcen
VPP Überblick
MDM Überblick
Programm zur Geräteregistrierung
Apple-ID für Schüler
Apple-ID
Caching-Server
AirPlay
Apple Congurator
Eigentum der lernenden Person
An weiter führenden Schulen haben Schüler oft bereits ein eigenes iOS-Gerät. Vereinzelt gibt es
auch Grundschulen, an denen die Schüler ihre eigenen iOS-Geräte mit in die Schule bringen.
Bei diesem Modell werden die iOS-Geräte vom Lernenden oder einem Elternteil eingerichtet und
konguriert. Zur Verwendung einrichtungseigener Dienste wie WLAN, E-Mail und Kalender oder
zur Konguration des iOS-Geräts entsprechend bestimmten klassenspezischen Anforderungen
werden iOS-Geräte, die Schülern gehören, im Allgemeinen bei einer von der Einrichtung bereit-
gestellten MDM-Lösung registriert. In Bildungseinrichtungen können Technologien wie MDM
beim Verwalten von im Besitz von Schülern bendlichen iOS-Geräten zum Einsatz kommen.
Der Zugang zu den Diensten einer Einrichtung stellt für die Benutzer einen Anreiz dar,
ihre iOS-Geräte bei der MDM-Lösung der Organisation zu registrieren.
Dadurch wird sichergestellt, dass alle Kongurationseinstellungen, Richtlinien, Einschränkungen,
Apps, Bücher und Inhalte automatisch und ohne Betriebsunterbrechungen implementiert
werden, dabei aber unter der Kontrolle der Einrichtung bleiben. Die MDM-Registrierung ist
ein freiwilliger Prozess, sodass die Schüler die Verwaltung entfernen können, sobald sie eine
Lehrveranstaltung abschließen, ihren Abschluss machen oder die Einrichtung verlassen. Durch
das Entfernen der Verwaltung werden auch alle von der Einrichtung bereitgestellten Inhalte und
Dienste entfernt.
Kapitel 2 Implementierungsmodelle 13
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers
bei einer angepassten Implementierung (Eigentum der lernenden Person):
Vorbereiten
Administrator:
Prüfen, beschaen und implementieren Sie eine
MDM-Lösung.
Registrieren Sie sich beim VPP.
Benutzer:
Packen Sie das iOS-Gerät aus und aktivieren Sie es.
Erstellen Sie Apple-IDs, iTunes Store- und
iCloud-Accounts, sofern zutreend.
Einrichten und kongurieren
Administrator:
In dieser Phase ist keine Aktion erforderlich.
Benutzer:
Registrieren Sie iOS-Geräte im Self-Service-Modus
und kongurieren Sie – per MDM – Accounts,
Einstellungen und Einschränkungen drahtlos
auf Basis der von Ihrer Einrichtung denierten
Benutzer-/Gruppenrichtlinien.
Passen Sie die iOS-Geräte mit dem
Systemassistenten an und geben Sie (optional) eine
persönliche Apple-ID ein.
Registrieren Sie sich bei MDM.
Verteilen von Apps und Büchern
Administrator:
Kaufen Sie Apps und Bücher über das VPP und
weisen Sie sie den Benutzern per MDM zu.
Senden Sie den Benutzern eine VPP-Einladung.
Installieren Sie Caching-Server, um die
Bereitstellung von Inhalten über das lokale
Netzwerk zu beschleunigen.
Benutzer:
Akzeptieren Sie die VPP-Einladung.
Laden und installieren Sie die Ihnen von Ihrer
Einrichtung zugewiesenen Apps und Bücher.
Aktualisieren Sie iOS und die Apps auf dem
iOS-Gerät.
Laufende Verwaltung
Administrator:
Ziehen Sie Apps nach Bedarf per MDM zurück und
weisen Sie sie anderen Benutzern zu.
Mit MDM kann ein Administrator verwaltete
iOS-Geräte abfragen, um die Einhaltung von
Richtlinien bzw. Vorgaben zu überwachen oder
Warnungen auszulösen, wenn Benutzer nicht
genehmigte Apps oder Inhalte hinzufügen.
MDM kann auch iOS-Geräte sperren, beliebige
verwaltete Accounts oder Daten entfernt löschen
oder iOS-Geräte vollständig löschen.
Benutzer:
Erstellen Sie über iTunes oder iCloud eines
Sicherungskopie für das Gerät, um Dokumente und
andere persönliche Inhalte zu speichern.
Wenn das iOS-Gerät verloren geht oder gestohlen
wird, kann der Benutzer es über „Mein iPhone suchen“
aunden.
Wenn die MDM-Beziehung gelöscht wird, werden
verwaltete Accounts und Daten gelöscht;
die persönlichen Apps, Bücher, Daten und Inhalte
des Benutzers bleiben aber erhalten.
Hinweis: VPP-Bücher werden dauerhaft zugewiesen.
Sie können nicht zurückgezogen werden.
Kapitel 2 Implementierungsmodelle 14
Weitere Ressourcen
VPP Überblick
MDM Überblick
Apple-ID
Caching-Server
Gemeinsame Nutzung
Bei einer gemeinsam genutzten Implementierung werden iOS-Geräte zur Verwendung in einem
Unterrichtsraum oder Computerlabor gekauft und können von den lernenden Personen tagsüber
gemeinsam genutzt werden. Bei diesen Geräten ist die Anpassung beschränkt, weshalb nicht
alle Vorteile einer angepassten Lernumgebung für jeden Lernenden geboten werden. Zusätzlich
zur Verwendung der Geräte durch wechselnde Benutzer können der Ansatz und das Modell
der gemeinsamen Nutzung für eine Eins-zu-Eins-Implementierung in einem stark kontrollierten
Umfeld verwendet werden, z. B. in unteren Klassenstufen. In diesem Fall weisen die Geräte eine
sehr geringe Anpassung auf.
Gemeinsam genutzte Implementierungen werden strikter verwaltet als angepasste
Implementierungen, da das Einrichten, Kongurieren und Verwalten der Geräte von Mitarbeitern
der Einrichtung durchgeführt werden. Bei einer gemeinsam genutzten Implementierung übernimmt
Ihre Einrichtung die Verantwortung dafür, Apps, Bücher und andere für das Lernen notwendige
Inhalte zu installieren.
Kapitel 2 Implementierungsmodelle 15
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers
bei einer gemeinsam genutzten Implementierung:
Vorbereiten
Administrator:
Prüfen, beschaen und implementieren Sie eine
MDM-Lösung.
Registrieren Sie sich beim VPP.
Packen Sie das iOS-Gerät aus und versehen Sie es
(optional) mit einem Geräteetikett.
Erstellen Sie die Apple-ID(s) der Einrichtung für jede
Instanz von Apple Congurator.
Benutzer:
In dieser Phase ist keine Aktion erforderlich.
Einrichten und kongurieren
Administrator:
Verwenden Sie Apple Congurator, um Geräte zu
kongurieren und zu betreuen.
Verwenden Sie Apple Congurator, um Geräte bei
MDM zu registrieren (optional).
Verwenden Sie Apple Congurator oder MDM,
um Accounts, Einstellungen und Einschränkungen
zu installieren.
Benutzer:
In dieser Phase ist keine Aktion erforderlich.
Verteilen von Apps
Administrator:
Erwerben Sie Apps über das VPP und implemen-
tieren Sie sie mithilfe von Einlösecodes für die
Installation und Verwaltung mit Apple Congurator.
Benutzer:
In dieser Phase ist keine Aktion erforderlich.
Laufende Verwaltung
Administrator:
Aktualisieren Sie iOS auf dem Gerät mit
Apple Congurator.
Aktualisieren, kongurieren und installieren Sie
Accounts, Einstellungen und Einschränkungen
drahtlos mit Apple Congurator oder MDM.
Setzen Sie die Geräte regelmäßig mithilfe
von Apple Congurator auf die
Standardkonguration zurück.
Installieren und aktualisieren Sie Apps auf dem
iOS-Gerät mit Apple Congurator.
Mit MDM können Sie verwaltete iOS-Geräte
abfragen, um die Einhaltung von Richtlinien bzw.
Vorgaben zu überwachen oder Warnungen auszu-
lösen, wenn Benutzer nicht genehmigte Apps oder
Inhalte hinzufügen.
MDM kann auch iOS-Geräte sperren, beliebige ver-
waltete Accounts oder Daten entfernt löschen oder
iOS-Geräte vollständig löschen.
Es ist eine regelmäßige Sicherung des Mac-Computers
erforderlich, auf dem Apple Congurator ausgeführt
wird, da VPP-Käufe lokal verwaltet werden.
Benutzer:
In dieser Phase ist keine Aktion erforderlich.
Kapitel 2 Implementierungsmodelle 16
Weitere Ressourcen
VPP Überblick
MDM Überblick
Apple-ID
Apple Congurator
Implementierungsmodelle für Unternehmen
Überblick
iOS-Geräte können Ihre Geschäftsprozesse nachhaltig zum Positiven verändern. Sie können die
Produktivität signikant erhöhen und Ihren Mitarbeitern die Möglichkeit und Flexibilität bieten,
neue Arbeitsmethoden einzusetzen, sei es im Büro oder unterwegs.
Diese neuen Arbeitsabläufe bieten Vorteile für die gesamte Organisation. Benutzer haben opti-
mierten Zugri auf Informationen, sodass sie sich rundum informiert fühlen und im Stande sind,
Probleme kreativ zu beheben. IT-Abteilungen, deren Aufgabe sonst im Beheben technischer
Probleme und Senken von Kosten gesehen wird, werden durch Unterstützung von iOS als relevant
für die Geschäftsstrategie und das Lösen von praktischen Problemen wahrgenommen. Letztendlich
protieren alle – durch neu motivierte Mitarbeiter und vielfältige neue Geschäftschancen.
Sowohl große als auch kleine Organisationen haben viele Optionen, iOS-Geräte und Inhalte ohne
großen Aufwand zu implementieren und zu verwalten.
Beginnen Sie damit, die für Ihre Organisation besten Implementierungsmodelle zu bestimmen.
Es gibt verschiedene Implementierungs- und Verwaltungswerkzeuge, die Apple abhängig von
dem von Ihnen gewählten Modell bereitstellt.
Implementierungsmodelle
In Unternehmen gibt es drei gängige Implementierungsmodelle für iOS-Geräte:
Angepasstes Gerät (BYOD)
Angepasstes Gerät (Eigentum des Unternehmens)
Nicht angepasst (gemeinsam genutztes Gerät)
Obwohl die meisten Unternehmen ein bevorzugtes Modell haben, können in einem
Unternehmen mehrere Modelle vorkommen.
Zum Beispiel kann ein Einzelhandelsunternehmen eine angepasste Gerätestrategie (BYOD)
implementieren, indem es den Mitarbeitern erlaubt, ihre privaten iPads zu kongurieren, wobei
geschäftliche Ressourcen getrennt von den privaten Daten und Apps des Benutzers bleiben.
Allerdings können die zugehörigen Einzelhandelsgeschäfte auch eine nicht angepasste
Gerätestrategie (gemeinsam genutztes Gerät) implementieren, indem iPod touch-Geräte von
mehreren Mitarbeitern gemeinsam genutzt werden, um Transaktionen für Kunden zu verarbeiten.
Die genauere Untersuchung dieser Modelle hilft Ihnen dabei, das am besten geeignete
Implementierungsmodell für Ihre Umgebung zu nden.
Kapitel 2 Implementierungsmodelle 17
Angepasstes Gerät (BYOD)
Bei einer BYOD-Implementierung (Bring your own device) richten die Benutzer ihre privaten
iOS-Geräte unter Verwendung ihrer eigenen Apple-ID ein. Für den Zugri auf geschäftliche
Ressourcen können die Benutzer Einstellungen manuell kongurieren, ein Kongurationsprol
installieren oder (häuger verwendet) das iOS-Gerät mit der MDM-Lösung Ihrer
Organisation registrieren.
Ein Vorteil von MDM für die Registrierung privater iOS-Geräte besteht darin, dass es geschäftliche
Ressourcen von den privaten Daten und Apps des Benutzers trennt. Sie können Einstellungen
durchsetzen, die Einhaltung von Unternehmensrichtlinien überwachen und geschäftliche
Daten und Apps löschen, während private Daten und Apps auf den iOS-Geräten der Benutzer
verbleiben.
Kapitel 2 Implementierungsmodelle 18
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers
bei einer angepassten Geräteimplementierung (BYOD):
Vorbereiten
Administrator:
Analysieren Sie Ihre vorhandene Infrastruktur,
einschließlich WLAN und VPN sowie Mail-
und Kalenderserver.
Prüfen, beschaen und implementieren Sie eine
MDM-Lösung.
Registrieren Sie sich beim VPP.
Benutzer:
Packen Sie das iOS-Gerät aus und aktivieren Sie es.
Erstellen Sie Apple-IDs, iTunes Store- und
iCloud-Accounts, sofern zutreend.
Einrichten und kongurieren
Administrator:
Unternehmen können Einstellungen für ein-
zelne Accounts von Benutzern bereitstellen und
Richtlinien mit Exchange im Push-Modus senden
oder mithilfe eines Kongurationsprols installieren.
Benutzer:
Registrieren Sie iOS-Geräte im Self-Service-Modus
und kongurieren Sie – per MDM – Accounts,
Einstellungen und Einschränkungen drahtlos
auf Basis der von Ihrer Organisation denierten
Benutzer-/Gruppenrichtlinien.
Die Einstellungen und Kongurationen für die iOS-
Geräte werden von MDM automatisch empfangen.
Alternativ können Benutzer Kongurationsprole
manuell installieren oder Einstellungen in der von
Ihnen vorgegebenen Weise kongurieren.
Verteilen von Apps und Büchern
Administrator:
Erwerben Sie Apps und Bücher über das VPP und
weisen Sie sie den Benutzern per MDM zu.
Senden Sie den Benutzern eine VPP-Einladung.
Verteilen Sie interne Apps aus dem iOS Developer
Enterprise Program (iDEP) und interne Bücher,
indem Sie sie auf einem Webserver oder in Ihrer
MDM-Lösung speichern.
Installieren Sie Caching-Server, um die
Bereitstellung von Inhalten über das lokale
Netzwerk zu beschleunigen.
Benutzer:
Akzeptieren Sie die VPP-Einladung.
Laden und installieren Sie die Ihnen von Ihrem
Unternehmen zugewiesenen Apps und Bücher.
Laufende Verwaltung
Administrator:
Ziehen Sie Apps nach Bedarf per MDM zurück und
weisen Sie sie anderen Benutzern zu.
Mit MDM können Sie verwaltete iOS-Geräte
abfragen, um die Einhaltung von Richtlinien bzw.
Vorgaben zu überwachen oder Warnungen auszu-
lösen, wenn Benutzer nicht genehmigte Apps oder
Inhalte hinzufügen.
MDM kann auch iOS-Geräte sperren, beliebige ver-
waltete Accounts oder Daten entfernt löschen oder
iOS-Geräte vollständig löschen.
Benutzer:
Erstellen Sie über iTunes oder iCloud eines
Sicherungskopie für das iOS-Gerät, um Dokumente
und andere persönliche Inhalte zu speichern.
Wenn das Gerät verloren geht oder gestohlen wird,
kann der Benutzer es über „Mein iPhone suchen“
aunden.
Wenn die MDM-Beziehung gelöscht wird, werden
verwaltete Accounts und Daten gelöscht;
die persönlichen Apps, Bücher, Daten und Inhalte
des Benutzers bleiben aber erhalten.
Kapitel 2 Implementierungsmodelle 19
Weitere Ressourcen
VPP Überblick
MDM Überblick
Apple-ID
Caching-Server
Angepasstes Gerät (Eigentum des Unternehmens)
Sie können das angepasste Gerätemodell verwenden, um im Besitz Ihres Unternehmens bendli-
che iOS-Geräte zu implementieren. Sie können die iOS-Geräte mit grundlegenden Einstellungen
kongurieren, bevor Sie sie an die Benutzer übergeben, oder (wie bei BYOD) Anweisungen oder
Kongurationsprole bereitstellen, die die Benutzer selbst anwenden.
Alternativ können Sie die Benutzer ihre iOS-Geräte bei einer MDM-Lösung registrieren lassen,
die Einstellungen und Apps drahtlos bereitstellt. Benutzer können daraufhin die iOS-Geräte mit
ihren eigenen Apps und Daten anpassen, die getrennt von den verwalteten Apps und Daten
Ihres Unternehmens bleiben. Wenn die iOS-Geräte direkt bei Apple oder einem autorisierten
Apple-Händler erworben werden, kann Ihre Organisation das Geräteregistrierungsprogramm
(Device Enrollment Program, DEP) verwenden, um die Registrierung bei MDM zu automatisieren,
sodass die iOS-Geräte Benutzern direkt übergeben oder nach Hause geliefert und dort per
Fernzugri aktiviert werden können.
Kapitel 2 Implementierungsmodelle 20
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers
bei einer angepassten Geräteimplementierung (Eigentum des Unternehmens):
Vorbereiten
Administrator:
Analysieren Sie Ihre vorhandene Infrastruktur,
einschließlich WLAN und VPN sowie Mail-
und Kalenderserver.
Prüfen, beschaen und implementieren Sie eine
MDM-Lösung.
Registrieren Sie sich für das Programm zur
Geräteregistrierung (DEP) und das Programm für
Volumenlizenzen (VPP).
Benutzer:
Erstellen Sie Apple-IDs, iTunes Store- und
iCloud-Accounts, sofern zutreend.
Einrichten und kongurieren
Administrator:
Verknüpfen Sie auf der DEP-Website Ihre virtuellen
Server mit Ihrer MDM-Lösung.
Optimieren Sie die Registrierung über das
Programm zur Geräteregistrierung, indem Sie
iOS-Geräte Ihren virtuellen MDM-Servern nach
Bestellnummer oder Seriennummer zuweisen.
Weisen Sie iOS-Geräte in DEP zur Betreuung und
optimierten Registrierung bei MDM zu.
Verwenden Sie Apple Congurator, um ein
iOS-Gerät zu kongurieren und zu betreuen
(Alternative zu vorheriger Möglichkeit).
Kongurieren und installieren Sie Accounts,
Einstellungen und Einschränkungen draht-
los per MDM oder verwenden Sie USB mit
Apple Congurator.
Benutzer:
Der Benutzer erhält ein iOS-Gerät. Wenn
Apple Congurator zum Einrichten des Geräts
verwendet wurde, ist keine weitere Konguration
durch den Benutzer notwendig.
Geben Sie die Anmeldedaten Ihrer Organisation im
Systemassistenten für DEP ein (optional).
Passen Sie das iOS-Gerät mit dem
Systemassistenten an und geben Sie eine persönli-
che Apple-ID ein.
Registrieren Sie sich bei MDM.
Die Einstellungen und Kongurationen für die
iOS-Geräte werden von MDM automatisch empfangen.
Verteilen von Apps und Büchern
Administrator:
Laden Sie Ihr Token aus dem VPP Store und ver-
knüpfen Sie es mit Ihrer MDM-Lösung.
Erwerben Sie Apps und Bücher über das VPP und
weisen Sie sie den Benutzern per MDM zu.
Senden Sie den Benutzern eine VPP-Einladung.
Verteilen Sie interne Apps aus dem iOS Developer
Enterprise Program (iDEP) und interne Bücher,
indem Sie sie auf einem Webserver oder in Ihrer
MDM-Lösung speichern.
Installieren Sie Caching-Server, um die
Bereitstellung von Inhalten über das lokale
Netzwerk zu beschleunigen.
Benutzer:
Akzeptieren Sie die VPP-Einladung.
Laden und installieren Sie die Ihnen von Ihrem
Unternehmen zugewiesenen Apps und Bücher.
Wenn das iOS-Gerät betreut wird, können Apps
unbeaufsichtigt im Push-Modus an das Gerät des
Benutzers gesendet werden.
Kapitel 2 Implementierungsmodelle 21
Laufende Verwaltung
Administrator:
Ziehen Sie Apps nach Bedarf per MDM zurück und
weisen Sie sie anderen Benutzern zu.
Mit MDM können Sie verwaltete iOS-Geräte
abfragen, um die Einhaltung von Richtlinien bzw.
Vorgaben zu überwachen oder Warnungen auszu-
lösen, wenn Benutzer nicht genehmigte Apps oder
Inhalte hinzufügen.
MDM kann auch iOS-Geräte sperren, beliebige ver-
waltete Accounts oder Daten entfernt löschen oder
iOS-Geräte vollständig löschen.
Benutzer:
Erstellen Sie über iTunes oder iCloud eines
Sicherungskopie für das iOS-Gerät, um Dokumente
und andere persönliche Inhalte zu speichern.
Wenn das Gerät verloren geht oder gestohlen wird,
kann der Benutzer es über „Mein iPhone suchen“
aunden.
Weitere Ressourcen
VPP Überblick
MDM Überblick
Programm zur Geräteregistrierung
Apple-ID
Caching-Server
Apple Congurator
Nicht angepasstes Gerät (gemeinsam genutzt)
Wenn iOS-Geräte von mehreren Personen gemeinsam genutzt oder nur für einen spezischen
Zweck verwendet werden (wie in einem Restaurant oder Hotel), werden sie normalerweise von
Ihnen und nicht vom jeweiligen Benutzer konguriert und verwaltet. Bei einer nicht angepassten
Geräteimplementierung speichern Benutzer normalerweise keine privaten Daten auf den Geräten
und sind nicht in der Lage, Apps zu installieren.
Nicht angepasste Geräte werden gewöhnlich mit Apple Congurator betreut und bei einer
MDM-Lösung registriert. Auf diese Weise können die Inhalte auf dem Gerät aktualisiert oder
wiederhergestellt werden, wenn sie von einem Benutzer geändert werden.
Kapitel 2 Implementierungsmodelle 22
Die folgende Tabelle zeigt die Zuständigkeiten sowohl des Administrators als auch des Benutzers
bei einer nicht angepassten Geräteimplementierung (gemeinsam genutzt):
Vorbereiten
Administrator:
Analysieren Sie Ihre vorhandene Infrastruktur,
einschließlich WLAN und VPN sowie Mail-
und Kalenderserver.
Prüfen, beschaen und implementieren Sie eine
MDM-Lösung.
Registrieren Sie sich für das Programm für
Volumenlizenzen (VPP).
Benutzer:
In dieser Phase ist keine Aktion erforderlich.
Einrichten und kongurieren
Administrator:
Packen Sie das iOS-Gerät aus und versehen Sie es
(optional) mit einem Geräteetikett.
Verwenden Sie Apple Congurator, um Geräte zu
kongurieren und zu betreuen.
Verwenden Sie Apple Congurator, um Geräte bei
MDM zu registrieren (optional).
Verwenden Sie Apple Congurator oder MDM,
um Accounts, Einstellungen und Einschränkungen
zu installieren.
Benutzer:
In dieser Phase ist keine Aktion erforderlich.
Verteilen von Apps
Administrator:
Erwerben Sie Apps über das VPP und implementie-
ren Sie sie mit Apple Congurator.
Verteilen Sie interne Apps aus dem
iOS Developer Enterprise Program (iDEP)
mithilfe von Apple Congurator.
Verteilen Sie interne Bücher, indem Sie sie auf
einem Webserver oder in Ihrer MDM-Lösung
speichern.
Benutzer:
In dieser Phase ist keine Aktion erforderlich.
Kapitel 2 Implementierungsmodelle 23
Laufende Verwaltung
Administrator:
Aktualisieren Sie iOS auf dem Gerät mit
Apple Congurator.
Aktualisieren, kongurieren und installieren Sie
Accounts, Einstellungen und Einschränkungen
drahtlos mit Apple Congurator oder MDM.
Setzen Sie die Geräte regelmäßig mithilfe von
Apple Congurator auf die Standardkonguration
zurück.
Installieren und aktualisieren Sie Apps auf dem
Gerät mit Apple Congurator.
Mit MDM können Sie verwaltete iOS-Geräte
abfragen, um die Einhaltung von Richtlinien bzw.
Vorgaben zu überwachen oder Warnungen auszu-
lösen, wenn Benutzer nicht genehmigte Apps oder
Inhalte hinzufügen.
MDM kann auch iOS-Geräte sperren, beliebige ver-
waltete Accounts oder Daten entfernt löschen oder
iOS-Geräte vollständig löschen.
Benutzer:
In dieser Phase ist keine Aktion erforderlich.
Weitere Ressourcen
VPP Überblick
MDM Überblick
Apple-ID
Apple Congurator
3
24
Überblick
Beim Vorbereiten der WLAN-Infrastruktur für die Implementierung von Apple-Geräten müssen
mehrere Faktoren berücksichtigt werden:
WLAN-Durchsatz
WLAN-Auslöseschwelle
Erforderlicher Abdeckungsbereich
Anzahl und Dichte der Geräte, die das WLAN-Netzwerk nutzen
Typen von Apple-Geräten und deren WLAN-Eigenschaften
Arten und Umfang der übertragenen Daten
Sicherheitsanforderungen für den Zugri auf das drahtlose Netzwerk
Verschlüsselungsanforderungen
Diese Liste ist natürlich nicht vollständig, aber sie enthält einige der wichtigsten Faktoren für den
Aufbau von WLAN-Netzwerken.
Hinweis: Dieser Abschnitt beschäftigt sich mit dem Aufbau von WLAN-Netzwerken in Nordamerika.
Der Aufbau kann in anderen Ländern anders sein.
WLAN-Durchsatz
Bei der Planung für die Implementierung von iOS-Geräten innerhalb Ihrer Organisation müssen
Sie sicherstellen, dass Ihr WLAN-Netzwerk und die zugehörige Infrastruktur zuverlässig und auf
dem aktuellen Stand sind. Der konsistente und zuverlässige Zugri auf ein sicheres Netzwerk ist
zum Einrichten und Kongurieren von iOS-Geräten wichtig. Auch die Unterstützung mehrerer
iOS-Geräte mit gleichzeitigen Verbindungen von allen Mitarbeitern, lernenden Personen oder
Lehrkräften ist für den Erfolg Ihres Programms wichtig.
Wichtig: Ein Benutzer muss für das Einrichten und Kongurieren mit seinem iOS-Gerät
Zugri auf Ihr WLAN und Ihre Internetdienste haben. Möglicherweise müssen Ihr Web-Proxy
oder Ihre Firewall-Ports so neu konguriert werden, dass der gesamte Netzwerkverkehr
von Apple-Geräten an das Apple-Netzwerk (17.0.0.8) passieren kann, wenn Apple-Geräte
nicht auf die Apple-Aktivierungsserver, iCloud oder den iTunes Store zugreifen können.
Eine Liste der von Apple-Geräten verwendeten Ports nden Sie im Apple-Supportartikel
Von Apple-Softwareprodukten verwendete TCP- und UDP-Ports.
WLAN
Kapitel 3 WLAN 25
WLAN-Zugri
Benutzer können festlegen, dass Apple-Geräte automatisch auf verfügbare WLAN-Netzwerke
zugreifen. WLAN-Netzwerke, die Anmeldedaten oder andere Informationen verlangen, sind über
die WLAN-Einstellungen oder innerhalb von Apps wie Mail schnell zugänglich, ohne dass eine
separate Browsersitzung gestartet werden muss. Und dank der Möglichkeit, ohne hohen
Stromverbrauch Verbindungen mit WLAN-Netzwerken aufrechtzuerhalten, können Apps Push-
Benachrichtigungen per WLAN ausliefern. Sie können die WLAN-, Sicherheits-, Proxy- und
Authentizierungseinstellungen über Kongurationsprole oder MDM (Mobile Device Management)
vornehmen.
Informationen darüber, wie iOS bestimmt, mit welchem drahtlosen
Netzwerk es sich automatisch verbindet, nden Sie im Apple Supportartikel
So entscheidet iOS, mit welchem drahtlosen Netzwerk es sich automatisch verbindet.
WPA2 Enterprise
Apple-Geräte unterstützen standardkonforme drahtlose Netzwerkprotokolle (u. a. WPA2 Enterprise)
um sicherzustellen, dass sicher auf Funknetzwerke in Unternehmen zugegrien werden kann.
WPA2 Enterprise arbeitet mit 128-Bit-AES-Verschlüsselung, das ein hohes Maß an Sicherheit für
die Benutzer bietet.
Dank der Unterstützung des Standards 802.1X lassen sich iOS-Geräte in eine Vielzahl von
RADIUS-Authentizierungsumgebungen integrieren. iOS unterstützt unter anderem folgende
802.1X-Authentizierungsverfahren für Funknetzwerke: EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM,
IKEv2, PEAPv0, PEAPv1 und LEAP.ara.
Roaming
Für das Roaming in großen WLAN-Netzwerken von Unternehmen unterstützt iOS 802.11k
und 802.11r.
Die Auslöseschwelle ist der Mindestsignalpegel, den der Client benötigt, um die aktuelle
Verbindung aufrechtzuerhalten.
iOS-Geräte überwachen die Verbindung der aktuellen BSSID und erhalten sie aufrecht, bis der
RSSI die Schwelle von -70 dBM unterschreitet. Nach dem Unterschreiten startet iOS einen
Suchvorgang, um geeignete BSSIDs zum Verbinden für den ESSID zu nden.
Diese Informationen sind wichtig, wenn Sie Funkzellen und die zu erwartende
Signalüberlappung planen. Wenn beispielsweise 5 GHz-Zellen mit einer Überlappung von
-67 dBm geplant werden:
iOS verwendet -70 dBm als Auslöseschwelle und bleibt deshalb länger als erwartet mit der
geeigneten BSSID verbunden.
Überprüfen Sie, wie die Zellenüberlappung gemessen wurde. Die Antennen eines tragbaren
Computers sind ungleich größer und leistungsstärker als bei Smartphones oder Tablets, sodass
iOS-Geräte andere Zellgrenzen erkennen, als erwartet. Es empehlt sich immer, mit dem
Zielgerät eine Messung vorzunehmen.
Mit 802.11k kann Ihr iOS-Gerät Zugangspunkte in der Nähe, die zum Roaming zur Verfügung
stehen, schnell identizieren. Wenn die Signalstärke des aktuellen Zugangspunkts abnimmt
und Ihr Gerät sich mit einem neuen Zugangspunkt verbinden muss, weiß es bereits, welcher
Zugangspunkt sich am besten eignet.
Kapitel 3 WLAN 26
802.11r optimiert den Authentizierungsprozess mit der Funktion Fast Basic Service Set
Transition (FT), bei der sich Ihr iOS-Gerät per Roaming mit einem anderen Zugangspunkt im
selben Netzwerk verbindet. FT ermöglicht es iOS-Geräten, sich schneller mit Zugangspunkten
zu verbinden. Abhängig vom Hersteller der WLAN-Hardware, können Preshared Key (PSK) und
802.1X als Authentizierungsmethoden verwendet werden.
Hinweis: Nicht alle Hersteller von WLAN-Hardware unterstützen 802.11k und 802.11r. Ob sie unterstützt
werden, erfahren Sie vom Hersteller Ihrer WLAN-Hardware (Controller und Zugangspunkte).
Wenn Sie die Unterstützung für beide Standards überprüft haben, müssen Sie die Funktionalität
für 802.11k und FT aktivieren. Die Einrichtungsmethoden können variieren. Überprüfen Sie deshalb
die Kongurationsdokumentation Ihrer WLAN-Hardware auf nähere Informationen.
Die untenstehende Tabelle zeigt an, welche iOS-Geräte 802.11k und 802.11r mit iOS unterstützen.
Selbst wenn ein iOS-Gerät 802.11r nicht unterstützt, wurde in iOS 5.1 Unterstützung für PMKID-
Caching (Pairwise Master Key Identier Caching) hinzugefügt, das bei manchen Cisco-Geräten
verwendet werden kann, um das Roaming zwischen Zugangspunkten zu verbessern. Es können
zusätzliche SSIDs notwendig sein, um sowohl FT-fähige iOS-Geräte als auch iOS-Geräte, die PMKID-
Caching verwenden, zu unterstützen.
iOS-Gerät Unterstützung für
802.11k/r
unterstützte Methoden
iOS 6 und neuer
unterstützte Methoden
vor iOS 6
iPad Air 2, iPad mini 3,
iPhone 6, iPhone 6 Plus,
iPhone 5s, iPhone 5c,
iPad Air, iPad mini mit
Retina Display,
iPad (4. Generation),
iPad mini, iPhone 5,
iPod touch (5. Generation)
Ja FT, PMKID-Caching N/A
iPad (3. Generation),
iPhone 4s
Ja FT, PMKID-Caching PMKID-Caching
iPad (2. Generation)
und älter, iPhone 5 und
älter, iPod touch
(4. Generation) und älter
Nein PMKID-Caching PMKID-Caching
Bei
Vorgängerversionen
von iOS 5.1 gab
es keine Methode
für optimiertes
Zugangspunkt-
Roaming.
Sticky Key Caching“
(SKC) ist eine Form
von PMKID-Caching.
SKC entspricht nicht
und ist auch nicht
mit Opportunistic
Key Caching (OKC)
kompatibel.
Die Apple-Referenz für drahtloses Roaming nden Sie im Apple Supportartikel
iOS8: Wireless roaming reference for enterprise customers. Weitere Informationen
zum Roaming mit 802.11k und 802.11r nden Sie im Apple Supportartikel
iOS: Wi-Fi-Netzwerk-Roaming mit 802.11k und 802.11r.
Kapitel 3 WLAN 27
Planen der Abdeckung und der Kapazität
Die WLAN-Abdeckung am Nutzungsort von Apple-Geräten ist natürlich wichtig. Aber
auch die Gerätedichte in einem bestimmten Areal muss geplant werden, um die korrekte
Kapazität sicherzustellen.
Die meisten modernen Zugangspunkte, wie sie in Unternehmen eingesetzt werden, können bis
zu 50 WLAN-Clients (oder sogar mehr Clients) unterstützen. Allerdings wäre das Benutzererlebnis
sicherlich enttäuschend, wenn tatsächlich so viele Geräte einen einzelnen 802.11n-Zugangspunkt
verwenden würden. Das Erlebnis für jeden Benutzer hängt von der verfügbaren Bandbreite in
dem Kanal ab, den das Gerät verwendet, sowie von der Anzahl der Geräte, die diese Bandbreite
gemeinsam nutzen. Wenn mehrere Geräte denselben Kanal verwenden, sinkt die relative
Netzwerkgeschwindigkeit für diese Geräte. Sie sollten daher das erwartete Nutzungsmuster der
Apple-Geräte beim Konzipieren Ihres WLAN-Netzwerks berücksichtigen.
Wichtig: Vermeiden Sie die Verwendung ausgeblendeter SSIDs (Service Set Identier),
da WLAN-Geräte ausgeblendete SSIDs aktiv suchen müssen. Dies führt zu Verzögerungen
bei der Wiederverbindung von SSIDs und kann sich negativ auf den Datenuss und die
Kommunikation auswirken. Das Ausblenden von SSIDs bietet auch keinen Sicherheitsvorteil.
Benutzer nehmen ihre Apple-Geräten oft an andere Orte mit, sodass ausgeblendete SSIDs
häug die Netzwerkzuordnungszeit und Roaming-Leistung beeinträchtigen. Das kann
erheblich mehr Energie verbrauchen als eine Broadcast SSID und kann die Lebensdauer der
Batterie beeinträchtigen.
2,4 GHz und 5 GHz im Vergleich
WLAN-Netzwerke mit 2,4 GHz bieten in Nordamerika 11 Kanäle. Allerdings sollten aufgrund von
möglichen Interferenzen zwischen den einzelnen Kanälen nur die Kanäle 1, 6 und 11 in einem
Netzwerkdesign verwendet werden.
Signale mit 5 GHz durchdringen Wände und andere Hindernisse nicht so gut wie Signale mit 2,4 GHz,
was zu einem kleineren Abdeckungsbereich führt. Daher empfehlen sich 5-GHz-Netzwerke, wenn
Sie eine hohe Dichte an Geräten in einem umschlossenen Raum wie Unterrichtsräumen oder
großen Konferenzräumen planen. Die Anzahl der verfügbaren Kanäle im 5-GHz-Band ändert sich
je nach Anbieter und je nach Land. Es sind jedoch immer mindestens 8 Kanäle verfügbar.
5 GHz Kanäle überlappen sich nicht, was einen beträchtlichen Fortschritt gegenüber den drei
nicht überlappenden Kanälen darstellt, die im 2,4 GHz Band verfügbar sind. Bei der Konzeption
eines WLAN-Netzwerks für eine hohe Dichte an Apple-Geräten werden die zusätzlichen Kanäle
bei 5 GHz zu einem wichtigen Faktor bei der Planung.
Wichtig: Eine WLAN-Abdeckung sollte überall im Arbeitsbereich gegeben sein. Wenn herkömm-
liche Geräte verwendet werden, müssen beide WLAN-Bänder (802.11b/g/n mit 2,4 GHz und
802.11a/n/ac mit 5 GHz) bei der Planung berücksichtigt werden.
Kapitel 3 WLAN 28
Mögliche Designs
Es gibt im Wesentlichen drei Möglichkeiten, für die Auslegung Ihrer WLAN-Netzwerke.
Design für die optimale Abdeckung
Die Raumaufteilung in einem Gebäude kann sich auf das WLAN-Netzwerkdesign auswirken.
Beispiel: In kleinen Unternehmensumgebungen können sich Benutzer in Konferenzräumen
oder Büros treen. Infolgedessen bewegen sich die Benutzer den ganzen Tag im Gebäude.
In diesem Szenario resultieren die meisten Netzwerkzugrie aus Vorgängen mit niedriger
Bandbreite wie dem Abrufen von E-Mails und Kalendern und dem Surfen im Internet, sodass
die WLAN-Abdeckung höchste Priorität hat. Ein WLAN-Design könnte eine geringe Anzahl von
Zugangspunkten auf jedem Stockwerk einschließen, um die Büros abzudecken. Zusätzliche
Zugrispunkte könnten für Bereiche in Erwägung gezogen werden, in denen eine große Anzahl
von Mitarbeitern zusammenkommen (z. B. für einen großen Konferenzsaal).
Design für die optimale Kapazität
Nehmen wir zum Vergleich mit dem obigen Beispiel eine Schule, in der 1000 Schüler und
30 Lehrkräfte in einem zweigeschossigen Gebäude untergebracht sind. Jeder Schüler erhält ein
iPad und jede Lehrkraft erhält sowohl ein MacBook Air als auch ein iPad. Jeder Unterrichtsraum
fasst etwa 35 Schüler und die Räume liegen nebeneinander. Im Laufe des Tages recherchieren die
Schüler im Internet, sehen sich Videos gemäß des Lehrplans an und kopieren Dateien auf einen
bzw. von einem Dateiserver im LAN.
Das WLAN-Netzwerkdesign für hohe Dichte ist aufgrund der höheren Dichte an mobilen
Geräten komplexer. Wegen der großen Anzahl an Geräten in jedem Unterrichtsraum könnte
ein Zugangspunkt pro Raum erforderlich sein. Mehrere Zugangspunkte sollten für
Gemeinschaftsbereiche in Erwägung gezogen werden, um die notwendige Abdeckung und
Kapazität bereitzustellen Die Anzahl der Zugangspunkte für die Gemeinschaftsbereiche kann
abhängig von der Dichte an WLAN-Geräten in diesen Bereichen variieren.
Kanal
64
Kanal
44
Kanal
52
Kanal
48
Kanal
64
Kanal
36
Kanal
157
Kanal
161
Kanal
36
Kanal
40
Wichtig: Vor der Installation sollte stets eine Standortbegehung erfolgen, um die genaue Anzahl
der erforderlichen Zugangspunkte sowie deren Position zu bestimmen. Bei der Standortbegehung
werden auch die ordnungsgemäßen Leistungsstärke-Einstellungen für jedes Gerät bestimmt.
Sobald die Installation des WLAN-Netzwerks abgeschlossen ist, sollte eine weitere Standortbegehung
erfolgen, um die Funktionsfähigkeit der WLAN-Umgebung zu bestätigen. Wenn Sie beispielsweise
ein Netzwerk entwickeln, das eine große Anzahl an Personen in einem Gebäude unterstützen soll,
empehlt es sich, das Design mit den Personen im Gebäude zu überprüfen. (Wenn die Türen zu
