Apple-Systeme unternehmensweit managen – warum die Nutzung von DEP und VPP sinnvoll ist

Dabei ist diese Integration keineswegs ein Selbstzweck – im Gegenteil, es gibt viele Gründe, warum sie das Leben der Administratoren vereinfacht. Eine wichtige Voraussetzung stellt allerdings die Teilnahme an Apples Device Enrollment Program (DEP) und Volume Purchase Program (VPP) dar.

Das VPP ist dabei die einfachste Möglichkeit, Apps in großen Stückzahlen für das Unternehmen oder eine Organisation zu erwerben. Das DEP hingegen unterstützt die schnelle Konfiguration neuer Geräte sowie ihr langfristiges Management. Es wird Sie daher kaum überraschen, dass wir unseren Kunden die Teilnahme an beiden Programmen wärmstens empfehlen. Vor der Nutzung müssen sich Unternehmen für VPP und DEP registrieren, und zwar für beide Programme auf der Website von Apple.
Wir haben die Vorteile der beiden Programme in einer Kurzübersicht einmal zusammengestellt:

• Anbindung vorab registrierter Geräte (mit iOS und macOS) bereits bei der ersten Inbetriebnahme an ein Mobile Device Management System (MDM)
• Individuelle Konfiguration des Systems für den jeweiligen Benutzer – personalisiert über das MDM
• Verwaltung im „supervised Mode“. Dieser Modus stellt zusätzliche Schnittstellen zur Verwaltung zur Verfügung. Auf diese Weise lassen sich beispielsweise vor- oder nachträglich installierte Apps ausblenden oder ohne Zutun des Anwenders auf dem Gerät installieren. 
• Unbeaufsichtigte (De-)Installation von Apps auf den Geräten
• Blockieren von Apps und Services entsprechend der Policies (z. B. Blockade von Installationen aus dem App Store oder App-Entfernung, keine Verbindung zum Game Center und Multiplayer-Gaming, keine Nutzung der iCloud oder iTunes und andere mehr)
• Management / Kauf großer Stückzahlen an Apps für die Devices
• „User Enrollment“. Hierbei nimmt der Anwender sein mobiles Gerät selbstständig in das Management auf und kann es auch jederzeit wieder aus dem Management entfernen – selbstverständlich werden dabei auch die Firmendaten vom Gerät entfernt.
• Strikte Trennung der persönlichen und meist privaten Apple ID von Unternehmenslizenzen und -eigentum
• Durch die Integration der Geräteverwaltung in MDM ist sind Geräte nicht löschbar und vor Verlust und Diebstahl geschützt

Diese Registrierung erzeugt eine Apple ID (für das Unternehmen), daher empfiehlt es sich, diese nicht mit einer persönlichen E-Mail-Adresse wie [vorname.nachname@firma.com], sondern einer allgemeinen, unternehmensseitigen [support.team@firma.com] vorzunehmen. Selbstverständlich hat Apple dabei eine Zwei-Faktor-Authentifizierung berücksichtigt, um potenziellen Missbrauch vorzubeugen. Beide Dienste lassen sich im Apple Business Manager verwalten.

Wichtig ist es an dieser Stelle zu erwähnen, dass hier auch der autorisierte Apple-Händler in die Registrierung der Geräte integriert werden muss. Das ist unbedingt notwendig, um eine vollständige Lieferkette sicherzustellen – das DEP ist auf diese „Vertrauenskette“ angewiesen. 
Dieser aufwändige Prozess zur Gewährleistung der Sicherheit bedeutet immer einen gewissen Zeitaufwand – nicht für das Erstellen der ID, sondern für ihre Prüfung. Im besten Fall beträgt dieser nur ein paar Stunden, in seltenen Fällen kann sich das aber auch schon einmal über ein paar Wochen hinziehen. Einige Händler/Lieferanten verlangen zudem auch Gebühren. Diese Kosten werden teilweise pro Gerät, teilweise aber auch als einmalige Pauschale oder in Kombination erhoben.
Da dies allerdings der Sicherheit dient und im Anschluss die Voraussetzung für ein wesentlich vereinfachtes Gesamt-Management des Apple-IT-Systemparks im Unternehmensnetzwerk bedeutet, bleiben wir in jedem Fall bei unserer Empfehlung: Nutzen Sie beide Apple-Programme auf jeden Fall!

Denn dann ist die Integration der Apple-Programme denkbar einfach: Die beiden Tokens, des VPP und des DEP, müssen nur noch in die bMS integriert werden. Das sieht dann so aus: