dertowa
Goto Top

MDM Intune mit Apple iOS umständlich?

Hallo zusammen,
ich sitze hier gerade vor meinem persönlichen Endgegner und das passend zum Wochenende.

Grundlegend vorab:
Ich habe dieses Jahr erste Geräte in Intune aufgenommen, alles Androiden, was bislang super funktioniert und letztlich auch unkompliziert war. Nun bekommt ein Kollege ein neues iPhone und ich möchte die Chance ergreifen auch hier die Verwaltung zu aktivieren.

Wie ist der Stand?
Die Apple-Anforderungen hatte ich bereits zu den Androiden mit umgesetzt, es existiert also ein Apple Business Manager - Account und der Telekommunikationspartner (Telekom) ist als MDM-Server hinterlegt.
Das Zertifikats-Enrollment ist ausgeführt.

Nun wurde das iPhone geliefert und es erscheint nicht im Account, daher habe ich mich mal mit dem Gerätezulieferer befasst und bei der Telekom im MDM-Team angerufen.
Nun wird es irgendwie kompliziert. Die Telekom möchte nun einen "Master-SIM-Vertrag", damit deren Geräte in das MDM aufgenommen werden und bei mir im Apple Business Manager erscheinen.
Dafür wollen die 495,- EUR einmalig und 4,95 EUR monatlich pro IMEI (also pro Gerät).
Verwalten kann ich dort dann angeblich nichts, es ist nur damit das Gerät bei mir sichtbar wird...

Es gibt wohl eine Alternative, nämlich das manuelle Hinzufügen über den Apple Configurator?
Das geht aber nur von einem Mac, welchen ich nicht habe.

Ist das tatsächlich alles so umständlich?

Grüße
ToWa

Content-ID: 5838227728

Url: https://administrator.de/forum/mdm-intune-mit-apple-ios-umstaendlich-5838227728.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

Starmanager
Starmanager 10.11.2023 um 12:31:59 Uhr
Goto Top
Hast du das Video mal angeschaut?

https://www.youtube.com/watch?v=gllyixfsJhw
dertowa
dertowa 10.11.2023 um 12:47:55 Uhr
Goto Top
Zitat von @Starmanager:

Hast du das Video mal angeschaut?
https://www.youtube.com/watch?v=gllyixfsJhw

Also wenn ich das auf den aktuellen Stand übertrage, dann wäre das korrekt:
screenshot 2023-11-10 124514
und damit läuft es dann wie bei Android mit den Profilen ob mit Privatnutzung oder ohne.
...und das Apple Business Manager Zeug braucht es dann gar nicht mehr....

Dann wühl ich mich mal bei MS durch:
https://learn.microsoft.com/de-de/mem/intune/enrollment/apple-user-enrol ...
Cloudrakete
Cloudrakete 11.11.2023 um 16:35:43 Uhr
Goto Top
Servus,

der Apple Business Manager ist in meiner Erinnerung erst dann interessant, wenn du darüber Lizenzmanagement für z.B. kostenpflichtige Appstore Apps vornehmen möchtest.

Auch kannst Du über den Business Manager (Auch in Kombination mit Intune) das Verhalten bzw. die Nutzung privater iCloud Account steuern.
Für die reinen MDM-Funktionen aus Intune benötigst Du den Business Manager allerdings nicht.

Bzgl. der Registrierung habe ich das damals (2019) wie folgt gelöst:

- Conditional Access Regel -> Nur compliant iOS-Devices dürfen auf die Unternehmensdaten zugreifen
- Intune-seitig einmal die gewünschte Konfiguration vorgenommen
- MA Gerät samt PDF für Intune Onboarding (Company Portal App runterladen etc.) mitgeben.

Das sorgte in Kombination dafür, dass die Geräte gezwungenermaßen den Compay-Portal App Wizard durchlaufen mussten, da es sonst einfach keine E-Mails, Teams etc. gab.
dertowa
dertowa 12.11.2023 um 15:19:28 Uhr
Goto Top
Zitat von @Cloudrakete:
Das sorgte in Kombination dafür, dass die Geräte gezwungenermaßen den Compay-Portal App Wizard durchlaufen mussten, da es sonst einfach keine E-Mails, Teams etc. gab.

Da sehe ich noch ein Problem, denn die iPhone Nutzer laufen dagegen Sturm.
Von denen möchte niemand Mail oder Teams oder sowas am Smartphone haben, gleichzeitig setzen sich diese aber in die sprichwörtlichen Nesseln, da sie Firmen- und Kundenkontakte im privaten Telefonbuch haben auch WhatsApp darüber nutzen.

