Microsoft Intune und das Apple DEP Programm bilden zusammen eine wunderbare Mobile Device Management Lösung. Leider gibt es aktuell keine leicht verständliche Erklärung zu dem Aufbau und Abhängigkeiten der beiden Systeme. Somit ist es für neuankömmlinge relativ schwer zu verstehen. Um etwas Licht ins Dunkle zu bringen habe ich mir gedacht, ich schreibe mal einen Blogeintrag mit den wichtigsten Basics dazu.
Um Intune in vollenzügen ausreizen zu können werden ein Intune oder Microsoft 365 Abonnement, sowie Apple DEP, Apple VPP, Apple Push Zertifikat und eine Apple Unternehmens ID benötigt. Zudem können weitere Features wie Conditional Access, Company Portal App und der Apple Supervisor Mode genutzt werden.
Ganz schön viele Begriffe wird man nun denken – dazu ersteinmal ein kurzer Abriss.
Intune / Microsoft 365 Abonnement
HINWEIS: In der zwischenzeit haben sich teilweise die Namen und Abonnements geändert, bitte nutzt die Übersicht von Microsoft.
Das reine Intune Abonnement ist untergliedert in Intune, Intune Enterprise Mobility + Security E3 und Intune Enterprise Mobility + Security E5.
Microsoft 365 ist ein All-in-One-Paket, das die Office 365-Suite, Windows 10 Pro und Enterprise Mobility+Security beinhaltet.
Dies darf nicht mit Office 365 verwechselt werden.
Office 365 ist Eine Cloud Services-Plattform, die vertraute Microsoft-Produkte wie Word, Excel, PowerPoint und OneDrive zusammen mit anderen Produktivitätsdiensten über einen Abonnementplan zur Verfügung stellt. Office365 enthält zwar ein Mobile Device Management, das ist jedoch etwas abgespeckter als Intune. Intune muss also dazu abonniert werden.
Apple Unternehmens ID
Die Apple Unternehmens ID ist ein Konto, dass benötigt wird um die Apple Bereitstellungsprogamme Apple DEP und Apple VPP nutzen zu können. Das ganze befindet sich aktuell im umbruch und wird in Zukunft wohl Apple Business Manager heißen. Jedoch wird in den Docs und Intune Einstellungen noch die Bezeichung Apple Unternehmens ID genutzt.
Die ID kann über die Apple Seite beantragt werden. Dazu wird u.a. eine DUNS-Nummer benötigt.
In die Apple Unternehmens ID kann unter anderem der MDM Server für die über Apple DEP registrierten Geräte eingestellt werden, somit weiß das Gerät zu welchem MDM Server es sich verbinden soll. Ebenso werden über die Apple Unternehmens ID die Apple VPP (“App Käufe”) verwaltet und in das MDM System synchronisiert.
Hinweis: In der zwischenzeit hat sich der Name geändert, die Apple Unternehmens ID heißt jetzt Apple Business Manager.
Apple DEP
Das Apple Device Enrollement Programm bietet die Möglichkeit iOS-Geräte im Unternehmen schnell und sicher bereitstellen. Die iOS-Geräte müssen über einen autorisierten Apple Partner bezogen werden und können von diesem dann mit einer Apple DEP ID, dass mit der Apple Unternehmes ID verknüpft ist hinterlegt werden. In dem Apple DEP Konto, können für die jeweiligen iOS-Geräte MDM Server hinterlegt werden. So verbindet sich das Gerät nach dem ersten einschalten, automatisch und direkt mit dem MDM Service (Intune) und erhält seine Konfigurationen.
Apple Supervisor Mode
Der überwachte Modues erlaubt weitere Konfigurationseinstellungen am Gerät vorzunehmen. Der Modus kann nur genutzt werden, wenn das Gerät über Apple DEP eingerichtet wurde.
Apple VPP
Das Apple Volume Purchase Program ermöglicht es Unternehmen, Apps zu kaufen und mithilfe eines MDM System an ihre Benutzer und deren Endgeräte zu verteilen.
Nach erfolgreicher VPP Registrierung, kann das Apple VPP Konto mithilfe eines VPP-Token mit Intune verknüpft werden.
Apple Push Zertifikat
Um Konfigurationsprofile von Intune direkt an das iOS-Gerät pushen zu können wird ein Apple Push Zertifikat benötigt. Dieses wird dann mit dem Intune Konto verknüpft.
Company Portal App
Die Company Portal App (Unternehmens Portal App) ist nach der Geräte Einrichtung der Dreh und Angelpunkt zwischen dem iOS-Gerät und Intune. Die App kann direkt nach der Geräte Einrichtung automatisch gepushed werden. Über diese App können die Mitarbeiter Apps, welche von dem Unternehmen über Apple VPP bereitgestellt werden, in dem Unternehmenseigenen App Store herunterladen und installieren. Somit wird keine eigenen Apple ID benötigt. Handelt es sich um kostenpflichtige Apps, werden diese vorab über Apple VPP gekauft.
Conditional Access
Von Haus aus können in Intune zwar Geräte Compliance-Richtlinie erstellt werden – z.B. Prüfung auf Betriebssystemversion, oder ggf. auf Jailbreaks, aber dies hat keine Auswirkungen auf den Zugriff auf Intune und Unternehmensressourcen. Es wird lediglich in der Verwaltungskonsole als Ereignis dargestellt, dass das Gerät nicht mehr den Compliance Richtlinien entspricht.
Erst mit Conditional Access ist es möglich z.B. Geräte mit Jailbreak den Zugriff auf Intune und Unternehmensressourcen zu sperren.
Der bedingte Zugriff ist eine Erweiterung für das Intune Abonnement. Dafür wird der Azure Active Directory Plan 1 oder 2 benötigt.
Conditional Access ermöglicht es u.a. Multifaktor Authentifizierung, Regelbasierte Richtlinie und Bedingungen zu erstellen und Idenditäten zu prüfen.
In Teil 2 zeige ich euch die Einrichtung eines iOS-Gerät mit DEP und erkläre noch die besonderheiten bei bereits eingerichteten Geräte und die alternative des Self Enrollements und erläutere die Funktion des Apple Configurator. Zudem erläutere ich die Funktion der Managed Apple ID.