Verteilen von verwalteten Apps an Apple-Geräte
Bestimmte Organisationen erfordern die genaue Kontrolle darüber, wie Apps, die an Benutzer verteilt werden, die Verbindung zu internen Ressourcen herstellen, und wie die Datensicherheit zu handhaben ist, wenn ein Benutzer aus der Organisation ausscheidet. Du kannst über deine MDM-Lösung (Mobile Device Management) kostenlose, kostenpflichtige und angepasste Apps drahtlos verteilen und den Datenfluss verwalten, um für eine ausgewogene Balance zwischen den Sicherheitsanforderungen deiner Organisation einerseits und der Personalisierung für den jeweiligen Benutzer andererseits zu sorgen.
Verwaltete Apps
Mithilfe einer MDM-Lösung installierte Apps werden als verwaltete Apps bezeichnet. Sie enthalten oft vertrauliche Informationen und bieten dir mehr Kontrolle als Apps, die direkt vom Benutzer geladen werden.
Verwaltete Apps können per Fernzugriff über die MDM-Lösung entfernt werden; sie können vom Benutzer eines Geräts entfernt werden, wenn die MDM-Registrierung des Geräts aufgehoben wird. Auf einem iPhone, iPad oder einer Apple Vision Pro werden durch Entfernen einer App auch die zugehörigen Daten im Datencontainer entfernt. Wird eine App-Lizenz auf einem iPhone, iPad oder einer Apple Vision Pro über die MDM-Lösung widerrufen, kann die App auf dem Gerät weitere 30 Tage lang verwendet werden. Wenn der App-Entwickler eine Belegprüfung verwendet, wird die App möglicherweise früher deaktiviert. Auf Mac-Geräten kann die App verwendet werden, bis eine Belegprüfung durchgeführt wird.
Nachdem eine App deaktiviert wurde, kann sie nicht mehr verwendet werden und der Benutzer erhält eine entsprechende Mitteilung. Die App verbleibt jedoch auf dem Gerät und ihre Daten bleiben erhalten. Sobald der Benutzer eine eigene Lizenz erwirbt, kann die App wieder genutzt werden.
Einschränkungen und Funktionen für verwaltete Apps
Bei verwalteten Apps sind folgende MDM-Funktionen und -Einschränkungen möglich, um die Sicherheit zu erhöhen und das Benutzererlebnis zu optimieren:
Aus dem MDM abmelden: Angeben, ob verwaltete Apps und deren Daten auf dem Gerät verbleiben, wenn der Benutzer die Registrierung bei MDM aufhebt.
Apps konvertieren: Konvertieren nicht verwalteter Apps in verwaltete Apps.
Wenn das Gerät betreut wird, erfolgt der Wechsel zu einer nicht verwalteten App in eine verwaltete App ohne Benutzerinteraktion, wenn diese von der MDM-Lösung angefordert wird. Wird das Gerät nicht betreut, muss der Benutzer die Verwaltung formal akzeptieren. Die App-Umwandlung wird bei der Benutzerregistrierung in der MDM-Lösung nicht unterstützt.
App-Versionsupdates: In regelmäßigen Abständen im App Store nach neuen Versionen von Apps suchen und dann einen Installationsbefehl für die App an das Gerät senden, damit das Gerät die App aktualisiert. Diese Überprüfung gilt auch für angepasste Apps. Dem Gerät zugewiesene Apps, die via MDM installiert und verwaltet werden, müssen von der MDM-Lösung aktualisiert werden. Den Benutzern werden im App Store keine Mitteilungen zu App-Updates angezeigt.
„Tap to Pay“ erlauben (iOS): In iOS 16.4 (oder neuer) kann eine im Vordergrund ausgeführte Zahlungs-App für die sichere Verwendung während einer Tap to Pay-Transaktion markiert werden. Ist diese Option aktiviert, müssen Benutzer ihr Gerät nach jeder Transaktion, bei der das Gerät einem Kunden zur Eingabe seiner Karten-PIN ausgehändigt wurde, mit Face ID, Touch ID oder einem Code entsperren.
Einschränkungen für „In verwalteter Umgebung öffnen“ verwenden (iOS und iPadOS): Du hast die Wahl zwischen drei Funktionen, um die App-Daten deiner Organisation zu schützen:
Dokumente von nicht verwalteten Quellen in verwalteten Zielen erlauben. Diese Einschränkung verhindert, dass ein Benutzer mit privaten Quellen und Accounts Dokumente in den verwalteten Zielen der Organisation öffnet. Mit dieser Einschränkung lässt sich zum Beispiel verhindern, dass ein Benutzer mit der PDF-App deiner Organisation ein PDF-Dokument auf irgendeiner Website öffnet.
Dokumente von verwalteten Quellen in nicht verwalteten Zielen erlauben. Diese Einschränkung verhindert, dass verwaltete Quellen und Accounts der Organisation Dokumente in privaten Zielen des Benutzers öffnen. Mit dieser Einschränkung kann beispielsweise verhindert werden, dass ein vertraulicher E-Mail Anhang im verwalteten E-Mail-Account der Organisation mit einer privaten App des jeweiligen Benutzers geöffnet wird.
