Neue Funktionen für die Implementierung von Apple-Plattformen

Automatische Geräteregistrierung für die Apple Vision Pro

In visionOS 2.0 können Organisationen Apple Vision Pro-Geräte mit der automatischen Geräteregistrierung eingliedern, um automatische MDM-Registrierung zu nutzen, Geräte während der Aktivierung zu betreuen und das initiale Einrichten der Geräte zu vereinfachen.

Apple Vision Pro-Geräte können mittels visionOS 1.1 oder neuer auch accountbasierte Geräte- oder Benutzerregistrierung verwenden. Mit der accountbasierten Geräte- oder Benutzerregistrierung können Organisationen Organisationsdaten kryptografisch von privaten Daten trennen.

Softwareupdate-Prozess

Softwareupdates auf iPhones, iPads und Macs können nun vollständig per deklarativer Geräteverwaltung verwaltet werden. Damit werden MDM-Profile für die Einschränkung von Softwareupdates, für Einstellungen und Softwareupdatebefehle und -anfragen ersetzt. Dadurch wird der Softwareupdate-Vorgang resilienter und auch für Benutzer:innen transparenter.

Unter iOS 18, iPadOS 18 und macOS 15 kann die Konfiguration von com.apple.configuration.softwareupdate.settings auf iPhones, iPads und Macs für Folgendes zum Einrichten verwendet werden:

• Verhalten automatischer Softwareupdates

• Verhalten schneller Sicherheitsmaßnahmen

• Aufschieben von Softwareupdates (1–90 Tage)

• Erforderlichkeit lokaler Adminautorisierung zum Durchführen von macOS-Updates

• Verhalten der Standardmitteilung beim Erzwingen von Softwareupdates

• Anzeige von Softwareupgrades (empfohlene Reihenfolge, nur iOS und iPadOS)

Weitere Informationen findest du unter:

• Über Softwareupdates

• Überprüfen des Softwareupdate-Prozesses von Apple

• Installieren und Durchsetzen von Softwareupdates

• Verwenden von MDM-Lösungen zur Implementierung von Softwareupdates

• Verstehen der Phasen der Durchsetzung von Softwareupdates von Apple

Softwareupdate-Veröffentlichungsdaten

Die neuesten Veröffentlichungsdaten von Softwareupdates wurden hinzugefügt.

Weitere Informationen findest du unter Softwareveröffentlichungsdaten.

Verwaltung von Beta-Software

Organisationen haben beim Verwalten der Installation von Beta-Software folgende Optionen:

• Geräte können bei verschiedenen Beta-Programmen registriert werden und in Kombination mit der Möglichkeit, Beta- und reguläre Updates aufzuschieben, können Testphasen eingeführt werden sowie eine Einführungsprozedur, die bei der ersten Betaversion des Softwareupgrades startet.

• In diesen Programmen angebotene Betaversionen können auf betreuten Geräten durchgesetzt, eingeschränkt und verschoben werden (ähnlich wie Softwareupdates).

• Statusberichte können zur Verfügung gestellt werden, um die Sichtbarkeit zu erhöhen und Organisationen auf verwalteten Geräten das Erfassen von Beta-Programm-Registrierungen zu ermöglichen.

• Geräte zu einem Beta-Programm mithilfe eines Unternehmen-Tokens hinzufügen. Die teilnehmenden Personen müssen sich nicht mehr in den Einstellungen oder Systemeinstellungen mit ihrem (persönlichen oder verwalteten) Apple Account anmelden. Dadurch werden zusätzliche manuelle Schritte reduziert und der gesamte Prozess innerhalb des Lebenszyklus des Beta-Testing optimiert. Der Prozess ist abhängig vom Betriebssystem:

  • Geräte im Systemassistent bei der Verwendung der automatischen Geräteregistrierung hinzufügen. (iOS 17.5, iPadOS 17.5 und macOS 14.5 oder neuer).

  • Geräte mihilfe der Konfiguration „com.apple.configuration.softwareupdate.settings“ hinzufügen (iOS 18 beta oder iPadOS 18 beta).

