Das iPad bewährt sich längst auch im Unternehmen, in der Schule oder der Uni, denn mit seiner intuitiven Bedienung überzeugt es auch im professionellen Einsatz. Doch natürlich ist es daneben prima für private Zwecke zum Spielen, Filmeansehen und anderen Schabernack geeignet. Kein Wunder also, dass manche Unternehmen eher skeptisch sind, wenn es darum geht, Mitarbeiter mit iPads auszustatten. Denn diese könnten ab und zu ein Spielchen wagen und das Betriebsvermögen zweckentfremden, das iPad verlieren und so Fremden Zugang zu womöglich geheimen Daten verschaffen, sich Schädlinge einfangen, mit der Firmen-eigenen Apple-ID lustige Apps kaufen oder zahlreiche andere Schäden anrichten.
In vielen Unternehmen passen iPads zudem nur bedingt in die vorhandene IT-Struktur, in der PCs zentral administriert werden und den Mitarbeitern wenig eigene Rechte zugestanden werden.
Konfigurationsprofile am iPad
Eine sehr wirksame und schon seit Längerem verfügbare Methode, iOS-Geräte zu schützen und zu verwalten, sind die sogenannten Konfigurationsprofile, die der Administrator an zentraler Stelle erzeugen und auf iPads oder iPhones verteilen kann. Ein Konfigurationsprofil ist eine XML-Datei, die verschiedene Einstellungen enthält, die auf das iPad übertragen werden und dort wirksam werden.
Dies können Informationen wie Zugangsdaten und Kennwörter für Dienste wie WLAN oder E-Mail sein, die man theoretisch auf dem iPad selbst eingeben könnte. Konfigurationsprofile können aber auch in die Sicherheitseinstellungen des iPad eingreifen und beispielsweise den Zugang zu Diensten wie Youtube oder auch zu Features wie der eingebauten Kamera sperren. Über Profile kann der Administrator dem iPad-Nutzer außerdem Sicherheitsmaßnahmen wie beispielsweise die Einrichtung einer komplexen Code-Sperre oder das Verschlüsseln des Backups per iTunes aufzwingen und so verhindern, dass vertrauliche Daten in falsche Hände geraten.
Profile mit Konfigurationsprogramm erstellen
Profile lassen sich recht komfortabel mit dem "iPhone-Konfigurationsprogramm" erzeugen, das es für Windows und OS X gibt. Anders, als der Name verheißt, erzeugt und verwaltet es natürlich auch Profile für iPads. Auf den folgenden Seiten beschreiben wir dessen Bedienung, die jedoch relativ simpel ist.
Alle Profile bestehen aus einem allgemeinen Teil mit Namen und Beschreibung sowie Einstellungen für verschiedene Bereiche, die Apple "Payloads" nennt. Zur Wahl stehen Code-Sperre, Zugangseinschränkungen, WLAN-, VPN-, Mail- und Exchange-Zugänge, die Anmeldung bei LDAP-, CalDAV- und CardDAV-Servern, Kalender-Abos, Webclips, Zertifikate direkt oder von SCEP-Servern, die Anmeldung bei MDM-Servern sowie die Einrichtung firmenspezifischer APNs für den Zugang zu mobilen Datennetzen. Um bei Änderungen flexibel zu bleiben, sollte man nicht alle Accounts und Informationen in ein einziges Profil zwängen, sondern mehrere einzelne Profile erzeugen, die sich bei Änderungen leichter pflegen lassen.
Kauf von iOS-Apps auf Firmenkosten
Kostenlose Apps lassen sich mit dem iPhone-Konfigurationsprogramm noch halbwegs komfortabel verwalten, doch wenn die Firma auch Apps kaufen möchte, wird es aufwendiger. Theoretisch wurde Apples "Volume Purchase Program" eigens für Unternehmen geschaffen, es erlaubt den Erwerb von App-Lizenzen in größerer Zahl per Firmenkreditkarte, die dann auf die iPads und iPhones im Unternehmen verteilt werden können. Doch bisher bietet Apple diesen komfortablen Service leider lediglich in den USA an.