den Unterrichtsräumen geschlossen sind, wenn das Netzwerk verwendet wird, sollten sie auch
geschlossen sein, wenn das Design überprüft wird.)
Kapitel 3 WLAN 29
In bestimmten Fällen ist es von Vorteil, mehrere SSIDs zu unterschiedlichen Zwecken zu erstellen.
Beispielsweise könnte ein Gastnetzwerk erforderlich sein. Es sollte aber darauf geachtet werden,
dass nicht zu viele SSIDs erstellt werden, da die zusätzlichen SSIDs zusätzliche Bandbreite erfordern.
Design für Programme
Apple-Produkte verwenden die Multicast-Netzwerkfunktionalität für Dienste wie AirPlay und
AirPrint. Deshalb sollte die Multicast-Unterstützung Teil der konzeptionellen Planung sein.
Informationen dazu, wie Sie Ihr Netzwerk auf Bonjour vorbereiten können, nden Sie im
Abschnitt Bonjour.
WLAN-Standards in iOS-Geräten
Die Liste unten umfasst die WLAN-Spezikationen für Apple iOS-Geräte mit den folgenden
Informationen:
802.11-Kompatibilität: 802.11ac, 802.11n, 802.11a, 802.11b/g
Frequenzband: 2,4 GHz oder 5 GHz
Maximale Übertragungsrate: Die höchste Rate, bei der ein Client Daten per WLAN
übertragen kann.
Räumliche Ströme (Spatial Streams): Jedes Gerät kann gleichzeitig voneinander unabhängige
Datenströme senden, die jeweils andere Daten enthalten, wodurch sich der Gesamtdurchsatz
erhöhen lässt. Die Anzahl dieser separaten Datenströme ist als Anzahl räumlicher
Ströme deniert.
MCS-Index: Der MCS-Index (Modulation and Coding Scheme) deniert die maximale
Übertragungsrate, mit der 802.11ac/n-Geräte kommunizieren können. 802.11av verwendet Very
Hight Throughput (VHT) und 802.11n High Throughput (HT).
Kanalbreite: Die maximale Kanalbreite. Ab 802.11n können Kanäle kombiniert werden,
um einen breiteren Kanal zu erstellen, über den bei einer einzigen Übertragung mehr Daten
übertragen werden können. Bei 802.11n können zwei Kanäle mit 20 MHz zu einem Kanal mit
40 MHz zusammengelegt werden. Bei 802.11ac können vier Kanäle mit 20 MHz zu einem Kanal
mit 80 MHz zusammengelegt werden.
Schutzintervall (Guard Interval bzw. GI): Das Schutzintervall ist der (zeitliche) Abstand zwischen
Symbolen, die von einem Gerät auf ein anderes Gerät übertragen werden. Der 802.11n-Standard
definiert die Option für ein kurzes Schutzintervall von 400 ns, das einen schnelleren
Gesamtdurchsatz ermöglicht. Geräte können jedoch auch ein langes Schutzintervall von
800 ns verwenden.
Kapitel 3 WLAN 30
Modell 802.11-Kompatibilität
und Frequenzband
Maximale
Übertragungsrate
Räumliche
Ströme
MCS-
Index
Kanalbreite
Schutzintervall
iPad Air 2 802.11ac/n/a bei 5 GHz
802.11 n/g/b bei
2,4 GHz
866 Mbps 2 9 (VHT)
15 (VHT)
80 MHz 400 ns
iPad mini 3 802.11n bei 2,4 GHz
und 5 GHz
802.11a/b/g
300 Mbps 2 15 (VHT) 40 MHz 400 ns
iPhone 6 Plus
iPhone 6
802.11ac/n/a bei 5 GHz
802.11 n/g/b bei
2,4 GHz
433 Mbps 1 9 (VHT)
7 (VHT)
80 MHz 400 ns
iPhone 5s
iPhone 5c
iPhone 5
802.11n bei 2,4 GHz
und 5 GHz
802.11a/b/g
150 Mbps 1 7 (VHT) 40 MHz 400 ns
iPhone 4s
iPhone 4
802.11n bei 2,4 GHz
802.11b/g
65 Mbps 1 7 (VHT) 20 MHz 800 ns
iPad Air
iPad mini mit
Retina-Display
802.11n bei 2,4GHz und
5 GHz
802.11a/b/g
300 Mbps 2 15 (VHT) 40 MHz 400 ns
iPad (4.
Generation)
iPad mini
802.11n bei 2,4GHz und
5 GHz
802.11a/b/g
150 Mbps 1 7 (VHT) 40 MHz 400 ns
iPad (1., 2. und
3. Generation)
802.11n bei 2,4GHz und
5 GHz
802.11a/b/g
65 Mbps 1 7 (VHT) 20 MHz 800 ns
iPod touch
(5. Generation)
802.11n bei 2,4GHz und
5 GHz
802.11a/b/g
150 Mbps 1 7 (VHT) 40 MHz 400 ns
iPod touch
(4. Generation)
802.11n bei 2,4 GHz
802.11b/g
65 Mbps 1 7 (VHT) 20 MHz 800 ns
4
31
Überblick
iOS unterstützt eine ganze Reihe von Netzwerkinfrastrukturen, u. a.:
Lokale Netzwerkfunktionen mithilfe von Bonjour
Kabelfreie Verbindungen zu Apple TV über AirPlay
Digitale Zertikate für die Authentizierung von Benutzern und die sichere Kommunikation
Gesamtauthentizierung zur Optimierung der Authentizierung von Apps und Diensten in
Netzwerken
Standardkonforme E-Mail-, Verzeichnis-, Kalender- und sonstige Systeme
Beliebte Systeme anderer Anbieter, wie Microsoft Exchange
Virtuelle private Netzwerke (VPN), einschließlich VPNs auf App-Basis und permanenter VPNs
Diese Unterstützung ist in iOS integriert, sodass Ihre IT-Abteilung nur wenige Einstellungen
kongurieren muss, um iOS-Geräte in Ihre vorhandene Infrastruktur zu integrieren. Weitere
Informationen zu den von iOS unterstützten Technologien und Richtlinien für Unternehmen und
den Bildungsbereich nden Sie in den nachfolgenden Abschnitten.
Microsoft Exchange
iOS kann über Microsoft Exchange ActiveSync (EAS) direkt mit Microsoft Exchange Server
kommunizieren. Dadurch werden auch Push-Funktionen für E-Mails, Abwesenheitsnotizen,
Kalenderereignisse, Kontaktdaten, Notizen und Aufgaben ermöglicht. Exchange ActiveSync bietet
darüber hinaus Benutzern den Zugri auf die globale Adressliste und stellt Administratoren
Funktionen zur Durchsetzung von Coderichtlinien und für die Fernlöschfunktion zur Verfügung.
iOS unterstützt sowohl die einfache als auch die zertikatbasierte Authentizierung für
Exchange ActiveSync.
Wenn Ihr Unternehmen derzeit Exchange ActiveSync verwendet, sind die notwendigen
Dienste zur Unterstützung von iOS bereits vorhanden, In diesem Fall ist keine weitere
Konguration notwendig.
Voraussetzungen
iOS 8 (oder neuer) unterstützt die folgenden Versionen von Microsoft Exchange:
Oce 365 (via EAS 14.1)
Exchange Server 2013 (via EAS 14.1)
Exchange Server 2010 SP 2 (via EAS 14.1)
Exchange Server 2010 SP 1 (EAS 14.1)
Exchange Server 2010 (EAS 14.0)
Exchange Server 2007 SP 3 (EAS 12.1)
Exchange Server 2007 SP 2 (EAS 12.1)
Infrastruktur und Integration
Kapitel 4 Infrastruktur und Integration 32
Exchange Server 2007 SP 1 (EAS 12.1)
Exchange Server 2007 (via EAS 2.5)
Microsoft Exchange Funktion für die automatische Ermittlung (Autodiscovery)
iOS und OS X unterstützen den Dienst von Microsoft Exchange Server 2007 oder neuer für die
automatische Ermittlung (Autodiscovery). Wenn ein Apple-Gerät manuell konguriert wird,
verwendet dieser Dienst die angegebene E-Mail-Adresse und das angegebene Passwort, um die
richtigen Exchange Server-Informationen zu ermitteln.
Weitere Informationen nden Sie unter AutoErmittlungsdienst auf der Microsoft-Website.
Microsoft Direct Push
Exchange Server übermittelt E-Mails, Aufgaben, Kontakte und Kalenderereignisse automatisch an
iOS-Geräte, sofern eine Mobilfunk- oder WLAN-Datenverbindung verfügbar ist.
Microsoft Exchange Globale Adressliste (GAL)
Apple-Geräte rufen die Kontaktinformationen aus dem unternehmensspezischen Verzeichnis
(Corporate Directory) von Exchange Server ab. Beim Suchen in der App „Kontakte“ kann auf das
Verzeichnis zugegrien werden. Auch beim Eingeben von E-Mail-Adressen wird darauf zugegrien,
um die Eingaben automatisch zu vervollständigen.
Hinweis: iOS 6 (oder neuer) unterstützt GAL-Fotos (erfordert Exchange Server 2010 SP 1 oder neuer).
Festlegen der Abwesenheitsnotiz
iOS 8 unterstützt automatische E-Mail-Antworten, wenn ein Benutzer nicht verfügbar ist.
Der Benutzer kann auch ein Enddatum für die Antworten auswählen.
Kalender
iOS 8 oder neuer und OS X Mavericks oder neuer unterstützen die folgenden Versionen von
Microsoft Exchange:
Drahtloses Erstellen und Akzeptieren von Kalendereinladungen
Anzeigen der Verfügbarkeit eines Eingeladenen im Kalender
Erstellen privater Kalenderereignisse
Kongurieren eigener, sich wiederholender Ereignisse
Anzeigen der Wochennummern im Kalender
Empfangen von Kalenderaktualisierungen
Synchronisieren von Aufgaben mit der App „Erinnerungen“
Anzeigen der Exchange-Kennung
iOS 8 ermöglicht es Benutzern, die eindeutige Gerätekennung anzuzeigen, die von Exchange
Server erfasst wird (Exchange Device-ID genannt). Dies ist hilfreich, wenn der Exchange Server,
zu dem der Benutzer eine Verbindung herstellt, erfordert, dass Geräte in eine „Whitelist“ aufge-
nommen werden, damit der Zugri zugelassen wird. Sie können diese Kennung vorab ermitteln.
Die Exchange Device-ID ändert sich nur, wenn das Gerät auf die Werkseinstellungen zurückge-
setzt wird. Sie ändert sich nicht beim Upgrade von iOS 7 auf iOS 8. Um die Exchange Device ID
auf einem iOS-Gerät anzuzeigen, tippen Sie auf „Einstellungen“ > „Mail, Kontakte, Kalender“ >
„Account hinzufügen“ und dann auf „Exchange“.
Kapitel 4 Infrastruktur und Integration 33
Ermittlung von iOS Versionen mit Exchange
Wenn ein iOS-Gerät eine Verbindung zu einem Exchange Server herstellt, übermittelt das Gerät
seine iOS-Version. Die Versionsnummer wird im Feld „User-Agent“ im Kopfteil der Anfrage gesen-
det und hat das folgende Format: „Apple-iPhone2C1/705.018“. Die Zahl nach dem Trennzeichen
(/) ist die iOS-Build-Nummer, die jedes iOS-Release eindeutig identiziert.
Wählen Sie zum Anzeigen der Build-Nummer auf einem Gerät „Einstellungen“ > „Allgemein“ >
„Über“. Es werden die Versions- und die Build-Nummer angezeigt, z. B. 4.1 (8B117A). Die Build-
Nummer wird in Klammern angezeigt und gibt die vom Gerät verwendete Version an.
Wenn die Build-Nummer an den Exchange Server gesendet wird, wird sie aus dem Format
NANNNA (wobei N ein numerisches und A ein alphabetisches Zeichen ist) in das Exchange-
Format NNN.NNN konvertiert. Numerische Werte werden beibehalten, Buchstaben erhalten
jedoch den Wert, der ihrer Position im Alphabet entspricht. Der Buchstabe „F“ wird beispielsweise
in „06“ konvertiert, da es sich um den sechsten Buchstaben im Alphabet handelt. Zahlen werden
ggf. mit Nullen aufgefüllt, um dem Exchange-Format zu entsprechen. Im Beispiel würde die
Build-Nummer „7E18“ in „705.018“ konvertiert.
Die erste Zier „7“ bleibt als „7“ erhalten. Der Buchstabe „E“ ist der fünfte im Alphabet und wird
daher in „05“ konvertiert. In der konvertierten Version wird ein Punkt (.) eingefügt, da dies für das
Format erforderlich ist. Die nächste Zahl „18“ wird mit „0“ ergänzt und lautet nun „018“.
Endet die Build-Nummer mit einem Buchstaben (z. B. bei „5H11A“), wird die Nummer wie oben
beschrieben konvertiert und der numerische Wert des letzten Buchstabens durch 3 Ziern „0“
ergänzt und an die Zeichenfolge angehängt. Aus „5H11A“ wird also „508.01100001“.
Fernlöschen
Der Inhalt eines iOS-Geräts kann mit von Exchange bereitgestellten Funktionen ferngelöscht
werden. Beim Fernlöschen werden alle Daten und Kongurationsinformationen sicher von dem
Gerät gelöscht und die Werkseinstellungen wiederhergestellt. Bei neueren Modellen wird der
Verschlüsselungscode für die Daten (die mit 256-Bit-AES-Verschlüsselung verschlüsselt sind)
beim Löschen entfernt. Der Löschvorgang entfernt alle Daten sofort und unwiederbringlich.
Unter Microsoft Exchange Server 2007 (oder neuer) kann das Fernlöschen über die Exchange-
Verwaltungskonsole, über Outlook Web Access oder über das Exchange ActiveSync Mobile
Administration Web Tool gestartet werden. Unter Microsoft Exchange Server 2003 kann das
Fernlöschen über das Exchange ActiveSync Mobile Administration Web Tool gestartet werden.
Benutzer können alternativ ihr eigenes Gerät durch Auswahl der Option „Alle Inhalte &
Einstellungen löschen“ in „Einstellungen“ > „Allgemein“ > „Zurücksetzen“ löschen. Die Geräte
lassen sich auch so kongurieren, dass nach einer bestimmten Anzahl von fehlgeschlagenen
Anmeldeversuchen (durch Eingabe des falschen Codes) das Gerät automatisch vollständig
gelöscht wird.
Bonjour
Bonjour ist das Apple-Netzwerkprotokoll, das auf Standards basiert, keinerlei Konguration
erfordert und Geräten ermöglicht, Dienste in einem Netzwerk zu nden. iOS-Geräte verwenden
Bonjour zum Erkennen AirPrint-kompatibler Drucker und sowohl iOS-Geräte als auch
Mac-Computer verwenden Bonjour zum Erkennen AirPlay-kompatibler Geräte wie
Apple TV. Einige Apps verwenden Bonjour auch für Peer-to-Peer-Zusammenarbeit und
Peer-to-Peer-Freigaben.
Kapitel 4 Infrastruktur und Integration 34
Bonjour verwendet Multicast-Datenverkehr, um die Verfügbarkeit von Diensten zu publizieren.
Multicast-Datenverkehr wird gewöhnlich nicht weitergeleitet. Stellen Sie daher sicher, dass sich
Apple TV-Geräte oder AirPrint-Drucker im gleichen IP-Teilnetz benden wie die iOS-Geräte,
die darauf zugreifen. Wenn Ihr Netzwerk größer ist und viele IP-Teilnetze nutzt, sollten Sie die
Verwendung eines Bonjour-Gateways in Erwägung ziehen. Solche Gateways werden von
verschiedenen Herstellern von WLAN-Infrastrukturen angeboten.
Weitere Informationen zu Bonjour nden Sie auf der Apple-Webseite zu Bonjour und in der
Apple Entwicklerdokumentation unter Bonjour.
AirPlay
iOS 8 und OS X Yosemite unterstützen das Streaming von Inhalten von einem Apple-Gerät
an Apple TV, auch wenn die Geräte sich in unterschiedlichen Netzwerken benden oder kein
Netzwerk verfügbar ist. Das Apple-Gerät verwendet Bluetooth® Low Energy (BTLE), um den
Erkennungsprozess von verfügbaren Apple TV-Gräten zu beginnen, um dann über WLAN direkt
eine Verbindung mit Apple TV herzustellen. BTLE ist für Peer-to-Peer-AirPlay wichtig.
Mit iOS 8 und OS X Yosemite können Benutzer (via Peer-to-Peer) AirPlay direkt von einem unter-
stützten iOS-Gerät oder Mac zu einem Apple TV-Gerät verwenden, ohne zuvor eine Verbindung
zum Netzwerk einer Organisation herstellen zu müssen. Durch Peer-to-Peer-AirPlay entfällt
die Notwendigkeit, dem richtigen Netzwerk beizutreten oder WLAN-Passwörter oenzulegen.
Außerdem werden Probleme mit der Erreichbarkeit in komplexen Netzwerkumgebungen ver-
mieden, und es wird zur Optimierung der Leistung ein direkter Pfad vom AirPlay-Sender zum
AirPlay-Empfänger bereitgestellt. Peer-to-Peer-AirPlay ist standardmäßig in iOS 8 und
OS X Yosemite aktiviert und erfordert keine Benutzerkonguration.
Für Peer-to-Peer-AirPlay ist Folgendes erforderlich:
Apple TV (3. Generation Version A Modell A1469 oder neuer) mit Apple TV-Software 7.0 oder neuer
iOS-Geräte (Ende 2012 oder neuer) mit iOS 8 oder neuer
Mac-Computer (2012 oder neuer) mit OS X Yosemite oder neuer
Lesen Sie zum Ermitteln der Modellnummer eines Apple TV-Geräts den Apple-Supportartikel
Apple TV-Modelle bestimmen.
Die Peer-to-Peer-Erkennung wird mithilfe von Bluetooth Low Energy (BTLE) eingeleitet, wenn
ein Benutzer AirPlay auf einem iOS-Gerät mit iOS 8 oder einem Mac mit OS X Yosemite aus-
wählt. Dies veranlasst das Gerät und Apple TV, dem WLAN-Kanal 149,1 im 5-GHz-Band und dem
WLAN-Kanal 6 im 2,4-GHz-Band beizutreten, in dem dann der Erkennungsvorgang fortgesetzt
wird. Sobald ein Benutzer ein Apple TV-Gerät auswählt und AirPlay startet, übermittelt das
WLAN Timeshare-Signale zwischen Kanal 149,1 und dem Infrastrukturkanal, das das jewei-
lige Gerät aktuell verwendet. Hierbei nutzt der AirPlay-Sender (sofern möglich) denselben
Infrastrukturkanal, den auch das Apple TV-Gerät verwendet. Wenn keines der beteiligten Geräte
ein Infrastrukturnetzwerk verwendet, belegen die Geräte den WLAN-Kanal 149 nur für AirPlay.
Peer-to-Peer-AirPlay entspricht den 802.11-Standards zur gemeinsamen Nutzung von Bandbreite
mit anderen WLAN-Geräten.
Wenn Sie Apple TV-Geräte in einem großen WLAN-Unternehmensnetzwerk implementieren,
müssen Sie die folgenden Richtlinien beachten:
Verbinden Sie Apple TV nach Möglichkeit immer mit dem Ethernet.
Verwenden Sie nach Möglichkeit nicht den WLAN-Kanal 149 oder 153 für
Ihr Infrastrukturnetzwerk.
Kapitel 4 Infrastruktur und Integration 35
Stellen Sie Apple TV-Geräte nicht hinter Objekte bzw. montieren Sie sie nicht hinter Objekten,
durch die die BTLE- und WLAN-Signale gestört werden können.
Wenn ein Apple TV-Gerät an der Wand oder einer anderen Oberäche befestigt wird, muss es
mit dem Standfuß zur Oberäche montiert werden.
Wenn Peer-to-Peer-AirPlay vom AirPlay-Sender oder vom AirPlay-Empfänger nicht unterstützt
wird, wird automatisch die Infrastrukturverbindung verwendet.
AirPlay-Erkennung
iOS-Geräte verwenden die heute gängigen Erkennungsmethoden, um AirPlay-Empfänger zu
nden. AirPlay-Empfänger können sich mithilfe von Bonjour oder Bluetooth ankündigen.
Die Erkennung über Bluetooth erfordert iOS 7.1 (oder neuer) auf folgenden Geräten:
iPad Air
Apple TV (3. Generation oder neuer) mit Software 6.1 (oder neuer)
iPhone 4s (oder neuer)
iPad 3. Generation (oder neuer)
iPad mini 1. Generation (oder neuer)
iPod touch 5. Generation (oder neuer)
Erkannte AirPlay-Empfänger stehen im AirPlay-Menü zur Auswahl.
Die Bonjour-Dienste _airplay._tcp und _raop._tcp müssen bei Bonjour-Gatewayprodukten
publiziert werden. Lassen Sie sich vom Hersteller Ihres Gateways bestätigen, dass diese Dienste
publiziert werden.
Konnektivität
„Infrastruktur“ und „Peer-to-Peer“ sind die zwei unterstützten Modi der AirPlay-Konnektivität.
Wenn sowohl AirPlay-Sender als auch AirPlay-Empfänger den Peer-to-Peer-Modus von AirPlay
unterstützen, ist dies unabhängig von der Infrastrukturverfügbarkeit der bevorzugte Datenpfad.
Peer-to-Peer-AirPlay koexistiert mit Infrastrukturverbindungen, sodass der AirPlay-Client
oder AirPlay-Sender die Internetkonnektivität gleichzeitig mit der Peer-to-Peer-Verbindung
aufrecht erhalten kann. Das 5-GHz-Band ist für Verbindungen über Peer-to-Peer-AirPlay
besser geeignet, weil es eine schnelle direkte Verbindung zwischen dem AirPlay-Sender und
AirPlay-Empfänger bereitstellt.
Sicherheit
AirPlay verwendet die AES-Verschlüsselung um sicherzustellen, dass Inhalte bei der Spiegelung
oder beim Streaming von einem iOS-Gerät oder Mac an ein Apple TV-Gerät geschützt bleiben.
Der AirPlay-Zugri auf ein Apple TV-Gerät kann durch Festlegung eines Codes oder Passworts
eingeschränkt werden. Nur Benutzer, die den angezeigten Code (pro AirPlay-Versuch) oder
das Passwort auf ihrem iOS-Gerät oder Mac eingeben, können AirPlay-Inhalte an ein
Apple TV-Gerät senden.
Kapitel 4 Infrastruktur und Integration 36
Wenn Sie die Option „Geräteüberprüfung erforderlich“ aktivieren (erfordert ein iOS-Gerät mit
iOS 7.1 oder neuer oder einen Mac-Computer mit OS X Mavericks Version 10.9.2 oder neuer),
muss sich das iOS-Gerät oder der Mac bei der anfänglichen AirPlay-Verbindung authentizieren.
Diese Option ist nützlich, wenn Apple TV in einem oenen WLAN-Netzwerk implementiert wird.
Damit iOS-Geräte und Mac-Computer sicher gekoppelt werden, wird der Benutzer aufgefordert,
einen angezeigten Einmalcode einzugeben. Weitere Verbindungen erfordern keinen Code, sofern
keine Einstellungen für den Onscreen-Code aktiviert sind. Durch Zurücksetzen eines Apple TV
oder eines zuvor gekoppelten Clients auf die Werkseinstellungen wird die ursprüngliche
Verbindungsbedingung zurückgesetzt.
Peer-to-Peer-AirPlay ist immer durch die Option „Geräteüberprüfung erforderlich“ gesichert.
Diese Einstellung ist durch den Benutzer nicht kongurierbar und hindert unbefugte Benutzer in
der Nähe daran, auf Apple TV zuzugreifen.
Hinweis: Für Geräte außerhalb eines Infrastrukturnetzwerks wird die Bonjour-Ankündigung
unterstützter Apple TV-Geräte (A1469 oder neuer) durch Bluetooth ausgelöst.
Standardbasierte Dienste
Durch die Unterstützung für das E-Mail-Protokoll IMAP, die LDAP Verzeichnisdienste, den
Kalenderzugri über CalDAV und die CardDAV-Protokolle für Kontakte können iOS und
OS X in praktisch jede standardkonforme Umgebung eingebunden werden. Wenn die
Netzwerkumgebung so konguriert ist, dass eine Benutzerauthentizierung und die SSL-
Verschlüsselung erforderlich sind, bieten iOS und OS X einen sicheren Ansatz für den Zugri auf
standardkonforme Dienste für E-Mails, Kalender und Kontakte des Unternehmens. iOS und OS X
unterstützen mit SSL die 128-Bit Verschlüsselung sowie X.509 Root-Zertikate, die von führenden
Zertizierungsstellen ausgestellt werden.
In einer typischen Implementierung stellen Apple-Geräte den direkten Zugri auf IMAP- und
SMTP-Mail-Server her. So können E-Mails drahtlos (oder beim Mac auch über Ethernet) gesendet
und empfangen und der VIP-Status in E-Mail-Threads festgelegt werden. Auch das drahtlose
Synchronisieren von Notizen mit IMAP-basierten Servern ist möglich. Apple-Geräte können die
Verbindung mit den LDAPv3-Verzeichnissen Ihrer Organisation herstellen. Damit haben die Benutzer
Zugri auf unternehmensinterne Kontakte in den Apps „Mail“, „Kontakte“ und „Nachrichten“.
Dank der CardDAV-Unterstützung können Ihre Benutzer bei Verwendung des VCard-Formats
einen Satz von Kontakten mit Ihrem CardDAV-Server synchronisieren. Die Synchronisierung mit
Ihrem CalDAV-Server bietet Benutzern folgende Möglichkeiten:
Erstellen und Akzeptieren von Kalendereinladungen
Anzeigen der Verfügbarkeit eines Eingeladenen im Kalender
Erstellen privater Kalenderereignisse
Kongurieren eigener, sich wiederholender Ereignisse
Anzeigen der Wochennummern im Kalender
Empfangen von Kalenderaktualisierungen
Synchronisieren von Aufgaben mit der App „Erinnerungen“
Alle Netzwerkdienste und Server können sich innerhalb eines DMZ-Teilnetzes und/oder hinter
einer Unternehmensrewall benden.
Kapitel 4 Infrastruktur und Integration 37
Digitale Zertikate
Apple-Geräte unterstützen digitale Zertifikate und Identitäten und ermöglichen Ihrer
Organisation so einen ezienten Zugang zu Unternehmensdiensten. Diese Zertikate lassen sich
auf unterschiedliche Weise verwenden. Beispiel: Der Safari Browser kann die Gültigkeit eines
digitalen X.509 Zertikats prüfen und eine sichere Sitzung mit bis zu 256-Bit AES-Verschlüsselung
einleiten. Dabei wird u. a. überprüft, ob die Identität der Website zulässig und die Kommunikation
mit der Website geschützt ist. Auf diese Weise wird das Abfangen persönlicher oder vertraulicher
Daten verhindert. Zertikate können auch verwendet werden, um die Identität des Autors oder
Unterzeichners zu bestätigen, und dienen zum Verschlüsseln von E-Mails, Kongurationsprolen
und der Netzwerkkommunikation für den weitergehenden Schutz vertraulicher oder
privater Informationen.
Zertikate mit Apple-Geräten verwenden
Ab Werk enthalten Apple-Geräte eine Reihe vorab installierter Root-Zertikate verschiedener
Zertizierungsstellen (CA) und iOS validiert die Vertrauenswürdigkeit für diese Root-Zertikate.
Wenn iOS die Zertikatkette der unterzeichnenden CA nicht validieren kann, tritt ein Fehler auf.
Beispielsweise kann ein selbstsigniertes Zertikat in iOS standardmäßig nicht überprüft werden.
Die aktuelle Liste vertrauenswürdiger Root-Zertikate in iOS nden Sie im Apple Support-Artikel
iOS 8: List of available trusted root certicates.
iOS-Geräte können Zertikate drahtlos aktualisieren, falls eines der vorinstallierten Root-Zertikate
beschädigt wird. Diese Funktion kann über eine MDM-Einschränkung zur Verhinderung drahtloser
Zertikataktualisierungen deaktiviert werden.
Diese digitalen Zertikate können verwendet werden, um einen Client oder Server sicher zu
identizieren und die Kommunikation zwischen ihnen mit dem öentlichen und dem privaten
Schlüssel zu verschlüsseln. Ein Zertikat enthält einen öentlichen Schlüssel, Informationen über
den Client (oder Server) und ist von einer CA signiert (überprüft).
Ein Zertikat und der ihm zugewiesene private Schlüssel werden Identität genannt. Zertikate
können frei verteilt werden, Identitäten müssen hingegen geschützt werden. Das frei verteile
Zertikat und davon insbesondere der öentliche Schlüssel werden für Verschlüsselung benutzt,
die nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden kann. Um den privaten
Schlüssel einer Identität zu schützen, wird er in einer PDCS12-Datei gespeichert, die mit einem
anderen Schlüssel verschlüsselt wird, der mit einer Passphrase geschützt wird. Eine Identität
kann zur Authentizierung (wie 802.1x EAP-TLS), Signierung oder Verschlüsselung (wie S/MIME)
genutzt werden.
Unterstützte Zertikat- und Identitätsformate auf Apple-Geräten:
X.509-Zertikate mit RSA-Schlüsseln
Zertikate: .cer, .crt, .der
Identität: .pfx, .p12
Setzen Sie Zertikate ein, um Zertizierungsstellen (CA) zu vertrauen, die nicht standardmäßig
vertrauenswürdig sind (etwa eine Zertizierungsstelle der Organisation).
Kapitel 4 Infrastruktur und Integration 38
Zertikate verteilen und installieren
Die manuelle Verteilung von Zertikaten an iOS-Geräte ist einfach. Beim Empfang eines Zertikats
können die Benutzer durch einfaches Tippen den Inhalt anzeigen und lesen und danach durch
nochmaliges Tippen das Zertikat zu ihrem Gerät hinzufügen. Wenn ein Identitätszertikat
installiert wird, werden die Benutzer zur Eingabe des Passworts aufgefordert, das als Schutz der
Identität dient. Kann die Authentizität eines Zertikats nicht überprüft werden, wird es als nicht
vertrauenswürdig angezeigt. Der Benutzer kann dann entscheiden, ob er es dennoch zu seinem
Gerät hinzufügen möchte.
Zertikate über Kongurationsprole installieren
Wenn Kongurationsprole zum Ausgeben von Einstellungen für Unternehmensdienste wie
S/MIME-E-Mail, VPN oder WLAN genutzt werden, können für eine optimierte Implementierung
auch Zertikate zum Prol hinzugefügt werden. Dies schließt die Verteilung der Zertikate per
MDM ein.
Zertikate per Mail oder Safari installieren
Wenn ein Zertikat per E-Mail gesendet wird, wird es als Anhang angezeigt. Auch Safari kann
zum Laden von Zertikaten von einer Webseite verwendet werden. Sie können ein Zertikat auf
einer sicheren Website bereitstellen und Benutzern die URL-Adresse zur Verfügung stellen, unter
der sie das Zertikat auf ihre Apple-Geräte laden können.
Zertikate entfernen und annullieren
Wählen Sie zum manuellen Entfernen eines installierten Zertikats „Einstellungen“ > „Allgemein“ >
„Geräteverwaltung“. Wählen Sie danach ein Prol aus, klicken Sie auf „Mehr Details“ und wählen
Sie das zu entfernende Zertikat aus. Wenn ein Benutzer ein Zertikat entfernt, das für den Zugri
auf einen Account oder ein Netzwerk benötigt wird, kann das iOS-Gerät nicht mehr auf die
jeweiligen Dienste zugreifen.
Ein MDM-Server kann alle Zertikate auf einem Gerät anzeigen und beliebige darauf installierte
Zertikate entfernen.
Um den Status aller Zertikate zu überprüfen, werden zusätzlich die Protokolle OCSP (Online
Certicate Status Protocol) und CRL (Certicate Revocation List) unterstützt. Wenn ein OCSP- oder
CRL-fähiges Zertikat verwendet wird, wird es von iOS und OS X periodisch geprüft um sicherzustellen,
dass es nicht annulliert wurde.
Gesamtauthentizierung (SSO)
Die Gesamtauthentizierung (Single Sign-On, SSO) ist ein Verfahren, bei dem ein Benutzer sofort
die Authentizierungsinformationen liefert, ein Ticket erhält und mit diesem auf Ressourcen
zugreifen kann, solange dieses Ticket gültig ist. Mit dieser Strategie kann sicherer Zugri auf
Ressourcen gewährleistet werden, ohne dass das System jedes Mal, bevor der Zugri gewährt
wird, nach den Anmeldedaten fragen muss. Sie trägt auch zu einer höheren Sicherheit der
täglichen App-Nutzung bei, da sichergestellt ist, dass Passwörter nie über das Netzwerk
übertragen werden.
Kapitel 4 Infrastruktur und Integration 39
Bei iOS 7 oder neuer können Apps die vorhandene interne Infrastruktur für die
Gesamtauthentizierung über Kerberos nutzen. Das von iOS 7 oder neuer verwendete Kerberos-
Authentizierungssystem ist ein Standardsystem und die am häugsten implementierte
Technologie für die Gesamtauthentizierung weltweit. Wenn Active Directory, eDirectory oder
Open Directory verwendet werden, ist sehr wahrscheinlich ein Kerberos-System installiert,
das iOS 7 oder neuer nutzen kann. iOS-Geräte müssen den Kerberos-Dienst zur Authentizierung
von Benutzern über eine Netzwerkverbindung ansprechen können. Bei iOS 8 können Zertikate
verwendet werden, um ein Kerberos-Ticket unbeaufsichtigt zu erneuern, sodass die Benutzer
Verbindungen zu bestimmten Diensten aufrecht erhalten können, die Kerberos zur
Authentizierung nutzen.
Unterstützte Apps
iOS bietet exible Unterstützung für die Kerberos-Gesamtauthentizierung. Dies gilt für jede App,
die die Klasse „NSURLConnection“ bzw. „NSURLSession“ für die Verwaltung von Netzwerkverbindungen
und die Authentizierung verwendet. Apple stellt allen Entwicklern diese übergeordneten
Frameworks zur Verfügung, damit sie Netzwerkverbindungen transparent in ihre Apps integ-
rieren können. Apple stellt auch Safari als ein Beispiel für und als Einstieg in die native Nutzung
SSO-fähiger Websites zur Verfügung.
Kongurieren der Gesamtauthentizierung
Sie können die Gesamtauthentizierung mithilfe von Kongurationsprolen kongurieren,
die entweder manuell installiert oder mit MDM verwaltet werden. Die Payload für die
Gesamtauthentizierung ermöglicht eine exible Konguration. Die Gesamtauthentizierung
kann für alle Apps genutzt werden oder alternativ nach App-Kennung und/oder Dienst-URL
eingeschränkt werden.
Für URLs wird ein einfaches Abgleichmuster verwendet, das mit „http://“ oder „https://“ beginnen muss.
Der Abgleich erfolgt anhand der gesamten URL, weshalb darauf geachtet werden muss, dass die
Angaben identisch sind. Beispiel: Der URLPrexMatches-Wert „https://www.example.com/“ stimmt
nicht mit „https://www.example.com:443“ überein. Sie können „http://“ oder „https://“ angeben,
um die Nutzung von SSO auf sichere oder auf normale HTTP Dienste zu beschränken. Beispiel:
Wird der URLPrexMatches-Wert „https://“ angegeben, darf der SSO-Account nur für sichere
HTTPS-Dienste verwendet werden. Endet das URL-Abgleichmuster nicht mit einem Schrägstrich (/),
wird ein Schrägstrich angehängt.
Das AppIdentierMatches-Array muss Strings enthalten, die mit App-Bunde-IDs übereinstimmen.
Diese Strings können exakte Übereinstimmungen sein (z. B. com.meinerma.meineapp). Es kann
aber auch ein Platzhalterzeichen (*) für den Abgleich mit der Bundle-ID angegeben werden. Das
Platzhalterzeichen muss nach dem Punkt (.) und darf nur am Ende der Zeichenfolge stehen
(z. B. com.meinerma.*). Wird ein Platzhalterzeichen angegeben, erhält jede App, deren
Bundle-ID mit dem Präx beginnt, Zugri auf den Account.
Virtuelle private Netzwerke (VPN)
Überblick
Der sichere Zugri auf private Unternehmensnetzwerke wird unter iOS und OS X mithilfe
standardkonformer VPN-Protokolle sichergestellt. iOS und OS X unterstützen ab Werk Cisco IPSec,
L2TP über IPSec und PPTP. iOS unterstützt außerdem IKEv2. Wenn Ihre Organisation eines dieser
Protokolle unterstützt, sind keine zusätzlichen Netzwerkkongurationen oder Apps anderer
Anbieter erforderlich, um Apple-Geräte mit einem VPN zu verbinden.
Kapitel 4 Infrastruktur und Integration 40
iOS und OS X unterstützen das Protokoll SSL VPN gängiger VPN-Anbieter. Wie andere in iOS und
OS X unterstützte VPN-Protokolle kann SSL VPN entweder manuell auf dem Apple-Gerät, über ein
Kongurationsprol oder mithilfe von MDM eingerichtet werden.
iOS und OS X unterstützen auch standardkonforme Technologien wie IPv6, Proxy-Server und
Split-Tunneling und ermöglichen damit eine leistungsstarke VPN-Kommunikation bei der
Verbindung zu Unternehmensnetzwerken. iOS und OS X können mit einer Vielzahl verschiede-
ner Authentizierungsmethoden gekoppelt werden (z. B. Passwort, Two-Factor-Token, digitale
Zertikate und in OS X Kerberos). Zur Optimierung der Verbindung in Umgebungen, in denen
die zertikatbasierte Authentizierung verwendet wird, stellen iOS und OS X die Funktion „VPN
On-Demand“ bereit. Damit wird beim Herstellen der Verbindung zu bestimmten Domains eine
VPN-Sitzung aufgebaut.
Bei iOS 7 oder neuer und OS X Yosemite oder neuer können einzelne Apps so konguriert
werden, dass eine VPN-Verbindung getrennt von anderen Apps verwendet wird. Dadurch wird
sichergestellt, dass Unternehmensdaten immer über eine VPN-Verbindung ießen, andere
Daten (z. B. die Daten privater Apps eines Mitarbeiters aus dem App Store) jedoch nicht. Weitere
Informationen nden Sie unter VPN auf App-Basis.
iOS verwendet außerdem permanente VPNs, bei denen das iOS-Gerät eine Verbindung zu
einem bekannten und genehmigten VPN herstellen muss, bevor eine Verbindung zu anderen
Netzwerkdiensten hergestellt wird. Sie können permanente VPNs sowohl für Mobilfunk- als auch
WLAN-Kongurationen kongurieren. Beispiel: Bei permanenten VPNs muss ein iOS-Gerät eine
Verbindung zu einem bekannten und genehmigten VPN herstellen, bevor eine Verbindung zu
anderen Netzwerkdiensten wie Mail, Web oder Nachrichten hergestellt wird. Diese Funktion
hängt von Ihrem VPN-Anbieter ab, der diese Konguration unterstützt, und ist nur für betreute
Geräte verfügbar. Weitere Informationen nden Sie unter Überblick zu permanenten VPNs.
Unterstützte Protokolle und Authentizierungsmethoden
iOS und OS X unterstützen die folgenden Protokolle und -Authentizierungsmethoden.
L2TP over IPSec: Benutzerauthentizierung per MS-CHAP v2-Passwort, Two-Factor-Token,
Zertikat und Systemauthentizierung per gemeinsamem geheimem Schlüssel (Shared Secret)
oder Zertikat.
SSL VPN: Benutzerauthentizierung per Passwort, Two-Factor-Token, Zertikate mit einem
VPN-Client anderer Anbieter.
Cisco IPSec: Benutzerauthentizierung per Passwort, Two-Factor-Token und
Systemauthentizierung per gemeinsamem geheimem Schlüssel (Shared Secret)
und Zertikaten.
IKEv2: Zertikate (nur RSA), EAP-TLS, EAP-MSCHAPv2. (nur iOS)
PPTP: Benutzerauthentizierung per MS-CHAP v2-Passwort, Zertikat und Two-Factor-Token.
OS X kann außerdem Kerberos-Systemauthentizierung per gemeinsamem geheimen Schlüssel
(Shared Secret) oder Zertikat mit L2TP über IPSEC und mit PPTP verwenden.
SSL VPN-Clients
Mehrere SSL VPN-Anbieter bieten Apps an, mit denen sich die Konguration von iOS-Geräten
für ihre Lösungen vereinfachen lässt. Dazu muss die App für die jeweilige Lösung aus dem
App Store installiert und optional ein Kongurationsprol mit den nötigen Einstellungen bereit-
