Endpoint Management | Mobile Device Management

Apple-Systeme unternehmensweit managen – warum die Nutzung von DEP und VPP sinnvoll ist

30. November 2020, Avatar of Alexander SpatzigAlexander Spatzig

Apple-Systeme im Unternehmensnetzwerk verwalten? Es ist noch gar nicht so lange her, dass IT-Administratoren bei dieser Frage regelmäßig schlechte Laune bekamen. Zum Glück hat sich hier in den vergangenen Jahren jedoch sehr viel getan, und mittlerweile lassen sich die Geräte mit dem Apfel-Logo perfekt in die Unternehmens-IT und das damit verbundene Management integrieren.

IT-Administratoren profitieren dabei auch von der Tatsache, dass sich Apple-Produkte heute schon wunderbar in moderne System-Management-Tools wie unsere baramundi Management Suite (bMS) integrieren lassen. Dabei ist diese Integration keineswegs ein Selbstzweck – im Gegenteil, es gibt viele Gründe, warum sie das Leben der Administratoren vereinfacht. Eine wichtige Voraussetzung stellt allerdings die Teilnahme an Apples Device Enrollment Program (DEP) und Volume Purchase Program (VPP) dar.

VPP für die Apps – DEP für die Konfiguration

Das VPP ist dabei die einfachste Möglichkeit, Apps in großen Stückzahlen für das Unternehmen oder eine Organisation zu erwerben. Das DEP hingegen unterstützt die schnelle Konfiguration neuer Geräte sowie ihr langfristiges Management. Es wird Sie daher kaum überraschen, dass wir unseren Kunden die Teilnahme an beiden Programmen wärmstens empfehlen. 

Wir haben die Vorteile der beiden Programme in einer Kurzübersicht einmal zusammengestellt:

  • Anbindung vorab registrierter Geräte (mit iOS und macOS) bereits bei der ersten Inbetriebnahme an ein Mobile Device Management System (MDM)
  • Individuelle Konfiguration des Systems für den jeweiligen Benutzer – personalisiert über das MDM
  • Verwaltung im „supervised Mode“. Dieser Modus stellt zusätzliche Schnittstellen zur Verwaltung zur Verfügung. Auf diese Weise lassen sich beispielsweise vor- oder nachträglich installierte Apps ausblenden oder ohne Zutun des Anwenders auf dem Gerät installieren. 
  • Unbeaufsichtigte (De-)Installation von Apps auf den Geräten
  • Blockieren von Apps und Services entsprechend der Policies (z. B. Blockade von Installationen aus dem App Store oder App-Entfernung, keine Verbindung zum Game Center und Multiplayer-Gaming, keine Nutzung der iCloud oder iTunes und andere mehr)Management / Kauf großer Stückzahlen an Apps für die Devices
  • „User Enrollment“. Hierbei nimmt der Anwender sein mobiles Gerät selbstständig in das Management auf und kann es auch jederzeit wieder aus dem Management entfernen – selbstverständlich werden dabei auch die Firmendaten vom Gerät entfernt.
  • Strikte Trennung der persönlichen und meist privaten Apple ID von Unternehmenslizenzen und -eigentum
  • Durch die Integration der Geräteverwaltung in MDM ist sind Geräte nicht löschbar und vor Verlust und Diebstahl geschützt

Vor der Nutzung müssen sich Unternehmen für VPP und DEP registrieren, und zwar für beide Programme auf der Website von Apple.Diese Registrierung erzeugt eine Apple ID (für das Unternehmen), daher empfiehlt es sich, diese nicht mit einer persönlichen E-Mail-Adresse wie [vorname.nachname@firma.com], sondern einer allgemeinen, unternehmensseitigen [support.team@firma.com] vorzunehmen. Selbstverständlich hat Apple dabei eine Zwei-Faktor-Authentifizierung berücksichtigt, um potenziellen Missbrauch vorzubeugen. Beide Dienste lassen sich im Apple Business Manager verwalten.

Integration der Händler notwendig

Wichtig ist es an dieser Stelle zu erwähnen, dass hier auch der autorisierte Apple-Händler in die Registrierung der Geräte integriert werden muss. Das ist unbedingt notwendig, um eine vollständige Lieferkette sicherzustellen – das DEP ist auf diese „Vertrauenskette“ angewiesen. 
Dieser aufwändige Prozess zur Gewährleistung der Sicherheit bedeutet immer einen gewissen Zeitaufwand – nicht für das Erstellen der ID, sondern für ihre Prüfung. Im besten Fall beträgt dieser nur ein paar Stunden, in seltenen Fällen kann sich das aber auch schon einmal über ein paar Wochen hinziehen. Einige Händler/Lieferanten verlangen zudem auch Gebühren. Diese Kosten werden teilweise pro Gerät, teilweise aber auch als einmalige Pauschale oder in Kombination erhoben. Da dies allerdings der Sicherheit dient und im Anschluss die Voraussetzung für ein wesentlich vereinfachtes Gesamt-Management des Apple-IT-Systemparks im Unternehmensnetzwerk bedeutet, bleiben wir in jedem Fall bei unserer Empfehlung: Nutzen Sie beide Apple-Programme auf jeden Fall!
Denn dann ist die Integration der Apple-Programme denkbar einfach: Die beiden Tokens, des VPP und des DEP, müssen nur noch in die bMS integriert werden.
Das sieht dann so aus:

Übrigens lassen sich auch bereits erworbene Geräte nachträglich über DEP an die bMS anbinden. Dies geht rückwirkend sogar für fast zehn Jahre – genauer gesagt bis März 2011. Voraussetzung dafür ist jedoch, dass der damalige Lieferant Teil der Vertrauenskette ist und dies ebenfalls unterstützt.
Sind diese administrativen Aufgaben erledigt, steht der einfachen, integrierten Administration der macOS- und iOS-Geräte im Unternehmen nichts mehr im Wege.

Mehr lesen?