Mit Spannung wird in jedem Jahr verfolgt, welche Änderungen die Betriebssystemupdates von Apple mit sich bringen. Und zwar nicht nur von User:innen. Denn auch für den geschäftlichen Kontext ergeben sich hierdurch in der Regel einige Neuerungen. So auch in 2022: Die Updates, die im Herbst öffentlich ausgerollt werden, tragen zu mehr Sicherheit und einem besseren Nutzungserlebnis bei und bieten neue Verwaltungsoptionen für Admins.
Wir stellen Ihnen die 10 wichtigsten Änderungen vor, die für Ihr Unternehmen von Interesse sein können.
Macs und nun auch iPhones und iPads, die nicht über einen offiziellen Reseller erworben wurden, können auf einfache Weise registriert werden.
1
In Zukunft können nicht nur Macs, sondern auch iPhones und iPads per „Apple Configurator for iPhone“-App zum Apple Business Manager oder Apple School Manager hinzugefügt werden. Dies ist insbesondere für Unternehmen relevant, die nur wenige Macs nutzen oder in Gegenden angesiedelt sind, in denen es wenig offizielle Reseller gibt.
Anwendungen können schon während des Setups an iPhones und Tablets verteilt werden.
2
Bisher erfolgte die Installation von Apps erst nach Aktivierung und Registrierung des Geräts. Dadurch entstand zwischen dem Zugriff auf ein funktionsfähiges Gerät und der Arbeitsbereitschaft des Geräts eine zeitliche Lücke. Diese kann zukünftig geschlossen werden: iOS 16 und iPadOS 16 machen es möglich, Apps schon während der Einrichtung zu installieren – während des Status “AwaitDeviceConfigured”. So dauert zwar die Aktivierung etwas länger. Aber sobald sie abgeschlossen ist, haben Mitarbeiter:innen direkten Zugriff auf ein arbeitsbereites Gerät – einschließlich aller Apps. Das Gerät ist direkt „ready to work“.
Minor OS-Updates können mit einem Priority-Tag versehen werden.
3
Mithilfe eines neuen Befehls kann zukünftig eine Priority-Installation eines Betriebssystem-Updates auf einem Gerät per UEM-System veranlasst werden – selbst wenn sich dieses im Stromsparmodus befindet. Durch den Priority-Tag wird das Update so behandelt, als wäre es von den User:innen selbst angestoßen worden und wird direkt installiert.
Sicherheitsupdates können ohne Auswirkungen auf die Betriebssystemversion des Geräts installiert werden.
4
Bisher war für alle Update-Arten eine vollständige Aktualisierung des Betriebssystems erforderlich. Es war daher nicht zu empfehlen, automatische Updates zu aktivieren, da vor dem Rollout ausgiebige Tests notwendig waren, um gravierende Probleme zu vermeiden. So bestand jedoch das Risiko, dass Updates zu spät installiert werden und die gesamte Geräteflotte ungeschützt bleibt. Mit der neuen Funktion „Rapid Security Response“ können Sicherheitsaktualisierungen bereitgestellt werden, ohne die Firmware auf dem Gerät zu verändern. Dadurch können sie automatisch und viel schneller installiert werden. Andere Updates können und sollten vor der Bereitstellung wie üblich getestet werden.
Google Workspace wird vom Apple Business Manager unterstützt.
5
Bislang hat der Apple Business Manager nur Microsoft Azure Active Directory unterstützt. Nun kommt Google Workspace hinzu. Mitarbeiter:innen von Unternehmen, die Google Workspace als Identity Provider nutzen, können ihre Credentials daher zukünftig als Managed Apple ID verwenden.
OAuth 2 kann auf iPhones und Tablets zur Autorisierung genutzt werden.
6
Bei iOS 16 und iPadOS 16 ist OAuth 2 als Autorisierungsmechanismus verfügbar. Dadurch können Unified Endpoint Management-Systeme zusätzliche Identity Provider zur Identifizierung von Mitarbeiter:innen heranziehen. Dies verbessert sowohl die Sicherheit als auch die Nutzungsfreundlichkeit, da Anwender:innen ihre Anmeldedaten nicht erneut eingeben müssen.
Private Geräte können einfacher in einem UEM-System registriert werden und Zugang zu Unternehmensapps und -Webseiten erhalten.