gestellt werden.
Kapitel 4 Infrastruktur und Integration 41
Zu den SSL VPN-Lösungen gehören:
AirWatch SSL VPN: Weitere Informationen nden Sie unter AirWatch-Website.
Aruba Networks SSL VPN: iOS unterstützt den Aruba Networks Mobility Controller.
Zur Konguration wird die im App Store verfügbare Aruba Networks VIA App eingesetzt.
Kontaktinformationen sind auf der Aruba Networks-Website zu nden.
Check Point Mobile SSL VPN: iOS unterstützt das Check Point Sicherheits-Gateway über einen
vollständigen Layer-3 VPN-Tunnel. Installieren Sie die im App Store verfügbare Check Point
Mobile-App.
Cisco AnyConnect SSL VPN: iOS unterstützt Cisco Adaptive Security Appliance (ASA) mit
dem Software-Release 8.2.5 (oder neuer). Installieren Sie die im App Store verfügbare Cisco
AnyConnect-App.
F5 SSL VPN: iOS unterstützt die SSL VPN-Lösungen F5 BIG-IP Edge Gateway, Access Policy
Manager und FirePass. Installieren Sie die im App Store verfügbare F5 BIG-IP Client-App.
Weitere Informationen sind in der technischen Kurzinfo von F5 unter
Secure iPhone Access to Corporate Web Applications zu nden.
Juniper Junos Pulse SSL VPN: iOS unterstützt das Juniper Networks SA Series SSL VPN Gateway
unter Version 6.4 oder neuer mit Juniper Networks IVE Package 7.0 oder neuer. Installieren Sie
die im App Store verfügbare Junos Pulse-App.
Weitere Informationen nden Sie unter Junos Pulse auf der Juniper Networks-Website.
Mobile Iron SSL VPN: Weitere Informationen nden Sie auf der Mobile Iron-Website.
NetMotion SSL VPN: Weitere Informationen nden Sie auf der NetMotion-Website.
OpenVPN SSL VPN: iOS unterstützt OpenVPN Access Server, Private Tunnel und OpenVPN
Community. Zur Konguration wird die im App Store verfügbare OpenVPN Connect
App eingesetzt.
Palo Alto Networks GlobalProtect SSL VPN: iOS unterstützt das GlobalProtect-Gateway von Palo
Alto Networks. Installieren Sie die im App Store verfügbare App „GlobalProtect for iOS“.
SonicWALL SSL VPN: iOS unterstützt SonicWALL Aventall E-Class Secure Remote Access-
Appliances mit 10.5.4 (oder neuer), SonicWALL SRA-Appliances mit 5.5 (oder neuer) und
SonicWALL Next-Generation Firewall-Appliances, inkl. TZ, NSA, E-Class NSA mit SonicOS 5.8.1.0
(oder neuer). Installieren Sie die im App Store verfügbare SonicWALL Mobile Connect-App.
Weitere Informationen nden Sie auf der SonicWALL-Website.
Hinweise zur VPN-Konguration
Hinweise zur Cisco IPSec Konguration
Die folgenden Richtlinien gelten für die Konfiguration Ihres Cisco VPN-Servers für die
Verwendung mit iOS-Geräten. iOS unterstützt Cisco ASA 5500 Security Appliances und
PIX Firewalls, die mit der 7.2.x-Software (oder neuer) konfiguriert wurden. Das neueste
Softwarerelease 8.0.x (oder neuer) wird empfohlen. iOS unterstützt außerdem auch Cisco IOS
VPN-Router mit IOS Version 12.4(15)T (oder neuer). VPN 3000 Series-Konzentratoren unterstützen
die von iOS bereitgestellten VPN-Eigenschaften nicht.
Proxy-Konguration
Für alle Kongurationen können Sie einen VPN-Proxy angeben.
Wenn Sie nur einen Proxy für alle Verbindungen kongurieren wollen, müssen Sie die
Einstellung „Manuell“ verwenden und die Serveradresse, den Port sowie – falls nötig – die
Authentizierungsdaten angeben.
Kapitel 4 Infrastruktur und Integration 42
Verwenden Sie die Einstellung „Auto“, um das Gerät mit einer Datei zur automatischen
Proxykonguration mittels PAC oder WPAD zu versehen. Geben Sie für PACS die URL der
PACS- oder JavaScript-Datei an. Für WPAD ruft iOS über DHCP und DNS die entsprechenden
Einstellungen ab.
Die VPN-Proxykonguration wird verwendet, wenn das VPN Folgendes bereitstellt:
Den Standardauöser und die Standardroute: Der VPN-Proxy wird für alle Webanforderungen
auf dem System verwendet.
Einen Split Tunnel: Nur Verbindungen zu Hosts, die der DNS-Suchdomain des VPNs entspre-
chen, verwenden den VPN-Proxy.
Authentizierungsmethoden
iOS unterstützt die folgenden Authentizierungsmethoden:
IPsec-Authentizierung mit Pre-Shared-Schlüssel und einer Benutzerauthentizierung
via xauth.
Client- und Serverzertikate für die IPsec-Authentizierung mit optionaler
Benutzerauthentizierung via xauth.
Hybrid-Authentizierung, bei der vom Server ein Zertikat und vom Client ein Pre-Shared-
Schlüssel für die IPsec-Authentizierung bereitgestellt wird. Die Benutzerauthentizierung
erfolgt via xauth.
Benutzerauthentizierung erfolgt via xauth und umfasst die folgenden
Authentizierungsmethoden:
Benutzername mit Passwort
RSA-SecurID
CRYPTOCard
Authentizierungsgruppen
Das Cisco Unity-Protokoll verwendet Authentizierungsgruppen, um Benutzer basierend auf
einer Reihe gemeinsamer Parameter zu gruppieren. Sie sollten eine Authentizierungsgruppe
für die Benutzer der iOS-Benutzer erstellen. Bei einer Authentizierung mit Pre-Shared-Schlüssel
und einer Hybrid-Authentizierung muss der Gruppenname auf dem Gerät so konguriert
werden, dass der Pre-Shared-Schlüssel („Shared Secret“) der Gruppe als Passwort für die Gruppe
verwendet wird.
Bei der Verwendung der Zertikatauthentizierung wird kein Schlüssel („Shared Secret“)
verwendet. Die Gruppe eines Benutzers ergibt sich aus Feldern des Zertikats. Mithilfe der
Cisco-Servereinstellungen lassen sich Felder eines Zertikats Benutzergruppen zuweisen.
RSA-Sig muss in der ISAKMP-Prioritätenliste die höchste Priorität haben.
Zertikate
Wenn Sie Zertikate einrichten und installieren:
Das Identitätszertikat des Servers muss den DNS-Namen oder die IP-Adresse des Servers im
Feld für den alternativen Benutzernamen (SubjectAltName) enthalten. Das Gerät überprüft
anhand dieser Informationen, ob das Zertikat zum Server gehört. Sie können den alternativen
Benutzernamen mit Platzhalterzeichen angeben (z. B. „vpn.*.mycompany.com“), die ein
segmentweises Abgleichen und damit mehr Flexibilität ermöglichen. Wenn der
SubjectAltName nicht angegeben wird, können Sie den DNS-Namen im Feld für den
allgemeinen Namen angeben.
Kapitel 4 Infrastruktur und Integration 43
Das Zertikat der Zertizierungsinstanz, die das Zertikat des Servers signiert hat, muss auf
dem Gerät installiert sein. Handelt es sich dabei nicht um ein Root-Zertikat, müssen Sie den
übrigen Teil der Zertikatkette (Chain of Trust) installieren, damit das Zertikat als vertrau-
enswürdig gilt. Vergewissern Sie sich, wenn Clientzertikate verwendet werden, dass das
vertrauenswürdige Zertikat der Zertizierungsinstanz, die das Zertikat des Clients signierte,
auf dem VPN-Server installiert ist. Vergewissern Sie sich bei der auf Zertikaten basierenden
Identizierung, dass der Server so konguriert ist, dass er die Gruppe des Benutzers basierend
auf den jeweiligen Feldern im Clientzertikat identiziert.
Wichtig: Die Zertikate und Zertizierungsinstanzen müssen gültig sein (sie dürfen z. B. nicht
abgelaufen sein). Das Senden einer Zertikatkette durch den Server wird nicht unterstützt.
IPSec-Einstellungen und -Beschreibungen
IPSec umfasst verschiedene Einstellungen, die verwendet werden können, um die Art der
Implementierung zu denieren:
Mode: Tunnel-Modus.
IKE Exchange Modes: „Aggressive Mode“ für die Authentizierung mit Pre-Shared-Schlüssel und
für die Hybrid-Authentizierung oder „Main Mode“ für die Zertikatauthentizierung.
Encryption Algorithms: 3DES, AES-128 oder AES256.
Authentication Algorithms: HMAC-MD5 oder HMAC-SHA1.
Die-Hellman Groups: „Group 2“ ist für die Authentizierung mit Pre-Shared-Schlüssel
und für die Hybrid-Authentizierung erforderlich. Group 2 mit 3DES und AES-128 für die
Zertikatauthentizierung. Group 2 oder 5 mit AES-256.
PFS (Perfect Forward Secrecy): Für Phase 2 des IKE-Protokolls gilt: Wird PFS verwendet,
muss die Die-Hellman-Gruppe mit der in Phase 1 des IKE-Protokolls verwendeten Gruppe
identisch sein.
Mode Conguration: Muss aktiviert sein.
Dead Peer Detection: Empfohlen.
Standard NAT Transversal: Unterstützt und kann aktiviert werden (IPSec over TCP wird nicht
unterstützt).
Load Balancing: Unterstützt und kann aktiviert werden.
Re-keying of Phase 1: Derzeit nicht unterstützt. Es wird empfohlen, das Re-keying-Intervall für
die erneute Aushandlung der Schlüssel auf eine Stunde einzustellen.
ASA Address Mask: Stellen Sie sicher, dass alle Masken des Geräte-Adresspools entweder nicht
festgelegt oder auf 255.255.255.255 eingestellt sind. Beispiel:
asa(config-webvpn)# ip local pool vpn_users 10.0.0.1-10.0.0.254 mask
255.255.255.255.
Wenn Sie die empfohlene Adressmaske verwenden, werden unter Umständen einige der von
der VPN-Konguration angenommenen Routen ignoriert. Dies kann vermieden werden, indem
Sie sicherstellen, dass die Routingtabelle alle erforderlichen Routen enthält, und indem Sie vor
der Implementierung sicherstellen, dass die Teilnetzadressen zugänglich sind.
Application Version: Die Softwareversion des Clients wird an den Server gesendet, sodass
der Server Verbindungen basierend auf der Softwareversion des Geräts akzeptieren oder
ablehnen kann.
Banner: Das Banner wird, sofern es auf dem Server konguriert ist, auf dem Gerät angezeigt,
und der Benutzer muss es akzeptieren oder die Verbindung trennen.
Split Tunnel: Unterstützt.
Kapitel 4 Infrastruktur und Integration 44
Split DNS: Unterstützt.
Default Domain: Unterstützt.
VPN auf App-Basis
In iOS und OS X können VPN-Verbindungen auf App-Basis hergestellt werden. Dadurch kann gezielt
gesteuert werden, welche Daten über das VPN übertragen werden. Bei einem VPN auf Gerätebasis
werden alle Daten unabhängig von ihrem Ursprung über das VPN übertragen. Die Möglichkeit,
den Datenverkehr auf App-Ebene zu trennen, ermöglicht die Trennung privater Daten und
organisationseigener Daten. Da immer mehr private Geräte innerhalb von Organisationen genutzt
werden, bietet das VPN auf App-Basis einen sicheren Netzwerkbetrieb für interne Apps und
wahrt zugleich die Vertraulichkeit bei privater Gerätenutzung.
VPNs auf App-Basis ermöglichen jeder über MDM verwalteten App, über einen sicheren Tunnel
mit dem privaten Netzwerk zu kommunizieren. Gleichzeitig werden nicht verwaltete Apps auf
den Apple-Geräten von der Nutzung des privaten Netzwerks ausgeschlossen. Für verwaltete
Apps können unterschiedliche VPN-Verbindungen konguriert werden, um Daten noch weiter-
gehender zu schützen. Eine App für Angebote könnte beispielsweise ein anderes Rechenzentrum
verwenden als eine App für die Buchhaltung, während der Datenverkehr für das private Surfen
des Benutzers über das öentliche Internet läuft. Die Möglichkeit, den Datenverkehr auf App-Ebene
zu trennen, ermöglicht die Trennung privater Daten und organisationseigener Daten.
Damit ein VPN auf App-Basis verwendet werden kann, muss eine App über MDM verwaltet werden
und Standardnetzwerk-APIs verwenden. Nachdem VPN auf App-Basis für eine VPN-Verbindung
aktiviert wurde, müssen Sie diese Verbindung mit den Apps, die sie verwenden sollen, verknüpfen,
um den Netzwerkverkehr für diese Apps zu schützen. Dies geschieht über die App-to-Per-App-VPN-
Mapping-Payload im Kongurationsprol. VPNs auf App-Basis werden über eine MDM-Konguration
konguriert, die angibt, welche Apps und Safari-Domains die Einstellungen verwenden dürfen.
Setzen Sie sich bezüglich weiterer Informationen zur Unterstützung von VPNs auf App-Basis mit
den jeweiligen SSL- oder VPN-Anbietern in Verbindung.
VPN On-Demand
Überblick
VPN On-Demand ermöglicht Apple-Geräten, ohne Benutzereingri automatisch eine
Verbindung herzustellen. Die VPN-Verbindung wird nach Bedarf gestartet, wobei in einem
Kongurationsprol denierte Regeln zum Einsatz kommen. VPN On-Demand erfordert eine
zertikatbasierte Authentizierung.
VPN On-Demand wird mit dem Schlüssel „OnDemandRules“ in einer VPN-Payload eines
Kongurationsprols konguriert. Regeln werden in zwei Etappen angewendet:
Netzwerkerkennung: Es werden die VPN-Voraussetzungen deniert, die angewendet werden,
wenn sich die primäre Netzwerkverbindung des Geräts ändert.
Verbindungsevaluierung: Es werden die VPN-Voraussetzungen für bedarfsabhängige
Verbindungsanfragen für Domainnamen deniert.
Regeln können beispielsweise für Folgendes verwendet werden:
Erkennen, wann ein Apple-Gerät mit einem internen Netzwerk verbunden und kein VPN
erforderlich ist.
Kapitel 4 Infrastruktur und Integration 45
Erkennen, wann ein unbekanntes WLAN verwendet wird und ein VPN für alle
Netzwerkvorgänge erforderlich ist.
Erzwingen von VPN, wenn die DNS-Anfrage nach einem bestimmten
Domainnamen fehlschlägt.
Etappen
VPN ON Demand stellt die Verbindung zu Ihrem Netzwerk in zwei Stufen her.
Netzwerkerkennung
Die VPN On-Demand Regeln werden ausgewertet, wenn sich die primäre Netzwerkschnittstelle
des Geräts ändert. Das ist etwa dann der Fall, wenn ein Apple-Gerät in ein anderes WLAN oder
von WLAN zu Mobilfunk in iOS oder Ethernet in OS X wechselt. Ist die primäre Schnittstelle eine
virtuelle Schnittstelle (z. B. eine VPN-Schnittstelle), werden VPN On-Demand Regeln ignoriert.
Die Abgleichregeln in jeder Gruppe (Verzeichnis) müssen ausnahmslos zutreen, damit die ihnen
zugeordnete Aktion ausgeführt wird. Trit eine der Regeln nicht zu, wird die Auswertung mit
dem nächsten Verzeichnis im Array fortgesetzt, bis das Array „OnDemandRules“ ausgeschöpft ist.
Das letzte Verzeichnis sollte eine Standardkonguration denieren, d. h. keine Abgleichregeln
enthalten, sondern nur eine Aktion. Auf diese Weise werden alle Verbindungen erfasst, die keine
der vorhergehenden Regeln erfüllen.
Verbindungsevaluierung
Ein VPN kann bedarfsgesteuert auf Basis von Verbindungsanfragen an bestimmte Domains
ausgelöst werden, statt unilateral auf Basis der Netzwerkschnittstelle getrennt oder verbunden
zu werden.
Regeln und Aktionen
Regeln denieren den Typ der VPN On-Demand zugeordneten Netzwerke. Aktionen denieren,
was passiert, wenn Abgleichregeln zum Ergebnis „Wahr“ führen.
On-Demand-Abgleichregeln
Geben Sie für Cisco IPSec-Clients eine oder mehrere der folgenden Abgleichregeln an:
InterfaceTypeMatch: Optional. Ein String-Wert, der „cellular“ (in iOS) bzw. „Ethernet“ (in OS X)
oder „Wi-Fi“ enthält. Diese Regel trit zu, sofern sie angegeben wird, wenn die Hardware der
primären Schnittstelle den angegebenen Typ hat.
SSIDMatch: Optional. Ein Array von SSIDs zum Abgleich mit dem aktuellen Netzwerk.
Wenn das Netzwerk kein WLAN ist oder die SSID nicht in der Liste enthalten ist, schlägt der
Abgleich fehl. Zum Ignorieren der SSID muss dieser Schlüssel samt dem zugehörigen Array
weggelassen werden.
DNSDomainMatch: Optional. Ein Array von Such-Domains als Strings. Diese Eigenschaft trit zu,
wenn die kongurierte DNS-Suchdomain des aktuellen primären Netzwerks im Array enthalten
ist. Ein Platzhalterzeichen (*) als Präx wird unterstützt; beispielsweise würde „etwas.beispiel.
com“ eine Übereinstimmung mit „*.beispiel.com“ ergeben.
DNSServerAddressMatch: Optional. Ein Array von DNS Serveradressen als Strings. Diese
Eigenschaft trit zu, wenn alle derzeit kongurierten DNS Serveradressen des aktuellen
primären Netzwerks im Array enthalten sind. Das Platzhalterzeichen (*) wird unterstützt;
beispielsweise würden beliebige Server mit dem Präx „1.2.3.“ eine Übereinstimmung mit
„1.2.3.*“ ergeben.
Kapitel 4 Infrastruktur und Integration 46
URLStringProbe: Optional. Ein Server, dessen Erreichbarkeit geprüft werden soll. Es wird keine
Umleitung unterstützt. Die URL muss auf einen vertrauenswürdigen HTTPS Server verweisen.
Das Gerät sendet eine GET-Anfrage, um zu prüfen, ob der Server erreichbar ist.
Action
Dieser erforderliche Schlüssel deniert das VPN-Verhalten für den Fall, dass alle angegebenen
Abgleichregeln bei der Auswertung „Wahr“ ergeben. Die Werte für den Schlüssel „Action“ sind:
Connect: Die VPN-Verbindung wird beim nächsten Versuch einer Netzwerkverbindung ohne
weitere Bedingung hergestellt.
Disconnect: Die VPN-Verbindung wird getrennt und es werden keine neuen bedarfsgesteuerten
Verbindungen ausgelöst.
Ignore: Alle bestehenden VPN-Verbindung werden getrennt; es werden aber keine neuen
bedarfsgesteuerten Verbindungen ausgelöst.
EvaluateConnection: ActionParameters wird bei jedem Verbindungsversuch ausgewer-
tet. Wenn EvaluateConnection verwendet wird, ist der unten beschriebene Schlüssel
ActionParameters erforderlich, um die Evaluierungsregeln anzugeben.
Allow: Für iOS-Geräte mit iOS 6 (oder neuer) siehe Abwärtskompatibilität.
ActionParameters
Dies ist ein Array von Verzeichnissen mit den unten beschriebenen Schlüsseln, die in der
Reihenfolge ihres Vorkommens evaluiert werden. Bei „Action = EvaluateConnection“ erforderlich.
Domains: Erforderlich. Dies ist ein Array von Strings, die die Domains denieren, auf
die sich diese Evaluation bezieht. Präxe mit Platzhalterzeichen (wie „*.beispiel.com“)
werden unterstützt.
DomainAction: Erforderlich. Dieser Schlüssel deniert das VPN-Verhalten für die Domains.
Die Werte für den Schlüssel „DomainAction“ sind:
ConnectIfNeeded: Dieser Wert bewirkt das Starten des VPN, wenn die DNS-Auösung für die
Domains fehlschlägt (wenn z. B. der DNS-Server angibt, dass er den Domainnamen nicht
auösen kann), wenn die DNS-Antwort umgeleitet wird oder wenn die Verbindung fehlschlägt
oder das Zeitlimit (Timeout) für die Verbindung erreicht ist.
NeverConnect: Das VPN wird für die Domains nicht ausgelöst.
Bei der Festlegung „DomainAction = ConnectIfNeeded“ können auch die folgenden Schlüssel im
Verbindungsevaluierungsverzeichnis angegeben werden:
RequiredDNSServers: Optional. Dies ist ein Array mit den IP-Adressen der DNS-Server, die zum
Auösen der Domains verwendet werden sollen. Diese Server müssen nicht Teil der aktuellen
Netzwerkkonguration des Geräts sein. Wenn diese DNS-Server nicht erreichbar sind, wird das
VPN ausgelöst. Kongurieren Sie, um konsistente Verbindungen sicherzustellen, einen internen
DNS-Server oder einen vertrauenswürdigen externen DNS-Server.
RequiredURLStringProbe: Optional. Dies ist eine mit einer GET-Anfrage zu prüfende HTTP- oder
(vorzugsweise) HTTPS-URL. Wenn die DNS Auösung für diesen Server erfolgreich ist, muss
auch die Prüfung erfolgreich sein. Schlägt die Prüfung fehl, wird das VPN ausgelöst.
Abwärtskompatibilität
Vor iOS 7 wurden die Domainauslöseregeln über Arrays von Domains konguriert:
OnDemandMatchDomainAlways
OnDemandMatchDomainOnRetry
OnDemandMatchDomainNever
Kapitel 4 Infrastruktur und Integration 47
„OnRetry“ und „Never“ werden unter iOS 7 (oder neuer) weiterhin unterstützt, es sollte aber
bevorzugt die neuere Aktion „EvaluateConnection“ verwendet werden.
Verwenden Sie zum Erstellen eines Profils, das sowohl unter iOS 7 als auch unter älteren
Versionen funktionieren soll, die neuen Schlüssel „EvaluateConnection“ zusätzlich zu den
OnDemandMatchDomain-Arrays. Ältere Versionen von iOS, die EvaluateConnection nicht
erkennen, verwenden die alten Arrays, während iOS 7 (oder neuer) EvaluateConnection verwenden.
Ältere Konfigurationsprofile mit der Aktion „Allow“ funktionieren unter iOS 7 (oder neuer),
ausgenommen die OnDemandMatchDomainsAlways-Domains.
Permanentes VPN
Überblick
Permanente VPNs bieten Ihrer Organisation volle Kontrolle über den Gerätedatenverkehr,
da der gesamte IP-Datenverkehr zurück zur Organisation über Tunnel erfolgt. Das
Standardtunnelungsprotokoll IKEv2 schützt den übertragenen Datenverkehr durch
Verschlüsselung der Daten. Ihre Organisationen können den Datenverkehr zu und von ihren
Geräten überwachen und ltern, Daten innerhalb ihres Netzwerks schützen und den Zugri der
Geräte auf das Internet beschränken.
Die Aktivierung von „VPN immer EIN“ setzt betreute Geräte voraus. Ein Profil für ein
permanentes VPN wird auf einem Gerät installiert, und das permanente VPN wird automatisch
ohne Benutzerinteraktion aktiviert. „VPN immer EIN“ bleibt aktiviert (auch nach Neustarts), bis das
zugehörige Prol deinstalliert wird.
Ist „VPN immer EIN“ auf einem Gerät aktiviert, ist die Aktivierung und Deaktivierung des
VPN-Tunnels an den IP-Status der Schnittstelle gebunden. Wenn die Schnittstelle im IP-Netzwerk
erreichbar wird, wird versucht, den Tunnel zu aktivieren. Wenn die Schnittstelle im IP-Netzwerk
nicht mehr erreichbar ist, wird der Tunnel deaktiviert. Permanente VPNs unterstützten auch
Tunnel auf Schnittstellenbasis. Für iOS-Geräte wird ein separater Tunnel für jede aktive
IP-Schnittstelle verwendet (d. h. ein Tunnel für die Mobilfunkschnittstelle und ein Tunnel für die
WLAN-Schnittstelle). Solange die VPN-Tunnel aktiv sind, wird der gesamte IP-Datenverkehr durch
sie geleitet. Zum gesamten Datenverkehr zählt der gesamte weitergeleitete IP-Datenverkehr und
der gesamte Datenverkehr in bestimmten IP-Bereichen (d. h. der Datenverkehr von
Apple-Apps wie FaceTime und Nachrichten). Wenn die Tunnel nicht aktiv sind, wird der gesamte
IP-Datenverkehr beendet.
Der gesamte Tunneldatenverkehr von einem Gerät führt zu einem VPN-Server. Sie können
optional den Datenverkehr überwachen und/oder ltern, bevor Sie ihn an sein Ziel innerhalb
des Netzwerks Ihrer Organisation oder des Internets weiterleiten. Umgekehrt wird auch der
Datenverkehr zum Gerät an den VPN-Server Ihrer Organisation weitergeleitet, wo Sie ihn ltern
und/oder überwachen können, bevor er an das Gerät weitergeleitet wird.
Implementierungsszenarien
iOS-Geräte arbeiten im Einzelbenutzermodus. Es gibt keine Trennung zwischen Geräteidentität
und Benutzeridentität. Wenn ein iOS-Gerät einen IKEv2-Tunnel zum IKEv2-Server herstellt,
erkennt der Server das iOS-Gerät als eine Peer-Entität. Üblicherweise besteht nur ein (1) Tunnel
zwischen einem Paar von iOS-Geräten und einem VPN-Server. Da bei permanenten VPNs aber
Tunnel auf Schnittstellenbasis möglich sind, kann es mehrere gleichzeitige Tunnel geben, die je
nach Implementierungsmodell zwischen einem einzelnen iOS-Gerät und dem IKEv2-Server
aktiviert werden.
Kapitel 4 Infrastruktur und Integration 48
Die Konguration permanenter VPNs unterstützt die folgenden Implementierungsmodelle,
die unterschiedliche Lösungsanforderungen erfüllen.
Geräte nur mit Mobilfunk
Wenn Ihre Organisation ein permanentes VPN auf iOS-Geräten nur mit Mobilfunk implementieren
möchte (WLAN-Schnittstelle entfernt oder deaktiviert), wird über die IP-Schnittstelle für den
Mobilfunk ein IKEv2-Tunnel zwischen jedem Gerät und dem IKEv2-Server aktiviert. Dies entspricht
dem herkömmlichen VPN-Modell. Das iOS-Gerät agiert als ein IKEv2-Client mit einer Identität
(d. h. ein (1) Clientzertikat oder ein (1) Benutzer plus Passwort), wobei ein IKEv2-Tunnel zum
IKEv2-Server aktiviert wird.
Geräte mit Mobilfunk und WLAN
Wenn Ihre Organisation ein permanentes VPN auf iOS-Geräten mit einer Mobilfunk- und einer
WLAN-Schnittstelle implementieren möchte, werden von jedem Gerät zwei gleichzeitige
IKEv2-Tunnel aktiviert. Es gibt zwei Szenarien für Geräte mit Mobilfunk und WLAN:
Mobilfunktunnel und WLAN-Tunnel zu separaten IKEv2-Servern
Die Schlüssel für die Tunnelkonguration auf Schnittstellenbasis, die für ein permanentes VPN
unterstützt werden, ermöglichen Ihrer Organisation, einen Mobilfunktunnel zu einem
IKEv2-Server und einen WLAN-Tunnel zu einem zweiten IKEv2-Server zu aktivieren. Ein Vorteil
dieses Modells besteht darin, dass ein Gerät für beide Tunnels dieselbe Clientidentität verwen-
den kann (d. h. Clientzertikat oder Benutzer/Passwort), da die Tunnel zu unterschiedlichen
Servern führen. Bei unterschiedlichen Servern hat Ihre Organisation auch größere Flexibilität
bei der Trennung und Steuerung des Datenverkehrs nach Schnittstellentyp (Mobilfunk und
WLAN). Der Nachteil besteht darin, dass Ihre Organisation zwei unterschiedliche IKEv2-Server
mit identischen Richtlinien für die Clientauthentizierung verwalten muss.
Mobilfunktunnel und WLAN-Tunnel zum gleichen IKEv2-Server
Die Tunnelkonguration auf Schnittstellenbasis für ein permanentes VPN ermöglicht Ihrer
Organisation auch, ein Gerät so zu kongurieren, dass es einen Mobilfunktunnel und einen
WLAN-Tunnel zum gleichen IKEv2-Server aktiviert.
Nutzung von Clientidentitäten:
Nur eine (1) Clientidentität pro Gerät: Ihre Organisation kann dieselbe Clientidentität (d. h. ein
(1) Clientzertikat oder ein (1) Benutzer/Passwort-Paar) sowohl für einen Mobilfunktunnel
als auch für einen WLAN-Tunnel kongurieren, wenn der IKEv2-Server mehrere Tunnel
pro Client unterstützt. Der Vorteil besteht darin, dass Sie die zusätzliche Clientidentität
pro Gerät und die zusätzliche Kongurations-/Ressourcenlast auf dem Server vermeiden
können. Der Nachteil besteht darin, dass ein Gerät, das sich zwischen Netzwerken bewegt,
neue Tunnel aktiviert, während die alten Tunnel nicht mehr genutzt werden. Abhängig von
der Serverimplementierung ist der Server möglicherweise nicht in der Lage, nicht mehr
genutzte Tunnel ezient und zielgenau zu entfernen. Ihre Organisation muss eine Strategie
für die Entfernung nicht mehr genutzter Tunnel auf dem Server implementieren.
Zwei Clientidentitäten pro Gerät: Ihre Organisation kann zwei Clientidentitäten (d. h. zwei
Clientzertifikate oder zwei Benutzer/Passwort-Paare) konfigurieren – eine für den
Mobilfunktunnel und eine für den WLAN-Tunnel. Aus der Sicht des IKEv2-Servers sind dies
zwei unterschiedliche Clients mit jeweils eigenem Tunnel. Der Vorteil dieses Modells besteht
darin, dass es in Kombination mit den meisten Serverimplementierungen funktioniert,
da viele Server Tunnel anhand der Clientidentität unterscheiden und nur einen Tunnel pro
Client zulassen. Der Nachteil dieses Modells ist die doppelte Clientidentitätsverwaltung und
die doppelte Kongurations- und Ressourcenverwaltung auf dem Server.
Kapitel 4 Infrastruktur und Integration 49
Kongurationsprol für permanentes VPN
Ein Kongurationsprol für ein permanentes VPN kann entweder manuell mit einem der
Editoren für Apple-Kongurationsprole (z. B. Prolmanager, Apple Congurator) oder mit einem
Editor eines anderen MDM-Anbieters erstellt werden. Weitere Informationen nden Sie unter
Prolmanager-Hilfe oder Apple Congurator-Hilfe.
Benutzerinteraktionsschlüssel
Damit die Benutzer das permanente VPN nicht deaktivieren können, verbieten Sie das
Entfernen des Prols für das permanente VPN, indem Sie den höchstwertigen Prolschlüssel
„PayloadRemovalDisallowed“ auf „true“ (wahr) einstellen.
Damit die Benutzer das Verhalten des permanenten VPNs nicht ändern können, indem sie andere
Kongurationsprole installieren, verbieten Sie die Installation von Benutzeroberächenprolen, indem
Sie den Schlüssel „allowUICongurationProleInstallation“ der Payload „com.apple.applicationaccess
auf „false“ (falsch) einstellen. Ihre Organisation kann zusätzliche Einschränkungen mithilfe anderer
unterstützter Schlüssel unter derselben Payload implementieren.
Zertikat-Payloads
Server-CA-Zertikat: Wenn Zertikate als Authentizierungsmethode für IKEv2-Tunnel verwendet
werden, sendet der IKEv2-Server das Serverzertikat an das iOS-Gerät, das die Serveridentität
auswertet. Damit das iOS-Gerät das Serverzertikat auswerten kann, benötigt es das Zertikat
der Zertizierungsstelle (CA), die das Serverzertikat ausstellte. Dieses CA-Zertikat kann vorab
auf dem Gerät installiert worden sein. Andernfalls kann Ihre Organisation das CA-Zertikat
des Servers einbeziehen, indem eine Zertikat-Payload für das CA-Zertikat des Servers
erstellt wird.
CA-Zertikat(e) von Clients: Wenn Zertikate oder EAP-TLS als Authentizierungsmethode für
IKEv2-Tunnel verwendet werden, sendet das iOS-Gerät seine Clientzertikate an den IKEv2-Server,
der die Clientidentität auswertet. Der Client kann abhängig vom ausgewählten
Implementierungsmodell ein oder zwei Clientzertikate haben. Ihre Organisation muss die
Clientzertikat(e) einbeziehen, indem Payload(s) für die Clientzertikat(e) erstellt werden.
Gleichzeitig muss auf dem IKEv2-Server das CA-Zertikat des Clients (von der Zertizierungsstelle)
installiert sein, damit der IKEv2-Server die Clientidentität auswerten kann.
IKEv2-Zertikatunterstützung für permanentes VPN: Derzeit unterstützt IKEv2 für permanente
VPNs nur RSA-Zertikate.
Payload für permanentes VPN
Folgendes gilt für die Payload für permanente VPNs.
Die Payload für permanente VPNs kann nur auf betreuten iOS-Geräten installiert werden.
Ein Kongurationsprol kann immer nur eine Payload für permanente VPNs enthalten.
Es kann jeweils nur ein Kongurationsprol für ein permanentes VPN auf einem iOS-Gerät
installiert werden.
Automatische Verbindung in iOS
Ein permanentes VPN stellt den optionalen Schlüssel „UIToggleEnabled“ bereit, der es Ihrer
Organisation ermöglicht, den Schalter für das automatische Verbinden in den VPN-Einstellungen
zu aktivieren. Wenn dieser Schlüssel im Prol nicht angegeben oder auf 0 eingestellt wird, versucht
das permanente VPN, einen oder zwei VPN-Tunnel zu aktivieren. Wenn dieser Schlüssel auf 1
eingestellt wird, wird der Schalter im VPN-Einstellungsbereich angezeigt, sodass der Benutzer
entscheiden kann, ob er die VPN-Tunnelung ein- oder ausschalten möchte. Wenn der Benutzer
die VPN-Tunnelung ausschaltet, wird kein Tunnel aktiviert; in diesem Fall unterbindet das Gerät
den gesamten IP-Datenverkehr. Das ist hilfreich, wenn keine IP-Erreichbarkeit besteht und der
Benutzer dennoch Anrufe tätigen will. Der Benutzer kann die VPN-Tunnelung ausschalten,
um unnötige Versuche zu vermeiden, einen VPN-Tunnel zu aktivieren.
Kapitel 4 Infrastruktur und Integration 50
Array für die Tunnelkonguration auf Schnittstellenbasis
Es ist mindestens eine Tunnelkonguration im Array „TunnelCongurations“ erforderlich (die für reine
Mobilfunkgeräte auf die Mobilfunkschnittstelle und für Mobilfunkgeräte mit WLAN auf die
Mobilfunk- und WLAN-Schnittstelle angewendet wird). Es können maximal zwei Tunnelkongurationen
(eine für Mobilfunkschnittstellen und eine für WLAN-Schnittstellen) einbezogen werden.
Ausnahmen für Captive-Datenverkehr
Das permanente VPN unterstützt nur „Captive AutoLogon“ (automatische Anmeldung an
unterstützten Captive-Netzwerken mit vorab zugeordneten Anmeldedaten, z. B. den von der SIM
eingelesenen Anmeldedaten).
Das permanente VPN unterstützt über die folgenden Schlüssel auch die Kontrolle über die
Captive-Verarbeitung:
AllowCaptiveWebSheet: Mit diesem Schlüssel kann erlaubt werden, dass Datenverkehr von der
integrierten Captive WebSheet App außerhalb des Tunnels übertragen wird. WebSheet App
ist ein Browser, der die Captive-Anmeldung verarbeitet, falls keine Captive-App eines anderen
Anbieters vorhanden ist. Ihre Organisation sollte das in der Verwendung dieses Schlüssels liegende
Sicherheitsrisiko berücksichtigen, da WebSheet ein funktionsfähiger Browser ist, der alle Inhalte
vom antwortenden Captive-Server darstellen kann. Durch das Zulassen des Datenverkehrs für
WebSheet wird das Gerät anfällig für fehlerhafte oder schädliche Captive-Server.
AllowAllCaptiveNetworkPlugins: Mit diesem Schlüssel kann erlaubt werden, dass Datenverkehr
von allen berechtigten Captive-Apps anderer Anbieter außerhalb des Tunnels übertragen wird.
Dieser Schlüssel hat Vorrang vor dem Verzeichnis „AllowedCaptiveNetworkPlugins“.
AllowedCaptiveNetworkPlugins: Dies ist eine Liste von Paket-IDs berechtigter Captive-Apps
anderer Anbieter. Datenverkehr aus dieser Liste von Captive-Apps anderer Anbieter wird
außerhalb des Tunnels erlaubt. Wenn auch der Schlüssel „AllowAllCaptiveNetworkPlugins“
konguriert wird, bleibt diese Liste ohne Auswirkung.
Ausnahmen für Dienste
Bei einem permanenten VPN wird standardmäßig der gesamte IP-Datenverkehr in Tunneln über-
tragen. Das beinhaltet den gesamten lokalen Datenverkehr sowie den Datenverkehr für Dienste
von Mobilfunkanbietern. Daher bietet das Standardverhalten des permanenten VPNs keine
Unterstützung für lokale IP-Dienste oder für IP-Dienste des Netzbetreibers. Über Ausnahmen
für Dienste für das permanente VPN kann Ihre Organisation die Standardverarbeitung für den
Datenverkehr von Diensten ändern, sodass dieser außerhalb des Tunnels übertragen oder unter-
bunden wird. Die derzeit unterstützten Dienste sind „VoiceMail“ und „AirPrint“. Die zulässige
Aktion ist entweder „Allow“ (um Datenverkehr außerhalb des Tunnels zu erlauben) oder „Drop“
(um Datenverkehr unabhängig vom Tunnel zu unterbinden).
Weitere Informationen sind unter Conguration Prole Key Reference auf der Website
„iOS Developer Library“ zu nden.
5
51
Überblick
Die Internetdienste von Apple sind mit denselben Sicherheitszielsetzungen entwickelt worden,
die für die iOS-Plattform insgesamt gelten. Dazu zählen die sichere Verarbeitung von Daten
(unabhängig davon, ob sie auf dem iOS-Gerät gespeichert sind oder über Funknetzwerke übertragen
werden), der Schutz der privaten Daten des Benutzers sowie der Schutz vor unbefugten Zugrien
auf Daten und Dienste. Jeder Dienst verwendet eine eigene leistungsstarke Sicherheitsarchitektur,
ohne dadurch insgesamt die Benutzerfreundlichkeit von iOS zu beeinträchtigen.
Sie können diese Dienste in Ihrer Organisation nutzen, um Benutzern die Kommunikation
und die Sicherung ihrer persönlichen Daten zu erleichtern, ohne dass dadurch die Daten Ihrer
Organisation beeinträchtigt werden.
Diese Dienste beinhalten Folgendes:
Apple ID
„Mein iPhone suchen“ und Aktivierungssperre
Continuity
iCloud
iCloud-Schlüsselbund
iMessage
FaceTime
Siri
Apple-ID für Schüler
Sie können eine MDM-Lösung und iOS-Einschränkungen verwenden, um einige der oben
aufgelisteten Dienste einzuschränken. Weitere Informationen nden Sie unter Überblick zu
MDM-Beschränkungen.
Bei Apple haben Sicherheit und Datenschutz beim Design aller Hardware, Software und Dienste
