roadmax
Goto Top

Intunes und iOS

Halllo Zusammen,

ich stehe gerade etwas auf dem Schlauch mit unseren Intune und iOS Tests. Ich würde gerne folgendes umsetzen. Wir haben aktuell nur bestehende Firmen iPhones und zwei Benutzergruppen. Die eine Gruppe darf ihre private Apple ID verwenden und die andere soll ihre MS 365 Adresse als Apple ID verwenden. Wir haben den Sync zwischen dem Azure AAD und dem Apple BM konfiguriert.
Problem:
Ein User aus der ersten Gruppe soll ein Gerät bekommen und dieses soll mittels Intunes verwaltet und auch bei uns registriert werden. Beim Start des Gerätes gibt der User seine private Apple ID ein und damit ist das Gerät schon in seiner Apple ID registriert. Wir können dann zwar später mittels der Intune Company Portal App das Device steuern und zurücksetzen, scheidet der User aber aus dem Unternehmen aus, muss er uns seine Apple ID mitteilen, damit wir das Gerät wieder nutzen können. Geht das nicht anders, sodass der User seine private Apple ID zwar nutzt aber das Gerät bei uns registriert ist?

Besten Dank,
Roadmax

Content-Key: 6713197203

Url: https://administrator.de/contentid/6713197203

Printed on: March 2, 2024 at 07:03 o'clock

Member: JasperBeardley
JasperBeardley Aug 26, 2023 at 07:37:56 (UTC)
Goto Top
Moin,

scheidet der User aber aus dem Unternehmen aus, muss er uns seine Apple ID mitteilen, damit wir das Gerät wieder nutzen können.

Und deswegen, nutzt man keine privaten Accounts auf Firmengeräten.

Gruß
Jasper
Member: clSchak
clSchak Aug 26, 2023 at 12:02:48 (UTC)
Goto Top
Hi

Jep. private Accounts sind Mist. Wenn du es richtig machst, lässt die das Gerät direkt beim Kauf vom Händler auf eine Apple BM ID registrieren, das syncst du dann zum Intunes.

Wir lassen gar keine private Nutzung zu, jede neue App muss beantragt und über den Apple BM & Intunes freigegeben werden.

Wenn die Firma das Gerät bezahlt, hat da kein private Apple Account was drauf zu suchen, alleine aus Datenschutzgründen würde ich das niemals zulassen.
Member: Mr-Gustav
Mr-Gustav Aug 28, 2023 at 06:01:53 (UTC)
Goto Top
Dein Stichwort hier ist das Apple DEP. ( Device Enrollment Programm ).

WIr haben das mit dem DEP folgendermaßen am laufen:

Wir bekommen die Geräte entweder von der Telekom und die hinterlegen das dann bei Apple das sich die Geräte über einen DEP bzw. MDM Anmelden sollen/müssen oder wir bereiten die anderswo gekauften Geräte entsprechend vor sodass die dann auch im Apple Business Manager drinne sind. geht mittlerweile auch ohne iMac. Wir machen das mit einem iPAD.


Dann geben wir dem User das Gerät und der Benutzer schaltet es dann ein und muss sich als erstes mit seiner E-Mail Adresse der Firma anmelden. Somit kann das ganze Apple IP Zwangsgedöns umgangen werden.
Klar der Benutzer kann dann immer noch eine Apple ID im Itunes / App Store hinterlegen ABER er hat vorher im Übergabeprotokoll unterschreiben das er das nur mit seiner Firmen Mailadresse machen darf.
Auch hat er unterschreiben das er das MDM nicht entfernen darf ( geht bei den Manuell hinzugefügten Geräten meines Wissens nach für max. 30 Tage nach der Einrichtung.
Machen die MA das bzw. nicht so wie sie sollen und wir haben dann ein Stück "Briefbeschwerer" weil der MA die Firma verlassen hat dann wird der damalige Kaufpreis in Rechnung gestellt.

Alle neuen Geräte gehen nur noch als Company Owend Devices raus. Wenn Apps benötigt werden so bekommen wir eine Mail mit der bitte um App x / X oder Z. Wir entscheiden dann ob das für die Arbeit notwendig ist oder eben nicht. Wenn er die App braucht dann geben wir die für Ihn oder ggf. für alle frei.
Gibt ja einige Apps die man generell nicht immer einzeln pro User freigeben will wie z.B. den DB Navigator oder Teams oder oder oder.....
Wenn wir Bedenken bezüglich des Datenschutzes haben ( wie z.B. irgendwelche Online ToDo Liste / Collab Tools und co ) dann geben wir das an den Abteilungsleiter weiter und der gibt dann erstmal ein JA oder NEIN ab und je nach JA/Nein geht das dann zum Datenschutzbeauftragten und wenn wir dann zwei JA haben kommen wir nochmal ins Spiel wegen der Sicherheit usw....... Wenn dann alles passt dann bekommt der Benutzer entsprechend die AD Gruppe zugewiesen und dann die APP gepushed bzw. er kann sie dann übers Portal installieren.

Ja ich weiß das werden mit der Zeit ganz schön viele AD Gruppen für die APP Berechtigungen..... derzeit sind wir bei über 60 Apps und entsprechend auch 60 AD Gruppen für die Freigabe / Zuteilung. Muss man nur einmal machen und beim zweiten der dann App X will ist dann ja bereits alles da an Freigaben usw...... Teilweise können die User sich die Apps dann auch über unser IDM System bestellen. Der Abt.Leiter gibt dann die Bestellung frei und alles läuft autom. Vorallem die Dok. ist so gesichert face-smile

Wie gesagt das ist alles eine Mischung aus Technischer Umsetzung / Organisatorischer Umsetzung face-smile