Verwaltete Apps an Apple-Geräte verteilen

Verwaltete Apps installieren

Ein Geräteverwaltungsdienst kann Apps mit folgenden Methoden installieren:

• Mit der deklarativen App-Verwaltung (iOS 17.2, iPadOS 17.2, macOS 26, visionOS 2.4 oder neuer)

• Mit dem Befehl InstallApplication

Wenn für eine App die deklarative App-Verwaltung verwendet wird, hat diese Vorrang, was dazu führt, dass ein Befehl für dieselbe App fehlschlägt. Für einen nahtlosen Übergang können Apps, die mit dem Befehl InstallApplication installiert wurden, mithilfe der deklarativen App-Verwaltung in verwaltete Apps konvertiert werden.

Mit der deklarativen App-Verwaltung können Geräte Apps eigenständig installieren und detaillierte Einblicke mithilfe von Statusberichten bereitstellen. Mithilfe von Aktivierungsprädikaten können auch Regeln definiert werden, wann eine App installiert werden soll. Zum Beispiel installiert das Gerät nur Apps, die eine sichere Verbindung erfordern, wenn die entsprechende Netzwerk-Relay-Konfiguration angewendet wurde und ein Code auf dem Gerät festgelegt ist.

Mit der deklarativen App-Verwaltung kann eine App entweder als erforderlich oder als optional definiert werden. Erforderliche Apps werden automatisch installiert und bleiben auf einem Gerät installiert. Eine optionale App wird auf Abruf installiert, wenn Benutzer:innen dies anfordern. Entwicklungsteams von Geräteverwaltungsdiensten können das Framework ManagedAppDistribution verwenden, um eine eigene App für die Verwaltung dieser optionalen App-Installationen zu erstellen.

Auf betreuten Geräten werden Apps im Hintergrund installiert. Andernfalls wird die Person aufgefordert, die Installation zu genehmigen.

Apps, die auf iPhone-, iPad-, Apple TV- und Apple Vision Pro-Geräten installiert werden, sind immer verwaltet. Auf einem Mac werden Apps, die mit der deklarativen App-Verwaltung installiert wurden, ebenfalls verwaltet. Andernfalls kann der Geräteverwaltungsdienst den Verwaltungsstatus auf App-Basis definieren.

Bestimmte App-Version installieren

Normalerweise wird die neueste Version einer App installiert, die im App Store verfügbar ist. Mit der deklarativen App-Verwaltung kann alternativ eine bestimmte App-Version definiert werden, die installiert werden soll. Vorherige Versionen einer App werden vom App Store beibehalten, es sei denn, das Entwicklungsteam hat sie entfernt.

Um die Version in der Konfiguration anzugeben, muss ExternalVersionIdentifier einer App verwendet werden.

Beim Übernehmen der Verwaltung einer App wird die lokal installierte Version automatisch auf die in der Konfiguration angegebene Version aktualisiert. Wenn die lokal installierte Version neuer ist als die angegebene Version, wird ein Fehler an den Geräteverwaltungsdienst zurückgegeben.

ManagedAppDistribution-Framework

Nachdem eine App-Lizenz dem Gerät oder der Person zugewiesen und die entsprechende deklarative App-Konfiguration angewendet wurde, kann eine einheitliche Oberfläche verwendet werden, um die Installation einer App mit dem Framework ManagedAppDistribution zu starten. Dieses Framework kann von Geräteverwaltungsdiensten implementiert werden und ermöglicht die Installation auf dem Gerät ohne zusätzliche Aktionen des Geräteverwaltungsdienstes. Außerdem bietet es einen transparenten Fortschritt und ein reaktionsfähiges Benutzererlebnis.

Verwaltete Apps konfigurieren

Organisationen müssen das Benutzererlebnis einer App häufig an ihre spezifischen Bedürfnisse oder sogar an eine bestimmte Benutzergruppe anpassen.

ManagedApp-Framework

Bei Geräten mit iOS 18.4, iPadOS 18.4 oder visionOS 2.4 (oder neuer) können Organisationen app-spezifische Konfigurationen und Geheimnisse (wie Passwörter, Zertifikate und Identitäten) auf sichere Weise für verwaltete Apps implementieren, die das Framework ManagedApp übernehmen. Dadurch kann mit der deklarativen App-Verwaltung das Verhalten einer App angepasst, das Benutzererlebnis optimiert und die Sicherheit erhöht werden. Beispiele sind:

• Konfiguriere eine verwaltete App oder App-Erweiterung vorab für ein bestimmtes Gerät oder bestimmte Benutzer:innen.