7
Die Funktion „Enrollment Single Sign-On“ macht es möglich, private Geräte auf einfachem Wege in einem UEM-System zu registrieren. Zudem erhalten sie mit einer einzigen Authentifizierung Zugriff auf Unternehmenswebseiten und -anwendungen. Mitarbeiter:innen können ihre eigenen Geräte registrieren, indem sie sich mit einer verwalteten Apple ID anmelden und eine Registrierungs-App herunterladen. Die App enthält die „Enrollment Single Sign-On“-Erweiterung und eine Authentifizierungsschnittstelle und übernimmt den Rest des Prozesses.
Alle Services, bei denen die Authentifizierung über den Identity Provider des Unternehmens erfolgt, werden über einen wahrhaften Single Sign-On zugänglich.
8
Um das Single Sign-On-Erlebnis zu verbessern, führt Apple den „Platform Single Sign-On“ ein. Dadurch müssen sich Mitarbeiter:innen nur einmal mit ihrem lokalen Passwort anmelden, um ein Gerät zu entsperren, und haben danach automatisch Zugriff auf alle Unternehmensinformationen und Anwendungen, bei dem der Identity Provider des Unternehmens für die Authentifizierung verwendet wird.
Bei sämtlichen Geräten kann sichergestellt werden, dass ein Gerät, das eine Verbindung zu Unternehmensressourcen herstellen möchte, auch wirklich das Gerät ist, für das es sich ausgibt.
9
Das Verteilung von gerätespezifischen Zertifikaten, die zur Authentifizierung dienen, funktionierte bisher je nach Apple-Gerät und Betriebssystem unterschiedlich gut. So war bei macOS-Geräten eine Installation desselben Zertifikats samt privatem Schlüssel im Schlüsselbund des Betriebssystems notwendig, was Admins die Möglichkeit bot, die Kopierbeschränkung des Zertifikats zu überwinden. Mit der neuen Funktion “Device Attestation” kann nun gewährleistet werden, dass das Gerät, das Zugriff anfordert, auch wirklich das verwaltete Gerät ist, dem Zugriff gewährt werden soll. Hierfür generiert die Secure Enclave des Geräts eine entsprechende Bescheinigung.
Neue Einschränkungsmöglichkeiten unter macOS erschweren Angriffe per USB und Thunderbolt.
10
Zubehör, das über USB oder Thunderbolt an einen Laptop angeschlossen wird, stellt zunehmend ein Risiko dar, weil Schadsoftware über manipulierte Kabel oder Datenträger auf das Gerät gelangen kann. Eine neue Sicherheitsfunktion für macOS-Geräte sorgt dafür, dass die Kommunikation von neuem USB- und Thunderbolt-Zubehör mit dem Betriebssystem standardmäßig so lange blockiert wird, bis die Komponente von den Nutzer:innen genehmigt wurde. Die Zustimmung kann nur dann erfolgen, wenn das Gerät entsperrt ist. Angriffe, bei denen Kriminelle einen schadhaften USB-Stick an einen gesperrten Mac anschließen, haben daher keinen Erfolg mehr. Findet ein:e User:in einen USB-Stick und schließt diesen an den Mac an, so hilft die Funktion aber nur wenig weiter. Hier ist weiterhin die Sensibilisierung die wichtigste Sicherheitsmaßnahme.
Hinweise:
- Die Informationen basieren auf öffentlichen Informationen von Apples Webseite und öffentlich zugänglichen Drittquellen. Die neuesten Updates finden Sie unter https://developer.apple.com/enterprise/. Wenn Sie über ein Entwicklerkonto verfügen, finden Sie weitere Details in den Unternehmensressourcen.
- Beta-Versionen für Entwickler sowie öffentliche Beta-Versionen wurden bereits veröffentlicht. Der offizielle Release ist für diesen Herbst geplant.
- Es bleibt abzuwarten, wie und wann die UEM-Hersteller die verschiedenen neuen Optionen in ihre Systeme integrieren. Hierüber halten wir Sie auf dem Laufenden.
Weitere Informationen zu den Neuerungen finden Sie in unserem Whitepaper, das mithilfe unseres EMEA-Partners mobco erstellt wurde.