oberste Priorität. Deshalb achten wir die Privatsphäre unserer Kunden und schützen sie mit
einer starken Verschlüsselung und strengen Richtlinien, die festlegen, wie alle Daten behandelt
werden. Weitere Informationen nden Sie unter www.apple.com/de/privacy.
Apple-ID
Eine Apple-ID ist um erforderlich, um auf die Dienste von Apple zuzugreifen. Sie müssen mit
Apple-IDs vertraut sein, damit Sie Ihren Benutzern vermitteln können, wie sie sich ihre eigene
Apple-ID einrichten können.
Eine Apple-ID ist eine Identität, die verwendet wird, um sich an verschiedenen Apple-Diensten
wie FaceTime, iMessage, iTunes Store, App Store, iBooks Store und iCloud anzumelden. Diese
Dienste ermöglichen Benutzern den Zugri auf vielfältige Inhalte, um Geschäftsaufgaben zu
optimieren, die Produktivität zu steigern und elektronisches Teamwork zu unterstützen.
Internetdienste
Kapitel 5 Internetdienste 52
Zur optimalen Nutzung dieser Dienste sollten die Benutzer eigene Apple-IDs haben. Benutzer,
die noch keine Apple-ID haben, können eine Apple-ID erstellen, noch bevor sie ein Apple-Gerät
erhalten. Alternativ können sie nach Erhalt des Geräts den Systemassistenten verwenden, um ohne
großen Aufwand eine Apple-ID direkt auf ihren iOS-Geräten zu erstellen. Apple-IDs können auch
ohne Kreditkarte erstellt werden.
Für Eins-zu-Eins-Implementierungen und für Implementierungen mit Geräten, die Eigentum von
Lernenden sind, sollten die Benutzer eigene Apple-IDs haben. Bei einer Implementierung mit
gemeinsamer Nutzung kann eine spezische Apple-ID der Einrichtung verwendet werden,
um Inhalte auf mehreren Apple-Geräten zu implementieren.
Mit einer Apple-ID kann jeder Lernende bzw. Mitarbeiter Apps, Bücher und andere von der
Einrichtung bereitgestellte Inhalte installieren; sich in iBooks Notizen machen, auf die von
verschiedenen iOS-Geräten und Mac-Computern aus zugegrien werden kann; und sich für
Kurse in iTunes U anmelden, ohne dass die IT die Apple-ID auf dem Apple-Gerät des Benutzers
verwalten muss.
Weitere Informationen zu Apple-IDs nden Sie auf der Seite Meine Apple-ID.
„Mein iPhone suchen“ und Aktivierungssperre
Es ist wichtig, iOS-Geräte bei Verlust oder Diebstahl deaktivieren und die darauf bendlichen
Daten löschen zu können. Mit „Mein iPhone suchen“, das Teil der iCloud-Suite ist, können
Benutzer den zuletzt gemeldeten Standort Ihres iPad, iPhone oder iPod touch anzeigen, indem
sie „Mein iPhone suchen“ auf iCloud.com bzw. die App „Mein iPhone suchen“ auf einem
iOS-Gerät verwenden. Nachdem das iOS-Gerät gefunden wurde, kann der Benutzer einen Ton
darauf abspielen, es in den Modus „Verloren“ versetzen oder es vollständig löschen, wenn es mit
dem Internet verbunden ist.
Der Modus „Verloren“ (iOS 6 oder neuer) sperrt das iOS-Gerät mit einem Code, zeigt eine benut-
zerdenierte Nachricht auf dem Bildschirm an und verfolgt seinen Standort. Bei iOS-Geräten mit
iOS 5 sperrt diese Funktion lediglich das Gerät.
Ab iOS 7 kann ein iOS-Gerät nicht ohne Eingabe der Apple-ID-Anmeldedaten des Eigentümers
erneut aktiviert werden, solange die Option „Mein iPhone suchen“ aktiviert ist. Sie sollten die
Geräte Ihrer Organisation betreuen und festlegen, dass Benutzer diese Option deaktivieren
müssen, da andernfalls Ihre Organisation daran gehindert wird, das Gerät einem anderen
Benutzer zuzuweisen.
Ab iOS 7.1 können Sie eine kompatible MDM-Lösung verwenden, um die Aktivierungssperre
auf betreuten Geräten zu aktivieren, wenn ein Benutzer „Mein iPhone suchen“ aktiviert.
MDM-Administratoren können die Aktivierungssperre durch „Mein iPhone suchen“ verwalten,
indem sie Geräte mit Apple Congurator oder dem Programm zur Geräteregistrierung
betreuen. Ihre MDM-Lösung kann in diesem Fall einen Umgehungscode speichern, wenn die
Aktivierungssperre aktiviert wird, und später diesen Code verwenden, um die Aktivierungssperre
automatisch aufzuheben, wenn Sie das Gerät löschen und es einem neuen Benutzer zuweisen
müssen. Weitere Informationen nden Sie in der Dokumentation zu Ihrer MDM-Lösung.
Kapitel 5 Internetdienste 53
Wichtig: Standardmäßig wird bei betreuten Geräten die Aktivierungssperre nie aktiviert, auch
wenn der Benutzer „Mein iPhone suchen“ aktiviert. Allerdings kann ein MDM-Server einen
Umgehungscode abrufen und die Aktivierungssperre auf dem Gerät erlauben. Wenn
„Mein iPhone suchen“ zu dem Zeitpunkt aktiviert ist, an dem der MDM-Server die Aktivierungssperre
aktiviert, wird die Aktivierungssperre an diesem Punkt aktiviert. Wenn „Mein iPhone suchen“ zu
dem Zeitpunkt ausgeschaltet ist, an dem der MDM-Server die Aktivierungssperre aktiviert, wird
sie das nächste Mal aktiviert, wenn der Benutzer „Mein iPhone suchen“ aktiviert.
Weitere Informationen zu „Mein iPhone suchen“, den Modus
„Verloren“ und zur Aktivierungssperre nden Sie in den Apple-
Supportartikeln iCloud-Support, iCloud: Modus „Verloren“ verwenden und
Mobile Device Management und Aktivierungssperre von „Mein iPhone suchen“ verwenden.
Weitere Informationen nden Sie außerdem unter Einstellungen „Aktivierungssperre“in der
Prolmanager-Hilfe.
Continuity
Continuity ist eine Reihe von Funktionen, mit denen Mac, iPhone und iPad nahtlos miteinander
kommunizieren können. Continuity erfordert iOS 8 oder neuer bzw. OS X Yosemite oder neuer
und es kann notwendig sein, dass die Geräte mit derselben Apple-ID registriert wurden.
Hinweis: Einige Funktionen sind möglicherweise nicht in allen Ländern, Regionen oder
Sprachen verfügbar.
Telefonanrufe
Ihr iPhone und Mac arbeiten nahtlos zusammen, wenn Sie Telefonanrufe tätigen oder annehmen.
Wenn ein Benutzer auf seinem Mac arbeitet und sich sein iPhone in der Nähe bendet, kann er
auf dem Mac Anrufe tätigen und annehmen und gegebenenfalls auf dem iPhone fortsetzen.
SMS
Mit iOS 8.1 oder neuer und OS X Yosemite oder neuer können Benutzer auf Ihren iOS-Geräten
SMS zur Kommunikation verwenden. SMS-Nachrichten werden auf allen Geräten des Benutzers
angezeigt, sodass er auf jedem Gerät antworten kann.
Hando
Der Benutzer kann damit beginnen, eine E-Mail in Mail zu schreiben oder ein Pages-Dokument
auf dem Mac zu erstellen. Wenn er dann zu seinem in der Nähe bendlichen iOS-Gerät mit iOS 8
oder neuer wechselt, ist das soeben bearbeitete Objekt dort bereits vorhanden und kann weiter
bearbeitet werden. Dem Benutzer wird ein kleines Symbol in der Ecke des iOS-Geräts oder im
Dock auf dem Mac angezeigt. Durch Streichen (auf dem iOS-Gerät) bzw. Klicken (auf dem Mac)
wird das Dokument geönet. Hando funktioniert mit Kalender, Kontakten, Mail, Karten,
Nachrichten, Pages, Numbers, Keynote, Erinnerungen und Safari. App-Entwickler können Hando
in ihre Apps integrieren.
Instant Hotspot
Mit Instant Hotspot kann ein Mac ein iPhone oder ein (mobilfunkfähiges) iPad mit iOS 8.1 oder
neuer verwenden, um sich mit dem Internet zu verbinden, wenn kein WLAN verfügbar ist.
Die Signalstärke und die Batterielaufzeit Ihres iOS-Geräts wird in der Menüleiste Ihres Mac angezeigt.
Wenn der Benutzer die Verbindung zum iOS-Gerät trennt, wird der Hotspot deaktiviert, um die
Batterie des iOS-Geräts zu schonen.
Hinweis: Erkundigen Sie sich bei Ihrem Anbieter nach der Verfügbarkeit von Hotspots.
Kapitel 5 Internetdienste 54
AirDrop
Mit AirDrop können Sie zwischen Macs mit OS X Mavericks oder neuer und iOS-Geräten mit
iOS 8 oder neuer drahtlos Dateien austauschen, ohne dass ein WLAN-Netzwerk benötigt wird.
AirDrop kann in jedem Freigabemenü und in der Finder-Seitenleiste auf dem
Mac verwendet werden.
iCloud
Mit iCloud können Benutzer persönliche Inhalte wie Kontakte, Kalender, Dokumente und Fotos
speichern und auf mehreren iOS-Geräten und/oder Mac-Computern auf dem neuesten Stand
halten. iCloud sichert Ihre Inhalte, indem es sie beim Senden über das Internet verschlüsselt,
sie in einem verschlüsselten Format speichert und sichere Token zur Authentizierung verwendet.
iOS-Geräte nutzen iCloud Backup, um Informationen täglich über WLAN zu sichern (einschließlich
iOS-Geräteeinstellungen, App-Daten sowie Text- und MMS-Nachrichten). iCloud Backup
funktioniert nur, wenn das Gerät gesperrt, an das Stromnetz angeschlossen und über WLAN mit
dem Internet verbunden ist. iCloud bietet auch die Möglichkeit, verlorene oder gestohlene
iOS-Geräte oder Mac-Computer mittels „Mein iPhone suchen“ zu nden.
Eine MDM-Lösung kann verhindern, dass verwaltete Apps in iCloud gesichert werden. Dies
bietet Benutzern den Vorteil, dass sie iCloud für persönliche Daten verwenden können, während
Geschäftsdaten nicht in iCloud gespeichert werden. Daten von geschäftlichen Accounts und
internen unternehmensspezischen Apps werden nicht in iCloud gesichert. Einige Dienste – z. B.
iCloud-Fotos, iCloud-Schlüsselbund und iCloud Drive – können durch manuell auf dem Gerät
eingegebene Einschränkungen deaktiviert oder durch Kongurationsprole festgelegt werden.
Weitere Informationen zu iCloud nden Sie auf der iCloud-Website.
Weitere Informationen zur iCloud-Sicherheit und -Privatsphäre nden Sie im Apple-Supportartikel
iCloud: Überblick über Sicherheit und Datenschutz. Weitere Informationen zu den Systemanforderungen
von iCloud nden Sie im Apple-Supportartikel Systemvoraussetzungen für iCloud.
Hinweis: Einige Funktionen erfordern eine WLAN-Verbindung. Einige Funktionen sind nicht in
allen Ländern verfügbar. Der Zugri auf einige Dienste ist auf 10 Geräte beschränkt.
iCloud Drive
Benutzer können ihre Dokumente auf iCloud Drive sicher speichern und von überall und jederzeit
mit iPhone, iPad, Mac oder einem Windows PC darauf zugreifen. Es ist auch möglich, mit einem
Mac auf Dokumentmediatheken von iOS-Apps zuzugreifen. Dies bietet den Benutzern die Möglichkeit,
Dokumente auf einem iOS-Gerät zu beginnen und dann auf einem Mac fertigzustellen.
Benutzer können auch ihre in iCloud Drive gespeicherten Dokumente aus Pages, Numbers oder
Keynote für andere freigeben. Jede iOS-App zeigt in iCloud Drive gespeicherte kompatible
Dokumente an. Auf dem Mac wird iCloud Drive als Ordner in OS X angezeigt. Benutzer können
Dateien per Drag&Drop hinzufügen, mithilfe von Ordnern und Tags organisieren und sie sogar
mit Spotlight durchsuchen.
iCloud aktualisiert Ihre Informationen geräteübergreifend. Alle Änderungen an einer Datei im
Oine-Modus werden automatisch aktualisiert, sobald das Gerät wieder online ist.
Kapitel 5 Internetdienste 55
iCloud-Schlüsselbund
Der iCloud-Schlüsselbund aktualisiert Passwörter für Websites in Safari und für WLAN-Netzwerke
auf allen iOS-Geräten und Mac-Computern, auf denen iCloud eingerichtet wurde. Er kann
Passwörter für andere unterstützte Apps speichern. Der iCloud-Schlüsselbund speichert auch
Kreditkarteninformationen, die Sie in Safari speichern, damit Safari sie auf Ihren iOS-Geräten und
dem Mac automatisch einsetzen kann. Außerdem speichert der iCloud-Schlüsselbund Anmelde-
und Kongurationsinformationen für Internetaccounts.
Der iCloud-Schlüsselbund besteht aus zwei Diensten:
Schlüsselbund geräteübergreifend aktualisieren
Schlüsselbundwiederherstellung
An der Schlüsselbundsynchronisierung können iOS-Geräte und Mac-Computer nur nach Freigabe
durch den Benutzer teilnehmen. Jedes Schlüsselbundobjekt, das für die Synchronisierung infrage
kommt, wird mit gerätespezischer Verschlüsselung über den iCloud-Schlüsselwertspeicher
ausgetauscht. Die Schlüsselbundobjekte sind temporär und bleiben nach der Synchronisierung
nicht in iCloud bestehen.
Die Schlüsselbundwiederherstellung ermöglicht es Benutzern, ihren Schlüsselbund bei Apple zu
sichern, ohne Apple die Möglichkeit zu geben, die Passwörter und andere darin enthaltene Daten
zu lesen. Selbst wenn ein Benutzer nur ein einzelnes Gerät – iOS-Gerät oder Mac – hat, bietet die
Schlüsselbundwiederherstellung Schutz vor möglichem Datenverlust. Das ist besonders wichtig,
wenn Safari verwendet wird, um zufällige, sichere Passwörter für Webaccounts zu generieren,
weil diese ausschließlich im Schlüsselbund aufgezeichnet werden.
Der iCloud-Schlüsselbund des Benutzers wird in iCloud gesichert, wenn der Benutzer einen
iCloud-Sicherheitscode erstellt. Die sekundäre Authentizierung und ein sicherer Treuhanddienst
sind wichtige Funktionen der Schlüsselbundwiederherstellung. Der Schlüsselbund des Benutzers
wird mithilfe eines sicheren Codes verschlüsselt, und der Treuhanddienst stellt nur dann eine Kopie
des Schlüsselbunds bereit, wenn eine Reihe strikter Bedingungen erfüllt ist.
Wichtig: Wenn der Benutzer keinen iCloud-Sicherheitscode erstellt, kann Apple den iCloud-
Schlüsselbund nicht wiederherstellen. Weitere Informationen nden Sie im Apple-Supportartikel
Häug gestellte Fragen zum iCloud-Schlüsselbund.
iMessage
iMessage ist ein Messagingdienst für iOS-Geräte und Mac-Computer, der Einzel- und
Gruppenchats ermöglicht. iMessage unterstützt Text und Anhänge wie Fotos, Kontakte und Orte.
Mitteilungen werden auf allen registrierten iOS-Geräten und Mac-Computern eines Benutzers
angezeigt, sodass dieser eine Konversation auf jedem beliebigen Gerät fortsetzen kann. iMessage
verwendet den Apple-Dienst für Push-Benachrichtigungen (APNs) und durchgängige
Verschlüsselung mit Schlüsseln, die nur dem sendenden und empfangenden iOS-Gerät und
Mac-Computer bekannt sind. Apple kann Mitteilungen nicht entschlüsseln und Mitteilungen
werden nicht protokolliert.
Hinweis: Es können die üblichen Mobilfunkgebühren anfallen. Wenn iMessage nicht verfügbar
ist, können Nachrichten als SMS versendet werden. Hierfür fallen Mobilfunkgebühren an.
Kapitel 5 Internetdienste 56
FaceTime
FaceTime ist der Dienst von Apple für Video- und Audioanrufe. Für FaceTime-Anrufe wird
der Apple-Dienst für Push-Benachrichtigungen zum Herstellen der Verbindung verwendet.
Anschließend wird der verschlüsselte Stream mithilfe von Internet Connectivity Establishment
(ICE) und Session Initiation Protocol (SIP) erstellt. Benutzer können mit FaceTime zwischen
Geräten kommunizieren, die iOS oder OS X verwenden.
Hinweis: Für FaceTime-Anrufe müssen beide Gesprächsteilnehmer ein FaceTime-fähiges Gerät
und eine WLAN-Verbindung nutzen. FaceTime über ein Mobilfunknetz erfordert ein iPhone 4s
oder neuer, ein iPad mit Retina Display oder neuer oder ein mobilfunkfähiges iPad mini oder
neuer. Die Verfügbarkeit über ein Mobilfunknetz ist abhängig vom Mobilfunkanbieter. Es können
Datengebühren anfallen.
Siri
Benutzer können durch normales Sprechen Siri anweisen, E-Mails zu senden, Meetings zu planen,
Anrufe zu tätigen und anderes mehr. Siri nutzt Funktionen für die Spracherkennung und für die
Umsetzung von geschriebenem Text in Sprache sowie ein Client-Server-Modell zur Beantwortung
vielfältiger Anfragen. Bei den von Siri unterstützten Aufgaben wurde Wert darauf gelegt,
dass möglichst wenig persönliche Daten genutzt und diese vollständig geschützt werden.
Siri-Anfragen und -Sprachaufnahmen sind nicht mit persönlichen IDs versehen. Nach Möglichkeit
werden Siri-Funktionen auf dem iOS-Gerät und nicht auf dem Server ausgeführt.
Hinweis: Siri ist möglicherweise nicht in allen Sprachen oder Regionen verfügbar, und die
Funktionalität kann je nach Region variieren. Der Internetzugang ist erforderlich. Es können
Mobilfunkgebühren anfallen.
Apple-ID für Schüler
Das Programm „Apple-ID für Schüler“ richtet sich an Schüler unter 13 Jahren. Die Apple-IDs werden
von der Schule bzw. von der zuständigen Schulbehörde angefordert und von Apple erstellt.
Dazu ist ein von einem Elternteil oder Erziehungsberechtigten unterschriebenes Parent Privacy
Disclosure and Consent-Formular erforderlich. Diese Methode entspricht dem Childrens Online
Privacy Protection Act (COPPA).
Weitere Informationen zur Apple-ID für Schüler nden Sie hier:
Apple-ID für Schüler
Apple-ID für Schüler (Hilfe)
Hinweis: Das Programm „Apple-ID für Schüler“ ist nicht in allen Ländern oder Regionen verfügbar.
Kapitel 5 Internetdienste 57
Apple-Dienst für Push-Benachrichtigungen (APNs)
Viele Dienste verwenden den Apple-Dienst für Push-Benachrichtigungen (APNs). Der APNs hat
wesentlichen Anteil daran, wie Apple-Geräte Aktualisierungen, MDM-Richtlinien und eingehende
Nachrichten erhalten. Damit Ihre Apple-Geräte diese Dienste verwenden können, müssen Sie
Netzwerkverkehr von diesen Geräten an das Apple-Netzwerk (17.0.0.8) an Port 5223 mit Port 443
als Ausweichoption erlauben.
Bei diesem Datenverkehr handelt es sich um ein geschütztes, binäres APNs-spezisches Protokoll,
das keinen Proxy verwenden kann. Wenn versucht wird, den Datenverkehr zu überprüfen oder
umzuleiten, markieren APNs und der Push-Anbieter die Netzwerkkonversation als beschädigt
und ungültig.
APNs verwendet an den Endpunkten und Servern mehrere Sicherheitsebenen.
Technische Informationen über diese Vorkehrungen finden Sie im
Local and Remote Notification Programming Guide.
6
58
Überblick
iOS und OS X umfassen mehrere Sicherheitsebenen. Dadurch können Apple-Geräte sicher auf
Netzwerkdienste zugreifen und wichtige Daten schützen. iOS und OS X bieten sicheren Schutz
außerdem auch durch die Verwendung von Richtlinien für Codes und Passwörter, die mit MDM
übermittelt und durchgesetzt werden können. Sollte ein Apple-Gerät in falsche Hände gelangen,
können Benutzer und IT-Administratoren den Befehl zum Fernlöschen geben, wodurch sämtliche
vertraulichen Informationen gelöscht werden.
Die Gewährleistung der Sicherheit von Apple-Geräten für den Einsatz in Unternehmen beinhaltet
Folgendes:
Methoden zur Verhinderung der unbefugten Nutzung des Geräts
Schutz gespeicherter Daten, auch bei Verlust oder Diebstahl des Geräts
Netzwerkprotokolle und Verschlüsselung von Daten bei der Übertragung
Sichere Ausführung von Apps ohne Gefährdung der Plattformintegrität
Diese Fähigkeiten ergänzen sich und ermöglichen es so, eine sichere Plattform für die Nutzung
von Mobilgeräten bereitzustellen. Weitere Informationen zur Sicherheit bei iOS nden Sie auf der
Apple-Website unter iOS and the new IT.
Geräte- und Datensicherheit
Überblick
Die Anwendung strenger Richtlinien für den Zugri auf Apple-Geräte ist für den Schutz der Daten
Ihrer Organisation unerlässlich. Sichere iOS-Gerätecodes sind die wichtigste Schutzmaßnahme
gegen unbefugten Zugri. Sie können per MDM konguriert und durchgesetzt werden.
iOS-Geräte verwenden einen eindeutigen, vom jeweiligen Benutzer festgelegten Code, um einen
sicheren Schlüssel zu generieren. Dieser dient dazu, E-Mails und vertrauliche App-Daten auf dem
Gerät zusätzlich zu schützen. iOS stellt außerdem sichere Methoden bereit, um Geräte in einer
IT-Umgebung zu kongurieren, in der bestimmte Einstellungen, Richtlinien und Einschränkungen
erforderlich sind. Diese Methoden bieten exible Optionen, um eine Standardsicherheitsebene
für berechtigte Benutzer zu realisieren.
Coderichtlinien
Ein iOS-Gerätecode hindert nicht berechtigte Benutzer daran, auf Daten auf dem Gerät zuzugreifen.
iOS bietet eine Vielzahl von Coderichtlinien, die Ihren Sicherheitsbedarf abdecken.
Diese Coderichtlinien beinhalten Folgendes:
Zwingende Eingabe eines Codes auf iOS-Geräten
Alphanumerische Werte erforderlich
Mindestlänge für Codes
Sicherheit
Kapitel 6 Sicherheit 59
Mindestanzahl von komplexen Zeichen
Maximale Gültigkeitsdauer für Codes
Zeit bis zur automatischen Sperre
Codeverlauf
Nachfrist für Gerätesperre
Maximale Anzahl fehlgeschlagener Versuche, bevor das iOS-Gerät gelöscht wird
Umsetzung von Richtlinien
Sie können Richtlinien in einem Kongurationsprol verteilen, das die Benutzer installieren.
Sie können ein Profil auch so definieren, dass das Löschen des Profils nur mit einem
Administratorpasswort möglich ist, oder es alternativ so denieren, dass es an das iOS-Gerät
gebunden ist und nicht gelöscht werden kann, ohne dass der gesamte Geräteinhalt ebenfalls
vollständig gelöscht wird. Codeeinstellungen, die entfernt mithilfe von MDM konguriert
wurden, können die Richtlinien im Push-Modus direkt an das Gerät senden können, sodass die
Richtlinien ohne Benutzereingri durchgesetzt und aktualisiert werden können.
Wenn ein Gerät für den Zugri auf einen Microsoft Exchange-Account konguriert ist, werden
Exchange ActiveSync-Richtlinien im Push-Modus drahtlos an das Gerät gesendet. Die verfügbaren
Richtlinien hängen von der Version von Exchange ActiveSync und Exchange Server ab. Sind
sowohl Exchange als auch MDM-Richtlinien vorhanden, wird jeweils die striktere Richtlinie
angewendet.
Sichere Gerätekonguration
Kongurationsprole sind XML-Dateien, die für die Gerätesicherheit relevante Richtlinien und
Einschränkungen, VPN-Kongurationsdaten, WLAN-Einstellungen, E-Mail- und Kalenderaccounts
sowie Authentizierungsdaten enthalten, die es iOS-Geräten ermöglichen, mit Ihren IT-Systemen
zusammenzuarbeiten. Die Möglichkeit, Coderichtlinien zusammen mit Geräteeinstellungen in
einem Kongurationsprol festzulegen, stellt sicher, dass die Geräte korrekt und gemäß den
Sicherheitsstandards der IT-Abteilung konguriert werden. Da sich Kongurationsprole sowohl
verschlüsseln als auch schützen lassen, können die Einstellungen nicht entfernt, verändert oder
weitergegeben werden.
Kongurationsprole können sowohl signiert als auch verschlüsselt werden. Durch das Signieren
eines Konfigurationsprofils wird sichergestellt, dass die durch das Profil vorgegebenen
Einstellungen in keiner Weise geändert werden können. Durch die Verschlüsselung eines
Kongurationsprols wird der Inhalt des Prols geschützt, da es nur auf dem Gerät installiert
werden kann, für das es erstellt wurde. Kongurationsprole werden über CMS (Cryptographic
Message Syntax, gemäß RFC 3852) verschlüsselt, wobei 3DES und AES-128 unterstützt werden.
Bei der erstmaligen Verteilung eines verschlüsselten Kongurationsprols kann es mithilfe von
Apple Congurator über USB oder drahtlos installiert werden. Im letzteren Fall kommt entweder
das Protokoll „Over-the-Air Prole Delivery and Conguration“ oder aber MDM zum Einsatz.
Alle weiteren verschlüsselten Kongurationsprole können als E-Mail-Anhang übermittelt,
auf einer für die Benutzer zugänglichen Website gespeichert oder mithilfe von MDM im Push-Modus
an das Gerät übertragen werden.
Weitere Informationen nden Sie unter Over-the-Air Prole Delivery and Conguration.
Kapitel 6 Sicherheit 60
Datenschutz
Auf dem Gerät gespeicherte vertrauliche Daten wie E-Mails und Anhänge können mit den in
iOS integrierten Datenschutzfunktionen zusätzlich geschützt werden. Für den Schutz der Daten
nutzen iOS-Geräte den eindeutigen Gerätecode zusammen mit der Hardwareverschlüsselung,
um einen sicheren Schlüssel zu erstellen. Dies verhindert den Zugri auf Daten, wenn das Gerät
gesperrt ist, und sorgt dafür, dass geschäftskritische Daten selbst bei Verlust oder Diebstahl des
Gerätes geschützt sind.
Zum Aktivieren des Datenschutzes müssen Sie auf dem Gerät einen Code einrichten. Die Wirksamkeit
des Datenschutzes hängt von einem sicheren Code ab. Es ist deshalb wichtig, dass Codes mit mehr
als vier Ziern zur Bedingung gemacht werden.
Benutzer können im Bereich „Code-Sperre“ der Einstellungen überprüfen, ob der Datenschutz auf
ihrem Gerät aktiviert ist. MDM-Lösungen bieten die Möglichkeit, auch diese Informationen von
einem Gerät zu erfragen.
Darüber hinaus gibt es Datenschutz-APIs für Entwickler, die verwendet werden können,
um Daten in App Store-Apps oder speziell entwickelten unternehmensinternen Apps zu sichern.
Ab iOS 7 haben durch Apps gespeicherte Daten standardmäßig die Sicherheitsklasse „Protected
Until First User Authentication“. Dies ist mit der vollständigen Festplattenverschlüsselung auf
Desktopcomputern vergleichbar. Daten werden so vor Angriffen geschützt, die einen
Neustart beinhalten.
iOS 8 beinhaltet Datenschutzfunktionen für Kalender, Kontakte, Mitteilungen, Notizen,
Erinnerungen und verwaltete Bücher sowie für PDF-Dateien.
Hinweis: Beim Upgrade eines Geräts von iOS 6 werden vorhandene Datenspeicher nicht in die
neue Klasse konvertiert. Erst durch Löschen und erneutes Installieren einer App erhält die App
die neue Schutzklasse.
Verschlüsselung
iOS-Geräte verwenden eine Hardwareverschlüsselung. Die Hardwareverschlüsselung verwendet
256-Bit AES-Codierung, um die Daten auf dem Gerät zu schützen. Die Verschlüsselung ist immer
aktiv und kann nicht deaktiviert werden. Auch Daten, die über iTunes auf dem Computer eines
Benutzers gesichert werden, können verschlüsselt werden. Diese Funktion kann vom Benutzer
aktiviert oder in Kongurationsprolen durch Einstellungen für Geräteeinschränkungen
erzwungen werden.
Die Verschlüsselungsmodule in iOS 6 oder neuer entsprechen dem U.S. Federal Information
Processing Standard (FIPS) 140-2 Level 1. Dementsprechend wird die Integrität bei
Verschlüsselungsvorgängen in Apple Apps und Apps anderer Anbieter validiert, die die
Verschlüsselungsdienste von iOS ordnungsgemäß nutzen.
Weitere Informationen nden Sie in den Apple-Supportartikeln zur iOS-Produktsicherheit:
Validierungen und Leitfäden und Apple FIPS iOS Cryptographic Modules 4.0.
S/MIME auf E-Mail-Basis
iOS 8 und OS X Yosemite unterstützen S/MIME auf der Basis einzelner E-Mail-Nachrichten. Damit
können S/MIME-Benutzer wählen, ob sie einzelne E-Mails standardmäßig immer signieren und
verschlüsseln oder selektiv signieren und/oder verschlüsseln möchten, um mehr Kontrolle über
die Sicherheit der einzelnen E-Mails zu haben.
Kapitel 6 Sicherheit 61
Zertikate für die Verwendung mit S/MIME können mit einem Kongurationsprol, MDM oder
SCEP an Apple-Geräte übermittelt werden. Das gibt der IT die notwendige Flexibilität, um sicher-
zustellen, dass Benutzer die passenden Zertikate installiert haben.
Externe E-Mail-Adressen
iOS 8 und OS X Yosemite unterstützen die Erstellung einer Domainliste mit bestimmten Suxen.
E-Mails, die nicht an Domains in der genehmigten Liste adressiert sind, werden rot markiert. Zum
Beispiel könnte ein Benutzer „example.com“ und „group.example.com“ in seiner Liste bekannter
Domains haben. Wenn ein Benutzer mit example.com und group.example.com in der Liste
bekannter Domains in einer E-Mail anyone@acme.com als Empfänger eingibt, wird die Adresse
eindeutig markiert, damit der Benutzer weiß, dass sich die Domain acme.com nicht auf der
genehmigten Liste bendet.
Touch ID
Touch ID ist der Fingerabdrucksensor in manchen iOS-Geräten. Es macht den äußerst sicheren
Zugri auf das Gerät schneller, einfacher und sicherer. Diese Technologie liest Fingerabdrücke aus
jedem beliebigen Winkel und erfasst den Fingerabdruck des Benutzers nach und nach immer
genauer. Dabei erweitert der Sensor die Fingerabdruckdarstellung, wenn bei jeder Nutzung
zusätzliche überlappende Knoten identiziert werden.
Touch ID vereinfacht und fördert die Verwendung längerer, komplexerer Codes, da diese seltener
eingegeben werden müssen.
Ist Touch ID aktiviert, wird das Gerät unverzüglich gesperrt, wenn die Standbytaste gedrückt wird.
Basiert die Sicherheit nur auf dem Code, stellen viele Benutzer eine Nachfrist für die Gerätesperre
ein, damit sie den Code nicht bei jeder Benutzung des Geräts eingeben müssen. Mit Touch ID
wird das Gerät im Ruhezustand stets gesperrt und erfordert beim Beenden des Ruhezustands
einen Fingerabdruck bzw. optional den Code.
Touch ID funktioniert in Verbindung mit Secure Enclave – einem im Apple A7-Chip enthaltenen
Coprozessor. Secure Enclave besitzt einen eigenen geschützten und verschlüsselten Speicherbereich
und kommuniziert sicher mit den Touch ID-Sensor. Wird das Gerät gesperrt, werden die Schlüssel
für die „Data Protection“-Klasse „Complete“ durch einen Schlüssel im verschlüsselten Speicher
von Secure Enclave geschützt. Der Schlüssel wird maximal 48 Stunden beibehalten und gelöscht,
wenn das Gerät neu gestartet oder wenn fünf Mal ein unbekannter Fingerabdruck verwendet
wird. Wird ein Fingerabdruck erkannt, stellt Secure Enclave den Schlüssel zur Freigabe der
„Data Protection“-Schlüssel bereit, mit dem das Gerät entsperrt wird.
iOS 8 führt die Verwendung der Touch ID für die Anmeldung an Apps anderer Anbieter ein.
Wenn ein Entwickler diese Funktion in seine App integriert hat, muss der Benutzer kein Passwort
eingeben. Jedes vom Entwickler angegebene Schlüsselbundobjekt kann mithilfe von Touch ID
entsperrt werden. Die Fingerabdruckdaten eines Benutzers sind geschützt. Weder durch iOS oder
durch Apps wird jemals darauf zugegrien.
Kapitel 6 Sicherheit 62
Fernlöschen
Apple-Geräte unterstützen das Löschen per Fernzugri. Geht ein Apple-Gerät verloren oder wird
es gestohlen, kann der Administrator oder Eigentümer des Geräts mithilfe einer MDM-Lösung
oder der iCloud-Funktion „Mein iPhone suchen“ den Befehl „Fernlöschen“ ausgeben, der alle
Daten entfernt und das Gerät deaktiviert. Ist auf dem Gerät ein Exchange Account konguriert,
kann der Administrator den Fernlöschbefehl über die Exchange Management Console (Exchange
Server 2007) oder das Exchange ActiveSync Mobile Administration Web Tool (Exchange Server
2003 oder 2007) ausgeben. Benutzer von Exchange Server 2007 können Fernlöschbefehle auch
mithilfe von Outlook Web Access geben.
Lokales Löschen
Sie können Geräte so kongurieren, dass nach mehreren fehlerhaften Codeeingaben automatisch
ein lokaler Löschvorgang eingeleitet wird. Diese Maßnahme bietet Schutz bei Attacken mit dem
Ziel, Zugri auf das Gerät zu erhalten. Wenn ein Code festgelegt ist, können die Benutzer das
lokale Löschen direkt in den Einstellungen aktivieren. Standardmäßig löscht iOS das Gerät
automatisch nach 10 fehlerhaften Codeeingaben. Die maximale Anzahl fehlgeschlagener Versuche
kann mittels eines Kongurationsprols eingestellt, von einem MDM-Server vorgegeben oder
drahtlos über Microsoft Exchange ActiveSync-Richtlinien festgelegt werden.
Netzwerksicherheit
Mobile Benutzer müssen von überall auf der Welt auf Unternehmensnetzwerke zugreifen können.
Dabei muss sichergestellt werden, dass die Benutzer über die entsprechenden Zugriffsrechte
verfügen und dass die Daten während der Übertragung zuverlässig geschützt sind. Die in
iOS integrierten Technologien für die Netzwerksicherheit realisieren diese Sicherheitsziele sowohl
für WLAN- als auch für Mobilfunkdatenverbindungen.
Die iOS-Netzwerksicherheit unterstützt Folgendes:
Integriertes Cisco IPSec, L2TP, IKEv2, PPTP
SSL-VPN über App Store-Apps
SSL/TLS mit X.509-Zertikaten
WPA/WPA2 Enterprise mit 802.1X
Zertikatbasierte Identizierung
RSA SecurID, CRYPTOCard
VPN
In vielen Unternehmensumgebungen werden virtuelle private Netzwerke (VPN) in der ein oder
anderen Weise verwendet. Diese sicheren Netzwerkdienste erfordern normalerweise nur wenige
Installations- und Kongurationsschritte für die Zusammenarbeit mit Apple-Geräten, die sich in
eine Vielzahl gängiger VPN-Technologien integrieren lassen.
Weitere Informationen nden Sie unter Überblick für Virtual Private Networks (VPN).
IPsec
iOS und OS X unterstützen IPSec-Protokolle und -Authentizierungsmethoden. Weitere
Informationen nden Sie unter Unterstützte Protokolle und Authentizierungsmethoden.
SSL/TLS
iOS unterstützt SSL v3 und Transport Layer Security (TLS v1.0, 1.1 und 1.2). Safari, Kalender, Mail und
andere Internet-Apps verwenden diese automatisch, um einen verschlüsselten Kommunikationskanal
zwischen iOS und OS X und Unternehmensdiensten zu aktivieren.
Kapitel 6 Sicherheit 63
WPA/WPA2
iOS und OS X unterstützen WPA2 Enterprise, um den authentizierten Zugri auf Ihr drahtloses
Unternehmensnetzwerk zu ermöglichen. WPA2 Enterprise verwendet eine AES-Verschlüsselung
mit 128 Bit, sodass die Benutzerdaten bei der Übertragung über eine WLAN-Netzwerkverbindung
geschützt sind. Da Apple-Geräte den Standard 802.1X unterstützen, lassen sie sich in eine Vielzahl
von RADIUS-Authentizierungsumgebungen integrieren.
iOS und OS X unterstützen folgende 802.1X Authentizierungsprotokolle:
EAP-TLS
EAP-TTLS
EAP-FAST
EAP-SIM
EAP-AKA
PEAP v0, v1
LEAP
Weitere Informationen nden Sie im Überblick zu WLAN.
FaceTime- und iMessage-Verschlüsselung
Jede FaceTime-Sitzung und iMessage-Konversation wird verschlüsselt. iOS und OS X erstellen
eine eindeutige ID für jeden Benutzer und stellen sicher, dass die Übertragung ordnungsgemäß
verschlüsselt, weitergeleitet und verbunden wird.
Sicherheit von Apps
Um sicherzustellen, dass Apps nicht manipuliert werden können, verwenden iOS und OS X einen
„Sandbox“-Ansatz für den Laufzeitschutz und die Signierung von Apps. iOS und OS X umfassen
mit dem Schlüsselbund außerdem ein Framework, das die sichere Speicherung der Anmeldedaten
für Apps und Netzwerkdienste an einer verschlüsselten Speicherposition ermöglicht. Für iOS-
und OS X-Entwickler bietet der Schlüsselbund eine Common Crypto-Architektur, die verwendet
werden kann, um von diesen Apps gespeicherte Daten zu verschlüsseln.
Laufzeitschutz
Alle Apps aus dem App Store werden in einer „Sandbox“ (geschützt) ausgeführt, um den Zugri
auf von anderen Apps gespeicherte Daten zu beschränken. Außerdem werden Systemdateien,
Ressourcen und der Kernel vom App-Bereich des Benutzers abgeschirmt. Muss eine App auf die
Daten einer anderen App zugreifen, ist dies nur mit den von iOS und OS X bereitgestellten APIs
und Diensten möglich. Auch das Generieren von Code wird verhindert.
Zwingende Codesignierung
Alle Apps aus dem App Store müssen signiert sein. Die ab Werk auf Apple-Geräten vorhandenen
Apps wurden von Apple signiert. Apps von anderen Anbietern werden vom Entwickler mit einem
