Das iPhone-Konfigurationsprogramm legt Profile fest Apple-Devices konfiguriert in Unternehmen der Admin

Autor / Redakteur: Thomas Joos / Ulrike Ostler

Apple stellt ein kostenloses iPhone-Konfigurationsprogramm zur Verfügung, mit dem sich Einstellungen auf iOS-Geräte, also iPhone oder iPads, automatisiert vornehmen lassen. Es ermöglicht auf Basis von Profilen die Installation und Anbindung an WLAN, VPN sowie die Weitergabe von Sicherheitseinstellungen und die Installation von Apps.

Firma zum Thema

Das aktuelle iPad bietet ein so geanntes "Retina Display", eine Batterielaufzeit von 10 Stunden und unterstützt iPad Wi-Fi + 4G . Das iPhone-Konfigurationsprogramme erleichetert die Verwendung in Unternehmen.
Das aktuelle iPad bietet ein so geanntes "Retina Display", eine Batterielaufzeit von 10 Stunden und unterstützt iPad Wi-Fi + 4G . Das iPhone-Konfigurationsprogramme erleichetert die Verwendung in Unternehmen.
(Bild: Apple)

Unternehmen, die Benutzer mit iPhones/iPads an das eigene Netzwerk anbinden, sollten einen Blick auf die Enterprise-Funktionen des iPhone-Konfigurationsprogramm werfen. Da das Tool recht leicht zu konfigurieren ist, lassen sich viele Einstellungen einfach automatisiert vorgeben. Denn mit dem Programm erstellen Administratoren verschiedene Profile.

Wenn Anwender aber ihre eigenen iOS-Geräte anbinden, ist Vorsicht bei den Einschränkungen geboten. Zusammen mit „Exchange ActiveSync“-Richtlinien in „Exchange Server 2007/2010“ können Administratoren mit dem iPhone-Konfigurationsprogramm effizient bei der Bereitstellung von iOS-Geräten vorgehen. Werden also Einstellungen für Exchange oder andere E-Mail-Server weitergegeben, ist das iPhone-Konfigurationsprogramm ein ideales Werkzeug.

Die Profile

Bei den Profilen handelt es sich um XML-Dateien, die die Einstellungen des iPhones festlegen. Die Profile enthalten Einstellungen, die die Anwender normalerweise direkt im iPhone vorgeben. Die Konfiguration erfolgt über eine grafische Oberfläche.

Achtung: Erfolgt die Einstellung der IOS-Devices allerdings per Konfigurationsprogramm, lassen sich die Administrator-Profile auf dem iPhone/iPad nicht mehr manuell anpassen (siehe: Abbildung 1).

Grundlage der Einstellungen ist nicht nur die Konfiguration von Einstellungen. Mit dem Tool lassen sich auch einzelne Bereich im iPhone und installierte Apps deaktivieren und ausblenden. Dazu können Administratoren entsprechende Icons auf den Endgeräten ausblenden und auf diese Weise zum Beispiel das Installieren von Apps über den App-Store verhindern.

Die Restriktionen

Im Bereich Einschränkungen sind alle Einstellungen zu finden, die verschiedene Bereiche auf den Endgeräten deaktivieren können. Deaktivierte Features sind im Grunde genommen Standard-Icons auf den Endgeräten, die das Betriebssystem ausblendet.

Einschränkungen und Einstellungen lassen sich in getrennten Profilen konfigurieren, oder in einem gemeinsamen Profil. Einschränkungen geben Sie als Konfigurationsprofil weiter, wie alle anderen Einstellungen auch siehe: Abbildung 2).

Bildergalerie
Bildergalerie mit 6 Bildern

Die Konfiguration erfordert keine komplexen Skripte. Die entsprechenden Einstellungen lassen sich vielmehr schnell und einfach über das Auswählen von Optionen setzen. Ist auf dem entsprechenden Computer zusätzlich noch iTunes installiert, speichert das iPhone-Konfigurationsprogram angebundene Geräte ab.

So entstehen Konfigurationsprofile

Klicken Administratoren auf den Menüpunkt Geräte, lassen sich Daten zum Endgerät anzeigen und die verwendeten Konfigurationsprofile anzeigen. Außerdem speichert das iPhone-Konfigurationsprogramm die auf den Endgeräten installierten Apps.

Die Erstellung von Profilen findet über den Menüpunkt „Konfigurationsprofile“ statt, über einen Klick auf „Neu“. Im oberen Bereich „Allgemein“ legen Administratoren einen Namen für das Profil, eine Kennung und eine Beschreibung fest und klicken sich anschließend durch die verschiedenen Einstellungen. Interessant für große Unternehmen sind vor allem die Möglichkeiten Exchange-Einstellungen, Zertifikate und die Anbindung an WLANs zu konfigurieren (siehe: Abbildung 3).