Bei den Androiden bin ich daher hergegangen und habe die Unternehmensseite gemeinsam mit den Kollegen aktiviert, den privaten Bereich konnten diese später übertragen/verbinden.
Ich hoffe das läuft bei iOS auch so, zum Test komme ich hoffentlich am Montag.
dertowa
dertowa 14.11.2023 um 14:58:31 Uhr
Goto Top
Hallo noch mal,
ich bin nun ein wenig weiter, aber noch nicht so richtig schlau daraus geworden.
So richtig kommt man ohne Apple Business Manager nicht aus, zumindest nicht, wenn:
  • ggf. kostenpflichtige Apps darüber bezogen werden sollen
  • Apple-Accounts mit der Firmendomain angelegt werden sollen
  • eine Anbindung ohne Apple Account erfolgen soll

Die Kollegen, die einen eigenen privaten iCloud-Account haben und die Geräte ebenfalls privat nutzen dürfen, die können sich die Portal App natürlich selbst installieren.
Um diese App vorab auf die Geräte zu bringen benötigt man allerdings diesen "Master-SIM-Vertrag" wie von der Telekom angeboten, oder den Apple Configurator 2, welcher - oh Wunder - nur auf einem Apple Mac ab 2022 lauffähig ist?

Ich muss da wohl noch mal drüber nachdenken. face-sad

Grüße
ToWa
Mr-Gustav
Mr-Gustav 14.11.2023 um 15:53:24 Uhr
Goto Top
Das mit dem Mac stimmt glaube ich nicht mehr denn du bekommst dafür auch neuerdings eine APP fürs iPhone / iPad
dertowa
dertowa 15.11.2023 um 09:28:57 Uhr
Goto Top
Ich habe nun mal das Umschiffen des Business Managers getestet.
Zitat von @Cloudrakete:
- Conditional Access Regel -> Nur compliant iOS-Devices dürfen auf die Unternehmensdaten zugreifen
- Intune-seitig einmal die gewünschte Konfiguration vorgenommen
- MA Gerät samt PDF für Intune Onboarding (Company Portal App runterladen etc.) mitgeben.

Es bedarf dann eines privaten iCloud-Accounts, soweit so gut, haben die Leute ja.
Über die Intune-Unternehmensportal App wird dann das Profil heruntergeladen, welches in den Einstellungen aktiviert/installiert werden muss.
Dies scheitert mit der Meldung "Profilinstallation ist fehlgeschlagen - Es konnte keine Verbindung zum Server hergestellt werden."
Der Grund ist recht schnell ausgemacht: https://learn.microsoft.com/de-de/troubleshoot/mem/intune/device-enrollm ...
Natürlich habe ich die Einschränkung, dass private Geräte nicht aufgenommen werden dürfen. face-sad
Ist ja kein BYOD Prinzip hier.

Zitat von @Mr-Gustav:

Das mit dem Mac stimmt glaube ich nicht mehr denn du bekommst dafür auch neuerdings eine APP fürs iPhone / iPad
Interessant, weißt du mehr?
Denn Apple sagt dazu: https://support.apple.com/de-de/guide/apple-configurator-mac/cadbf9a73b/ ...

Grüße
ToWa
dertowa
dertowa 15.11.2023 um 10:27:09 Uhr
Goto Top
Den manuellen Weg gefunden...
https://learn.microsoft.com/de-de/mem/intune/enrollment/corporate-identi ...
Ist auch schon nicht mehr ganz richtig übersetzt, zu finden ist die manuelle Eingabe:
  • Intune Admin Center
  • Geräte
  • Geräte registrieren
  • Bezeichner von Unternehmensgeräten
Damit ist es möglich die Geräte über die Intune-Unternehmensportal App auch bei Blockade der privaten Geräte aufzunehmen. face-smile

Das löst zwar nicht das Problem mit dem Kauf von Apps und die unkomplizierte Bereitstellung, aber ich bin schon mal einen Schritt weiter.
Grüße
ToWa
Mr-Gustav
Mr-Gustav 15.11.2023 um 14:05:20 Uhr
Goto Top
Also was den Configurator angeht hab ich durch Zufall gesehn das es eine "Apple Configurator" App gibt.
Getestet habe ich das ganze mangels Zugangsdaten im Moment noch nicht.
dertowa
dertowa 15.11.2023 um 15:10:31 Uhr
Goto Top
Zitat von @Mr-Gustav:

Also was den Configurator angeht hab ich durch Zufall gesehn das es eine "Apple Configurator" App gibt.

Ich sehe im Microsoft Store keine "Apple Configurator" - App?
Wenn ich am iPhone eine haben muss, brauche ich ja doch erst wieder einen iCloud Account, oder verstehe ich das falsch? face-smile
dertowa
dertowa 16.11.2023 um 09:36:04 Uhr
Goto Top
So, die ersten Apps habe ich nun per Intune bereitgestellt und schon gibt es die nächsten Irritationen.
In der Unternehmensportal-App sind diese nicht sichtbar.