von Apple ausgegebenen Zertikat signiert. Dies gewährleistet, dass die Apps nicht manipuliert
oder geändert wurden. Durch Laufzeitprüfungen wird sichergestellt, dass eine App seit der letzten
Verwendung nicht ihre Vertrauenswürdigkeit verloren hat.
Sie können die Verwendung eigener interner Apps über ein Bereitstellungsprol steuern. Benutzer
müssen das Bereitstellungsprol installieren, um die App starten zu können. Bereitstellungsprole
können mithilfe von MDM drahtlos installiert werden. Sie können auch die Verwendung einer
App auf bestimmte Geräte beschränken.
Kapitel 6 Sicherheit 64
Framework für die sichere Authentizierung
iOS und OS X bieten einen sicheren verschlüsselten Schlüsselbund für die Speicherung digitaler
Identitäten, Benutzernamen und Passwörter. Schlüsselbunddaten werden partitioniert und mit
Zugrissteuerungslisten (Access Control Lists, ACLs) geschützt, sodass eine App mit einer anderen
Identität nicht auf die von Apps anderer Anbieter gespeicherten Anmeldedaten zugreifen kann,
sofern der Benutzer dies nicht ausdrücklich erlaubt. Auf diese Weise können Anmeldedaten
auf dem Apple-Gerät für die gesamte Bandbreite von Apps und Diensten innerhalb Ihrer
Organisation geschützt werden.
Allgemeine Verschlüsselungsarchitektur
App-Entwickler können Verschlüsselungs-APIs verwenden, um ihre App-Daten zu schützen.
Daten können mithilfe bewährter Methoden wie AES, RC4 oder 3DES symmetrisch verschlüsselt
werden. iOS-Geräte und aktuelle Mac-Computer von Intel stellen auch Hardwarebeschleunigung
für die AES-Verschlüsselung und das SHA1-Hashverfahren bereit, was die App-Leistung maximiert.
Schutz von App-Daten
Apps können die integrierte Hardwareverschlüsselung auf iOS-Geräten für einen weitergehenden
Schutz vertraulicher App-Daten nutzen. Entwickler können bestimmte Dateien für den Datenschutz
kennzeichnen und das System anweisen, den Inhalt der Dateien durch Verschlüsselung sowohl für
die App als auch für mögliche Eindringlinge unzugänglich zu machen, wenn das Gerät gesperrt ist.
App-Berechtigungen
Standardmäßig verfügt eine App für ein iOS-Gerät über eingeschränkte Berechtigungen.
Entwickler müssen Berechtigungen ausdrücklich hinzufügen, damit Funktionen wie iCloud,
die Hintergrundverarbeitung oder gemeinsam genutzte Schlüsselbunde verwendet werden
können. So wird sichergestellt, dass Apps sich nicht selbst Zugri auf Daten geben können,
mit denen sie nicht bereitgestellt wurden. Außerdem müssen iOS-Apps ausdrücklich die
Genehmigung des Benutzers einholen, bevor sie iOS-Funktionen wie die GPS-Standortbestimmung,
Benutzerkontakte, die Kamera oder gespeicherte Fotos verwenden können.
Gesamtauthentizierung und Touch ID
Entwickler können die Gesamtauthentizierung (Single Sign-On bzw. SSO) und Touch ID nutzen,
um eine sichere, transparente Authentizierungsintegration zwischen verschiedenen Apps
bereitzustellen und die Authentizierung mithilfe von Touch ID zu ermöglichen.
Weitere Informationen nden Sie unter Kongurieren der Gesamtauthentizierung und Touch ID.
7
65
Überblick
Sie können die Implementierung von Apple-Geräten mit Verwaltungsmethoden beschleunigen,
mit denen sich die Accountkonguration, die Konguration verbindlicher Richtlinien, die Verteilung
von Apps und die Umsetzung von Einschränkungen vereinfachen lassen. Sie können die Einstellungen
für iOS und OS X und -Accounts manuell oder drahtlos mit einer MDM-Lösung kongurieren.
Benutzer können in diesem Fall den Hauptanteil an der Einrichtungsarbeit mithilfe des in den
Apple-Geräten integrierten Systemassistenten selbst erledigen. Nachdem die Geräte konguriert
und bei MDM registriert wurden, können sie drahtlos von Ihrer IT-Abteilung verwaltet werden.
MDM bietet Ihrer Organisation die Möglichkeit, Apple-Geräte in der Unternehmens- oder
Bildungsumgebung sicher zu registrieren, drahtlos Einstellungen zu konfigurieren und zu
aktualisieren, die Einhaltung von Richtlinien zu überwachen, Apps zu implementieren und verwaltete
Geräte per Fernzugri zu löschen oder zu sperren. Es sind mehrere MDM-Lösungen für unter-
schiedliche Serverplattformen verfügbar. Jede Lösung bietet eine eigene Verwaltungskonsole,
typische Funktionen und Preismodelle. Anhand der nachfolgenden Informationen können Sie
herausnden, welche Funktionen für Ihre Organisation am wichtigsten sind, sodass Sie die für Sie
richtige MDM-Lösung wählen können.
Abhängig vom Besitzverhältnis der Apple-Geräte und der Art der Implementierung sind unter-
schiedliche Kongurationsarbeitsabläufe und -funktionen möglich. Weitere Informationen nden
Sie im Überblick zu den Implementierungsmodellen.
Dieser Abschnitt beschreibt alle Werkzeuge, Programme und Dienste, die verfügbar sind, um Ihre
Implementierung von Apple-Geräten zu unterstützen.
Systemassistent und Aktivierung
iOS und OS X beinhalten einen Systemassistenten, um jedes neue oder gelöschte Apple-Gerät
zu aktivieren, grundlegende Einstellungen zu kongurieren und Einstellungen wie Sprache,
Ortungsdienste, Siri, iCloud und „Mein iPhone suchen“ anzupassen. Benutzer können nach dem
Auspacken eines Apple-Geräts diese Funktionen verwenden, um das Gerät in Betrieb zu nehmen.
Alternativ kann Ihre Organisation diese grundlegenden Kongurationsaufgaben ausführen.
Der Systemassistent ermöglicht es Benutzern auch, eine persönliche Apple-ID zu erstellen, wenn
sie noch keine haben.
Bei im Programm zur Geräteregistrierung registrierten und per MDM verwalteten Apple-Geräten
können folgende Anzeigen des Systemassistenten übersprungen werden:
Aus Backup wiederherstellen: Es erfolgt keine Wiederherstellung aus einem Backup.
Apple-ID: Der Benutzer wird nicht aufgefordert, sich mit einer Apple-ID anzumelden.
Geschäftsbedingungen: Die Geschäftsbedingungen werden übersprungen.
Senden von Diagnosedaten: Es werden nicht automatisch Diagnosedaten gesendet.
Ortungsdienste (nur iOS): Die Ortungsdienste werden nicht aktiviert.
Konguration und Verwaltung
Kapitel 7 Konguration und Verwaltung 66
Touch ID (nur iOS): Touch ID wird nicht aktiviert.
Code (nur iOS): Die Codekonguration wird übersprungen.
Apple Pay (nur iOS): Apple Pay wird nicht aktiviert.
Siri (nur iOS): Siri wird nicht aktiviert.
Anzeigezoom (nur iOS): Anzeigezoom wird nicht aktiviert.
Registrierung (nur OS X): Registrierung wird nicht zugelassen.
FileVault (nur OS X): FileVault wird nicht aktiviert.
Solange Objekte nicht gleichzeitig dauerhaft mit einer MDM-Lösung eingeschränkt werden,
können Benutzer diese nach dem Einrichten des Apple-Geräts aktivieren.
Weitere Informationen zum Programm zur Geräteregistrierung nden Sie hier:
Programm zur Geräteregistrierung
Programm zur Geräteregistrierung
Hilfe zu den Apple-Implementierungsprogrammen
Kongurationsprole
Ein Konfigurationsprofil ist eine XML-Datei, mit deren Hilfe Konfigurationsdaten an
Apple-Geräte verteilt werden. Kongurationsprole automatisieren die Konguration von Einstellungen,
Accounts, Einschränkungen und Anmeldedaten. Sie können über einen E-Mail-Anhang installiert,
von einer Webseite geladen oder über Apple Congurator auf iOS-Geräten installiert werden.
Wenn Sie eine große Zahl von iOS-Geräten kongurieren oder einfach nur ein drahtloses
Implementierungsmodell bevorzugen, können Sie Kongurationsprole per MDM bereitstellen.
Kongurationsprole, die Payloads für Zertikate und WLAN enthalten, können auch auf
Apple TV installiert werden. Weitere Informationen nden Sie im Apple-Supportartikel
Auf Apple TV ein Kongurationsprol installieren.
Kongurationsprole können verschlüsselt und signiert werden. Dies gibt Ihnen die Möglichkeit,
den Einsatz eines Prols auf ein bestimmtes Apple-Gerät zu beschränken und Änderungen an
den Einstellungen des Prols durch Dritte zu verhindern. Ein Prol auf dem Gerät kann von einem
MDM-Administrator auch als geschützt markiert werden. In diesem Fall lässt sich das Prol nach
der Installation nur löschen, indem auch alle Daten vom Gerät gelöscht werden oder alternativ
ein Passwort eingegeben wird.
Mit Ausnahme von Passwörtern können Benutzer keine der durch das Kongurationsprol
bereitgestellten Einstellungen ändern. Accounts, die anhand eines Prols konguriert wurden
(beispielsweise Exchange Accounts), können nur durch Löschen des Prols entfernt werden.
Weitere Informationen nden Sie unter Conguration Prole Key Reference.
Kapitel 7 Konguration und Verwaltung 67
Mobile Device Management (MDM)
Überblick
Die Unterstützung für MDM in iOS und OS X ermöglicht es der IT, skalierte Implementierung
von Apple-Geräten organisationsübergreifend sicher zu kongurieren und verwalten. iOS und
OS X besitzen dafür ein integriertes MDM-Framework, über das MDM-Lösungen drahtlos mit
Apple-Geräten interagieren. Dieses exible Framework wurde für Apple-Geräte konzipiert und
ist äußerst leistungsfähig und skalierbar. Damit lassen sich alle iOS-, OS X- und Apple TV-Geräte
einer Organisation kongurieren und verwalten.
Mit einer MDM-Lösung können Sie Apple-Geräte in einer Organisation sicher registrieren,
Einstellungen kongurieren und aktualisieren, die Einhaltung von Unternehmensrichtlinien
überwachen und verwaltete Geräte per Fernzugri löschen oder sperren. MDM für iOS und OS X
liefert Ihnen eine einfache Möglichkeit, Benutzern den Zugri auf Netzwerkdienste zu ermöglichen
und gleichzeitig sicherzustellen, dass die Apple-Geräte ordnungsgemäß konguriert werden
(unabhängig von deren Eigentümer).
Poll-Umfrage
Push
Registrieren
APNs
MDM-Server
MDM-Lösungen verwenden den Apple-Dienst für Push-Benachrichtigungen (APNs), um die
kontinuierliche Kommunikation mit Apple-Geräten in öentlichen und privaten Netzwerken
aufrechtzuerhalten. MDM benötigt im Betrieb mehrere Zertikate. Dies schließt auch ein
APNs-Zertikat für die Kommunikation mit Clients und ein SSL-Zertikat für die sichere
Kommunikation ein. MDM Lösungen können auch Prole mit einem Zertikat signieren. MDM-
Fähigkeiten basieren auf bestehenden iOS- und OS X-Technologien, wie Kongurationsprolen,
drahtlose Registrierung und APNs. APNs wird beispielsweise verwendet, um den Ruhezustand
des Geräts zu beenden, damit es über eine sichere Verbindung direkt mit dem MDM-Server
kommunizieren kann.
Wichtig: Es werden keine vertraulichen oder betriebsinternen Informationen über
APNs übertragen.
Kapitel 7 Konguration und Verwaltung 68
MDM ermöglicht Ihrer IT-Abteilung die sichere Registrierung von Geräten privater Eigentümer
bzw. von Geräten, die der Organisation gehören. Mit einer MDM-Lösung können Sie Einstellungen
kongurieren und aktualisieren, die Einhaltung von Unternehmensrichtlinien überwachen
und verwaltete Apple-Geräte per Fernzugri löschen oder sperren. MDM ermöglicht auch die
Verteilung, Verwaltung und Konguration von Apps und Büchern, die über das Programm für
Volumenlizenzen gekauft oder intern entwickelt wurden.
Weitere Informationen zu MDM nden Sie unter:
Geräte in Bildungseinrichtungen verwalten
iOS und die neue IT für Unternehmen
Die meisten Zertikate (einschließlich APNs-Zertikaten) müssen jährlich erneuert werden.
Falls ein Zertikat abläuft, kann ein MDM-Server erst wieder mit den Apple-Geräten kommunizieren,
wenn das Zertikat aktualisiert wurde. Alle MDM-Zertikate sollten daher stets aktualisiert
werden, bevor sie ablaufen. Wenden Sie sich an Ihre Zertizierungsstelle (CA), um Informationen
zum Erneuern Ihrer Zertifikate zu erhalten. Weitere Informationen zu APNs sind auf dem
Apple Push Certicates Portal zu nden.
Die Apple-Geräte werden zur Verwaltung mithilfe eines Registrierungskongurationsprols bei einem
MDM-Server registriert, was direkt vom Benutzer durchgeführt werden kann. Für unternehmens-
eigene Geräte kann die MDM-Registrierung mithilfe des Programms zur Geräteregistrierung
(in diesem Kapitel beschrieben) automatisiert werden. Wenn ein Administrator MDM-Richtlinien,
-Optionen oder -Befehle aufruft, empfangen die Apple-Geräte über den Apple-Dienst für Push-
Benachrichtigungen eine Benachrichtigung über die Aktion. Bei bestehender Netzwerkverbindung
können die Geräte APNs-Befehle auf der ganzen Welt empfangen.
Registrierung
Die Registrierung von Apple-Geräten ermöglicht die Katalogisierung und Ressourcenverwaltung.
Beim Registrieren von Apple-Geräten wird typischerweise das Simple Certicate Enrollment
Protocol (SCEP) verwendet, um eindeutige Identitätszertikate für die Authentizierung gegen-
über Diensten der Organisation zu erstellen und zu registrieren.
In den meisten Fällen entscheiden die Benutzer, ob sie ihr Apple-Gerät bei MDM registrieren oder
nicht; sie können die Zuordnung zu MDM jederzeit aufheben. Organisationen sollten Anreize für
Benutzer in Betracht ziehen, damit sich diese weiterhin verwalten lassen. Beispielsweise könnte
die MDM-Registrierung für den Zugri auf WLAN-Netzwerke vorgeschrieben und hierzu die
MDM-Lösung für die automatische Bereitstellung der WLAN-Anmeldedaten verwendet werden.
Wenn ein Benutzer MDM verlässt, versucht sein Gerät, den MDM-Server darüber zu benachrichtigen.
Auch das Programm zur Geräteregistrierung kann verwendet werden, um im Eigentum der
Organisation bendliche Apple-Geräte bei der Erstkonguration automatisch in MDM zu registrieren.
Sie können die iOS-Geräte auch betreuen, sodass Benutzer mit diesen Geräten MDM nicht umgehen
und die Registrierung ihrer Geräte nicht aufheben können.
Weitere Informationen nden Sie unter Programm zur Geräteregistrierung.
Kongurieren
Sobald ein Apple-Gerät registriert ist, kann es vom MDM-Server dynamisch mit Einstellungen
und Richtlinien konguriert werden. Der Server sendet zu diesem Zweck Kongurationsprole an
das Gerät, die automatisch und unbeaufsichtigt von iOS bzw. OS X installiert werden.
Kapitel 7 Konguration und Verwaltung 69
Kongurationsprole können signiert, verschlüsselt und geschützt werden. Dies verhindert,
dass Einstellungen verändert oder an Dritte weitergegeben werden. So können nur vertrauens-
würdige Benutzer und Apple-Geräte, die den Vorgaben entsprechend konguriert sind, auf das
Netzwerk und die Dienste einer Organisation zugreifen. Wenn ein Benutzer die Zuordnung seines
Geräts zu MDM aufhebt, werden alle über MDM installierten Einstellungen gelöscht.
Eine neu gestaltete Benutzeroberäche für Prole in iOS 8 zeigt Benutzern, was durch MDM kon-
guriert und eingeschränkt wurde. Accounts, Apps, Bücher und Einschränkungen können ohne
großen Aufwand angezeigt werden. Bereitstellungsprole sind für Benutzer in iOS 8 nicht mehr
sichtbar, und abgelaufene Prole werden automatisch gelöscht.
Accounts
MDM kann Ihren Benutzern helfen, ihre Arbeit schnell aufzunehmen, da ihre E-Mail Accounts
und weitere Accounts automatisch konguriert werden. Abhängig von der verwendeten MDM-
Lösung und deren Integration in die internen Systeme können Account-Payloads auch mit
dem Namen und der E-Mail-Adresse eines Benutzers sowie ggf. mit Zertikatidentitäten zur
Authentizierung und Signierung versehen werden.
Mit MDM können die folgenden Typen von Accounts konguriert werden:
Kalender
Kontakte
Exchange ActiveSync
Identität
Jabber
LDAP
Mail
Abonnierte Kalender
VPN
802.1X
Verwaltete Mail- und Kalenderaccounts berücksichtigen die neuen Einschränkungen vom Typ
„In verwalteter Umgebung önen“ von iOS 7 oder neuer.
Abfragen
Ein MDM-Server ist in der Lage, die unterschiedlichsten Informationen zu Apple-Geräten abzufragen.
Dazu gehören Hardwareinformationen wie Seriennummer, Geräte-UDID oder WLAN-MAC-Adresse
oder der FileVault-Verschlüsselungsstatus (bei OS X). Dazu gehören auch Softwareinformationen
wie die Geräteversion, Einschränkungen und eine detaillierte Liste aller Apps, die auf dem Gerät
installiert sind. Mithilfe dieser Informationen kann sichergestellt werden, dass Benutzer die richtige
Gruppe von Apps verwalten. iOS und OS X ermöglichen Abfragen dazu, wann ein Gerät das
letzte Mal in iCloud gesichert wurde, sowie zum Hashwert des Accounts für die App-Zuordnung
des angemeldeten Benutzers.
Mit der Apple TV-Software 5.4 (oder neuer) kann MDM registrierte Apple TV-Geräte auf
Ressourceninformationen wie Sprache, Ländereinstellung und Organisation hin abfragen.
Kapitel 7 Konguration und Verwaltung 70
Verwaltungsaufgaben
Verwaltete iOS-Geräte können vom MDM-Server durch eine Reihe spezischer Aufgaben verwaltet
werden. Zu den Verwaltungsaufgaben gehören:
Ändern von Kongurationseinstellungen: Es kann ein Befehl gesendet werden, um ein
neues oder ein aktualisiertes Kongurationsprol auf einem Apple-Gerät zu installieren.
Kongurationsänderungen erfolgen unbeaufsichtigt ohne Benutzerinteraktion.
Sperren eines iOS-Geräts: Wenn ein iOS-Gerät unverzüglich gesperrt werden muss, kann ein
Befehl gesendet werden, um es mit dem aktuellen Code zu sperren.
Fernlöschen eines iOS-Geräts: Wenn ein iOS-Gerät verloren geht oder gestohlen wird, kann
ein Befehl gesendet werden, um alle Daten auf dem Gerät zu löschen. Sobald ein Befehl zur
Fernlöschung empfangen wurde, kann er nicht mehr widerrufen werden.
Löschen einer Codesperre: Nach dem Löschen des Codes des iOS-Geräts muss der Benutzer
unverzüglich einen neuen Code eingeben. Diese Funktion wird verwendet, wenn ein Benutzer
den Code vergessen hat und will, dass die IT-Abteilung ihn zurücksetzt.
Löschen des Passworts für Einschränkung: Diese Funktion unterstützt das Löschen der
Einschränkungen sowie des Passworts für die Einschränkungen, die vom Benutzer auf dem
iOS-Gerät festgelegt wurden. Diese Funktion ist nur für betreute Geräte verfügbar.
Anfordern der AirPlay-Spiegelung: Mit einem zusätzlichen Befehl wird ein betreutes iOS-Gerät
aufgefordert, die AirPlay-Spiegelung für ein bestimmtes Ziel zu starten.
Stoppen der AirPlay-Spiegelung: Mit einem zusätzlichen Befehl wird ein betreutes iOS-Gerät
aufgefordert, die AirPlay-Spiegelung für ein bestimmtes Ziel zu stoppen.
Bestimmte Aufgaben können in iOS 8 oder neuer und in OS X Mavericks oder neuer vorgemerkt
werden, wenn das Gerät im Systemassistenten vorhanden ist. Diese Aufgaben sind:
Einladung zum Programm für Volumenlizenzen (VPP)
Installieren von Apps
Installieren von Medien
Sperren eines Geräts
Anfordern der AirPlay-Spiegelung (nur iOS)
Verwaltete Apps
Das Verteilen von Apps an Ihre Benutzer kann es ihnen ermöglichen, produktiver zu arbeiten bzw.
zu lernen. Dabei kann es aber, je nach den Anforderungen Ihrer Organisation, möglich sein
vorzugeben, wie diese Apps auf interne Ressourcen zugreifen oder wie die Datensicherheit
gehandhabt wird, wenn ein Benutzer aus der Organisation ausscheidet – und all das in Koexistenz
mit den persönlichen Apps und Daten des Benutzers. Die Funktionalität für verwaltete
Apps in iOS 7 oder neuer und OS X Yosemite oder neuer ermöglicht Ihrer Organisation die
Verteilung von kostenlosen, kostenpichtigen und internen unternehmensspezischen Apps
per Funk über MDM und unterstützt zugleich eine ausgewogene Balance zwischen den
Sicherheitsanforderungen einer Bildungseinrichtung oder Organisation einerseits und der
Personalisierung für den jeweiligen Benutzer andererseits.
MDM-Server können sowohl Apps aus dem App Store als auch interne unternehmensspezische
Apps drahtlos auf Apple-Geräten bereitstellen. Sowohl kostenpichtige als auch kostenlose
Apps aus dem App Store können von einem MDM-Server per verwalteter Verteilung über das
Programm für Volumenlizenzen (VPP) verwaltet werden. Weitere Informationen zur verwalteten
Verteilung mit MDM nden Sie im Überblick über das Programm für Volumenlizenzen.
Kapitel 7 Konguration und Verwaltung 71
Die Installation von VPP-Apps kann auf die folgenden Arten erfolgen:
Benutzer mit einem privaten Apple-Gerät werden von MDM aufgefordert, die App aus dem
App Store unter Verwendung ihrer Apple-ID zu installieren.
Bei betreuten iOS-Geräten im Eigentum der Institution, die bei MDM registriert sind, wird die
App unbeaufsichtigt installiert.
Verwaltete Apps können per Fernzugri über den MDM-Server oder auch durch den Benutzer
entfernt werden, wenn die MDM-Registrierung des Apple-Geräts aufgehoben wird. Beim Entfernen
einer App werden auch die der App zugeordneten Daten entfernt. Bleibt die VPP-App dem Benutzer
zugewiesen bzw. hat der Benutzer die App anhand eines Einlösecodes und einer persönlichen
Apple-ID geladen, kann er sie erneut aus dem App Store laden; sie wird dann aber nicht mehr
verwaltet. Wird eine App zurückgezogen, funktioniert sie noch für einen befristeten Zeitraum.
Schließlich wird die App deaktiviert und der Benutzer informiert, dass er ein eigenes Exemplar
erwerben muss, um sie weiterverwenden zu können.
Mit iOS 7 wurde eine Reihe von Einschränkungen und Funktionen für verwaltete Apps eingeführt,
um die Sicherheit zu erhöhen und das Benutzererlebnis zu optimieren:
In verwalteter Umgebung önen: Diese Option stellt zwei nützliche Funktionen bereit,
um App-Daten Ihrer Organisation zu schützen:
Dokumente aus unverwalteten Quellen in verwalteten Zielen erlauben. Diese Einschränkung
verhindert, dass ein Benutzer mit privaten Quellen und Accounts Dokumente in den verwalteten
Zielen der Organisation öffnet. Beispielsweise könnte mit dieser Einschränkung die
benutzereigene Kopie von Keynote daran gehindert werden, eine PDF-Präsentation in einer
organisationseigenen App für die PDF-Anzeige zu önen. Bei einem privaten iCloud-Account
eines Benutzers würde sie verhindern, dass ein Anhang in einer Kopie von Pages geönet
wird, deren Eigentümer die Organisation ist.
Dokumente aus verwalteten Quellen in unverwalteten Zielen erlauben. Diese Einschränkung
verhindert, dass verwaltete Quellen und Accounts der Organisation Dokumente in privaten
Zielen des Benutzers önen. Mit dieser Einschränkung könnte beispielsweise verhindert
werden, dass ein vertraulicher E-Mail Anhang im verwalteten E-Mail-Account der Organisation
mit einer privaten App des jeweiligen Benutzers geönet wird.
App-Konguration: App-Entwickler können App-Einstellungen angeben, die in dem Fall festgelegt
werden können, dass die App als verwaltete App installiert wird. Diese Kongurationseinstellungen
können vor oder nach dem Installieren der verwalteten App installiert werden.
App-Feedback: App-Entwickler können beim Erstellen einer App Einstellungen angeben, die von
einer verwalteten App mithilfe von MDM gelesen werden können. So könnte ein Entwickler
einen „DidFinishSetup“-Schlüssel festlegen, den ein MDM-Server abfragt um festzustellen,
ob die App gestartet und eingerichtet wurde.
Verhindern von Backups: Diese Einschränkung hindert verwaltete Apps daran, Daten in iCloud
oder iTunes zu sichern. Werden Backups verhindert, können Daten aus verwalteten Apps nicht
wiederhergestellt werden, falls die App per MDM entfernt und später vom Benutzer erneut
installiert wird.
iOS 8 bietet zusätzlich folgende Verwaltungsfunktionen:
Safari-Downloads aus verwalteten Domains: Downloads aus Safari werden als verwaltete
Dokumente betrachtet, wenn sie aus einer verwalteten Domain stammen. Wenn beispielsweise
ein Benutzer eine PDF-Datei mithilfe von Safari aus einer verwalteten Domain lädt, entspricht
diese PDF-Datei allen Einstellungen für verwaltete Dokumente.
Kapitel 7 Konguration und Verwaltung 72
iCloud-Dokumentverwaltung: Diese Einschränkung hindert verwaltete Apps daran, Daten in
iCloud zu speichern. Daten, die von einer verwalteten App erstellt oder verwendet werden,
können nicht in iCloud gespeichert werden. Daten, die vom jeweiligen Benutzer in nicht
verwalteten Apps erstellt werden, können hingegen in iCloud gespeichert werden.
Tastaturen anderer Anbieter einschränken
iOS 8 unterstützt Regeln für „In verwalteter Umgebung önen“, die sich auf Tastaturerweiterungen
anderer Anbieter auswirken. Dadurch wird verhindert, dass nicht verwaltete Tastaturen über
verwalteten Apps eingeblendet werden.
Verwaltete Bücher
Mit iOS 8 und OS X Mavericks oder neuer können Sie Bücher, ePubs und PDFs, die Sie erstellen
oder erwerben, per MDM verteilen und verwalten. Dies ermöglicht die nahtlose Verwaltung von
Schulungsmaterialien und anderen Unternehmensdokumenten.
Mit MDM verteilte Bücher, ePub- und PDF-Dokumente haben dieselben Eigenschaften wie andere
verwaltete Dokumente – sie können nur mit anderen verwalteten Apps gemeinsam genutzt
oder mithilfe verwalteter Accounts per E-Mail gesendet werden. Bücher, die über das Programm
für Volumenlizenzen erworben werden, können als verwaltete Bücher verteilt, nicht aber zurück-
gezogen werden, um erneut zugewiesen zu werden. Von einem Benutzer bereits erworbene
Bücher können nicht verwaltet werden, es sei denn, dass ein solches Buch einem Benutzer mithilfe
des Programms für Volumenlizenzen explizit zugewiesen wird.
Verwaltete Domains
Bei iOS 8 können Sie bestimmte URL-Adressen und Subdomains verwalten. Alle Dokumente,
die aus solchen Domains stammen, werden als verwaltet betrachtet. Für sie gelten die
Einschränkungen, die unter „In verwalteter Umgebung önen“ festgelegt sind. Pfade, die auf
die Domain folgen, werden standardmäßig verwaltet. Alternative Subdomains werden nicht
einbezogen, es sei denn, dass ein Platzhalter angewendet wird. In Safari mit www eingegebene
Domains (zum Beispiel „www.example.com“) werden als „.example.com“ behandelt.
In Einstellungen angezeigt Verwaltete Domains Nicht verwaltete Domains
example.com example.com/*
www.example.com/*
*.example.com
hr.example.com
example.com/docs example.com/docs/*
www.example.com/docs/*
example.com
www.example.com
hr.example.com/docs
www.example.com www.example.com/*
www.example.com/docs
example.com
hr.example.com
*.example.com *.example.com/* example.com
*.example.com/docs *.example.com/docs/* example.com
www.example.com
Prolmanager
Zusätzlich zu MDM-Lösungen anderer Anbieter bietet Apple mit dem Prolmanager eine eigene
MDM-Lösung an. Der Prolmanager ist ein Dienst von OS X Server. Mit dem Prolmanager können
Apple-Geräte auf sehr einfache Weise so konguriert werden, dass sie den Spezikationen Ihrer
Organisation entsprechend eingerichtet werden.
Kapitel 7 Konguration und Verwaltung 73
Prolmanager umfasst drei Komponenten:
Drahtlose Konguration von Apple-Geräten Sie können die Konguration von Apple-Geräten
optimieren, die sich im Eigentum Ihrer Bildungseinrichtung oder Organisation benden.
Sie können Geräte während der Aktivierung bei MDM registrieren und grundlegende
Kongurationsschritte überspringen, damit Benutzer die Geräte schnell in Betrieb nehmen
und nutzen können.
Dienst zur Mobilgeräteverwaltung: Der Prolmanager stellt einen MDM-Dienst bereit, mit dem
Sie registrierte Geräte per Fernzugri verwalten können. Nachdem ein Gerät registriert wurde,
können Sie seine Konguration über das Netzwerk ohne Benutzerinteraktion aktualisieren und
weitere Aufgaben ausführen.
Verteilung von Apps und Büchern: Mit dem Prolmanager können Sie Apps und Bücher verteilen,
die über das Programm für Volumenlizenzen (VPP) erworben werden. Die Zuweisung von
Apps und Büchern wird auf iOS-Geräten mit iOS 7 oder neuer und Mac-Computern mit OS X
Mavericks oder neuer unterstützt.
Weitere Informationen nden Sie unter Geräte verwalten. Weitere Informationen nden Sie
außerdem in der Prolmanager-Hilfe.
Betreute Geräte
Um zusätzliche Kongurationsoptionen und Einschränkungen aktivieren und nutzen zu können,
sollten Sie im Besitz Ihrer Organisation bendliche iOS-Geräte betreuen. Durch die Betreuung
können Sie beispielsweise verhindern, dass Accounteinstellungen geändert werden,
und Webverbindungen über Global Proxy ltern um sicherzustellen, dass der Webdatenverkehr
der Benutzer im Organisationsnetzwerk verbleibt.
Standardmäßig sind alle iOS-Geräte nicht betreut. Sie können die Betreuung und die
Fernverwaltung mit MDM kombinieren, um zusätzliche Einstellungen und Einschränkungen
zu verwalten. Um die Betreuung der Geräte Ihrer Organisation zu aktivieren, können Sie das
Apple-Programm zur Geräteregistrierung oder Apple Congurator verwenden.
Die Betreuung ermöglicht – über Einschränkungen wie das Deaktivieren von iMessage oder Game
Center – eine detaillierte und gezielte Verwaltung von Geräten. Die Betreuung unterstützt außerdem
zusätzliche Gerätekongurationen und Funktionen wie die Filterung von Webinhalten und die
Möglichkeit, Apps unbeaufsichtigt zu installieren. Mit dem Programm zur Geräteregistrierung
kann die Betreuung auf einem Gerät im Rahmen des Kongurationsprozesses drahtlos aktiviert
werden. Sie kann auch manuell mithilfe von Apple Congurator aktiviert werden.
Weitere Informationen nden Sie unter Betreute Einstellungen.
Kapitel 7 Konguration und Verwaltung 74
Programm zur Geräteregistrierung
Das Programm zur Geräteregistrierung (Device Entrollment Program, DEP) unterstützt eine schnelle
optimierte Methode für die Bereitstellung von Apple-Geräten, die Ihre Organisation direkt bei
Apple oder bei teilnehmenden autorisierten Apple-Händlern erworben hat. Apple-Geräte können
(bevor die Benutzer sie erhalten) automatisch in MDM registriert werden, ohne sie physisch
berühren oder vorbereiten zu müssen. Darüber hinaus kann der Kongurationsprozess für
Benutzer weiter vereinfacht werden, indem bestimmte Schritte im Systemassistenten entfernt
werden, sodass die Benutzer das Gerät schnell in Betrieb nehmen und nutzen können. Es lässt
sich außerdem steuern, ob der Benutzer das MDM-Prol vom Gerät löschen kann. Sie können
beispielsweise die Geräte bei Apple oder einem teilnehmenden autorisierten Apple-Händler
bestellen, alle Verwaltungseinstellungen kongurieren und die Apple-Geräte direkt an die
Privatadresse des jeweiligen Benutzers ausliefern lassen. Sobald das Gerät ausgepackt und
aktiviert wurde, registriert es sich bei Ihrer MDM-Lösung. Danach stehen für den Benutzer alle
Verwaltungseinstellungen, Apps und Bücher bereit.
Der Vorgang ist sehr einfach: Nach der Registrierung beim Programm melden sich Administratoren
bei der DEP-Website an, verknüpfen das Programm mit ihrem MDM-Server bzw.. ihren MDM-
Servern und nehmen die bei Apple oder einem teilnehmenden autorisierten Apple-Händler
gekauften Apple-Geräte „in Besitz“. Danach können die Geräte einem MDM-Server zugewiesen
werden. Sobald das Gerät registriert wurde, werden alle in MDM angegebenen Kongurationen,
Einschränkungen oder Steuerungselemente automatisch installiert.
Gekauft beim
Händler
Kundenac
count
DEP
MDM-Server
Gekauft bei
Apple
Damit Apple-Geräte über das Programm zur Geräteregistrierung zugewiesen werden können,
müssen die folgenden Kriterien erfüllt sein:
Alle Geräte müssen ab dem 1. März 2011 direkt bei Apple unter Verwendung Ihrer registrierten
und bestätigten Apple-Kundennummer(n) erworben worden sein.
Geräte müssen direkt bei einem teilnehmenden autorisierten Apple-Händler gekauft und mit
der DEP Reseller-ID dieses Händlers verknüpft worden sein. Der tatsächliche Stichtag wird
über die Verkaufshistorie Ihres teilnehmenden autorisierten Apple-Händlers festgelegt, er kann
jedoch nicht vor dem 1. März 2011 liegen.
Hinweis: Das Programm zur Geräteregistrierung ist nicht in allen Ländern oder Regionen verfügbar.
Berechtigte Apple-Geräte können dem MDM-Server auf der Website für die
Kapitel 7 Konguration und Verwaltung 75
Apple-Implementierungsprogramme nach der Bestellnummer zugewiesen werden. Geräte
können innerhalb dieser Bestellungen auch nach Typ und Seriennummer gesucht werden.
Nach dem Versand neu bestellter Geräte können Sie diese auf der DEP-Website suchen und sie
automatisch einem bestimmten MDM-Server zuweisen. Wenn beispielsweise eine iPad-Bestel-
lung über 5000 Stück aufgegeben wird, können Sie anhand der Bestellnummer alle oder nur
bestimmte iPad-Geräte einem vorhandenen autorisierten MDM-Server zuweisen. Geräte können
einem bestimmten MDM-Server auch anhand ihrer Seriennummer zugewiesen werden. Diese
Methode ist hilfreich, wenn sich zuzuweisende Geräte physisch in Ihrem Besitz benden.
Zukünftige Bestellungen können automatisch einem autorisierten MDM-Server zugewiesen
werden, sodass keine manuelle Zuweisung der Apple-Geräte mehr notwendig ist.
Nachdem ein Gerät im Programm einem MDM-Server zugewiesen wurde, können Prole und
zusätzliche Funktionen mithilfe des MDM-Servers der Organisation angewendet werden.
Zu diesen Funktionen gehören:
Aktivieren der Betreuung
Obligatorische Konguration
Authentizierung bei Ihrem Verzeichnissystem wird benötigt, um das Setup abzuschließen
Sperrbares MDM-Registrierungsprol
Auslassen von Schritten im Systemassistenten
Weitere Informationen nden Sie unter:
Apple-Implementierungsprogramme
Hilfe zum Programm zur Geräteregistrierung
Programm zur Geräteregistrierung im Bildungsbereich
Apple Congurator
Für iOS-Geräte, die von Ihnen verwaltet und nicht von einzelnen Benutzern eingerichtet werden,
können Sie Apple Congurator verwenden. Diese Mac-App ist kostenlos im App Store verfügbar.
Mit diesem Programm können Sie mehrere Geräte in einem Arbeitsgang über USB einrichten
und kongurieren, bevor Sie sie an die Benutzer aushändigen. Mit diesem Werkzeug kann Ihre
Organisation schnell mehrere Geräte kongurieren und auf die aktuelle Version von iOS aktuali-
sieren, Geräteeinstellungen und Einschränkungen kongurieren sowie Apps und Inhalte installieren.
Mit dem Werkzeug kann auch ein Backup auf Geräten wiederhergestellt werden, aus dem
Geräteeinstellungen und Homescreen-Layouts angewendet und App-Daten installiert werden.
Apple Congurator ist ideal, wenn Benutzer iOS-Geräte gemeinsam nutzen, die schnell aktualisiert