Weitere Informationen findest du unter Testen von Softwareupdates mit dem Beta-Programm AppleSeed for IT.

Neue Hardwarevoraussetzungen für „Verwaltete Gerätebeglaubigung“

Hardwarevoraussetzungen für die Beglaubigung wurden aktualisiert.

Weitere Informationen findest du unter Unterstützte Hardware für „Verwaltete Gerätebeglaubigung“.

eSIM-Updates

In iOS 18 und iPadOS 18 kann mit allowESIMOutgoingTransfers gesteuert werden, ob eine eSIM auf ein neu eingerichtetes Gerät übertragen werden kann.

Weitere Informationen findest du unter Über die Einschränkung „allowESIMOutgoingTransfers“.

Mehrere „Private Cellular Network“-Payloads

In iOS 18 und iPadOS 18 werden mehrere „Private Cellular Network“-Payloads unterstützt. Somit wird die Konfiguration für bis zu fünf private 5G- oder LTE-Netze ermöglicht. Da der Payload einen Geofence für jedes Netz definiert, kann die jeweils passende eSIM automatisch aktiviert oder deaktiviert werden, wenn sich der:die Benutzer:in in die oder aus der privaten Funknetzzone bewegt.

Weitere Informationen findest du unter MDM mit privaten Funknetzen.

Verwaltung von Safari-Erweiterungen

Mit Safari-Erweiterungen kannst du das Websurferlebnis auf dem iPhone, iPad und Mac anpassen und optimieren. In iOS 18, iPadOS 18 und macOS 15 können Organisationen mit MDM-Lösungen die Verwendung von Safari-Erweiterungen auf betreuten Geräten steuern. Ein Unternehmen möchte z. B. bestimmte Erweiterungen installiert und aktiviert haben, um Zugang zu internen Diensten zu gewähren oder eine Ausbildungseinrichtung möchte Lernende daran hindern, mit bestimmte Erweiterungen an Information zu gelangen, die gegen die Richtlinien der Einrichtung verstoßen. Diese Verwaltungseinstellungen für Erweiterungen funktionieren für normales Websurfen, also auch für ”Privates Surfen“ und enthalten folgende Funktionen:

• Verwaltung von erlaubten Erweiterungen

• Kontrolle, welche der Erweiterungen immer an oder aus sind

• Zugangskontrolle der Erweiterung für Websites nach definierten Domains und Subdomains

Weitere Informationen findest du unter Deklarative Konfiguration „Verwaltung“ von Safari-Erweiterungen.

„Apps and Books for Organizations”-API

MDM-Entwickler können jetzt ihren Entwickleraccount verwenden, um Service-IDs und Autorisierungsschlüssel für „Apps and Books for Organizations“-API zu konfigurieren und um Information über ihre verwalteten Apps und Bücher zu erhalten. Weitere Änderungen:

• Neue Felder, die anzeigen, ob eine App mit visionOS kompatibel ist

• Neuer Ausgangspunkt für die Suche im App Store

Weitere Informationen findest du unter Configure the Apps and Books for Organizations API auf der Apple Developer-Website.

Bereitstellen und Verwalten von Personen für proprietäre interne App-Entwickler

Proprietäre interne (Enterprise) App-Entwickler werden Zugriff auf Apple APIs zum Bereitstellen und Verwalten von Personen haben, um Aufgaben wie die Erstellung von Bereitstellungsprofilen und die Integration der Benutzerverwaltung in bestehende Prozesse zu automatisieren.

Weitere Informationen findest du unter Enterprise Program API auf der Apple Developer-Website.

Sicherheitsverbesserungen für das Einrichten von Push-Mitteilungen für MDM-Kund:innen

Für MDM-Entwicklungen kann derzeit der APN-Dienst (Apple Push Notification) genutzt werden, um für Kund:innen einen optimierten Erstellungsprozess für Push-Zertifikate zu erstellen. Hierbei ist das Erstellen und Signieren von CSRs (Aufforderungen zum Signieren von Zertifikaten) für alle Kund:innen eingeschlossen. Diese können anschließend das übergebene CSR-Objekt nutzen, um ein Zertifikat über das Portal Apple Push Certificates zu erhalten.