Verwaltete Zwischenablage. In iOS 15 und iPadOS 15 (oder neuer) dient diese Einschränkung dazu, das Einsetzen von Inhalten zwischen verwalteten und nicht-verwalteten Zielen zu steuern. Wenn die oben genannten Einschränkungen durchgesetzt werden, wird beim Einsetzen von Inhalten die Grenze von „In verwalteter Umgebung öffnen“ zwischen Dritt- und Erstanbieter-Apps wie „Kalender“, „Dateien“, Mail und „Notizen“ respektiert. Auch Apps können keine Objekte aus der Zwischenablage anfordern, wenn diese Einschränkung aktiv ist und der Inhalt die verwaltete Grenze übersteigt. Dies gilt in iOS 16 und iPadOS 16.1 (oder neuer) auch für verwaltete Domains.
Apps als nicht entfernbar markieren (iOS und iPadOS): In iOS 14 und iPadOS 14 (oder neuer) können verwaltete Apps als „nicht entfernbar“ markiert werden. In vorherigen Versionen mussten Administratoren den Home-Bildschirm komplett sperren und die Löschung aller Apps unterbinden. Dadurch konnten die Benutzer ihre Apps nur eingeschränkt verwalten. Benutzer können weiterhin ihre Apps neu anordnen, neue Apps installieren und andere installierte Apps löschen. Administratoren können ihre wichtigen verwalteten Apps als „nicht entfernbar“ klassifizieren. Wenn Benutzer versuchen, eine verwaltete App zu löschen oder auszulagern, wird dieser Vorgang verhindert und ein Warnhinweis angezeigt. Nicht entfernbare verwaltete Apps stellen sicher, dass für die Benutzer einer Organisation immer die notwendigen Apps auf den Geräten verfügbar sind.
Verwaltete Apps am Erstellen eines Datenbackups hindern (macOS): Du kannst verhindern, dass verwaltete Apps Daten im Finder (macOS 10.15 oder neuer) oder in iTunes (macOS 10.14 oder älter) oder in iCloud sichern. Werden Backups verhindert, können Daten aus verwalteten Apps nicht wiederhergestellt werden, falls die App über eine MDM-Lösung entfernt und später vom Benutzer erneut installiert wird.
Einstellungen für App-Konfiguration verwenden: App-Entwickler können Konfigurationseinstellungen angeben, die festgelegt werden können, bevor oder nachdem die App als verwaltete App installiert wird. Ein Entwickler könnte beispielsweise die Einstellung „SkipIntro“ festlegen, damit die Einführungsbildschirme für die verwaltete App übersprungen werden.
Einstellungen für App-Feedback verwenden, die von der MDM-Lösung gelesen werden können: App-Entwickler können App-Einstellungen angeben, die mithilfe der MDM-Lösung gelesen werden können. Beispielsweise könnte ein Entwickler einen
„DidFinishSetup“-Schlüssel festlegen, den eine MDM-Lösung abfragt, um festzustellen, ob die App gestartet und eingerichtet wurde.Verwaltete Dokumente von Safari laden: Downloads aus Safari werden als verwaltete Dokumente betrachtet, wenn sie aus einer verwalteten Domain stammen. Wenn beispielsweise ein Benutzer eine PDF-Datei aus einer verwalteten Domain lädt, muss gewährleistet sein, dass diese PDF-Datei allen Einstellungen für verwaltete Dokumente genügt. Weitere Informationen sind unter Beispiele einer verwalteten Domain zu finden.
Verwalteten Apps das Speichern von Daten in iCloud nicht erlauben: Die von Benutzern erstellen Daten in nicht verwalteten Apps können weiterhin in iCloud gespeichert werden.
Hinweis: Nicht alle Optionen sind in allen MDM-Lösungen verfügbar. In der Herstellerdokumentation zur jeweiligen MDM-Lösung wird beschrieben, welche MDM-Optionen für die verwendeten Geräte unterstützt werden.
Verwaltete Bücher
Du kannst auch eine MDM-Lösung verwenden, um verwaltete Bücher, EPUB-Bücher und PDF-Medien zu verteilen, die du erstellt hast.
Mit der MDM-Lösung verteilte EPUB- und PDF-Dokumente haben dieselben Eigenschaften wie andere verwaltete Dokumente. Sie können bei Bedarf mit neueren Versionen aktualisiert, nur mit anderen verwalteten Apps gemeinsam genutzt oder mithilfe verwalteter Accounts per E-Mail gesendet werden. Die MDM-Lösung kann auch verhindern, dass verwaltete Bücher gesichert werden. Diese Bücher werden Benutzern zugewiesen und erscheinen nur auf iPhone- und iPad-Geräten, die den jeweiligen Benutzern mithilfe der MDM-Lösung zugeordnet wurden.
Hinweis: Verwaltete Bücher werden auf der Apple Vision Pro nicht unterstützt.
Tastaturen anderer Anbieter einschränken
iOS und iPadOS unterstützen Regeln für „In verwalteter Umgebung öffnen“, die sich auf Tastaturerweiterungen anderer Anbieter auswirken. Dadurch wird verhindert, dass nicht verwaltete Tastaturen über verwalteten Apps eingeblendet werden.