• Verwende automatisch bereitgestellte Identitäten für die Authentifizierung und Signierung.

• Empfange API-Zugriffstoken sicher.

• Erwerbe Zertifikate für den eigenen Vertrauensbereich (Certificate Pinning).

• Verwende hardwaregebundene Schlüssel und „Verwaltete Gerätebeglaubigung“ für eine starke Geräteauthentifizierung.

Weitere Informationen findest du im ManagedApp Framework auf der Apple Developer-Website.

App-Attribute

Auf dem iPhone, iPad und der Apple Vision Pro kannst du zusätzliche Attribute definieren, die auf eine App angewendet werden:

• Verwalteten Apps das Erstellen eines Backups verbieten: Daten von verwalteten Apps werden nicht im Finder oder in iCloud gesichert. Durch das Deaktivieren von Backups wird verhindert, dass Daten aus verwalteten Apps wiederhergestellt werden können, falls ein Geräteverwaltungsdienst die App entfernt und sie später von Benutzer:innen erneut installiert wird.

• Netzwerk-Relay oder VPN pro App definieren: Weise die App einer Netzwerk-Relay- oder VPN-pro-App-Konfiguration zu, die den Datenverkehr der App tunnelt.

• Ausblenden oder Sperren einer App erlauben: Auf iPhone- und iPad-Geräten mit iOS 18 und iPadOS 18 (oder neuer) können Benutzer:innen Apps optional ausblenden und sogar sperren. Bei verwalteten Apps können diese Funktionen eingeschränkt werden. Wenn das Sperren einer App für Benutzer:innen verboten ist, funktioniert auch das Ausblenden der App nicht.

• Zugehörige Domains und direkte Downloads: Konfiguriere die zugehörigen Domains einer App und definiere, ob das Gerät direkte Downloads für zugehörige Domains verwenden kann.

• Inhaltsfilter oder DNS-Proxy zuweisen: Weise der App einen bestimmten Inhaltsfilter oder eine bestimmte DNS-Proxy-Konfiguration zu.

• App einem Mobilfunksegment zuweisen (nur iPhone und iPad): Konfiguriere die App, um ein bestimmtes Funknetzwerksegment zu verwenden. Weitere Informationen findest du unter Unterstützung für 5G-Funknetzblöcke bei Apple-Geräten.

• Tap to Pay erlauben (nur iPhone): Bei Geräten mit iOS 16.4 (oder neuer) kann eine im Vordergrund ausgeführte Zahlungs-App für die sichere Verwendung während einer Tap to Pay-Transaktion markiert werden. Ist diese Option aktiviert, müssen Benutzer ihr Gerät nach jeder Transaktion, bei der das Gerät einem Kunden zur Eingabe seiner Karten-PIN ausgehändigt wurde, mit Face ID, Touch ID oder einem Code entsperren.

• Downloads über Mobilfunk erlauben (nur iPhone und iPad, nur deklarative App-Verwaltung): Gibt an, wie das Gerät ein Funknetzwerk verwendet, wenn die App geladen oder aktualisiert wird. Downloads beliebiger Größe können erlaubt, die Verwendung des Funknetzwerks verhindert oder die Einstellungen des App Stores befolgt werden. Diese Einstellung gilt nicht für von Benutzer:innen initiierte Aktionen.

Für Apps, die mit dem Befehl InstallApplication in iOS 14, iPadOS 14 und tvOS 14 (oder neuer) installiert wurden, ist eine zusätzliche Einstellung verfügbar.

• Apps als nicht entfernbar markieren: Eine verwaltete App kann als „nicht entfernbar“ markiert werden. Damit können Benutzer:innen ihre Apps neu anordnen, neue Apps installieren und andere Apps löschen, aber geschäftskritische verwaltete Apps können nicht entfernt werden. Wenn Benutzer versuchen, eine verwaltete App zu löschen oder auszulagern, wird dieser Vorgang verhindert und ein Warnhinweis angezeigt. Nicht entfernbare verwaltete Apps stellen sicher, dass für die Benutzer einer Organisation immer die notwendigen Apps auf den Geräten verfügbar sind.

  Bei der deklarativen App-Verwaltung werden erforderliche Apps automatisch als „nicht entfernbar“ markiert.

Nicht verwaltete Apps in verwaltete Apps konvertieren

Wenn die Person bereits eine App installiert hat, kann der Geräteverwaltungsdienst die Verwaltung dieser App übernehmen. Auf betreuten Geräten erfolgt dies ohne Benutzerinteraktion, ansonsten muss die Person die Verwaltung formal akzeptieren. Die Umwandlung von Apps ist für accountgesteuerte Registrierungen nicht verfügbar.

