Verwaltete Apps an Apple-Geräte verteilen
Bestimmte Organisationen erfordern die genaue Kontrolle darüber, wie Apps, die an Benutzer:innen verteilt werden, die Verbindung zu internen Ressourcen herstellen, und wie die Datensicherheit zu handhaben ist, wenn Benutzer:innen aus der Organisation ausscheiden. Du kannst über deinen Geräteverwaltungsdienst kostenlose, kostenpflichtige und angepasste Apps drahtlos verteilen und den Datenfluss verwalten, um für eine ausgewogene Balance zwischen den Sicherheitsanforderungen deiner Organisation einerseits und der Personalisierung für die jeweiligen Benutzer:innen andererseits zu sorgen.
Verwaltete Apps
Apps, die mithilfe eines Geräteverwaltungsdienstes installiert werden, werden als verwaltete Apps bezeichnet. Sie enthalten oft vertrauliche Informationen und bieten dir mehr Kontrolle als Apps, die von Benutzer:innen geladen werden.
Verwaltete Apps können von einem Gerät entfernt werden:
Per Fernzugriff durch den Geräteverwaltungsdienst.
Wenn Benutzer:innen ein Gerät von einem Geräteverwaltungsdienst abmelden.
Auf einem iPhone, iPad oder einer Apple Vision Pro werden durch Entfernen einer App auch die zugehörigen Daten im Datencontainer entfernt. Wird eine App-Lizenz auf einem iPhone, iPad oder einer Apple Vision Pro über einen Geräteverwaltungsdienst widerrufen, aber nicht entfernt, kann die App auf dem Gerät weitere 30 Tage lang verwendet werden. Wenn das App-Entwicklungsteam eine Belegprüfung verwendet, wird die App möglicherweise früher deaktiviert. Auf Mac-Geräten kann die App verwendet werden, bis eine Belegprüfung durchgeführt wird.
Nachdem eine App deaktiviert wurde, kann sie nicht mehr verwendet werden und der Benutzer erhält eine entsprechende Mitteilung. Die App verbleibt jedoch auf dem Gerät und ihre Daten bleiben erhalten. Sobald der Benutzer eine eigene Lizenz erwirbt, kann die App wieder genutzt werden.
Einschränkungen und Funktionen für verwaltete Apps
Bei verwalteten Apps sind folgende Funktionen und -Einschränkungen möglich, um die Sicherheit zu erhöhen und das Benutzererlebnis zu optimieren:
Abmeldung von einem Geräteverwaltungsdienst: Angeben, ob verwaltete Apps und deren Daten auf dem Gerät verbleiben, wenn Benutzer:innen die Registrierung bei einem Geräteverwaltungsdienst aufhebt.
Apps konvertieren: Konvertieren nicht verwalteter Apps in verwaltete Apps.
Wenn das Gerät betreut wird, erfolgt der Wechsel von einer nicht verwalteten App zu einer verwalteten App ohne Benutzerinteraktion, wenn dies von einem Geräteverwaltungsdienst angefordert wird. Wird das Gerät nicht betreut, müssen Benutzer:innen die Verwaltung formal akzeptieren. Die App-Umwandlung wird bei der Benutzerregistrierung nicht unterstützt.
App-Versionsupdates: In regelmäßigen Abständen im App Store nach neuen Versionen von Apps suchen und dann einen Installationsbefehl für die App an das Gerät senden, damit das Gerät die App aktualisiert. Diese Überprüfung gilt auch für angepasste Apps. Dem Gerät zugewiesene Apps, die du über einen Geräteverwaltungsdienst installierst und verwaltest, müssen von diesem Dienst aktualisiert werden. Den Benutzer:innen werden im App Store keine Mitteilungen zu App-Updates angezeigt.
„Tap to Pay“ erlauben (iOS): Bei Geräten mit iOS 16.4 (oder neuer) kann eine im Vordergrund ausgeführte Zahlungs-App für die sichere Verwendung während einer Tap to Pay-Transaktion markiert werden. Ist diese Option aktiviert, müssen Benutzer ihr Gerät nach jeder Transaktion, bei der das Gerät einem Kunden zur Eingabe seiner Karten-PIN ausgehändigt wurde, mit Face ID, Touch ID oder einem Code entsperren.