Ich kann als Endbenutzer also nicht erkennen, welche Apps das Unternehmen "Für registrierte Geräte verfügbar" freigegeben hat.
Den Edge Browser habe ich als "Erforderlich" definiert, dazu erhält das Endgerät dann tatsächlich sehr zeitnah eine Info auf den Monitor, dass das Unternehmen die App gern hätte.
Als User kann ich das allerdings ablehnen oder zulassen.
Wenn ich die App zulasse will das iPhone wieder mein persönliches Apple-Store Kennwort und installiert daraus die App.

Diese hat dann auch keinen "Aktenkoffer", ist also nicht im Arbeitsprofil-Container.
Das kann doch so nicht richtig sein?

Grüße
ToWa
Mr-Gustav
Mr-Gustav 20.11.2023 um 06:48:20 Uhr
Goto Top
Du kannst zum Testen mal nach der Freigegebenen App im Untern.Portal suchen um zu sehen ob diese überhaupt angezeigt wird bzw. gesucht wird.

Ich kenne das Problem tatsächlich auch face-smile

Bzgl. dem Apple Configurator...... Ich meine den Apple App Store. Sorry falls das für Verwechselung gesorgt hat
dertowa
dertowa 20.11.2023 um 08:57:12 Uhr
Goto Top
Zitat von @Mr-Gustav:

Ich kenne das Problem tatsächlich auch face-smile

Das Problem ist tatsächlich ein Zeitproblem.
Heute sind die freigegebenen Apps verfügbar.

Das wirkliche Problem bleibt aber, denn auch bei der Installation über das Unternehmensportal wird das persönliche icloud-Passwort abgefragt und die App wird ohne Aktenkoffer installiert, also im persönlichen Bereich.

Bzgl. dem Apple Configurator...... Ich meine den Apple App Store. Sorry falls das für Verwechselung gesorgt hat
Sorry, da bin ich jetzt ganz raus, der Apple App Store ist doch immer da? face-big-smile

Grüße
ToWa
dertowa
dertowa 27.11.2023 um 14:44:21 Uhr
Goto Top
So, heute hatte ich eine kleine Schulung zu dem Thema.
Das, was ich möchte, also so wie es bei Android funktioniert, gibt es bei Apple nicht.
Das Problem hinsichtlich Unternehmensgeräten und Datenschutz löst sich nur, wenn der Mitarbeiter das Smartphone vollverwaltet - mit einer icloud-Adresse über die Firmendomain nutzt.

Ich sehe schwarz, wenn ich den iPhone-Nutzern offenbare, dass sie sich alles neu einrichten müssen und keine privat gekauften Apps auf den Smartphones verwenden können.

Die gesamte Tragweite ist mir noch nicht ganz klar.

Grüße
ToWa
7Gizmo7
7Gizmo7 04.01.2024 aktualisiert um 14:23:59 Uhr
Goto Top
Hi,

na es ist nicht ganz korrekt, die Containeriserung erfolgt direkt am Unternehmensapp mit Hilfe von App-Protection Richtlinien. Die sogenannten BYOD Themen.

bildschirmfoto 2024-01-04 um 14.20.41

Da werden die Daten anhand der Anmelde-Email Adresse geschützt.

Mit freundlichen Grüßen
dertowa
dertowa 04.01.2024 um 16:21:48 Uhr
Goto Top
Zitat von @7Gizmo7:

Da werden die Daten anhand der Anmelde-Email Adresse geschützt.

Mit freundlichen Grüßen

Aber eben diese Anmelde-E-Mailadresse ist dann doch eine private icloud-Adresse.
Da ist nichts zu schützen und datenschutztechnisch läuft da ebenfalls unkontrolliert etwas in private iclouds. face-sad

Grüße
ToWa
7Gizmo7
7Gizmo7 04.01.2024 aktualisiert um 16:44:13 Uhr
Goto Top
Moment die Private Apple ID ist für das Telefon, die Office 365 E-Mail zur Anmeldung in Teams zb. Sobald das Teams mit der Unternehmens-Email angemeldet wird , ist es ein Container App und die Daten darin sind geschützt.

Zitat von @dertowa:

Da ist nichts zu schützen und datenschutztechnisch läuft da ebenfalls unkontrolliert etwas in private iclouds. face-sad

Nein Daten bleiben in der App und können auch nur zwischen den Untenehmensapps ausgetauscht werden, im iCloud Backup sind keine Untenehmensdaten

Mit freundlichen Grüßen.
7Gizmo7
7Gizmo7 04.01.2024 aktualisiert um 16:59:31 Uhr
Goto Top
Hier nochmal die unterschiedlichen Enrollment Profils

In this profile, under Properties - Settings - Enrollment type, three configuration options are possible:

User Enrollment (from iOS/iPadOS 13.1+) - All users in this profile will follow a new User Enrollment experience. Devices are always enrolled as Personal. The company managed apps and data are separated from personal apps and data and there are no privacy issues on user-owned devices.

