Was ist ein MDM-Server?

Einführung zu MDM-Servern

Ein Apple MDM-Server (Mobile Device Management) ist eine Art von Endpunktverwaltungssoftware, die mit Apple-Geräten arbeitet, einschließlich, aber nicht beschränkt auf Computer mit macOS sowie iPhone- und iPad-Geräte mit iOS und iPadOS. Der Zweck eines Apple MDM-Servers besteht darin, IT-Administratoren einen zentralen Kontrollpunkt für eine Flotte von Apple-Geräten zu bieten, um effektive und konsistente Sicherheit, Konfiguration, Compliance und Softwarebereitstellung zu gewährleisten.

Wie funktionieren ein MDM-Server und das MDM-Protokoll?

Um Apple-Geräte zu verwalten, muss ein MDM-Server das Apple MDM-Protokoll unterstützen, das die Profile und Befehle definiert, die Administratoren an Apple-Clients verteilen können. Es gibt MDM-Server, die mit allen wichtigen Betriebssystemen, einschließlich Windows und Android, arbeiten können. Aber auf Apple ausgerichtete Angebote wie Kandji bieten einen tieferen Funktionsumfang und ein höheres Maß an Kontrolle über Geräte, die macOS, iOS, iPadOS oder tvOS verwenden, als diese plattformübergreifenden MDM-Lösungen.

Um auf diese zusätzlichen Funktionen zugreifen zu können, entscheiden sich viele Unternehmen für den Einsatz eines Apple-fokussierten MDM-Servers wie Kandji zur Verwaltung von Geräten, die eines der Apple-Betriebssysteme verwenden, in Kombination mit einem plattformübergreifenden MDM-Server zur Verwaltung von Windows- und Android-Geräten. Diese plattformübergreifenden Technologien können auch unter anderen Bezeichnungen wie Universal Endpoint Management(UEM) und Enterprise Mobility Management (EMM) bezeichnet werden. Einige dieser Verwaltungslösungen implementieren oder erweitern ihre Unterstützung für MDM mit proprietären Agenten, die für verschiedene Gerätetypen entwickelt wurden.

Was sind die Vorteile eines MDM-Servers?

MDM entstand als Reaktion auf den BYOD-Trend (Bring Your Own Device), als Mitarbeiter anfingen, persönliche Geräte mit zur Arbeit zu bringen und diese hauptsächlich für den mobilen Zugriff auf Firmen-E-Mails zu nutzen. Die Aussicht, dass verlorene oder gestohlene Geräte in die falschen Hände geraten könnten, zwang Unternehmen schnell dazu, Arbeitsabläufe zu finden, die eine Passwortauthentifizierung auf mobilen Geräten und die Möglichkeit, diese Geräte zu löschen, erzwingen. MDM bot diese Art der Fernverwaltung.

Seitdem sind die Anbieter von Gerätemanagement-Software über diese grundlegenden Sicherheitsmaßnahmen hinausgegangen und haben Funktionen zur Konfiguration, Überwachung und Softwareverteilung/-aktualisierung hinzugefügt. Für die Verwaltung von Apple-Geräten ist eine Apple-spezifische MDM-Lösung erforderlich, um die volle Funktionalität des Apple-MDM-Protokolls nutzen zu können. Zu den MDM-Funktionen, die plattformübergreifende Geräteverwaltungslösungen nicht bieten können, gehören