und mit den richtigen Einstellungen, Richtlinien, Apps und Daten auf dem jeweils aktuellen Stand
gehalten werden müssen. Sie können Apple Congurator auch verwenden, um Geräte zu betreuen,
bevor mit MDM Einstellungen, Richtlinien und Apps verwaltet werden.
Weitere Informationen nden Sie in der Apple Congurator-Hilfe.
8
76
Überblick
iOS beinhaltet eine Reihe von leistungsstarken integrierten Apps, mit denen die Benutzer in
einer Organisation alltägliche Aufgaben einfach erledigen können. Dazu zählen Verwaltung von
E-Mails, Kalendern und Kontakten sowie das Surfen im Web. Hunderttausende Apps anderer
Anbieter, die im App Store erhältlich sind, oder speziell entwickelte, interne und unternehmens-
spezische Apps, die intern oder von anderen Anbietern entwickelt wurden, bieten zusätzliche
Funktionalität, die Benutzer brauchen, um produktiv arbeiten zu können. Im Bildungsbereich
können Sie mit relevanten iOS-Apps und Inhalten die Produktivität und Kreativität der
Lernenden fördern.
Es gibt mehrere Möglichkeiten, Apps und Bücher auf Apple-Geräten in Ihrer Organisation zu
implementieren. Die am besten skalierbare Methode besteht darin, Apps (einschließlich B2B-Apps)
und Bücher über das Programm für Volumenlizenzen zu erwerben und sie Benutzern über
MDM zuzuweisen. Für Unternehmensstrukturen können Sie auch eigene interne Apps erstellen
und implementieren, indem Sie dem iOS Developer Enterprise Programm beitreten. Bei einem
Implementierungsmodell mit gemeinsam genutzten Geräten können Sie Apps und Inhalte lokal
mit Apple Congurator installieren.
Bei der Implementierung von Apps und Büchern sollten Sie Folgendes in Betracht ziehen:
Programm für Volumenlizenzen (VPP)
Eigene B2B-Apps
Intern entwickelte Apps und Bücher
Implementieren von Apps und Büchern
Caching-Server
Programm für Volumenlizenzen (VPP)
Überblick
Der App Store und der iBooks Store bieten Tausende großartiger Apps und Bücher, die Benutzer
erwerben, laden und installieren können. Mit dem Programm für Volumenlizenzen können
Organisationen Apps und Bücher in großer Stückzahl erwerben und sie an interne und externe
Mitarbeiter, an Lehrkräfte oder an Lernende verteilen. Im Rahmen des Programms können alle
kostenpichtigen und kostenlosen Apps und Bücher im App Store und im iBooks Store erworben
werden. Für das Programm für Volumenlizenzen gibt es zwei Websites – eine für Unternehmen
und eine für den Bildungsbereich.
Das VPP für Unternehmen ermöglicht Ihnen den Erwerb spezieller B2B-Apps, die Entwickler
anderer Anbieter Ihren Anforderungen entsprechend erstellen und die gesondert aus dem
VPP Store geladen werden können.
Verteilung von Apps und Büchern
Kapitel 8 Verteilung von Apps und Büchern 77
Das VPP für den Bildungsbereich ermöglicht App-Entwicklern, berechtigten
Bildungseinrichtungen beim Kauf von mindestens 20 Apps Sonderkonditionen einzuräumen.
Für Bücher sind keine Sonderkonditionen verfügbar.
MDM-Lösungen können in das VPP integriert werden. Dies ermöglicht es Ihrer Organisation,
Apps und Bücher in großer Stückzahl zu erwerben und sie bestimmten Benutzern oder Gruppen
zuzuweisen. Wenn ein Benutzer eine App nicht mehr benötigt, können Sie MDM verwenden,
um sie zurückzuziehen und einem anderen Benutzer neu zuzuweisen. Jede App bzw. jedes Buch
ist auf dem Apple-Gerät des Benutzers automatisch zum Laden verfügbar. Bücher bleiben nach der
Verteilung Eigentum des Empfängers; sie können nicht zurückgezogen und neu zugewiesen werden.
Weitere Informationen nden Sie unter:
Programm für Volumenlizenzen für Unternehmen
Programm für Volumenlizenzen für den Bildungsbereich
Hilfe zu den Apple-Implementierungsprogrammen
Hinweis: Das Programm für Volumenlizenzen ist nicht in allen Ländern oder Regionen verfügbar.
Registrieren für das Programm für Volumenlizenzen (VPP)
Für den Erwerb von Apps in großer Stückzahl setzt die Registrierung und die Erstellung eines
Accounts bei Apple voraus. Dabei müssen Informationen über die Organisation (z. B. eine D&B
D-U-N-S Nummer für Unternehmen) sowie Kontaktdaten angegeben werden. Außerdem ist es
erforderlich, eine Apple-ID zu erstellen, die ausschließlich zur Verwaltung dieses Programms
verwendet wird.
Erwerben von Apps und Büchern in großer Stückzahl
Für den Erwerb von Apps für Unternehmen oder Bildungseinrichtungen ist die
Website des Programms für Volumenlizenzen zu verwenden.
Melden Sie sich auf dieser Website mit der Apple ID an, die Sie speziell für den VPP-Account
erstellt haben. Suchen Sie nach den gewünschten Apps oder Büchern und geben Sie die Anzahl
der Kopien an, die Sie erwerben wollen. Sie können mit einer geschäftlichen Kreditkarte oder
über das VPP-Guthaben zahlen, das Sie über einen Auftrag (PO) erworben haben. Sie können
eine unbegrenzte Anzahl von Kopien einer App oder eines Buchs erwerben. Apps und Bücher
sind dann zur Zuweisung über die MDM-Lösung verfügbar, sofern diese mit dem VPP-Account
verknüpft ist und ein gültiges Token aufweist.
Verwaltete Verteilung
Wenn Apps und Bücher in großer Stückzahl erworben werden, können Sie sie Benutzern unter
iOS 7 oder OS X Mavericks oder neuer über die verwaltete Verteilung mit MDM zuweisen. Wenn
Benutzer eine App nicht mehr benötigen oder die Organisation verlassen, können die Apps
anderen Benutzern zugewiesen werden. Bücher können nicht zurückgezogen werden, nachdem
sie zugewiesen wurden.
Damit Sie Benutzern mit MDM Apps zuweisen können, muss der MDM-Server über ein sicheres
Token mit dem VPP-Account verknüpft werden. Dieses sichere Token kann auf den MDM-Server
geladen werden, indem Sie im VPP-Store auf die Zusammenfassung für den Account zugreifen.
Weitere Informationen nden Sie in der Hilfe zu den Apple-Implementierungsprogrammen.
Kapitel 8 Verteilung von Apps und Büchern 78
Damit Benutzer an der verwalteten Verteilung über VPP teilnehmen können, müssen sie explizit
eingeladen werden. Wenn ein Benutzer die Einladung akzeptiert, an der verwalteten Verteilung
teilzunehmen, wird seine persönliche Apple-ID mit der Organisation verknüpft. Der Benutzer
braucht seine Apple-ID nicht zu kommunizieren, und es muss auch keine spezielle Apple-ID für
Benutzer erstellt und bereitgestellt werden. Für Accounts im Bildungsbereich können Sie
Apple-IDs für Schüler unter 13 Jahren erstellen. Weitere Informationen nden Sie auf der Website
zur Apple-ID für Schüler.
Es ist wichtig, Apps und Bücher vor dem Senden von Einladungen zu registrieren und den VPP-
Benutzern zuzuweisen. So bleibt nach Annahme der VPP-Einladung mehr Zeit, die Zuweisung
in die Einkaufsübersicht des Benutzers zu übertragen. Die Registrierung von Benutzern und die
Zuweisung von Apps und Büchern kann jederzeit erfolgen – auch bevor die Apple-Geräte bei
MDM registriert werden.
Sobald eine App einem Benutzer über MDM zugewiesen wurde, wird sie im App Store in der
Einkaufsübersicht für diesen Benutzer angezeigt. Der Benutzer kann aufgefordert werden,
die Installation der App zu bestätigen. Im Fall von betreuten iOS-Geräten kann die
App unbeaufsichtigt installiert werden.
Wenn Apps, die noch nicht auf dem Gerät installiert sind, mit der Aufgabe „Apps transferieren
(Push)“ auf einem Gerät installiert werden, werden sie automatisch entfernt, wenn der Benutzer
die Registrierung bei MDM aufhebt.
Apps und Bücher, die mit verwalteter Verteilung zugewiesen werden, werden nicht über die
Familienfreigabe für Familienmitglieder freigegeben.
Eigene B2B-Apps
Angepasste Apps, die von einem Anbieter für das Unternehmen (B2B) erstellt wurden, können
ebenfalls über das VPP Programm bezogen werden.
Im iOS Developer Programm registrierte Entwickler können Apps für die B2B-Verteilung via
iTunes Connect bereitstellen, also auf dieselbe Weise wie beim Bereitstellen von anderen Apps
im App Store. Der Entwickler legt hierbei den Preis pro Kopie fest und fügt Ihre VPP-Apple-ID
zu ihrer autorisierten B2B-Käuferliste hinzu. Nur autorisierte Käufer können die App sehen
oder erwerben.
B2B-Apps sind nicht durch Apple abgesichert. Für die Sicherheit der Daten einer App ist der
Entwickler verantwortlich. Apple empehlt die iOS-Methoden für die In-App-Authentizierung
und -Verschlüsselung.
Nachdem die App durch Apple geprüft wurde, können Sie Kopien davon auf der Website für
das Programm für Volumenlizenzen erwerben. Dies ist unter Erwerben von Apps und Büchern in
großer Stückzahl beschrieben. Eigene B2B-Apps werden nicht im App Store aufgelistet, sie müssen
auf der Website für das Programm für Volumenlizenzen erworben werden.
Kapitel 8 Verteilung von Apps und Büchern 79
Interne Apps
Sie können iOS-Apps für die Mitarbeiter Ihrer Organisation im Rahmen des iOS Developer
Enterprise Program entwickeln. Dieses Programm bietet einen vollständigen und integrierten
Prozess für das Entwickeln, Testen und Verteilen Ihrer iOS-Apps an Mitarbeiter innerhalb Ihrer
Organisation. Sie können interne Apps verteilen, indem Sie die Apps auf einem einfachen siche-
ren Webserver platzieren, den Sie intern erstellen, oder indem Sie eine MDM-Lösung oder eine
App-Verwaltungslösung eines anderen Anbieters verwenden.
Vorteile von mit MDM verwalteten Apps bestehen darin, Apps entfernt kongurieren, Versionen
verwalten, die Gesamtauthentizierung kongurieren und Richtlinien für den Netzwerkzugri
festlegen zu können und auch steuern zu können, welche Apps Dokumente exportieren können.
Ihre genauen Anforderungen, Ihre Infrastruktur und Ihr Umfang der App-Verwaltung geben vor,
welche Lösung für Sie am geeignetsten ist.
Interne Apps für iOS-Geräte entwickeln und implementieren:
1 Registrieren Sie sich bei Apple für das Developer Enterprise Program.
2 Bereiten Sie Ihre App für die Verteilung vor.
3 Erstellen Sie ein Bereitstellungsprol für die Verteilung im Unternehmen, durch das Geräte zur
Verwendung der von Ihnen signierten Apps berechtigt werden.
4 Erstellen Sie die App mit dem Bereitstellungsprol.
5 Implementieren Sie die App für Ihre Benutzer.
Für die Entwicklung von Apps registrieren
Nach der Registrierung beim iOS Developer Enterprise Programm können Sie ein Zertikat und
ein Bereitstellungsprol für Entwickler anfordern. Zertikat und Prol werden zum Erstellen und
Testen der App im Zuge der Entwicklung benötigt. Mithilfe des Bereitstellungsprols können Apps,
die mit Ihrem Entwicklerzertikat signiert wurden, auf registrierten iOS-Geräten ausgeführt werden.
Das Ad-Hoc-Prol läuft nach drei Monaten ab und gibt an, welche Geräte (nach Geräte-ID)
Entwicklungsversionen der App ausführen können. Die vom Entwickler signierte Version und das
Bereitstellungsprol werden an das Entwicklerteam und die App-Tester verteilt.
Weitere Informationen nden Sie auf der Website iOS Developer Enterprise Program.
Apps für die Verteilung vorbereiten
Nachdem die Entwicklungs- und Testphase abgeschlossen sind und Sie Ihre App bereitstellen
können, müssen Sie die App mit Ihrem Verteilungszertifikat signieren und mit einem
Bereitstellungsprofil versehen. Der Team Agent oder Administrator für Ihre Programm-
Mitgliedschaft erstellt das Zertifikat und das Profil auf der Website iOS Dev Center.
Bei iOS 8 können Bereitstellungsprole nicht mehr von Benutzern auf ihren iOS-Geräten
angezeigt werden.
Interne Apps bereitstellen
Das Bereitstellungsprol für die Verteilung im Unternehmen ermöglicht die Installation Ihrer
App auf beliebig vielen iOS-Geräten. Sie können ein Bereitstellungsprol für die Verteilung im
Unternehmen für eine bestimmte App oder für mehrere Apps erstellen.
Kapitel 8 Verteilung von Apps und Büchern 80
Nachdem das Zertikat und das Bereitstellungsprol für die Verteilung im Unternehmen auf Ihrem
Mac installiert sind, können Sie mithilfe von Xcode eine Version Ihrer App für die Produktion signieren.
Ihr Zertikat für die Verteilung im Unternehmen ist drei Jahre gültig. Sie können jeweils bis zu zwei
gültige Zertifikate gleichzeitig haben. Wenn ein Zertifikat in Kürze abläuft, müssen Sie Ihre
App mit einem verlängerten Zertikat neu signieren und erstellen. Das Bereitstellungsprol für die
App kann ein (1) Jahr lang verwendet werden, sodass Sie jährlich neue Bereitstellungsprole
freigeben müssen. Weitere Informationen nden Sie unter Bereitstellen aktualisierter Apps.
Es ist wichtig, dass Sie den Zugri auf Ihr Zertikat für die Verteilung im Unternehmen und
dessen privaten Schlüssel einschränken. Verwenden Sie die OS X-Schlüsselbundverwaltung zum
Exportieren und Sichern dieser Objekte im p12-Format. Wenn der private Schlüssel verloren wird,
kann er nicht wiederhergestellt oder ein zweites Mal geladen werden. Sie sollten den Zugri
außerdem auf Mitarbeiter beschränken, die für die Endabnahme der App verantwortlich sind.
Durch das Signieren einer App mit dem Verteilungszertikat werden Inhalte und Funktionen
der App mit dem Prüfsiegel Ihrer Organisation versehen und die Zustimmung zu den EDA
Lizenzbestimmungen (Enterprise Developer Agreement) bestätigt.
Weitere Informationen zum Implementieren interner Apps nden Sie im Handbuch
App Distribution Guide von Apple.
Interne Bücher
Eine wichtige Neuerung von iOS 8 und OS X Yosemite ist die Einführung der verwalteten Verteilung
für Bücher. Mit dieser Funktion können Sie Bücher Benutzern mithilfe von MDM zuweisen, sodass
die Bücher unter der Kontrolle Ihrer Organisation bleiben. PDF- und ePub-Dokumente, die Sie
erstellen, können Benutzern zugewiesen, zurückgezogen und anderen Benutzern neu zugewiesen
werden, wenn sie nicht mehr benötigt werden.
Implementieren von Apps und Büchern
Überblick
Es gibt die folgenden Möglichkeiten, Apps und Bücher zu implementieren:
Sie können mit Ihrem MDM-Server verwaltete Apple-Geräte anweisen, eine unternehmenseigene
App oder eine App aus dem App Store zu installieren, sofern Ihr MDM-Server dies unterstützt.
Sie können die App auf einem sicheren Webserver veröentlichen, damit die Benutzer darauf
zugreifen und die Installation drahtlos ausführen können. Weitere Informationen nden Sie
unter Drahtlose Installation interner Apps.
Sie können die App mit Apple Congurator lokal auf iOS-Geräten installieren.
Installieren von Apps und Büchern mithilfe von MDM
Ein MDM-Server kann Apps anderer Anbieter aus dem App Store sowie interne Apps verwalten.
Mit MDM installierte Apps werden als verwaltete Apps bezeichnet. Der MDM-Server kann festlegen,
ob verwaltete Apps und die zugehörigen Daten erhalten bleiben, wenn der Benutzer die Registrierung
bei MDM aufhebt. Der MDM-Server kann verhindern, dass Daten verwalteter Apps in iTunes und
iCloud gesichert werden. Dadurch erhält die IT-Abteilung umfassendere Verwaltungsfunktionen
für Apps, die möglicherweise vertrauliche Unternehmensinformationen enthalten, verglichen mit
Apps, die direkt durch den Benutzer geladen wurden.
Kapitel 8 Verteilung von Apps und Büchern 81
Für die Installation einer verwalteten App sendet der MDM-Server einen Installationsbefehl an
das Apple-Gerät. Wenn die App aus dem App Store stammt, wird sie von Apple geladen und
installiert. Handelt es sich um eine interne App, wird sie mithilfe Ihrer MDM-Lösung installiert.
Auf nicht betreuten Geräten erfordern verwaltete Apps eine Bestätigung durch den Benutzer,
bevor sie installiert werden.
Unter iOS 7 oder neuer und OS X Mavericks oder neuer können VPN-Verbindungen auf der
Ebene einzelner Apps angegeben werden, sodass sich nur der Netzwerkverkehr für diese App im
geschützten VPN-Tunnel bendet. Dadurch wird sichergestellt, dass private Daten privat bleiben
und nicht mit öentlichen Daten vermischt werden.
Verwaltete Apps unterstützen die Funktion „In verwalteter Umgebung önen“ für iOS 7 oder neuer.
Das bedeutet, dass verwaltete Apps daran gehindert können, Daten mit den privaten Apps des
Benutzers auszutauschen. So kann Ihre Organisation sicherstellen, dass vertrauliche Daten dort
verbleiben, wo sie sollen.
Ein MDM-Server kann Bücher aus dem iBooks Store installieren, die Sie dem Benutzer über
das VPP zugewiesen haben. Er kann auch verwaltete PDF- und ePub-Dokumente sowie iBooks
Author-Bücher von eigenen Servern installieren und sie nach Bedarf mit neueren Versionen
aktualisieren. Der Server kann verhindern, dass verwaltete Bücher gesichert werden. Verwaltete
Bücher werden entfernt, wenn der Benutzer seine Registrierung bei MDM aufhebt.
Installieren von Apps mit Apple Congurator
Apple Congurator vereinfacht grundlegende Kongurationsaufgaben, kann aber auch verwendet
werden, um Apps und andere Inhalte auf iOS-Geräten zu installieren. Apple Congurator ist vor
allem in Situationen nützlich, in denen Geräte betreut werden, die vom Benutzer nicht personalisiert
werden (z. B. gemeinsam genutzte iPads in einer Lernumgebung).
Sie können Apple Configurator jedoch nicht nur für Apps verwenden, sondern damit auch
Dokumente installieren, sodass diese verfügbar sind, wenn Benutzer ihre Geräte in Betrieb
nehmen. Dokumente sind für Apps verfügbar, die iTunes-Freigaben unterstützen. Sie können
auch Dokumente von iOS-Geräten überprüfen oder abrufen, indem Sie diese mit einem
Mac verbinden, auf dem Apple Configurator ausgeführt wird.
Caching-Server
iOS und OS X erleichtern Benutzern den Zugri auf digitale Inhalte. Benutzer können in bestimmten
Fällen viele Gigabyte in Form von Apps, Büchern und Softwareaktualisierungen anfordern, während
sie mit dem Netzwerk einer Organisation verbunden sind. Die Nachfrage nach diesen Ressourcen
führt zu Spitzen – erstmals nach der Bereitstellung des Apple-Geräts und danach sporadisch,
wenn Benutzer neue Inhalte entdecken oder Inhalte nach gewisser Zeit aktualisiert werden.
Das Laden dieser Inhalte kann zu Schwankungen bei der beanspruchten Internetbandbreite führen.
Caching-Server ist ein Dienst von OS X Server, der bereits einmal angeforderte Inhalte im lokalen
Netzwerk Ihrer Organisation sichert und vorhält. Dies verringert die für das Laden von Inhalten
erforderliche Bandbreite. Erreicht wird dies, indem in privaten Netzwerken die Internetbandbreite
für ausgehenden Datenverkehr (RFC1918) reduziert wird und zwischengespeicherte Kopien des
angeforderten Inhalts im lokalen Netzwerk gespeichert werden.
Kapitel 8 Verteilung von Apps und Büchern 82
Caching-Server unter OS X Server Yosemite hält für OS 7 oder neuer und OS X Mountain Lion
10.8.2 oder neuer die folgenden Arten von Inhalten im Cache vor:
iOS-Softwareaktualisierung (iOS 8.1 oder neuer)
OS X-Softwareaktualisierungen
Internet-Wiederherstellungsimage (OS X Mavericks oder neuer)
Aktualisierungen für Java und Druckertreiber
Apps aus dem App Store
Aktualisierungen (Updates) aus dem App Store
Bücher aus dem iBooks Store
Kurse und Inhalte in iTunes U
Inhalte für GarageBand, die geladen werden können
Sprachen und Wörterbücher mit hoher Qualität
Weitere Informationen zu Inhalten, die mit dem Caching-Dienst gespeichert werden, nden Sie
im Apple-Supportartikel OS X Server: Vom Caching-Dienst unterstützte Inhaltstypen.
iTunes unterstützt Caching-Server ebenfalls. Die folgenden Arten von Inhalten werden von
iTunes 11.0.4 oder neuer (sowohl Mac als auch Windows) unterstützt:
Apps aus dem App Store
Aktualisierungen (Updates) aus dem App Store
Bücher aus dem iBooks Store
Große Netzwerke protieren von mehreren Caching-Servern. In vielen Implementierungen genügt es,
den Dienst zu aktivieren, um den Caching-Server zu kongurieren. Bei Caching-Server unter
OS X Server Yosemite ist keine NAT-Umgebung für den Server und alle Geräte, die ihn verwenden,
mehr erforderlich. Caching-Server kann jetzt in Netzwerken verwendet werden, die aus öentlich
weiterleitbaren IP-Adressen bestehen. Apple-Geräte mit iOS 7 oder neuer oder OS X Mountain
Lion 10.8.2 oder neuer kontaktieren automatisch einen nahe gelegenen Caching-Server, ohne dass
eine zusätzliche Konguration erforderlich ist.
Weitere Informationen nden Sie unter Caching-Dienst in der OS X Server-Hilfe.
Der Arbeitsablauf des Caching-Servers sieht wie folgt aus:
1 Wenn ein Apple-Gerät in einem Netzwerk, dem ein oder mehrere Caching-Server angehören,
Inhalte aus dem iTunes Store oder von einem Softwareaktualisierungsserver anfordert, wird das
iOS-Gerät an einen Caching-Server verwiesen.
2 Der Caching-Server überprüft zunächst, ob der angeforderte Inhalt bereits im lokalen Cache
vorhanden ist.
Ist das der Fall, übermittelt er den Inhalt unverzüglich an das Gerät.
Wenn der Caching-Server die angeforderte Ressource nicht ndet, versucht er, den Inhalt
aus einer anderen Quelle zu laden. Caching-Server 2 oder neuer beinhaltet eine Peer-
Replikationsfunktion, d. h., es kann auf andere Caching-Server im Netzwerk zurückgegrien
werden, wenn diese Server den angeforderten Inhalt bereits geladen haben.
3 Wenn der Caching-Server ladbare Daten empfängt, übermittelt er sie unverzüglich an
Geräte, die sie angefordert haben, und speichert gleichzeitig eine Kopie im Cache auf dem
festgelegten Speichergerät.
9
83
Überblick
Eine Implementierung von Apple-Geräten sollte Support beinhalten. AppleCare bietet Supportpläne
für Organisationen in allen Größen an, einschließlich Support bei der Softwareimplementierung
und Hardwarereparaturen:
Mac-Computer mit OS X, iOS-Geräte mit iOS
AppleCare Help Desk Support
AppleCare OS Support
AppleCare für Unternehmen
Nur iOS-Geräte
AppleCare für Benutzer von iOS-Geräten
iOS-Direct-Service-Programm
Nur Mac-Computer
AppleCare Protection Plan für Mac oder Apple-Displays
Sie können die Angebote wählen, die den Anforderungen Ihrer Organisation am besten
entsprechen. Weitere Informationen nden Sie auf der Website AppleCare Professional Support.
AppleCare Help Desk Support
AppleCare Help Desk Support bietet telefonischen Zugang zu erfahrenen Apple-Mitarbeitern
beim technischen Support. Das Angebot beinhaltet eine Reihe von Tools für die Diagnose und
Fehlerbehebung bei Apple-Hardware, die es Einrichtungen ermöglichen, Ressourcen ezienter
zu verwalten, die Reaktionszeit zu verbessern und Trainingskosten zu senken. AppleCare Help
Desk Support deckt eine unbegrenzte Anzahl von Support-Vorfällen im Hinblick auf die Diagnose
und die Fehlerbehebung bei Hard- und Software sowie die Fehlereingrenzung für iOS- und
OS X-Geräte ab. Weitere Informationen nden Sie auf der Website AppleCare Help Desk Support.
AppleCare OS Support
AppleCare OS Support beinhaltet alle Komponenten von AppleCare Help Desk Support zusätzlich
zum Support bei einem Vorfall. AppleCare OS Support beinhaltet Support für Systemkomponenten,
für die Netzwerkkkonguration und -verwaltung, für die Integration in heterogene Umgebungen,
für professionelle Softwareprogramme, Webprogramme und -dienste sowie für technische Probleme,
deren Behebung die Verwendung von Befehlszeilenwerkzeugen erfordert. Weitere Informationen
nden Sie auf der Website AppleCare OS Support.
Planung für Support
Kapitel 9 Planung für Support 84
AppleCare für Unternehmen
AppleCare für Unternehmen beinhaltet umfassenden Support für Hard- und Software für Ihr
Unternehmen bzw. Ihre Bildungseinrichtung. Ihr AppleCare Accountmanager hilft Ihnen bei der
Überprüfung Ihrer IT-Infrastruktur, kümmert sich um mögliche Probleme und liefert monatliche
Aktivitätsberichte für Supportanrufe und Reparaturen. Sie erhalten für alle Hard- und Software
von Apple Support für IT-Abteilungen per Telefon oder E-Mail. Wir bieten Support bei komplexen
Implementierungs- und Integrationsszenarios, zum Beispiel MDM oder Active Directory. Und wenn
Sie Hilfe bei IBM MobileFirst für iOS-Apps benötigen, helfen wir Ihnen bei der Fehlerbehebung
und arbeiten mit IBM zusammen, um das Problem zu beseitigen. AppleCare für Unternehmen
kann Ihnen dabei helfen, Ihren internen Helpdesk zu entlasten, indem wir Ihren Mitarbeitern
rund um die Uhr technische Unterstützung per Telefon bieten. Apple bietet technischen Support
für Hardware und Betriebssysteme von Apple, für Apple-Apps wie Keynote, Pages oder Numbers
und für persönliche Accounts und Einstellungen. Weitere Informationen nden Sie auf der
Website AppleCare für Unternehmen.
AppleCare für Benutzer von iOS-Geräten
Jedes iOS-Gerät beinhaltet eine begrenzte Garantie für ein (1) Jahr in Verbindung mit telefo-
nischem technischem Support (für 90 Tage ab Kaufdatum). Dieser Serviceumfang kann mit
AppleCare+ für iPhone, AppleCare+ für iPad oder AppleCare+ für iPod touch auf zwei Jahre ab
dem ursprünglichen Kaufdatum verlängert werden. Benutzer können den technischen Support
von Apple bei grundlegenden Fragen zur Benutzung beliebig oft anrufen. Apple bietet auch
praktische Serviceoptionen für den Fall an, dass Geräte repariert werden müssen. Alle drei
Programme decken (jeweils gegen eine Servicegebühr) bis zu zwei Vorfälle einer versehentlichen
Beschädigung ab.
iOS-Direct-Service-Programm
Als Vorteil von AppleCare+ und AppleCare Protection Plan ermöglicht das iOS-Direct-Service-
Programm Ihrem Helpdesk, Geräte auf Probleme zu überprüfen, ohne AppleCare anzurufen
oder einen Apple Store zu besuchen. Bei Bedarf kann Ihre Organisation direkt Ersatz für iPhone,
iPad, iPod touch oder mitgeliefertes Zubehör bestellen. Weitere Informationen nden Sie auf der
Website iOS-Direct-Service-Programm.
AppleCare Protection Plan für Mac oder Apple-Displays
Jeder Mac beinhaltet eine begrenzte Garantie für ein (1) Jahr in Verbindung mit telefonischem
technischem Support (für 90 Tage ab Kaufdatum). Dieser Serviceumfang kann auf drei Jahre ab dem
ursprünglichen Kaufdatum erweitert werden und umfasst Vor-Ort-Reparaturen für Desktopcomputer.
Ebenfalls enthalten ist das Einsenden von Mobilcomputern und Apple-Displays zur Reparatur
und das Abgeben von Mac-Computern und Apple-Displays in einen Apple Store oder bei einem
anderen autorisierten Apple Service Provider zur Reparatur. Bei Fragen zur Apple-Hardware,
OS X oder Apple-Apps, wie denen, die zur iLife- oder iWork-Suite gehören, können Sie den
technischen Support von Apple beliebig oft anrufen.
10
85
Einschränkungen
Überblick
Apple-Geräte unterstützen die folgenden Richtlinien und Einschränkungen, die Sie kongurieren
können, um die Anforderungen der jeweiligen Organisation zu erfüllen. Abhängig von Ihrer
MDM-Lösung können die Namen dieser Einschränkungen und Optionen geringfügig variieren.
Hinweis: Nicht alle Einschränkungen sind für alle Apple-Geräte verfügbar.
Einstellungen für das Programm zur Geräteregistrierung
Die folgenden Einschränkungen gelten für Apple-Geräte, die MDM-Servern über das Programm
zur Geräteregistrierung zugewiesen sind.
Registrierungsoptionen
Benutzer auordern, das Gerät zu registrieren: Wenn diese Option aktiviert ist, fordert das Gerät
den Benutzer auf, das Gerät in MDM zu registrieren. Standardmäßig ist sie deaktiviert.
Die folgenden Einstellungen sind der Einstellung oben untergeordnet.
Benutzern Überspringen des Registrierungsschritts nicht erlauben: Ist diese Option aktiviert,
muss der Benutzer das Gerät in MDM registrieren, bevor er das Gerät einrichten kann.
Standardmäßig ist sie ausgeschaltet.
Anmeldedaten für Registrierung erforderlich: Ist diese Option deaktiviert, müssen sich
Benutzer nicht bei einem Verzeichnisdienst authentizieren, bevor sie ihr Gerät in MDM
registrieren. Standardmäßig ist sie aktiviert.
Gerät betreuen (nur iOS): Wenn diese Option aktiviert ist, wird das Gerät bei der Registrierung
betreut und die Registrierung kann vom Benutzer nicht rückgängig gemacht werden.
Standardmäßig ist sie ausgeschaltet.
Die folgende Einstellung ist der Einstellung oben untergeordnet.
Koppeln erlauben (nur iOS): Wenn diese Option deaktiviert ist, ist es Benutzern nicht möglich,
ihr Gerät mit einem Computer zu koppeln. Standardmäßig ist sie aktiviert.
Verhindern des Beendens der Registrierung: Wenn diese Option aktiviert ist, kann die
Registrierung eines betreuten iOS-Geräts vom Benutzer nicht rückgängig gemacht werden.
Die Registrierung von Mac-Computern kann rückgängig gemacht werden, wenn der Benutzer
den Benutzernamen und das Passwort eines Administrators kennt. Standardmäßig ist sie
ausgeschaltet.
Optionen für den Systemassistenten
Bei im Programm zur Geräteregistrierung registrierten und per MDM verwalteten Apple-Geräten
können folgende Anzeigen des Systemassistenten übersprungen werden (bei allen Optionen ist
der Standard aktiviert):
Solange Objekte nicht gleichzeitig dauerhaft mit einer MDM-Lösung eingeschränkt werden,
können Benutzer diese nach dem Einrichten des Apple-Geräts aktivieren.
Anhänge
Kapitel 10 Anhänge 86
Als neues Gerät einrichten oder von Backup wiederherstellen: Wenn diese Option ausgeschaltet ist,
ist es Benutzern nicht möglich, zwischen beiden Möglichkeiten zu wählen.
Benutzern erlauben, ihre Apple-ID einzugeben: Wenn diese Option ausgeschaltet ist, ist es
Benutzern nicht möglich, ihre Apple-ID einzugeben.
Benutzern erlauben, die Geschäftsbedingungen einzusehen: Wenn diese Option ausgeschaltet ist,
ist es Benutzern nicht möglich, die Geschäftsbedingungen von Apple einzusehen.
Benutzern erlauben, festzulegen, ob Diagnosedaten an Apple und Entwickler gesendet werden
sollen: Wenn diese Option ausgeschaltet ist, kann der Benutzer nicht festlegen,
ob Diagnosedaten an Apple und App-Daten an Entwickler gesendet werden sollen.
Benutzer erlauben, die Ortungsdienste zu aktivieren: Wenn diese Option ausgeschaltet ist, ist es
Benutzern nicht möglich, die Ortungsdienste zu aktivieren.
Benutzern erlauben, Touch ID zu aktivieren (nur iOS): Wenn diese Option ausgeschaltet ist,
ist es dem Benutzer nicht möglich, Touch ID zu aktivieren, um das Gerät zu entsperren oder
um Apps zu authentizieren, die Touch ID verwenden.
Benutzern erlauben, die Codeeinstellungen für die Sperre zu ändern (nur iOS): Wenn diese Option
ausgeschaltet ist, ist es Benutzern nicht möglich, den Code in der verwalteten Einstellung
zu ändern.
Benutzern erlauben, Apple Pay zu aktivieren (nur iOS): Wenn diese Option ausgeschaltet ist, ist es
Benutzern nicht möglich, Apple Pay zu aktivieren.
Benutzern erlauben, Siri zu aktivieren (nur iOS): Wenn diese Option ausgeschaltet ist, ist es
Benutzern nicht möglich, Siri zu aktivieren.
Benutzern erlauben, den Anzeigezoom zu ändern (nur iOS): Wenn diese Option ausgeschaltet
ist, ist es Benutzern nicht möglich, beim Anzeigezoom zwischen „Standard“ und „Vergrößert“
zu wechseln.
Benutzern erlauben, den Mac bei Apple zu registrieren (nur OS X) Wenn diese Option ausgeschaltet
ist, ist es Benutzern nicht möglich, das Registrierungsformular auszufüllen und an Apple
zu senden.
Benutzern erlauben, FileVault zu aktivieren (nur OS X): Wenn diese Option ausgeschaltet ist, ist es
Benutzern nicht möglich, FileVault zu aktivieren.
Gerätefunktionalität
iOS-Gerätefunktionalität
Es gibt die folgenden Funktionalitätseinschränkungen für iOS:
Installation von Apps erlauben: Wenn diese Option ausgeschaltet ist, wird der App Store deak-
tiviert und das zugehörige Symbol aus dem Homescreen entfernt. Benutzer können keine
App Store-Apps mithilfe von App Store, iTunes oder MDM installieren oder aktualisieren.
Betriebseigene Apps können weiterhin installiert und aktualisiert werden.
Siri erlauben: Wenn diese Option ausgeschaltet ist, kann Siri nicht verwendet werden.
Siri bei gesperrtem Gerät erlauben: Wenn diese Option ausgeschaltet ist, reagiert Siri nur,
wenn das Gerät entsperrt ist.
Apple Pay: Wenn diese Option ausgeschaltet ist, ist Apple Pay deaktiviert.
Hando erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer Hando nicht mit
ihren Apple-Geräten verwenden.
Verwendung der Kamera erlauben: Wenn diese Option ausgeschaltet ist, werden die Kameras
deaktiviert und das Kamerasymbol aus dem Homescreen entfernt. Benutzer können keine
Fotos oder Videos aufnehmen und FaceTime nicht verwenden.
Kapitel 10 Anhänge 87
FaceTime erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer keine Audio- oder
-Videoanrufe mit FaceTime machen oder erhalten.
Bildschirmfotos erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer kein
Bildschirmfoto des Displays sichern.
Automatische Synchronisierung beim Roaming erlauben: Wenn diese Option ausgeschaltet
ist, werden Geräte beim Roaming nur synchronisiert, wenn vom Benutzer auf einen Account
zugegrien wird.
Sprachwahl erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer keine
Sprachbefehle verwenden, um Telefonnummern zu wählen.
In-App-Käufe erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer keine
In-App-Käufe tätigen.
Touch ID das Entsperren des Geräts erlauben: Wenn diese Option ausgeschaltet ist, müssen
Benutzer einen Code verwenden, um das Gerät zu entsperren.
Handgelenkerkennung der Apple Watch erzwingen: Wenn diese Option aktiviert ist, wird die
Apple Watch automatisch gesperrt, wenn der Benutzer sie abnimmt. Sie kann mit ihrem Code
oder dem gekoppelten iPhone entsperrt werden. Standardmäßig ist sie deaktiviert.
Zugri auf Kontrollzentrum aus Sperrbildschirm erlauben: Wenn diese Option ausgeschaltet ist,
können Benutzer nicht aufwärts streichen, um das Kontrollzentrum anzuzeigen.
Zugri auf Mitteilungszentrale aus Sperrbildschirm erlauben: Wenn diese Option ausge-
schaltet ist, können Benutzer nicht abwärts streichen, um die Mitteilungszentrale im
Sperrbildschirm anzuzeigen.
Ansicht „Heute“ in Sperrbildschirm erlauben: Wenn diese Option ausgeschaltet ist, können
Benutzer nicht abwärts streichen, um die Ansicht „Heute“ im Sperrbildschirm anzuzeigen.
Passbook Benachrichtigungen in Sperrbildschirm erlauben: Wenn diese Option ausgeschaltet ist,