Einschränkungen für „In verwalteter Umgebung öffnen“ verwenden (iOS, iPadOS): Du hast die Wahl zwischen drei Funktionen, um die App-Daten deiner Organisation zu schützen:
Dokumente von nicht verwalteten Quellen in verwalteten Zielen erlauben. Diese Einschränkung verhindert, dass ein Benutzer mit privaten Quellen und Accounts Dokumente in den verwalteten Zielen der Organisation öffnet. Mit dieser Einschränkung lässt sich zum Beispiel verhindern, dass ein Benutzer mit der PDF-App deiner Organisation ein PDF-Dokument auf irgendeiner Website öffnet.
Dokumente von verwalteten Quellen in nicht verwalteten Zielen erlauben. Diese Einschränkung verhindert, dass verwaltete Quellen und Accounts der Organisation Dokumente in privaten Zielen des Benutzers öffnen. Mit dieser Einschränkung kann beispielsweise verhindert werden, dass ein vertraulicher E-Mail Anhang im verwalteten E-Mail-Account der Organisation mit einer privaten App des jeweiligen Benutzers geöffnet wird.
Verwaltete Zwischenablage. Bei Geräten mit iOS 15 und iPadOS 15 oder neueren Versionen dient diese Einschränkung dazu, das Einsetzen von Inhalten zwischen verwalteten und nicht verwalteten Zielen zu steuern. Wenn die oben genannten Einschränkungen durchgesetzt werden, wird beim Einsetzen von Inhalten die Grenze von „In verwalteter Umgebung öffnen“ zwischen Dritt- und Erstanbieter-Apps wie „Kalender“, „Dateien“, Mail und „Notizen“ respektiert. Auch Apps können keine Objekte aus der Zwischenablage anfordern, wenn diese Einschränkung aktiv ist und der Inhalt die verwaltete Grenze übersteigt. Bei Geräten mit iOS 16 und iPadOS 16.1 (oder neueren Versionen) gehören hierzu auch verwaltete Domains.
Apps als nicht entfernbar markieren (iOS, iPadOS): Bei Geräten mit iOS 14 und iPadOS 14 (oder neueren Versionen) können verwaltete Apps als „nicht entfernbar“ markiert werden. In vorherigen Versionen mussten Admins den Home-Bildschirm komplett sperren und die Löschung aller Apps unterbinden. Dadurch konnten die Benutzer ihre Apps nur eingeschränkt verwalten. Benutzer können weiterhin ihre Apps neu anordnen, neue Apps installieren und andere installierte Apps löschen. Admins können ihre wichtigen verwalteten Apps als „nicht entfernbar“ klassifizieren. Wenn Benutzer versuchen, eine verwaltete App zu löschen oder auszulagern, wird dieser Vorgang verhindert und ein Warnhinweis angezeigt. Nicht entfernbare verwaltete Apps stellen sicher, dass für die Benutzer einer Organisation immer die notwendigen Apps auf den Geräten verfügbar sind.
Verwaltete Apps am Erstellen eines Datenbackups hindern (macOS): Du kannst verhindern, dass verwaltete Apps Daten im Finder (macOS 10.15 oder neuer) oder in iTunes (macOS 10.14 oder älter) oder in iCloud sichern. Durch das Deaktivieren von Backups wird verhindert, dass Daten aus verwalteten Apps wiederhergestellt werden können, falls ein Geräteverwaltungsdienst die App entfernt und sie später von Benutzer:innen erneut installiert wird.
Einstellungen für App-Konfiguration verwenden: App-Entwickler können Konfigurationseinstellungen angeben, die festgelegt werden können, bevor oder nachdem die App als verwaltete App installiert wird. Ein Entwickler könnte beispielsweise die Einstellung „SkipIntro“ festlegen, damit die Einführungsbildschirme für die verwaltete App übersprungen werden.
