Private und geschäftliche Daten getrennt: Apple verbessert iPhone-Nutzung in Firmen
Wenn Nutzer ihr privates iPhone oder iPad auch geschäftlich im Rahmen eines BYOD-Programms (Bring your own device) des jeweiligen Arbeitgebers verwenden, stehen vor allem zwei Aspekte im Mittelpunkt: Schutz der Firmendaten und die Wahrung der Privatsphäre des Anwenders. Apple hat zu dem Zweck das neue Feature „User Enrollment“ vorgestellt, das die beiden genannten Bereiche mithilfe des MDM (Mobile Device Management) optimal miteinander kombinieren soll.
Auf der einen Seite sind Enterprise-Daten auf den jeweiligen Endgeräten noch besser als bisher geschützt. Vorteilhaft für den Nutzer ist auf der anderen Seite, dass er der IT-Abteilung der jeweiligen Firma für BYOD nicht die vollständige Kontrolle über sein Apple-Gerät ermöglichen muss.
Mehr Datensicherheit und PrivatsphäreApple zufolge werden die neueingeführten Funktionen und Sicherheitsfeatures eine größeren Bereitschaft erzeugen, an BYOD-Programmen teilzunehmen – sowohl von Firmenseite als auch von Mitarbeiterseite. Das Unternehmen hat die entsprechenden Softwareneuerungen auf einer der WWDC-Sessions vorgestellt (Videolink:
). Die „User Enrollment“-Optionen für den MDM-Gebrauch setzen sich maßgeblich aus drei Teilen zusammen:
- verwaltete Apple ID zusätzlich zur persönlichen ID
- begrenztes Set an Geräte-Management-Möglichkeiten für die IT-Abteilung
- verschlüsselte Abgrenzung zwischen Firmendaten und privaten Inhalten
Die geschäftliche Apple ID ist für den Enterprise-Inhalt des Nutzers auf dem iDevice zuständig, der vom Apple School Manager oder Apple Business Manager eingerichtet wird – je nachdem, ob der Nutzer das Gerät an einer Bildungseinrichtung oder in einem Untfernehmen verwendet.
Bei einer Firma etwa laufen alle Geschäfts-Apps und -Accounts über die geschäftliche Apple ID – zum Beispiel können auch Apple-Notizen dazugehören. Anwendungen und Accounts zum persönlichen Gebrauch verwenden dagegen die normale Apple ID des Nutzers. IT-Administratoren können Apple zufolge nur die verwalteten Business-Inhalte des jeweiligen Endgeräts einsehen, nicht aber die Privatdaten des Anwenders.
Verschlüsselter APFS-Bereich für Enterprise-DatenDie Abgrenzung zwischen persönlichen und geschäftlichen Inhalten funktioniert über das Dateisystem. iOS erstellt zu Beginn des Enrollments für die Enterprise-Daten einen separaten, verwalteten APFS-Speicherbereich inklusive kryptographischem Schlüssel. Sobald die Firmennutzung beendet wird, löscht das System die Geschäftsdaten automatisch.