Noch in diesem Jahr wird das Portal für Apple-Push-Zertifikate für CSRs die Signierung via SHA2-Algorithmus voraussetzen, um die Sicherheit zu erhöhen. Zertifikate werden für CSRs, die mit SHA1 signiert sind, nicht ausgegeben. Weitere Informationen zu bewährten Verfahren erhältst du unter Setting Up Push Notifications (Push-Mitteilungen einrichten) auf der Developer-Website von Apple.

Geräteverwaltung für „Mathematische Notizen“, Smart Script, Image Playground und „Schreibwerkzeuge“

Apple stellt Steuerungen für die Geräteverwaltung (MDM) und den Zugriffsmodus (AAC) für „Mathematische Notizen“, Smart Script, Image Playground und „Schreibwerkzeuge“ zur Verfügung.

Weitere Informationen erhältst du unter Konfigurieren von Einstellungen für Mathematik und die App „Rechner“.

Organisationen können auch weiterführende Informationen über Apple Intelligence-Funktionen wie Schreibwerkzeuge und Image Playground-Verwendung (Privates Cloud-Computing) erfahren. Weitere Informationen findest du unter Private Cloud Compute: A new frontier for AI privacy in the cloud auf der Apple Security Research-Website.

Unterstützung für Passkeys und Hardware-Sicherheitsschlüssel während der Registrierung

In macOS 15 unterstützt der Systemassistent ASWebAuthenticationSession, wodurch Unterstützung für Passkeys und unterstützte Hardware-Sicherheitsschlüssel während der Registrierung erlaubt wird.

Payload „Erweiterbare Gesamtauthentifizierung mit Kerberos“

Im Folgenden werden die neuen Schlüssel für das Payload „Erweiterbare Gesamtauthentifizierung mit Kerberos“ aufgeführt:

• Um den Wechsel zum Passwortmodus zu erlauben: allowPassword

• Um den Wechsel zum SmartCard-Modus zu erlauben: allowSmartCard

• Um die Liste der verfügbaren SmartCards zu filtern: identityIssuerAutoSelectFilter

• Um die Kerberos-Erweiterung im SmartCard-Modus zu starten: startInSmartCardMode

Gesamtauthentifizierung für Plattform

Um hochsichere macOS-Bereitstellungen für die eine Authentifizierung mit der IdP zu unterstützen, wird die Gesamtauthentifizierung für die Plattform auf macOS 15 ausgeweitet:

• IdP-Authentifizierung ist bei FileVault, dem Sperrbildschirm und dem Anmeldefenster durch die Verwendung einer neuen Richtlinienoption, RequireAuthentication, erforderlich.

• Optional werden Touch ID oder die Apple Watch authentifiziert, damit das Entsperren des Bildschirms vereinfacht wird, wenn RequireAuthentication aktiviert ist.

• Offline- und Authentifizierungsfristen können konfiguriert werden, damit Benutzer:innen sich anmelden oder den Bildschirm entsperren können, auch wenn sie offline sind.

Zugriff auf externen und Netzwerkspeicher

Um Organisationen in macOS 15 dabei zu helfen, die Übertragung von Daten von einem Gerät zu verwalten, können diese nun die neue Konfiguration für die Festplattenverwaltung verwenden, damit sie entscheiden können, ob externer oder Netzwerkspeicher erlaubt oder verboten wird oder ob die Aktivierung von Nur-Lese-Volumes begrenzt werden soll.

Diese Konfiguration ersetzt das veraltete Payload „Medienmanagement“. Weitere Informationen findest du unter Deklarative Konfiguration „Verwaltung von Speicherplatz“.