Zertifikate hinterlegen Administratoren über „Konfigurationsprofile\Zertifikate“. Die Einstellungen des Programms sind weitgehend selbsterklärend. Dazu gibt Apple auf der Download-Seite zusätzliche Hinweise und stellt Whitepapers zur Verfügung.

Damit die Endgeräte die Einstellungen übernehmen, muss das entsprechende Konfigurationsprofil angewendet werden. Dafür wird die XML-Datei mit dem iPhone oder iPad verknüpft.

Tipps zum Verwenden von Profilen

Der einfachste Weg ist das Versenden des Profils per E-Mail. Dazu klicken Administratoren nach dem Festlegen der Einstellungen auf den Menüpunkt „Freigeben“. Anschließend muss festgelegt werden, ob das Konfigurations-Programm das Profil signieren soll (siehe: Abbildung 4).

  • Bei der Signierung stehen drei verschiedene Möglichkeiten zur Verfügung:
  • Ohne – Die Konfigurationsdatei lässt sich auf jedem beliebigen iPhone/iPad lesen. Sicherheitsrelevante Daten sind in der Datei aber aus Sicherheitsgründen nicht lesbar.
  • Konfigurationsprofil signieren- Das Profil wird signiert und lässt sich bei Änderungen an der Datei nicht auf dem Gerät installieren. Ein so installiertes Profil lässt sich nur aktualisieren, wenn Administratoren eine identische Kennung verwenden und den gleichen PC mit gleichem iPhone-Konfigurationsprogramm verwenden.
  • Verschlüsseltes, signiertes Konfigurationsprofil für diese Geräte erstellen – Wählen Administratoren diese Option aus, verschlüsselt das Konfigurationsprogramm die Datei zusätzlich. Das Profil lässt sich nur von einem Endgerät einlesen. Dazu muss das entsprechende iPhone/iPad einmal mit dem Computer verbunden sein, damit das Konfigurationsprogramm Zugriff auf den Verschlüsselungscode des Geräts hat.

Die Verwendung von Konfigurationsprofilen

Sollen mehrere Einstellungen und Einschränkungen im Einsatz sein, bietet es sich an, mit unterschiedlichen Profilen zu arbeiten. Ein Profil kann zum Beispiel einzelne oder alle Einschränkungen enthalten, andere nur bestimmte Einstellungen für WLAN und Exchange. Das iPhone-Konfigurationsprogramm unterscheidet dazu zwischen „Konfigurationsprofilen“ und „Payload“-Segmenten.

Konfigurationsprofile sind die bereits erwähnte XML-Datei die Einstellungen enthält. Payload-Segmente sind einzelne Einstellungsbereiche im Konfigurationsprofil. Ein Profil setzt immer nur die Einstellungen in den festgelegten Payload-Segmenten. Alle anderen Einstellungen bleiben auf den Endgeräten unverändert (siehe: Abbildung 5).

Bieten Administratoren den Anwendern in einem Profil nicht alle Einstellungen eines Payload-Segments an, zum Beispiel Benutzername oder Kennwörter, müssen Anwender die fehlenden Daten selbst eingeben. Das heißt: Server-Namen und IP-Adressen lassen sich automatisiert vorgeben, persönliche Daten können Benutzer selbst eingeben.

Der Unterschied zwischen Profil und Payload

Beim Erstellen eines Konfigurationsprofils, sollten Admins im Bereich „Allgemein“ auf jeden Fall das Feld „Kennung“ pflegen. Dadurch erkennen die Endgeräte, ob Einstellungen und Profile mit gleichem Namen vorhanden sind. Die Kennung definiert die einzelnen Konfigurationsprofile.

Bildergalerie
Bildergalerie mit 6 Bildern

Stimmt eine mit der Kennung eines bereits installierten Profils überein, überschreibt das Endgerät die Einstellungen mit den neuen Einstellungen. In den Einstellungen eines Konfigurationsprofils, können Administratoren im Bereich Sicherheit festlegen, ob Benutzer selbst Konfigurationsprofile löschen dürfen (siehe: Abbildung 6).

Aktualisierte Konfigurationsprofile mit neuen Einstellungen müssen Administratoren neu freigeben und installieren lassen. Im Bereich „Code“ des Konfigurationsprofils legen Admins Einstellungen für Kennwörter auf den Endgeräten fest.

Die Einstellungen lassen sich zusammen mit Exchange-ActiveSyc-Richtlinien oder Exchange-ActiveSync-Geräterichtlinien betreiben. iOS-Geräte verwenden eine Kombination der beiden Richtlinienarten und verwenden immer die jeweils sicherere Einstellung.

Der Autor:

Thoams Joos ist freier Autor und DataCenter-Insider-Blogger aus Bad Wimpfen.

(ID:33785020)