App-Feedback-Einstellungen verwenden, die ein Geräteverwaltungsdienst lesen kann: App-Entwicklungsteams können App-Einstellungen angeben, die ein Geräteverwaltungsdienst lesen kann. Ein Entwicklungsteam kann beispielsweise einen Schlüssel
DidFinishSetupangeben, den ein Geräteverwaltungsdienst abfragen kann, um festzustellen, ob eine App korrekt gestartet und konfiguriert wurde.Verwaltete Dokumente von Safari laden: Downloads aus Safari werden als verwaltete Dokumente betrachtet, wenn sie aus einer verwalteten Domain stammen. Wenn beispielsweise ein Benutzer eine PDF-Datei aus einer verwalteten Domain lädt, muss gewährleistet sein, dass diese PDF-Datei allen Einstellungen für verwaltete Dokumente genügt. Weitere Informationen sind unter Beispiele einer verwalteten Domain zu finden.
Verwalteten Apps das Speichern von Daten in iCloud nicht erlauben: Die von Benutzern erstellen Daten in nicht verwalteten Apps können weiterhin in iCloud gespeichert werden.
Hinweis: Nicht alle Optionen sind für alle Geräteverwaltungsdienste verfügbar. In der Dokumentation des Geräteverwaltungsdienstes des Entwicklungsteams wird beschrieben, welche Optionen für deine Geräte verfügbar sind.
Verwaltete Apps konfigurieren
Organisationen müssen das Benutzererlebnis einer App häufig an ihre spezifischen Bedürfnisse oder sogar an eine bestimmte Benutzergruppe anpassen.
Auf Geräten mit iOS 18.4, iPadOS 18.4 oder visionOS 2.4 (oder neuer) können Organisationen App-spezifische Konfigurationen und Geheimnisse (wie Passwörter, Zertifikate und Identitäten) auf sichere Weise für verwaltete Apps bereitstellen, die den Framework ManagedApp verwenden. Dadurch können Organisationen das Verhalten einer App anpassen, die Benutzererfahrung optimieren und die Sicherheit mit der Konfiguration com.apple.configuration.app.managed erhöhen. Beispiele sind:
Konfiguriere eine verwaltete App oder App-Erweiterung vorab für ein bestimmtes Gerät oder bestimmte Benutzer:innen.
Verwende automatisch bereitgestellte Identitäten für die Authentifizierung und Signierung.
Empfange API-Zugriffstoken sicher.
Erwerbe Zertifikate für den eigenen Vertrauensbereich (Certificate Pinning).
Verwende hardwaregebundene Schlüssel und „Verwaltete Gerätebeglaubigung“ für eine starke Geräteauthentifizierung.
Weitere Informationen findest du im ManagedApp Framework auf der Apple Developer-Website.
Verwaltete Bücher
Du kannst auch einen Geräteverwaltungsdienst verwenden, um verwaltete Bücher, EPUB-Bücher und PDF-Medien zu verteilen, die du erstellt hast.
EPUB-Bücher und PDFs, die von einem Geräteverwaltungsdienst verteilt werden, haben dieselben Eigenschaften wie andere verwaltete Dokumente. Du kannst sie bei Bedarf mit neueren Versionen aktualisieren, nur mit anderen verwalteten Apps teilen oder mit einem verwalteten Apple Account per E-Mail senden. Der Geräteverwaltungsdienst kann auch verhindern, dass Benutzer:innen verwaltete Bücher sichern. Obwohl du diese Bücher Benutzer:innen zuweist, werden sie nur auf iPhone- und iPad-Geräten angezeigt, die von einem Geräteverwaltungsdienst diesen Benutzer:innen zugewiesen wurden.
Hinweis: Verwaltete Bücher werden auf der Apple Vision Pro nicht unterstützt.
Tastaturen anderer Anbieter einschränken
iOS und iPadOS unterstützen Regeln für „In verwalteter Umgebung öffnen“, die sich auf Tastaturerweiterungen anderer Anbieter auswirken. Dadurch wird verhindert, dass nicht verwaltete Tastaturen über verwalteten Apps eingeblendet werden.