Verwaltung von Hintergrundvorgängen

macOS bietet Unterstützung für Hintergrundaufgaben, die entweder seitens des:der Benutzer:in oder als eigenständiger Vorgang gestartet wurden, um im Hintergrund andauernde Dienste bereitzustellen.

In macOS 15 können ausführbare Programme, Skripte und launchd-Konfigurationsdateien über eine MDM-Lösung installiert und an einem sicheren und manipulationsgeschützten Ort gespeichert werden (ähnlich zu den Dienstkonfigurationsdateien letzten Jahres), wodurch das Bereitstellen und Steuern von verwalteten Diensten für Organisationen erleichtert wird.

Lokaler Netzwerkzugriff für macOS

Wenn eine App eines Drittanbieter oder ein Launch-Agent in macOS 15 mit Geräten im lokalen Netzwerk eines:einer Benutzers:Benutzerin interagieren will, muss um Erlaubnis gebeten werden, wenn sie oder er zum ersten Mal das lokale Netzwerk durchsuchen will.

Ähnlich wie bei iOS und iPadOS können Benutzer:innen nun zu „Systemeinstellungen“ > „Datenschutz“> „Lokales Netzwerk“ gehen, um diesen Zugriff zu erlauben oder abzulehnen. Hierdurch erhalten Benutzer:innen Kontrolle über ihren Datenschutz.

Updates für virtuelle Maschine in macOS

Benutzer:innen können auf einer virtuellen Maschine mit macOS 15 folgende Schritte ausführen:

• Bei iCloud anmelden (mit einem persönlichen Apple Account), nachdem ihr Account bereits auf einem physischen Apple-Gerät angemeldet wurde. Das ermöglicht Benutzer:innen auf iCloud-Dienste und Apps, die mit iCloud assoziiert werden, auf der virtuellen Maschine zuzugreifen.

• Verwende „Alle Inhalte und Einstellungen löschen“.

Updates für den Systemassistenten

Die folgenden Optionen (bereits in iOS und iPadOS verfügbar) können nun auch in macOS 15 für ein reibungsloses Konfigurationserlebnis verwendet werden:

• Willkommen als Teil von „Schlüssel überspringen“ für die automatische Geräteregistrierung

• SkipSetupItems im Profil-Payload „Systemassistent“

Update für Systemeinstellungen

Der Bereich „Profile“ in den Systemeinstellungen wurde in macOS 15 zu „Geräteverwaltung“ umbenannt und wird nun im Bereich „Allgemein“ angezeigt. Diese Änderung gleicht den Mac an iOS und iPadOS an.

Ausblenden und Sperren von Apps

iOS 18 und iPadOS 18 führen neue Option ein, mit denen Benutzer:innen Face ID, Touch ID oder einen Code erforderlich machen könne, um eine App zu öffnen und sie auf dem Home-Bildschirm auszublenden. MDM kann die Verfügbarkeit dieser Optionen mit den folgenden Methoden verwalten:

• Steuern der Fähigkeit von Benutzer:innen, verwaltete Apps auf App-Basis auszublenden und zu sperren

• Deaktivieren der Option, alle Apps auf betreuten Geräte auszublenden und zu sperren

Bei Geräten, die über die Benutzerregistrierung registriert wurden, werden ausgeblendete Apps nur an MDM gemeldet, wenn sich um verwaltete Geräte handelt. Bei Geräten, die über die Benutzerregistrierung registriert wurden, werden ausgeblendete Apps als Teils aller installierter Apps gemeldet.

Installation interner Apps

In iOS 18 und iPadOS 18 ist für proprietäre interne Apps, die manuell installiert wurden, nun ein Neustart des Geräts erforderlich, um die Vertrauenswürdigkeit des Bereitstellungsprofils zu vervollständigen. Zuvor war für installierte Apps, die mit demselben Bereitstellungsprofil signiert wurden, kein Neustart nötig und sie wurden automatisch als vertrauenswürdig eingestuft.

