Richten Sie Ihre iOS/iPadOS-Firmengeräte (sogenannte betreute Geräte/supervised devices) entweder so ein, dass sie ausschließlich geschäftlich (Company Owned Business Only – COBO) oder sowohl geschäftlich als auch privat genutzt (Company Owned Personally Enabled – COPE) werden können.
Bei der ausschließlich geschäftlichen Nutzung hat das Unternehmen die volle Kontrolle über das Gerät. Dürfen betreute Geräte auch privat genutzt werden, verwenden die Nutzer/-innen einfach die private Apple-ID. Der persönliche Bereich eines unternehmenseigenen Geräts, einschließlich der persönlichen Apps, Daten und Nutzung, ist für das Unternehmen nicht sichtbar oder zugänglich.
Ziel
In diesem How-To zweigen wir Ihnen, wie Sie betreute Geräte entweder also COBO-. oder als COPE-Geräte einrichten können.
Umsetzung
COBO-Geräte einrichten
- Gehen Sie zunächst vor, wie im Hilfe-Artikel Firmeneigene iOS/iPadOS-Geräte einbinden (COBO/COPE) beschrieben.
- Entfernen Sie im ADE-Profil das Häkchen bei Anmeldung bei Apple-ID und iCloud (Pfeil im Bild). So kann der/die Nutzer/-in während der Einrichtung keine Apple-ID eingeben.
- Erstellen Sie unter Verwaltung→ Richtlinien, mit Klick auf den Plus-Button (linker Pfeil im Bild), eine Richtlinie für iOS/iPadOS-Geräte (rechter Pfeil im Bild).
- Behalten Sie die Auswahl Betreute Geräte (Pfeil im Bild) bei.
- Entfernen Sie jetzt das Häkchen aus der Checkbox Ändern von Accounteinstellungen erlauben (Pfeil im Bild).
- Wählen Sie die Richtlinie anschließend aus (linker Pfeil im Bild) und weisen Sie sie den gewünschten Nutzer/-innen, Gruppen oder Geräten zu (rechter Pfeil im Bild).
- Nutzer/-innen können sich jetzt nicht mehr mit einem Apple-Konto anmelden (Pfeil im Bild).
Das Unternehmen hat die volle Kontrolle über das Gerät und kann es aus der Ferne steuern. So können Apps installiert und deinstalliert, globale Richtlinien umgesetzt, das Gerät geortet und ggf. zurückgesetzt werden.
COPE-Geräte einrichten
Anmeldung mit privater Apple-ID erlauben
- Gehen Sie zunächst vor, wie im Hilfe-Artikel Firmeneigene iOS/iPad-Geräte einbinden (COBO/COPE) beschrieben.
- Setzen Sie im ADE-Profil das Häkchen bei Anmeldung bei Apple-ID und iCloud (Pfeil im Bild). Dann kann der/die Nutzer/-in die Apple-ID bereits während der Geräteeinrichtung eingeben.
- Der Zugriff auf die Konto-Einstellungen des Gerätes ist nicht eingeschränkt. Änderungen können jederzeit über die Geräteeinstellungen vorgenommen werden (Pfeil im Bild).
Das Unternehmen hat auch hier die Kontrolle über das Gerät, aber nicht über den persönlichen Bereich. Dieser ist einschließlich seiner Apps, Daten und Nutzungen, für das Unternehmen nicht sichtbar oder zugänglich.
Geschäftliche und private Apps und Daten trennen
Nutzer/-innen von COPE-Geräten können sich nun private Apps über den App Store auf die Geräte laden. Geschäftliche Apps weisen Sie den Nutzer/-innen hingegen über das Verwaltungsportal zu. Gehen Sie dafür vor, wie in unserem Hilfe-Artikel Apps aus dem Apple Business Manager importieren und verteilen beschrieben.
Um den Austausch von Daten zwischen privaten und geschäftlichen Apps und Kontakten zu verhindern müssen Sie nun noch einige Richtlinien aktivieren bzw. deaktivieren.
- Erstellen Sie eine neue Richtlinie. Klicken Sie dazu im Verwaltungsportal unter Verwaltung→ Richtlinien auf das Plus-Icon. Wählen Sie anschließend iOS/iPadOS.
- In den Richtlinien wählen Sie zunächst die Einrichtungsmethode Betreute Geräte aus (Pfeil im Bild).
Für die Trennung von geschäftlichen und privaten Apps und Daten finden Sie eine Reihe von Richtlinien unter Daten- und Containerschutz. Konfigurieren Sie mindestens die markierten Richtlinien, wie folgt (siehe Bild):
- Entfernen Sie das Häkchen bei Dokumente von verwalteten Quellen in nicht verwalteten Zielen erlauben. Dann werden den Nutzer/-innen auf den iOS/iPadOS-Geräten beim Teilen von Dokumenten nur noch diejenigen Apps angeboten, die Sie über das Verwaltungsportal bereitgestellt haben.
- Möchten Sie darüber hinaus verhindern, dass Dokumente aus privaten Apps in geschäftliche Apps gelangen, entfernen Sie außerdem das Häkchen bei Dokumente von nicht verwalteten Quellen in verwalteten Zielen erlauben.
- Wenn Sie zudem verhindern möchten, das Daten (z. B. Texte) zwischen verwalteten und nicht verwalteten Apps hin und her kopiert und eingefügt werden können, aktivieren Sie die Richtlinie Verwaltete Zwischenablage.
- Achten Sie außerdem darauf, dass die Checkbox Nicht verwalteten Apps erlauben, aus verwalteten Kontakten zu lesen deaktiviert ist (Standardeinstellung). So ist sichergestellt, das private Apps (wie beispielsweise WhatsApp) nicht auf die geschäftlichen Kontaktdaten zugreifen können. Beachten Sie hierzu auch die Hinweise in unserem How-To So verhindern Sie den Zugriff von WhatsApp, Clubhouse und Co auf geschäftliche Kontakte bei iOS.
- Deaktivieren Sie die Richtlinien Verwalteten Apps das Schreiben in nicht verwalteten Kontakten erlauben. Dadurch wird verhindert, dass verwaltete Apps, wie z. B. Outlook auf private Kontakte zugreifen können.
Hinweis! Die Richtlinien Nicht verwalteten Apps erlauben, aus verwalteten Kontakten zu lesen und Verwalteten Apps das Schreiben in nicht verwalteten Kontakten erlauben, greifen nur, wenn die Richtlinie Dokumente von verwalteten Quellen in nicht verwalteten Zielen erlauben deaktiviert wurde. Die Richtlinie Verwaltete Zwischenablage greift nur, wenn die Richtlinie Dokumente von nicht verwalteten Quellen in verwalteten Zielen erlauben deaktiviert wurde.
Möchte der/die Nutzer/-in ein Dokument aus einer geschäftlichen App, mit einer anderen App teilen bzw. dorthin exportieren, werden jetzt nur noch Business-Apps angeboten (Beispiel im Bild). Private und geschäftliche Daten sind somit voneinander getrennt.
Darüber hinaus stehen Ihnen hier eine Reihe weiterer Richtlinien zur Verfügung, mit deren Hilfe Sie verhindern können, dass Daten über AirDrop, die iCloud oder die Dateien-App abfließen können. Aktivieren/Deaktivieren Sie diese Richtlinien entsprechend.