Device Enrollment (from iOS 5.0+) - All users in this profile will get an older Device Enrollment experience. The device is enrolled as Personal (if no corporate identifiers are configured), but at the same time, the device is fully MDM managed (e.g. user device can be wipe/factory reset). There is no work/personal apps and data separation, if the device belongs to a user there are privacy issues (e.g. device serial number is visible in the console).
Determine based on user choice -

All users in this profile will get a choice screen allowing the user to select who owns the device (User or Company).

https://learn.microsoft.com/en-us/mem/intune/fundamentals/deployment-gui ...

https://hmaslowski.com/home/f/ios-user-enrollment-byod-in-microsoft-endp ...


Hier ist es ganz gut erklärt.
https://learn.microsoft.com/de-de/mem/intune/fundamentals/deployment-gui ...
https://www.intuneirl.com/ios-device-management-with-microsoft-intune/

Auf der PDF werden dir alle Szenarien erklärt.
Intune Deployments
7Gizmo7
7Gizmo7 04.01.2024 um 16:53:01 Uhr
Goto Top
Wenn du dann noch mit Conditial Access arbeitest, kannst du auch unterbinden , das nur registrierte Geräte auf Unternehmenns-Apps zugreifen dürfen.

Mit freundlichen Grüßen
dertowa
dertowa 04.01.2024, aktualisiert am 05.01.2024 um 13:02:59 Uhr
Goto Top
Zitat von @7Gizmo7:

Moment die Private Apple ID ist für das Telefon, die Office 365 E-Mail zur Anmeldung in Teams zb. Sobald das Teams mit der Unternehmens-Email angemeldet wird , ist es ein Container App und die Daten darin sind geschützt.

Aber da geht es doch schon los.
Wenn das Gerät Firmeneigentum ist, was soll es bitte in nem privaten iCloud Account?

Der Nutzer meldet es mit seiner privaten iCloud Adresse an, speichert fröhlich personenbezogene Daten in seiner iCloud...

Bei Android scannt man bei der Einrichtung einen QR Code und der Anwender wird geführt.
Fertig ist.

Also die Frage ist doch ganz leicht:
- Kann ich beim iPhone parallel zwei mal WhatsApp haben?
-- Einmal in einer privaten Umgebung in der nur die privaten Kontakte abgeglichen werden.
-- Einmal mit dem Bezug zu den Geschäftskontakten aus dem Sync mit Exchange Online bspw.

Edit: Ich drehe mich im Kreis, da das Enrollment mit der Unternehmens-Apple-ID zwar klappt, aber das Gerät nicht in Intune auftaucht, da die Unternehmensportal-App nicht geladen werden kann. face-big-smile
Verzeichnissynchronisation Apple Business Manager mit Intune

Grüße
ToWa
dertowa
Lösung dertowa 11.01.2024 um 11:05:21 Uhr
Goto Top
So, ein paar Stunden selige Ruhe indem man mal alle bereits eingerichteten Profile und Gedöns löscht und dann mal vorn ansetzt.

Schritt 1, die Geräte manuell in den Business Manager aufnehmen: https://support.apple.com/de-de/guide/apple-business-manager/axm200a54d5 ...
Wichtig dabei (das hatte ich zuvor falsch gemacht), im Business Manager nicht direkt das Intune verknüpfen.
Dann konnte ich die sehen und vernünftig zum MDM zusortieren.

Schritt 2, verifizieren ob die Basiseinrichtung in Intune passt: https://www.youtube.com/watch?v=gllyixfsJhw
Leider haben die IntunePilots sich scheinbar nicht weiter mit iOS oder allgemein Youtube beschäftigt.

Schritt 3, ein vernünftiges Provisioning-Video finden: https://www.youtube.com/watch?v=zyUuJzgz-Ig
Ein paar Dinge habe ich leicht verändert, grundsätzlich hat es damit aber sauber gelaufen und vor allem erklären die Herren auch was mit den Optionen eigentlich gemeint ist - das fehlt sooo häufig. face-sad


Wenn die FullyManaged Geräte verteilt sind, befasse ich mich mal mit den Registrierungstypen, um mir dieses Container-Design von Intune/Apple anzusehen.

Grüße
ToWa
7Gizmo7
7Gizmo7 11.01.2024 um 20:08:06 Uhr
Goto Top
Geht doch face-smile