Mobile-Device-Management
I-Phone-Administration im Unternehmen – ein Überblick
Fortsetzung des Artikels von Teil 4
„Over-the-air“-Konfiguration
Als letzte Methode kommt eine Verteilung der Profile „Over-the-air“ in Frage. Dieser Weg ist insbesondere dann interessant, wenn durch die Menge an zu verwaltenden Geräten eine direkte Verteilung nicht möglich ist und darüber hinaus verschlüsselte Profile verwendet werden sollen. Verschlüsselte Profile können – anders als unverschlüsselte – nur auf einem einzigen I-Phone installiert werden, da sie mit dem öffentlichen Schlüssel des Zielgerätes verschlüsselt wurden. Demzufolge bedarf jedes iPhone eines individuellen Profils. Für genau diesen Anwendungszweck stellt die „Over-the-air“-Konfiguration die ideale Lösung dar. Da eine genaue Beschreibung den Rahmen des Artikels sprengen würde, soll nur kurz auf die dazu erforderliche Infrastruktur und den genauen Ablauf eingegangen werden:
- Dem Benutzer wird eine URL per Mail oder SMS mitgeteilt.
- Nach einer Autorisierung (per HTTP-Authentifizierung oder gegen ein bestehendes Benutzerverzeichnis) auf der aufgerufenen Webseite, muss ein spezielles Konfigurationsprofil heruntergeladen werden.
- Nachdem der Benutzer die Installation des Profils akzeptiert hat, übermittelt das I-Phone selbständig gerätespezifische Informationen an den Webserver.
- Auf Basis der übermittelten Informationen wird ein weiteres Profil erzeugt, das ausschließlich die Parameter für die unternehmenseigene Zertifizierungsstelle enthält. Dieses Profil wird vom iPhone automatisch installiert.
- Das I-Phone erzeugt daraufhin einen SCEP-Request für die Zertifizierungsstelle, die wiederum im Erfolgsfall das gerätespezifische Zertifikat an das I-Phone übermittelt.
- Das I-Phone wiederum generiert einen neuen Request für den zentralen Profilservice und signiert diesen mit dem erhaltenen Zertifikat.
- Der Profilservice erzeugt auf der Basis des Requests ein neues Profil, das die unternehmensspezifischen Parameter enthält. Im nächsten Schritt wird es verschlüsselt und an das Gerät als Antwort übermittelt.
- Abschließend wird das verschlüsselte Profil vom „Over-the-air“-Konfiguration automatisch installiert, womit die enthaltenen Parameter aktiv werden.
Eine geeignete Infrastruktur für diese Methode setzt demnach mindestens einen (vom Unternehmen selbst zu entwickelnden) Profileservice und eine Zertifizierungsstelle voraus. Weiterführende Informationen finden sich bei Apple hier.
Sofern die Verteilung des Konfigurationsprofils von der Administration nicht direkt auf das Gerät erfolgt, sondern eine Verteilung per Mail, Web oder „Over-the-air“ gewählt wurde, kann der Endanwender nicht zur Installation gezwungen werden. Bei jeder Methode ist mindestens zu Beginn eine Interaktion des Anwenders erforderlich. Unabhängig davon kann aber sichergestellt werden, dass das I-Phone nur dann mit dem Unternehmensdiensten kommunizieren kann, wenn das erforderliche Profil bzw. die erforderlichen Profile installiert wurden.
- I-Phone-Administration im Unternehmen – ein Überblick
- Direkte Konfiguration am Gerät
- Verwaltung per "ActiveSync"
- Administration über Konfigurationsprofile
- „Over-the-air“-Konfiguration
- Einsatz einer Verwaltungssoftware
- Fazit
- Tabelle: Konfigurationsarten für das I-Phone im Vergleich
- Tabelle Teil 2
Lesen Sie mehr zum Thema