Verwaltete Apps aktualisieren

Ein Geräteverwaltungsdienst kann steuern, wie eine verwaltete App aktualisiert wird.

Apps mit der deklarativen App-Verwaltung aktualisieren

Apps, die mit der deklarativen App-Verwaltung implementiert werden, können auf zwei Arten aktualisiert werden:

• Mit automatischen App-Updates.

• Durch Installieren einer neuen Konfiguration, die entweder keine oder eine neuere App-Version angibt. Wenn keine Version angegeben ist, wird die neueste Version installiert, die verfügbar ist.

Mit der Einstellung für das Updateverhalten kann festlegt werden, wie Apps aktualisiert werden:

• Automatisch: Das Gerät sucht in regelmäßigen Abständen (typischerweise alle 24 Stunden) im App Store oder in der Manifestdatei nach neuen Versionen und aktualisiert die App automatisch auf die neueste Version.

• Nie: Das Gerät aktualisiert die App niemals automatisch.

• App Store-Einstellungen: Das Gerät verwendet die Einstellungen des entsprechenden Stores und aktualisiert auch niemals proprietäre interne Apps automatisch.

Auf dem iPhone, iPad und der Apple Vision Pro werden die App-Updates installiert, wenn das Gerät gesperrt ist. In macOS werden Benutzer:innen bei Bedarf aufgefordert, die App zu beenden.

Apps mit dem App-Installationsbefehl aktualisieren

Wenn die App mit einem Befehl installiert wurde, überprüft der Geräteverwaltungsdienst regelmäßig den App Store oder die Manifestdatei auf neue Versionen und sendet dann einen App-Installationsbefehl an das Gerät, um die App zu aktualisieren. Diese Überprüfung gilt auch für angepasste Apps. Dem Gerät zugewiesene Apps werden nur aktualisiert, wenn der Geräteverwaltungsdienst einen App-Installationsbefehl sendet. Den Benutzer:innen werden im App Store keine Mitteilungen zu App-Updates angezeigt.

Wenn das Gerät betreut ist, wird das Update im Hintergrund angewendet, es sei denn, die App wird im Vordergrund ausgeführt. In diesem Fall werden die Benutzer:innen über das Update informiert. Auf nicht betreuten Geräten werden Benutzer:innen aufgefordert, das Update zu bestätigen oder abzubrechen.

Verwaltete Apps entfernen

Verwaltete Apps können von einem Gerät entfernt werden:

• Aus der Ferne durch den Geräteverwaltungsdienst, indem die App-Konfiguration entfernt oder ein Befehl zum Entfernen der App gesendet wird.

• Wenn Benutzer:innen ein Gerät von einem Geräteverwaltungsdienst abmelden.

  • Bei der Deregistrierung werden auch angewandte App-Konfigurationen und die zugehörigen Apps entfernt.

  • Wenn die App mit dem App-Installationsbefehl installiert wurde, kann ein Attribut festgelegt werden, das bestimmt, ob die App bei der Deregistrierung entfernt wird.

  • Verwaltete Apps werden immer entfernt, wenn die Deregistrierung einer accountgesteuerten Registrierung durchgeführt wird.

Auf einem iPhone, iPad oder einer Apple Vision Pro werden durch Entfernen einer App auch die zugehörigen Daten im Datencontainer entfernt.

App-Lizenz zurücknehmen

Ein Geräteverwaltungsdienst kann die Lizenz einer App zurücknehmen, die einem Gerät oder einer Person zugewiesen wurde.

Lizenz einer mit der deklarativen App-Verwaltung installierten App zurücknehmen

Wird eine App-Lizenz einer App, die mit der deklarativen App-Verwaltung installiert wurde, mit einem Geräteverwaltungsdienst zurückgenommen, wird die App entfernt.

Lizenz für eine mit dem App-Installationsbefehl installierte App zurücknehmen

Wird eine App-Lizenz durch einen Geräteverwaltungsdienst zurückgenommen, aber die App nicht entfernt, kann die App auf dem Gerät so lange weiter verwendet werden, bis die App eine Belegprüfung durchführt.

Nachdem eine App deaktiviert wurde, kann sie nicht mehr verwendet werden und der Benutzer erhält eine entsprechende Mitteilung. Die App verbleibt jedoch auf dem Gerät und ihre Daten bleiben erhalten. Sobald der Benutzer eine eigene Lizenz erwirbt, kann die App wieder genutzt werden.