müssen Benutzer das Gerät entsperren, um Passbook zu verwenden.
iTunes Store-Passwort für alle Käufe erforderlich: Wenn diese Option ausgeschaltet ist, wird bei
In-App-Käufen in iTunes und bei iTunes-Käufen der Benutzer nicht zur Eingabe des Passworts
für den Account aufgefordert.
Erlaubte Altersfreigaben festlegen: Mit dieser Option werden die Region und Bewertungen für
Filme, Fernsehsendungen und Apps festgelegt.
Mac-Funktionalität
Es gibt die folgenden Funktionalitätseinschränkungen für Mac:
App Store-Übernahme erlauben: Wenn diese Option ausgeschaltet ist, können Apps aus iLife
und iWork, die in OS X vorinstalliert sind, nicht vom App Store übernommen werden.
App Store auf Softwareaktualisierungen beschränken: Wenn diese Option aktiviert ist,
kann der App Store nur verwendet werden, um Apps zu aktualisieren. Standardmäßig ist
sie ausgeschaltet.
Administratorpasswort wird benötigt, um Apps zu installieren oder aktualisieren: Wenn diese
Option aktiviert ist, wird ein Administratorpasswort benötigt, um Apps zu aktualisieren.
Standardmäßig ist sie ausgeschaltet.
Einschränken, welche Apps gestartet werden können: Wenn diese Option ausgeschaltet
ist, können Sie einschränken, welche Apps verwendet werden dürfen. Standardmäßig ist
sie ausgeschaltet.
Kapitel 10 Anhänge 88
Bestimmte Bereiche der Systemeinstellungen beschränken: Wenn diese Option ausgeschaltet ist,
können Sie auswählen, auf welche Objekte in den Systemeinstellungen der Benutzer zugreifen
kann. Wenn ein Bereich nicht aufgeführt wird, überprüfen Sie, ob er auf dem Mac mit dem
installierten Prolmanager installiert wurde. Standardmäßig ist sie ausgeschaltet.
Bildschirmhintergrund sperren: Wenn diese Option aktiviert ist, kann der Benutzer den
Bildschirmhintergrund nicht ändern. Standardmäßig ist sie ausgeschaltet.
Betreute Einstellungen
Die beiden Einschränkungen für die Aktivierungssperre sind standardmäßig für alle Benutzer
und Benutzergruppen ausgeschaltet.
Befehl „Erlauben der Aktivierungssperre“ nach der MDM-Registrierung senden: Wenn diese Option
aktiviert ist, können Benutzer ihr iOS-Gerät so kongurieren, dass es nur nach Eingabe der
Apple-ID des Benutzers gelöscht werden kann.
Die folgende Einstellung ist der Einstellung oben untergeordnet.
Befehl nur senden, wenn der Umgehungscode für die Aktivierungssperre erhalten wurde:
Wenn diese Option aktiviert ist, muss der MDM-Server den Umgehungscode für die
Aktivierungssperre erhalten, bevor Benutzer ihr iOS-Gerät so kongurieren können, dass es
nur nach Eingabe der Apple-ID des Benutzers gelöscht werden kann.
Globaler Netzwerk-Proxy für HTTP: Wenn diese Payload zu einem Prol hinzugefügt wird,
müssen iOS-Geräte den in der Payload denierten Proxy für den gesamten Netzwerkverkehr
über HTTP verwenden.
iMessage erlauben: Wenn diese Option für reine WLAN-Geräte ausgeschaltet ist, wird die App
„Nachrichten“ ausgeblendet. Wenn diese Option für Geräte mit WLAN und Mobilfunk ausge-
schaltet ist, ist die App „Nachrichten“ zwar verfügbar, es kann aber nur der SMS/MMS-Dienst
verwendet werden.
Game Center erlauben: Wenn diese Option ausgeschaltet ist, werden die App „Game Center“
und deren Symbol entfernt.
Löschen von Apps erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer installierte
Apps nicht löschen.
iBooks Store erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer keine Bücher im
iBooks Store kaufen.
Podcasts erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer keine
Podcasts laden.
Tastaturvorschläge erlauben: Wenn diese Option ausgeschaltet ist, werden den Benutzern
keine Tastaturvorschläge angezeigt.
Auto-Korrektur erlauben: Wenn diese Option ausgeschaltet ist, werden den Benutzern keine
Korrekturvorschläge für Wörter angezeigt.
Rechtschreibprüfung erlauben: Wenn diese Option ausgeschaltet ist, werden den Benutzern
eventuell falsch geschriebene Wörter nicht rot unterstrichen angezeigt.
Denition erlauben: Wenn diese Option ausgeschaltet ist, ist es Benutzern nicht möglich, durch
Doppeltippen nach der Denition eines Worts zu suchen.
Inhalte von Benutzern in Siri erlauben: Wenn diese Option ausgeschaltet ist, kann Siri keine
Inhalte aus Quellen abrufen, die Inhalte von Benutzern zulassen (z. B. Wikipedia).
Manuelle Installation von Kongurationsprolen erlauben: Wenn diese Option ausgeschaltet ist,
können Kongurationsprole von Benutzern nicht manuell installiert werden.
Kongurationsbeschränkungen erlauben: Wenn diese Option ausgeschaltet ist, können
Benutzer keine eigenen Einschränkungen auf ihrem Gerät festlegen.
Kapitel 10 Anhänge 89
Koppelung mit Computern zur Synchronisierung von Inhalten erlauben: Wenn diese Option
ausgeschaltet ist, können Benutzer ihr iOS-Gerät nur mit dem Mac mit Apple Congurator
koppeln, über den das Gerät zuerst betreut wurde.
AirDrop erlauben: Wenn diese Option ausgeschaltet ist, ist es Benutzern nicht möglich, AirDrop
mit irgendwelchen Apps zu verwenden.
Benutzern erlauben, Touch ID-Fingerabdrücke zu ändern: Wenn diese Option ausgeschaltet ist,
ist es Benutzern nicht möglich, Touch ID-Informationen hinzuzufügen oder zu entfernen.
Accountänderung erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer keine
neuen Accounts erstellen und ihren Benutzernamen, ihr Passwort oder andere ihrem Account
zugeordneten Einstellungen nicht ändern.
Änderung der Mobilfunkdateneinstellungen erlauben: Wenn diese Option ausgeschaltet ist, können
Benutzer keine Einstellungen ändern, die festlegen, welche Apps Mobilfunkdaten verwenden.
Ändern der Einstellungen für „Meine Freunde suchen“ erlauben: Wenn diese Option ausgeschaltet ist,
können Benutzer keine Einstellungen in der App „Meine Freunde suchen“ ändern.
Löschen aller Inhalte & Einstellungen erlauben: Wenn diese Option ausgeschaltet ist, können
Benutzer ihr Gerät nicht löschen und auf die Werkseinstellungen zurücksetzen.
Bestimmte URLs erlauben (Filter für Inhalte-Payload): Wenn diese Payload einem Prol hinzugefügt
wird, können Benutzer nicht festlegen, welche Website sie auf ihren iOS-Geräten anzeigen können.
Erlaubte URLs: Fügen Sie URL-Adressen zu dieser Liste hinzu, um den Zugri auf bestimmte
Websites zuzulassen, selbst wenn sie durch den automatischen Filter als „nur für Erwachsene
geeignet“ eingestuft werden. Wenn Sie diese Liste leer lassen, wird Zugri auf alle Websites
ohne anstößige Inhalte erlaubt; ausgenommen sind nur die Websites, die unter „Blacklist-URLs“
aufgelistet sind.
Blacklist-URLs: Fügen Sie URLs zu dieser Liste hinzu, um den Zugri auf bestimmte Websites
zu verweigern. Benutzer können diese Sites nicht besuchen, selbst wenn sie durch den
automatischen Filter als Sites ohne anstößige Inhalte eingestuft werden.
Nur bestimmte Websites: Der Benutzer des Geräts hat nur Zugri auf die Websites, die Sie
denieren. Geben Sie die URL der Website in der Spalte „URL“ ein. Geben Sie den Namen für
das Lesezeichen in der Spalte „Name“ ein. Geben Sie, wenn Sie ein Lesezeichen in einem Ordner
erstellen wollen, die Position des Ordners in der Spalte „Lesezeichen“ ein. Erstellen Sie zum
Beispiel ein Lesezeichen im Ordner „Favoriten“, indem Sie „/Favoriten/“ eingeben.
AirPlay Verbindungen mit Whitelist und optionalen Verbindungscodes einschränken: Wenn
diese Option ausgeschaltet ist, ist kein Code erforderlich, wenn ein Gerät erstmals für AirPlay
gekoppelt wird.
Siri Filter für anstößige Sprache aktivieren: Wenn diese Option deaktiviert ist, wird der Filter für
anstößige Sprache in Siri nicht aktiviert.
Einzel-App-Modus: Diese Option lässt nur die Verwendung einer einzelnen ausgewählten App zu.
Einstellungen für die Bedienungshilfen: Diese Option lässt bestimmte Einstellungen für
Bedienungshilfen im Einzel-App-Modus zu.
Weitere Informationen zur Betreuung von iOS-Geräten nden Sie unter Betreute Geräte.
Kapitel 10 Anhänge 90
Einstellungen für Sicherheit und Privatsphäre
Einstellungen für Sicherheit und Privatsphäre in iOS und OS X
Die folgenden Einschränkungen für Sicherheit und Privatsphäre gelten sowohl für iOS als auch
für OS X:
Senden von Diagnosedaten an Apple erlauben: Wenn diese Option ausgeschaltet ist, werden
keine Diagnosedaten für ein Gerät an Apple gesendet.
Einstellungen für Sicherheit und Privatsphäre in iOS
Die folgenden Einschränkungen für Sicherheit und Privatsphäre gibt es nur für iOS:
Internetergebnisse in Spotlight erlauben: Wenn diese Option ausgeschaltet ist, gibt Spotlight
keine Ergebnisse aus einer Internetsuche zurück.
Domains (E-Mail): Mail-Mitteilungen, die nicht an Domains in der genehmigten Liste adressiert
sind, werden markiert. Zum Beispiel könnte ein Benutzer „example.com“ und „group.example.
com“ in seiner Liste bekannter Domains haben. Wenn der Benutzer in dieser Situation
„anyone@foo.com“ eingibt, wird diese Adresse markiert, sodass der Benutzer klar erkennen
kann, dass diese Domain nicht in seiner Liste enthalten ist.
Domains (Safari): Downloads aus Safari werden als verwaltete Dokumente betrachtet, wenn
sie aus einer verwalteten Domain stammen. Wenn beispielsweise ein Benutzer eine PDF-
Datei mit Safari aus einer verwalteten Domain lädt, erfüllt diese PDF-Datei alle Einstellungen
verwalteter Dokumente.
Dokumente aus unverwalteten Quellen in verwalteten Zielen erlauben: Wenn diese Option
ausgeschaltet ist, können aus unverwalteten Quellen erstellte oder geladene Dokumente nicht
in verwalteten Zielen geönet werden.
Dokumente aus verwalteten Quellen in unverwalteten Zielen erlauben: Wenn diese Option
ausgeschaltet ist, können aus verwalteten Quellen erstellte oder geladene Dokumente nicht in
unverwalteten Zielen geönet werden.
Wiedergabe anstößiger Musik, Podcasts und iTunes U erlauben: Wenn diese Option ausgeschaltet
ist, werden anstößige Musik- oder Videoinhalte ausgeblendet, die im iTunes Store erworben
oder in iTunes U aufgelistet werden. Anstößige Inhalte werden von den Anbietern der Inhalte
(z. B. Plattenrmen) gekennzeichnet, wenn sie über den iTunes Store verkauft oder über iTunes
U verteilt werden.
Erotische Inhalte aus iBooks Store erlauben: Wenn diese Option ausgeschaltet ist, werden
erotische Inhalte ausgeblendet, die im iBooks Store erworben werden. Anstößige Inhalte
werden von den Anbietern der Inhalte gekennzeichnet, wenn sie über den iBooks Store verkauft
werden. Diese Option erfordert die Betreuung für iOS 6.
Einstellungen zum Erlauben anstößiger Musik, Podcasts, iTunes U-Inhalte, der Inhaltsbewertungen
selbst und erotische Inhalte aus dem iBooks Store sind sowohl in iTunes als auch der
App „iBooks“ in OS X zu nden.
Automatische Updates für Trust-Zertikate erlauben: Wenn diese Option ausgeschaltet ist, können
keine automatischen Aktualisierungen der Vertrauenseinstellungen für Zertikate erfolgen.
Nicht vertrauenswürdige TLS-Zertikate erlauben: Wenn diese Option ausgeschaltet ist,
werden Benutzer nicht gefragt, ob sie Zertikaten vertrauen wollen, die nicht überprüft
werden können. Diese Einstellung gilt für Accounts in Safari, Mail, Kontakte und Kalender.
Wenn diese Option eingeschaltet ist, werden ohne Eingabeauorderung nur Zertikate
mit vertrauenswürdigen Stammzertikaten akzeptiert. Weitere Informationen zu den
von iOS akzeptierten Root-Zertizierungsstellen nden Sie im Apple-Supportartikel zur
Liste verfügbarer vertrauenswürdiger Root-Zertikate.
Kapitel 10 Anhänge 91
Code bei der ersten AirPlay Koppelung anfordern: Wenn diese Option ausgeschaltet ist, ist kein
Code erforderlich, wenn ein Gerät erstmals für AirPlay gekoppelt wird.
Beschränktes Ad-Tracking erzwingen: Wenn diese Option ausgeschaltet ist, können Apps die
Werbekennung (eine nicht permanente Gerätekennung) verwenden, um dem Benutzer
zielgerichtete Anzeigen zu präsentieren.
Sicherungskopie rmenweiter Bücher erlauben: Wenn diese Option ausgeschaltet ist, können
Benutzer von ihrer Organisation verteilte Bücher nicht in iCloud oder iTunes sichern.
Verschlüsselte Backups erzwingen: Wenn diese Option ausgeschaltet ist, können Benutzer
wählen, ob in iTunes ausgeführte Gerätesicherungen im verschlüsselten Format auf ihrem
Mac gespeichert werden.
Wenn ein beliebiges Prol verschlüsselt ist und diese Option ausgeschaltet wird, ist die
Verschlüsselung von Sicherungen erforderlich und wird von iTunes erzwungen. Auf dem Gerät
durch Prolmanager installierte Prole werden nie verschlüsselt.
Sicherheit und Privatsphäre in OS X
Die folgenden Einschränkungen für Sicherheit und Privatsphäre gibt es nur für OS X:
AirDrop erlauben: Wenn diese Option ausgeschaltet ist, ist es Benutzern nicht möglich, AirDrop
mit anderen Mac-Computern zu verwenden.
Sie können die Verwendung von AirDrop für iOS-Geräte einschränken, diese müssen jedoch
zunächst betreut werden.
App-Verwendung
App-Einschränkungen in iOS und OS X
Die folgenden Einschränkungen gelten sowohl für iOS als auch für OS X:
Einschränkungen für die App „Mail“:
Erlauben, dass Mail-Mitteilungen von einem Account in einen anderen bewegt werden: Wenn
diese Option ausgeschaltet ist, können Benutzer eine E-Mail nicht von einem Account in
einen anderen bewegen.
Nur in Mail verwenden: Wenn diese Option ausgeschaltet ist, können andere Apps verwendet
werden, um In-App-E-Mails über den angegebenen Account zu senden.
Synchronisierung zuletzt verwendeter Mail-Adressen erlauben: Wenn diese Option ausgeschaltet ist,
werden die zuletzt verwendeten Adressen nicht auf mehreren Geräten synchronisiert.
Einschränkungen für die App „Safari“:
Automatisches Ausfüllen in Safari erlauben: Wenn diese Option ausgeschaltet ist, merkt Safari
sich nicht, welche Daten Benutzer in Webformularen eingeben.
Game Center-Einschränkungen:
Mehrspielermodus erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer keine
Spiele für mehrere Spieler in Game Center spielen.
Hinzufügen von Game Center Freunden erlauben: Wenn diese Option ausgeschaltet ist,
können Benutzer keine Freunde in Game Center suchen oder hinzufügen.
App-Einschränkungen nur für iOS
Die folgenden Einschränkungen gelten nur für iOS:
Einschränkungen für den iTunes Store:
Verwendung von iTunes Store erlauben: Wenn diese Option ausgeschaltet ist, wird der
iTunes Store deaktiviert und das zugehörige Symbol aus dem Homescreen entfernt.
Benutzer können keine Inhalte als Vorschau anzeigen, kaufen oder laden.
Kapitel 10 Anhänge 92
Einschränkungen für die App „Safari“:
Verwendung von Safari erlauben: Wenn diese Option ausgeschaltet ist, wird die App des
Webbrowsers Safari deaktiviert und das zugehörige Symbol aus dem Homescreen entfernt.
Dies hindert Benutzer auch daran, Webclips zu önen.
Bei betrügerischen Inhalten warnen: Wenn diese Option ausgeschaltet ist, versucht Safari
nicht, Benutzer daran zu hindern, Websites zu besuchen, die als betrügerisch oder schadhaft
eingestuft wurden.
JavaScript aktivieren: Wenn diese Option ausgeschaltet ist, ignoriert Safari sämtlichen
JavaScript-Code auf Websites.
Pop-Ups unterdrücken: Wenn diese Option ausgeschaltet ist, werden Pop-Ups in Safari
nicht blockiert.
Cookie-Einstellungen bearbeiten: Diese Option legt die Cookie-Richtlinie in Safari fest.
Sie können angeben, ob Cookies immer blockiert, immer akzeptiert, nur Cookies von den
aktuellen Websites akzeptiert oder von den Websites, die der Benutzer besucht, akzeptiert
werden sollen. Standardmäßig ist „Immer“ aktiviert.
App-Einschränkungen nur für OS X
Die folgenden Einschränkungen gelten nur für OS X:
Einschränkungen für die App „Dashboard“:
Ausführen bestimmter Dashboard-Widgets erlauben: Wenn diese Option ausgeschaltet ist,
können Sie auswählen, welche Dashboard-Widgets der Benutzer aktivieren kann.
Game Center-Einschränkungen:
Game Center erlauben: Wenn diese Option ausgeschaltet ist, werden die App „Game Center“
und deren Symbol entfernt.
Game Center-Accountänderung erlauben: Wenn diese Option ausgeschaltet ist, ist es Benutzern
nicht möglich, ihren Benutzernamen und ihr Passwort in Game Center zu ändern.
iCloud-Einstellungen
Backup erlauben: Wenn diese Option ausgeschaltet ist, wird die Gerätesicherung nur in
iTunes ausgeführt.
Synchronisierung von Dokumenten und Daten erlauben: Wenn diese Option ausgeschaltet ist,
werden Dokumente und Daten nicht in iCloud hinzugefügt.
Schlüsselbund-Synchronisierung erlauben: Wenn diese Option ausgeschaltet ist, wird der
iCloud-Schlüsselbund nicht verwendet.
„Mein Fotostream“ erlauben: Wenn diese Option ausgeschaltet ist, werden Fotos in „Mein
Fotostream“ vom Gerät gelöscht, Fotos in „Aufnahmen“ nicht an „Mein Fotostream“ gesendet
und können Fotos und Videos in freigegebenen Streams nicht mehr auf dem Gerät angezeigt
werden. Wenn es keine anderen Kopien dieser Fotos und Videos gibt, können sie verloren gehen.
iCloud Fotofreigabe erlauben: Wenn diese Option ausgeschaltet ist, können Benutzer freigegebene
Fotostreams nicht abonnieren oder veröentlichen.
Verwalteten Apps das Sichern von Daten in iCloud erlauben: Wenn diese Option ausgeschaltet ist,
können Benutzer keine Daten aus verwalteten Apps in iCloud speichern.
Synchronisation von Notizen und Markierungen bei rmenweiten Büchern erlauben: Wenn diese
Option ausgeschaltet ist, können Benutzer keine Daten aus verwalteten Apps in iCloud speichern.
Kapitel 10 Anhänge 93
Einschränkungen für Benutzer und Benutzergruppen im Prolmanager
Diese Einstellungen sind standardmäßig für alle Benutzer und die Benutzergruppe Jeder“ aktiviert.
Sie sind standardmäßig für die Gruppe Arbeitsgruppe“ und alle vom Administrator erstellten
Benutzergruppen deaktiviert.
Andere MDM-Lösungen können ähnliche Einstellungen verwenden, die Beschreibung der
Einstellung kann jedoch abweichen.
Zugri auf das Portal „Meine Geräte“ erlauben: Wenn diese Option aktiviert ist, können Benutzer
auf das Portal „Meine Geräte“ des Prolmanagers zugreifen.
Die folgenden Einstellungen sind der Einstellung oben untergeordnet.
Laden von Kongurationsprolen erlauben: Wenn diese Option aktiviert ist, können Benutzer
Kongurationsprole aus dem Portal „Meine Geräte“ laden.
Geräteregistrierung und Beenden der Registrierung erlauben: Wenn diese Option aktiviert ist,
können Benutzer zusätzliche Geräte registrieren und die Registrierung von Geräten beenden.
Löschen des Geräts erlauben: Wenn diese Option aktiviert ist, können Benutzer ihre
Geräte löschen.
Gerätesperre erlauben (nur iOS): Wenn diese Option aktiviert ist, können Benutzer ihr
iOS-Gerät sperren.
Löschen des Gerätecodes erlauben (nur iOS): Wenn diese Option aktiviert ist, können Benutzer
den Code ihres iOS-Geräts löschen.
Registrierung während des Systemassistenten für Geräte, die mit dem Programm zur
Geräteregistrierung konguriert wurden, erlauben: Wenn diese Option aktiviert ist, können
Apple-Geräte im Programm zur Geräteregistrierung, die dieser Instanz des Prolmanagers
zugewiesen sind, ihr Gerät im MDM-Dienst des Prolmanagers registrieren.
Die folgenden Einstellungen sind standardmäßig für alle Benutzer und Benutzergruppen
ausgeschaltet.
Registrierung während des Systemassistenten für Geräte, die mit Apple Congurator konguriert
wurden, erlauben (nur iOS): Wenn diese Option aktiviert ist, können iOS-Geräte, die mit
Apple Congurator eingerichtet wurden, ihr Gerät im MDM-Dienst des Prolmanagers registrieren.
Registrierung auf Platzhaltergeräte beschränken: Wenn diese Option aktiviert ist, können sich
nur Geräte mit einem Platzhalter mit einer der folgenden Optionen im MDM-Dienst des
Prolmanagers registrieren.
Seriennummer
UDID
IMEI
MEID
Bonjour-Geräte-ID (nur Apple TV)
Hinweis: Die folgende Einstellung ist der Einstellung oben untergeordnet.
Registrierung auf zugewiesene Geräte beschränken: Wenn diese Option aktiviert ist,
können sich nur Geräte, die einem Benutzer zugewiesen wurden, im MDM-Dienst des
Prolmanagers registrieren.
Drahtlose Installation interner Apps
Sowohl iOS als auch OS X unterstützen die drahtlose Installation eigener interner Apps ohne
Verwendung von iTunes oder App Store.
Kapitel 10 Anhänge 94
Voraussetzungen:
Eine iOS-App im .ipa-Format, die mit einem Bereitstellungsprol des Unternehmens für die
Produktion erstellt wurde.
Eine XML Manifest-Datei, die in diesem Anhang beschrieben wird.
Eine Netzwerkkonguration, die den Zugri der Geräte auf einen iTunes-Server bei
Apple ermöglicht.
Die Verwendung von HTTPS bei iOS 7.1 oder neuer
Die Installation der App ist sehr einfach. Benutzer laden die Manifest-Datei von Ihrer Website auf
ihre iOS Geräte. Die Manifest-Datei weist das Gerät an, die in der Manifest-Datei genannten
Apps zu laden und zu installieren.
Sie haben auch die Möglichkeit, eine URL zum Laden der Manifest-Datei per SMS oder E-Mail
bereitzustellen oder sie in einer anderen von Ihnen entwickelten unternehmensspezischen
App zu implementieren.
Es bleibt Ihnen überlassen, ob Sie eine Website zum Verteilen von Apps erstellen und bereitstellen.
Stellen Sie sicher, dass Benutzer per einfacher Authentizierung oder mittels verzeichnisbasierter
Authentizierung die Zugrisberechtigung erhalten und dass auf die Website über Ihr Intranet
oder das Internet zugegrien werden kann. Sie können die App und die Manifest-Datei in einem
unsichtbaren Verzeichnis oder an einem beliebigen Speicherort platzieren, auf den über HTTPS
zugegrien werden kann.
Wenn Sie ein Self-Service-Portal erstellen, sollten Sie einen Webclip zum Homescreen des
Benutzers hinzufügen, damit dieser für zukünftige Implementierungsinformationen
(z. B. neue Kongurationsprole, empfohlene Apps aus dem App Store und die Registrierung bei
einer MDM-Lösung) zurück zum Portal geleitet werden kann.
Vorbereiten einer internen App für die drahtlose Verteilung
Zum Vorbereiten einer internen App für die drahtlose Verteilung müssen eine archivierte Version
(eine „.ipa“-Datei) und eine Manifest-Datei erstellt werden, die die drahtlose Verteilung und
Installation der App ermöglicht.
Verwenden Sie Xcode zum Erstellen eines Archivs für die App. Signieren Sie die App mithilfe Ihres
Verteilungszertikats und legen Sie im Archiv Ihr Bereitstellungsprol für die Implementierung
im Unternehmen ab. Weitere Informationen zum Erstellen und Archivieren von Apps sind im
iOS Dev Center oder im Xcode-Benutzerhandbuch zu nden, das über das Hilfemenü in Xcode
aufgerufen werden kann.
Manifest-Datei für die drahtlose Verteilung
Die Manifest-Datei ist eine XML-plist. Sie wird von einem iOS Gerät zum Aunden, Laden und
Installieren des Apps von Ihrem Webserver verwendet. Die Manifest-Datei wird von Xcode
anhand der Informationen erstellt, die Sie beim Freigeben einer archivierten App für die
Verteilung im Unternehmen eingeben.
Die folgenden Felder müssen ausgefüllt werden:
URL: Die vollständig qualizierte HTTPS-URL der App-Datei (.ipa).
display-image: Ein 57 x 57 Pixel großes PNG-Bild, das während des Ladevorgangs und der
Installation angezeigt wird. Geben Sie die vollständig qualizierte URL des Bilds an.
full-size-image: Ein 512 x 512 Pixel großes PNG-Bild, mit dem die App in iTunes dargestellt wird.
bundle-identier: Die Bundle-ID der App in der in Ihrem Xcode-Projekt angegebenen Form.
Kapitel 10 Anhänge 95
bundle-version: Die Bundle-Version der App in der in Ihrem Xcode-Projekt angegebenen Form.
title: Der Name der App, der während des Ladevorgangs und der Installation angezeigt wird.
Nur für Apps für den Zeitungskiosk – Es müssen folgende Felder ausgefüllt werden:
newsstand-image: Ein PNG-Bild in voller Größe zur Anzeige im Regal des Zeitungskiosks.
UINewsstandBindingEdge und UINewsstandBindingType: Schlüssel, die der info.plist Ihrer
App für den Zeitungskiosk entsprechen.
UINewsstandApp: Indikator dafür, dass es sich um eine App für den Zeitungskiosk handelt.
Die optionalen Schlüssel, die Sie verwenden können, werden in der Manifest-Beispieldatei
beschrieben. Sie können beispielsweise die MD5-Schlüssel verwenden, wenn Ihre App-Datei groß
ist und Sie zusätzlich zu den herkömmlichen Fehlerprüfverfahren bei der TCP-Kommunikation
die Integrität der Downloads gewährleisten möchten.
Sie können mit einer einzelnen Manifest-Datei mehrere Apps installieren, indem Sie zusätzliche
Mitglieder für das Objekt-Array angeben.
Eine Manifest-Beispieldatei bendet sich am Ende dieses Anhangs.
Aufbau Ihrer Website
Laden Sie diese Objekte in einen Bereich Ihrer Website, auf den authentizierte Benutzer
zugreifen können:
Die App-Datei (.ipa)
Die Manifest-Datei (.plist)
Ihre Website kann eine einzelne Seite sein, die mit der Manifest-Datei verknüpft ist. Wenn ein
Benutzer auf den Weblink klickt, wird die Manifest-Datei geladen, die den Ladevorgang und die
Installation der mit ihr beschriebenen Apps veranlasst.
Es folgt ein Beispiel für einen solchen Link:
<a href="itms-services://?action=download-manifest&url=https://
example.com/manifest.plist">App installieren</a>
Fügen Sie keinen Weblink zur archivierten App (.ipa-Datei) hinzu. Die .ipa-Datei wird vom Gerät
geladen, wenn die Manifest-Datei geladen wird. Obwohl es sich beim Protokollteil der URL um
einen itms-services-Link handelt, ist der iTunes Store an diesem Vorgang nicht beteiligt.
Stellen Sie sicher, dass Ihre .ipa-Datei über HTTPS zugänglich ist und dass Ihre Site mit einem
Zertikat signiert ist, das für iOS vertrauenswürdig ist. Die Installation schlägt fehl, wenn ein
selbstsigniertes Zertikat keinen Vertrauensanker hat und durch das iOS-Gerät nicht ausgewertet
werden kann.
Festlegen der Server-MIME-Typen
In bestimmten Fällen ist es erforderlich, Ihren Webserver auf bestimmte Weise zu kongurieren,
damit die Manifest- und die App-Datei korrekt übertragen werden.
Fügen Sie für OS X Server die folgenden MIME-Typen zu den Einstellungen der MIME-Typen des
Webdiensts hinzu:
application/octet-stream ipa
te
xt/xml plist
Kapitel 10 Anhänge 96
Fügen Sie für IIS die MIME-Typen auf der Seite „Eigenschaften“ des Servers mithilfe des IIS-
Managers hinzu:
.ipa application/octet-stream
.plist te
xt/xml
Fehlerbeseitigung für die drahtlose Verteilung von Apps
Schlägt die drahtlose Verteilung von Apps mit der Meldung, dass der Ladevorgang nicht gestartet
werden kann, können Sie wie folgt vorgehen:
Vergewissern Sie sich, dass die App korrekt signiert ist. Testen Sie dies, indem Sie die
App auf einem Gerät mithilfe der App „Apple Congurator“ installieren und prüfen, ob dabei
Fehler auftreten.
Vergewissern Sie sich, dass der Link zur Manifest-Datei korrekt ist und dass die Manifest-Datei
für Webbenutzer zugänglich ist.
Stellen Sie sicher, dass die URL zur .ipa-Datei (in der Manifest-Datei) korrekt ist und das die
.ipa-Datei für Webbenutzer über HTTPS zugänglich ist.
Anforderungen für die Netzwerkkonguration
Sind die Geräte mit einem geschlossenen internen Netzwerk verbunden, sollten iOS-Geräte auf
Folgendes zugreifen können.
ax.init.itunes.apple.com: Das Gerät erhält das aktuelle Limit für die Dateigröße zu ladender
Apps über das Funknetzwerk. Ist diese Website nicht erreichbar, schlägt die Installation
möglicherweise fehl.
ocsp.apple.com: Das Gerät kontaktiert diese Website, um den Status des Verteilungszertikats
zu prüfen, das zum Signieren des Bereitstellungsprols verwendet wird.
Bereitstellen aktualisierter Apps
Apps, die Sie selbst verteilen, werden nicht automatisch aktualisiert. Wenn eine neue Version zur
Installation für die Benutzer verfügbar ist, können Sie die Benutzer über die Aktualisierung infor-
mieren und zur Installation der App auordern. Sie können auch festlegen, dass die App nach
Aktualisierungen sucht und die Benutzer beim Önen der App darüber informiert. Wenn Sie die
App drahtlos verteilen, kann die Benachrichtigung einen Link zur Manifest-Datei der aktualisierten
App bereitstellen.
Sollen Benutzer die auf ihrem Gerät gespeicherten App-Daten behalten, müssen Sie sicherstellen,
dass die neue Version dieselbe Paket-ID wie die ersetzte Version verwendet. Außerdem müssen
Sie die Benutzer anweisen, die alte Version nicht zu löschen, bevor sie die neue Version installieren.
Wenn die Paket-IDs übereinstimmen, ersetzt die neue Version die alte Version und bleiben die
auf dem Gerät gespeicherten Daten erhalten.
Die Gültigkeit von Bereitstellungsprofilen für die Verteilung läuft 12 Monate nach ihrer
Herausgabe ab. Nach dem Ablaufdatum wird das Profil gelöscht und die App wird nicht
mehr gestartet.
Besuchen Sie vor dem Ablauf des Bereitstellungsprols das iOS Dev Center, um ein neues
Prol für die App zu erstellen. Erstellen Sie ein neues Archiv (.ipa) für die App mit dem neuen
Bereitstellungsprol für die Benutzer, die die App zum ersten Mal installieren.
Kapitel 10 Anhänge 97
Falls Benutzer die App bereits verwenden, empehlt es sich, die Aktualisierung für die nächste
Version der App so einzuplanen, dass diese das neue Bereitstellungsprol enthält. Anderenfalls
können Sie nur die neue .mobileprovision-Datei verteilen, sodass Benutzer die App nicht neu
installieren müssen. Das neue Bereitstellungsprofil überschreibt das im Archiv der
Apps vorhandene Profil.
Bereitstellungsprole können mit MDM installiert und verwaltet und von Benutzern über ein
Update für die App oder alternativ mit MDM geladen und installiert werden.
Wenn Ihr Verteilungszertikat abgelaufen ist, startet die App nicht mehr. Ihr Verteilungszertikat
ist drei Jahre nach der Ausgabe bzw. bis zum Ablauf Ihrer Mitgliedschaft im Enterprise Developer
Programm gültig, je nachdem, welcher Zeitpunkt zuerst erreicht wird. Damit Ihr Zertikat nicht
abläuft, müssen Sie Ihre Mitgliedschaft vor dem Ablauf erneuern.
Es ist möglich, zwei aktive Verteilungszertikate gleichzeitig zu verwenden, wobei jedes der
beiden Zertikat vom jeweils anderen unabhängig ist. Das zweite Zertikat dient der Abdeckung
der Zeitspanne, während der Sie Ihre Apps aktualisieren können, bevor das erste Zertikat
abläuft. Achten Sie beim Anfordern des zweiten Verteilungszertikats vom iOS Dev Center darauf,
Ihr erstes Zertikat nicht zu annullieren.
Gültigkeit von Zertikaten
Beim erstmaligen Önen einer App durch einen Benutzer wird das Verteilungszertikat überprüft,
indem eine Verbindung zum OCSP-Server von Apple hergestellt wird. Wenn das Zertikat annulliert
wurde, startet die App nicht mehr. Kommt der Kontakt zum OCSP-Server nicht zustande oder
geht keine Antwort vom Server ein, wird dies nicht als Annullierung interpretiert. Zum Überprüfen
des Identitätsstatus muss das Gerät „ocsp.apple.com“ erreichen können. Weitere Informationen
nden Sie unter „Anforderungen für die Netzwerkkonguration“.
Die OCSP-Antwort wird auf dem Gerät für die vom OCSP-Server festgelegte Zeit im Cache
gespeichert. Dies sind derzeit drei bis sieben Tage. Die Gültigkeit des Zertikats wird erst erneut
überprüft, wenn das Gerät neu gestartet wird und die im Cache gespeicherte Zeitspanne über-
schritten wurde. Wird das Zertikat zu diesem Zeitpunkt annulliert, startet die App nicht mehr.
Durch das Annullieren eines Verteilungszertikats werden alle Apps ungültig, die Sie damit
signiert haben. Annullieren Sie ein Zertikat nur als letzten Ausweg, wenn feststeht, dass der
Schlüssel verloren gegangen ist oder davon auszugehen ist, dass die Sicherheit des Zertikats
nicht mehr gewährleistet ist.
Manifest-Beispieldatei
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/
PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<!-- Array der Downloads. -->
<key>items</key>
<array>
<dict>
<!-- Array der zu ladenden Ressourcen -->
<key>assets</key>
<array>
<!-- Softwarepaket: die zu installierende ipa-Datei. -->
<dict>
<!-- Pflicht: die Art der Ressource. -->
Kapitel 10 Anhänge 98
<key>kind</key>
<string>software-package</string>
<!-- Optional. md5 alle n Byte. Neustart eines Blocks, wenn md5
fehlschlägt. -->
<key>md5-size</key>
<integer>10485760</integer>
<!-- Optional. Array der md5-Hashwerte für jeden Block der Größe "md5-
size". -->
<key>md5s</key>
<array>
<string>41fa64bb7a7cae5a46bfb45821ac8bba</string>
<string>51fa64bb7a7cae5a46bfb45821ac8bba</string>
</array>
<!-- Pflicht: die URL der zu ladenden Datei. -->
<key>url</key>
<string>https://www.example.com/apps/foo.ipa</string>
</dict>
<!-- Anzeigebild: das beim Download anzuzeigende Symbol..-->
<dict>
<key>kind</key>
<string>display-image</string>
<!-- Optional: Indikator, ob das Symbol einen Glanzeffekt benötigt. -->
<key>needs-shine</key>
<true/>
<key>url</key>
<string>https://www.example.com/image.57x57.png</string>
</dict>
<!-- Bild in voller Größe: das in iTunes verwendete, 512x512 Pixel große
Symbol. -->
<dict>
<key>kind</key>
<string>full-size-image</string>
<!-- Optional: einzelner md5-Hashwert für die gesamte Datei. -->
<key>md5</key>
<string>61fa64bb7a7cae5a46bfb45821ac8bba</string>
<key>needs-shine</key>
<true/>
<key>url</key><string>https://www.example.com/image.512x512.jpg</string>
</dict>
</array><key>metadata</key>
<dict>
<!-- Pflicht -->
<key>bundle-identifier</key>
<string>com.example.fooapp</string>
<!-- Optional (nur Software) -->
<key>bundle-version</key>
<string>1.0</string>
<!-- Pflicht: die Art des Downloads. -->
Kapitel 10 Anhänge 99
<key>kind</key>
<string>software</string>
<!-- Optional: Die beim Download anzuzeigende Info, i.d.R. der Firmenname. -->
<key>subtitle</key>
<string>Apple</string>
<!-- Pflicht: der beim Download anzuzeigende Titel. -->
<key>title</key>
<string>Example Corporate App</string>
</dict>
</dict>
</array>
</dict>
</plist>
Weitere Informationen zu Prolschlüsseln und Attributen nden Sie unter
Conguration Prole Key Reference.
98