In allen anderen Ländern gibt es nur einen mühsameren Umweg. Der Administrator kann über die Firmenkreditkarte in iTunes Geschenkgutscheine für Apps erwerben und diese den Mitarbeitern per Mail schicken. Die Gutscheine gelten nur für die jeweilige App, sodass Missbrauch wirksam verhindert wird. Das ist allemal komfortabler als die Abrechnung einzelner App-Käufe durch die Mitarbeiter mit der Buchhaltung.
Im allgemeinen Teil des Profils lässt sich bestimmen, ob der Anwender es selbst wieder entfernen darf oder nicht. Im letzteren Fall kann nur der Admin das Profil entfernen oder überschreiben. Anwender, Diebe oder Finder eines iPads können Profile nur mit einem Total-Reset entfernen - wurde das iPad mit einer komplexen Code-Sperre gesichert, kommen sie also nicht an die Daten.
Apple Configurator für kleinere Unternehmen
Mit Konfigurationsprofilen ist bereits eine sehr komfortable Verwaltung des iOS-Gerätebestands möglich, doch es kommen noch weitere Möglichkeiten hinzu. Ist ein iPad mit einem Microsoft Exchange-Server verknüpft, kann dieser eine ganze Reihe seiner Activesync-Richtlinien vom erzwungenen Gerätekennwort bis zum Browserverbot auch auf dem iPad durchsetzen. Die weitergreifende Alternative besteht im Einsatz von "Mobile Device Management"-Servern (MDM), die ihre Richtlinien per Push-Nachricht durchsetzen und vor allem für größere Unternehmen eine nochmals komfortablere Alternative sind.
Bislang ausschließlich für OS X bietet Apple ein neues Tool namens "Apple Configurator" im Mac App Store, das sich vor allem für kleinere Unternehmen, Schulen und Universitäten ideal eignet. Der Configurator kann die Geräte ebenfalls mit Konfigurationsprofilen bestücken, kümmert sich aber auch um die zentrale Verwaltung, Sicherung und Bestückung von iOS-Geräten. So lassen sich beispielsweise die Geräte für den Unterricht mit Apps und Dokumenten bestücken, einem Anwender zuordnen und nach der Rückgabe ganz einfach wieder in den vorherigen Zustand zurückversetzen.
Spaßbremse Administrator?
Aus Anwendersicht liegen Gut und Böse eng beisammen: Einerseits können die Administratoren durch die bereitgestellten Profile das Leben sehr angenehm machen, indem sie beispielsweise alle Passworte für Firmen-WLANs einrichten, den VPN-Zugang ganz ohne Konfiguration ermöglichen oder Kalender-Abos automatisieren. Mit der eigenhändigen Einrichtung dieser Dienste sind Mitarbeiter nicht selten überfordert, wohingegen das Profil für den Administrator schnell geschrieben ist.
Aber andererseits können Profile von paranoiden Admins den Mitarbeitern schnell den Spaß vermiesen. Spätestens wenn die Kamera nicht mehr funktioniert, man keine eigenen Apps mehr installieren und keine Filme mehr sehen darf, dürften manche Mitarbeiter das iPad in die Ecke legen. Hier ist also Fingerspitzengefühl statt der Daumenschrauben gefragt, wenn man möchte, dass das iPad von den Mitarbeitern auch aktiv genutzt wird.
Profile für jedermann
Das iPhone-Konfigurationsprogramm bietet noch weitere Möglichkeiten. So lassen sich in Grenzen auch Apps verwalten oder die Konsole des iPad nach Fehlermeldungen durchwühlen. Und selbst Privatanwender dürften es meist einfacher finden, Zugangsdaten für Mail-Server oder WLANs am Rechner einzutippen und als Profil an sich selbst zu schicken.
Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation Macwelt.