Es gibt heutzutage einige Möglichkeiten, die komplette Rotation bzw. den Lifecycle der Mobilgeräte in einem Unternehmen zu automatisieren. Bereits bei der Bestellung eines iPhones sollte der Provider oder Reseller das Gerät für den Kunden im Enterprise Mobility Management (EMM) provisionieren. Für Apple gibt es den Apple Business Manager und unter Android kann die Zerotouch Konsole verwendet werden. Diese EMM-Portale müssen mit dem verwendeten Mobile Device Management (MDM) verknüpft werden. Dadurch lässt sich ein hoher Automatisierungsgrad erreichen.
Wozu jetzt die ganze Arbeit?
Im Endausbau gestaltet sich durch die Kombination aus EMM und MDM folgendes Ergebnis: Das iPhone/Smartphone wird bestellt, direkt an den Endbenutzer ausgeliefert und die personalisierte Konfiguration wird automatisch zur Verfügung gestellt. Die IT-Abteilung wird dadurch enorm entlastet. Ein echter Business Value!
Womit fange ich jetzt am besten an?
Lasst uns zuerst den Blick nach Kalifornien richten und mit Apple Produkten anfangen. Im ersten Schritt ist ein Unternehmensaccount für den Apple Business Manager (ABM) erforderlich. Apple möchte hier einige Informationen zum Unternehmen haben. Mehr dazu kannst du hier nachlesen: https://support.apple.com/de-de/guide/apple-business-manager/axm402206497/web.
Sobald du einen Account hast, solltest du weitere Administratoren bestimmen. Du kannst maximal 5 Personen als Administrator konfigurieren.
Als nächstes solltest du deine Domains im Apple Business Manager registrieren. Unter den Account Einstellungen kannst du Domains hinzufügen, für die Verifizierung musst du einen TXT Record in deinem DNS hinterlegen. Die darauffolgende Challenge bestätigt die Inhaberschaft.
Federated Authentication
In vielen Unternehmen wird inzwischen ein Azure Active Directory (AAD) gepflegt. Dadurch bietet sich die Chance, unseren Apple Business Manager mit dem Active Directory zu verknüpfen. Benutzer:innen können sich jetzt eine neue Apple ID über deine registrierte Domain anlegen und sich direkt mit dem Microsoft/AAD Konto authentifizieren – praktisch. Auch hier wird die IT-Abteilung weiterhin entlastet. Durch die Federated Authentication in Kombination mit der registrierten Domain, werden die erstellen Apple IDs zu verwalteten Apple IDs. Verlorene Apple ID Kennwörter sind somit kein Problem mehr, wir verwenden schließlich das AAD-Konto!
Kommen wir auch mal zu den iPhones?
Nicht so schnell. Ein gutes Konzept benötigt Planung und sauberes Vorgehen. Falls nicht schon vorhanden, benötigst du jetzt einen zertifizierten Apple Reseller, wie z.B. die Telekom. Du musst deinen Provider/Reseller bzgl. des Apple Device Enrollment Programm (Apple DEP) anfragen. Hier wird ein entsprechender Vertrag aufbereitet und eine Pauschale erhoben. Zusätzlich fällt eine kleine Gebühr für jedes bestellte Gerät an. Du wirst unter anderem deine ABM Organisations-ID übermitteln müssen. Diese findest du direkt unter den Registrierungsinformationen in deinem Apple Business Manager.
Mobile Device Management
Sind die bisherigen Schritte erfolgreich umgesetzt, kann jetzt eine Verknüpfung zu deinem Mobile Device Management hergestellt werden. Du kannst das MDM direkt im Apple Business Manager registrieren. Über den Austausch von Tokens erhält das MDM direkte Informationen zu neuen Geräten, die im Apple Business Manager importiert werden. Du kannst jetzt Profile und Konfigurationen hinterlegen, die automatisch an die Synchronisierten Geräte geknüpft werden.
Ja, jetzt kommen endlich die iPhones
Neue iPhones werden ab jetzt vom Reseller in deinem Apple Business Manager registriert. Über die zuvor konfigurierte Verknüpfung werden die iPhones direkt in dein MDM importiert und anhand deiner hinterlegten Konfigurationen konfiguriert.
Was gibt es sonst noch?
Bei Mobilgeräten müssen wir noch über Themen wie das Apple Volume Purchase Programm sprechen. Außerdem gibt es das Android Pendant zum Apple Business Manager: Den Managed Google Play Store. Es wird in Zukunft noch weitere Posts zu diesen Themen geben.