Hulp nodig? Stel uw vraag in het forum

Spelregels

Misbruik melden

Gebruikershandleiding.com neemt misbruik van zijn services uitermate serieus. U kunt hieronder aangeven waarom deze vraag ongepast is. Wij controleren de vraag en zonodig wordt deze verwijderd.

Product:

Bijvoorbeeld antisemitische inhoud, racistische inhoud, of materiaal dat gewelddadige fysieke handelingen tot gevolg kan hebben.

Bijvoorbeeld een creditcardnummer, een persoonlijk identificatienummer, of een geheim adres. E-mailadressen en volledige namen worden niet als privégegevens beschouwd.

Spelregels forum

Om tot zinvolle vragen te komen hanteren wij de volgende spelregels:

Belangrijk! Als er een antwoord wordt gegeven op uw vraag, dan is het voor de gever van het antwoord nuttig om te weten als u er wel (of niet) mee geholpen bent! Wij vragen u dus ook te reageren op een antwoord.

Belangrijk! Antwoorden worden ook per e-mail naar abonnees gestuurd. Laat uw emailadres achter op deze site, zodat u op de hoogte blijft. U krijgt dan ook andere vragen en antwoorden te zien.

Abonneren

Abonneer u voor het ontvangen van emails voor uw Apple iOS Implementierung bij:


U ontvangt een email met instructies om u voor één of beide opties in te schrijven.


Ontvang uw handleiding per email

Vul uw emailadres in en ontvang de handleiding van Apple iOS Implementierung in de taal/talen: Duits als bijlage per email.

De handleiding is 2,97 mb groot.

 

U ontvangt de handleiding per email binnen enkele minuten. Als u geen email heeft ontvangen, dan heeft u waarschijnlijk een verkeerd emailadres ingevuld of is uw mailbox te vol. Daarnaast kan het zijn dat uw internetprovider een maximum heeft aan de grootte per email. Omdat hier een handleiding wordt meegestuurd, kan het voorkomen dat de email groter is dan toegestaan bij uw provider.

Stel vragen via chat aan uw handleiding

Stel uw vraag over deze PDF

Andere handleiding(en) van Apple iOS Implementierung

Apple iOS Implementierung Gebruiksaanwijzing - Nederlands - 100 pagina's

Apple iOS Implementierung Gebruiksaanwijzing - English - 88 pagina's


Uw handleiding is per email verstuurd. Controleer uw email

Als u niet binnen een kwartier uw email met handleiding ontvangen heeft, kan het zijn dat u een verkeerd emailadres heeft ingevuld of dat uw emailprovider een maximum grootte per email heeft ingesteld die kleiner is dan de grootte van de handleiding.

Er is een email naar u verstuurd om uw inschrijving definitief te maken.

Controleer uw email en volg de aanwijzingen op om uw inschrijving definitief te maken

U heeft geen emailadres opgegeven

Als u de handleiding per email wilt ontvangen, vul dan een geldig emailadres in.

Uw vraag is op deze pagina toegevoegd

Wilt u een email ontvangen bij een antwoord en/of nieuwe vragen? Vul dan hier uw emailadres in.



Info