Wiederinbetriebnahme

Die Wiederinbetriebnahme ermöglicht einen vollständig automatisierten Prozess über ein drahtloses Netzwerk für das Zurücksetzen und erneute Registrieren von Apple TV-Geräten bei MDM-Lösungen. Wenn in tvOS 18 die MDM-Lösung den Befehl zum Löschen eines verwalteten Geräts sendet, muss sie WLAN-Details bereitstellen und festlegen, in welcher MDM-Lösung das Gerät registriert werden soll.

Wenn das Gerät in Apple Business Manager oder Apple School Manager angezeigt wird, kann die MDM-Serverkonfiguration wegfallen. Dies weist das Gerät darauf hin, während der Aktivierung nach einem Registrierungsprofil zu suchen. Das Gerät löscht dann alle Daten und durchläuft automatisch den Systemassistenten (unter Verwendung der vorherigen Sprach- und Regioneinstellungen), bis der einsatzbereite Home-Bildschirm erreicht wird.

Identifikation des AirPlay-Empfängers

In tvOS 18 zeigen AirPlay-Empfänger ihre Geräte-ID (MAC-Adresse) nicht mehr an. Der Befehl „RequestMirror“ kann entweder einen Gerätenamen oder eine Geräte-ID verwenden. Der Gerätename funktioniert jedoch nur auf Apple TV-Geräten mit tvOS 18. Weitere Änderungen der Payload „AirPlay“ beinhalten Folgendes:

• Die Liste der erlaubten Geräte-IDs – auch Erlaubnisliste genannt – kann nun Gerätenamen akzeptieren.

• In macOS 15 führt die Passwortlisten zu den Passwörtern für einen Gerätenamen. Diese Funktion ist bereits in iOS und iPadOS verfügbar.

Updates für die Konfigurationsverwaltung

In visionOS 2.0 können Organisationen die Registrierungs-SSO konfigurieren. Hierzu zählen Konfigurationen wie die Gerätesperre, Aktivierungssperre, Codeverwaltung und mehr, sodass die Bereitstellung in einer Organisation vereinfacht werden kann. Weitere Informationen findest du unter GitHub-Repository für die Apple-Geräteverwaltung.

Eine vollständige Liste der Payloads, Einschränkungen, Befehle und deklarativen Konfigurationen, die in visionOS 1.1 (oder neuer) unterstützt werden, gibt es hier:

• MDM-Payload-Liste für Apple Vision Pro-Geräte

• MDM-Einschränkungen für Apple Vision Pro-Geräte

• MDM-Befehle für Apple-Geräte

• Liste mit Optionen für MDM-Einstellungsbefehle

• Deklarative Konfigurationen für Apple-Geräte

Multiapp-Leistungsnachweismodus für das iPad

In iPadOS 17.6 (oder neuer) können Entwickler von zusätzlichen Apps neben ihrer primären Leistungsnachweis-App profitieren, beispielsweise Bedienungshilfen-Apps und App, die Rechner, Notizen und Tabellen verwenden können.

Schoolwork 3.0

In iPadOS 17.5 (oder neuer) mit Schoolwork 3.0 können Lehrkräfte:

• Ein beliebiges Dokument oder eine Datei als Leistungsnachweis für die Klasse senden, einschließlich PDFs und Dateien, die in Pages, Numbers, Keynote und Google Suite (Dokumente, Blätter, Folien) erstellt wurden,

• Dokumente von iCloud hochladen und Papierdokumente direkt in Schoolwork scannen,

• Die Arbeit und Dokumente von Schüler:innen mithilfe von Bewertungsfunktionen überprüfen und bewerten,

• Und die Leistung von Schüler:innen nach Frage analysieren, was zusätzlich weitere Funktionen für die Berichterstattung und Einblicke bietet.

Unverwaltete Klassen in der Nähe in der App „Classroom“

In iPadOS 17.4 und macOS 14.4 (oder neuer) ermöglicht diese Funktion Lehrkräften mit verwalteten Apple Accounts unverwaltete Klassen in der Nähe in der App „Classroom“ zu erstellen und zu verwenden (anstelle von Apple School Manager-Klassen).