• Vollständige Integration mit dem Apple Business Manager: Unternehmen, die Apple-Geräte unterstützen, verwenden fast immer den Apple Business Manager für die Geräteanmeldung. In Verbindung mit einer solchen Apple MDM-Lösung unterstützt der Apple Business Manager Administratoren auch bei der nahtlosen Erstellung von verwalteten Apple IDs für Mitarbeiter, bei der Verteilung und Aktualisierung von iOS- und MacOS-Standardsoftwareumgebungen sowie bei der kontinuierlichen Überwachung des Standorts und der Aktivitäten der verwalteten Geräte.
• Automatisierte Abhilfe: Wenn nicht autorisierte Änderungen an verwalteten Geräten vorgenommen werden, kann eine auf Apple ausgerichtete MDM-Lösung die korrekten Einstellungen automatisch wiederherstellen, selbst wenn das Gerät offline ist.
• Verwaltung von Benutzerprivilegien nach Gruppen: In den meisten Unternehmen werden die Benutzer in verschiedene Gruppen eingeteilt, wobei jeder Gruppe ein eigener Satz von Zugriffskontrolleinstellungen für Unternehmensanwendungen und -daten zugewiesen wird. Mit den besten Apple MDM-Lösungen können Administratoren diese Gruppen einfach verwalten und benutzerdefinierte Profile für Benutzer mit besonderen Anforderungen anlegen.
• Automatisierte Software-Aktualisierungen: Ungepatchte Software ist nach wie vor ein Hauptangriffsziel für Cyberangriffe. Die Fähigkeit, die Verteilung von iOS- und macOS-Patches zu automatisieren, ganz zu schweigen von Updates für Apps, die in diesen Umgebungen ausgeführt werden, ist ein wichtiges Unterscheidungsmerkmal für Apple MDM-Lösungen.
• Einhaltung gesetzlicher Vorschriften: Unternehmen sehen sich einer zunehmenden Haftung ausgesetzt, wenn ihre Infrastruktur, einschließlich der Endgeräte, nicht den Compliance-Standards entspricht. Die besten Apple MDM-Lösungen bieten Tools, die es Administratoren erleichtern, die Konformität von Apple-Geräten mit Compliance-Standards wie ISO/IEC 27001 sicherzustellen.

Der Hauptvorteil von MDM-Lösungen besteht darin, dass sie den Zeitaufwand der Administratoren für sich wiederholende Aufgaben wie die Geräteanmeldung verringern. Ein auf Apple ausgerichteter MDM-Server bietet die Funktionalität, die Administratoren benötigen, um Apple-spezifische Aufgaben zu automatisieren, von der Skripterstellung für Benutzergeräte bis hin zur Durchführung von Konfigurationsänderungen, die sich auf alle Mitglieder einer bestimmten Gruppe von Apple-Benutzern auswirken.

Wie richtet man einen Apple MDM-Server ein und konfiguriert ihn?

Bei MDM-Servern handelt es sich in der Regel um Cloud-basierte Lösungen, die nicht vor Ort installiert werden. Um mit der Implementierung von Cloud-MDM zu beginnen, melden sich Administratoren für ein Unternehmenskonto bei Apple an und legen ihre MDM-Lösung im Apple Business Manager fest.

Der nächste Schritt ist die Konfiguration des APN-Dienstes (Apple Push Notification), der es einer MDM-Lösung ermöglicht, mit Apple-Geräten zu kommunizieren. Dazu muss der Administrator ein APN-Zertifikat mit einer verwalteten Apple ID erstellen, die über den Apple Business Manager bereitgestellt wird. Das MDM-System kann automatisch jedes Gerät registrieren, das bereits vom Apple Business Manager erfasst wurde, der Aufzeichnungen über alle von einer Organisation gekauften Apple-Geräte enthält.

Administratoren können dann den MDM-Server so einrichten, dass Apple-Apps und -Books heruntergeladen werden können, damit sie bei Bedarf vom Server auf die registrierten Geräte übertragen werden können. Der MDM-Server kann mit dem Verzeichnisdienst (z. B. Microsoft Active Directory) integriert werden, den ein Unternehmen für die automatische Synchronisierung von Benutzerverzeichnissen gewählt hat. Nachdem diese Einrichtung und Konfiguration abgeschlossen ist, können Administratoren Sicherheitsrichtlinien, Authentifizierungsschemata und Zugriffskontrollen für Benutzer und deren Geräte implementieren und durchsetzen.

Verwaltung von Apple-Geräten in großem Maßstab

Organisationen mit mehr als einer Handvoll Endbenutzer benötigen MDM. Ohne MDM wird das Gerätemanagement zu einer aufwändigen manuellen Arbeit, die eine ständige Fehlersuche erfordert und die Sicherheit und die Einhaltung gesetzlicher Vorschriften gefährdet. Automatisierte Dienste, insbesondere im Zusammenhang mit der Verteilung von Software- und Profil-Updates, können eine enorme Zeitersparnis für Administratoren bedeuten, ebenso wie Vorlagen für allgemeine Rechte und Berechtigungsprofile.

Auf Apple ausgerichtete MDM-Server bieten eine tiefgreifende Kontrolle über Apple-Geräte, aber MDM-Server, die speziell für die Verwaltung von Apple-Geräten entwickelt wurden, unterscheiden sich stark. Apple-Administratoren müssen Lösungen selbst bewerten und vergleichen, um den besten Apple MDM-Server für ihr Unternehmen zu finden.