Bis OS X 10.7 Lion brachte Apple zwei macOS-Versionen auf den Markt: Eine normale Version und eine spezielle Variante für den Betrieb auf Servern. Diese Serverversion brachte viele Dienste wie PHP, MySQL, LDAP-Server oder einen E-Mail-Server für den Einsatz in Unternehmen mit sich. Mit OS X 10.7 wurde diese zweite Variante eingestellt und stand als Server-App zur "Erweiterung" des Betriebssystems im App Store zur Verfügung.

Die aktuelle macOS-Version 12 ist die letzte, die die Server-App noch unterstützt. Bis zuletzt bot Apple in dieser den Profilmanager an, mit dem sich eine (entfernte) Geräteverwaltung umsetzen ließ. Mit der Beendigung des Supports und der Abkündigung der App stehen IT-Verantwortliche nun vor neuen Herausforderungen. Apple gibt zwar in seinem Supportdokument Ratschläge, wie IT-Abteilungen auf Mobile-Device-Management-Angebote von Drittherstellern wechseln, zeigt hier aber keinen offiziellen Blick auf das zu erwartende Apple Business Essentials (ABE) [1], das aktuell nur in den USA verfügbar ist.

Doch bevor wir auf ABE eingehen, werfen wir noch einen Blick in die jüngere Geschichte: Im Sommer 2020 kaufte Apple das Start-up Fleetsmith, einen Anbieter cloudbasierten Mobile Device Managements (MDM). Dessen Angebot richtete sich an den Einsatz in Unternehmen und ermöglichte es, Apple-Produkte wie iPhones, iPads oder Macs sicher zu verwalten, ist jedoch zum 21. Oktober 2022 seitens Apple aufgekündigt. Das Datum liegt ungefähr in jenem Zeitraum, für den macOS 13 erwartet wird.

Spätestens seit der intensiven Kooperation mit IBM (2014), SAP (2016) und HP (2018) dringt Apple langsam, aber kraftvoll in den MDM-Markt vor. So ist die Abkündigung von Diensten nur ein Zwischenschritt eines größeren Plans: Seit 1. April 2022 bietet Apple ABE für Betriebe mit bis zu 500 Mitarbeitern in den USA an. Wir gehen davon aus, dass ABE spätestens zum Oktober 2022 auch in Deutschland verfügbar ist.

Bei ABE handelt sich um einen Dienst, der Geräteverwaltung, Support und Cloud­speicher nahtlos im Apple-Ökosystem zusammenfasst. Kurz gesagt verspricht Apple nicht mehr oder weniger als den Support ähnlich einer großen IT-Abteilung, ohne eine große IT-Abteilung zu haben – ganz gleich, wie sehr eine Firma wächst. ABE hilft Ihnen bei der Einrichtung, Inbetriebnahme, Sicherung, Sicherheit, Support, Reparaturen und den Geräteupdates. Es basiert auf einem Webportal, das alle diese Dienste an einem Ort anbietet. Genauer gesagt orientiert sich dieses Portal an dem seit Mitte 2018 verfügbaren Apple Business Manager (ABM).

Um das ABE nutzen zu können, müssen Sie in ABM entsprechende ABE-Abo-Modelle abschließen. Damit dies möglich ist, ist zuerst eine Zahlungsmethode in den Einstellungen zu hinterlegen. Ist dies erfolgt, lässt sich ABM mithilfe von Abos um die ABE-Funktionen erweiteren. Zu unterscheiden ist dabei zwischen einem Geräte- und einem Mitarbeiter-Abo. Diese sind in unterschiedlichen Ausprägungen parallel verfügbar. Das Geräte-Abo bezieht sich auf einzelne, firmeneigene Geräte (macOS, tvOS, iOS, iPadOS). Hierbei handelt es sich um Devices, die der Firma selbst gehören. Das Mitarbeiter-Abo auf der anderen Seite erlaubt es Nutzern, ihre eigenen, privaten Geräte für die dienstliche Nutzung zu registrieren. Dieses Abonnement unterscheidet zwischen einer Lizenz für ein Gerät pro Mitarbeiter oder bis zu drei. Das Abo entscheidet zusätzlich, wieviel an iCloud-Speicherplatz Mitarbeiter nutzen können, wobei zwischen 50 GByte und 2 TByte möglich sind.

Der im Abo angebotene Speicherplatz existiert immer nur zusammen mit einer verwalteten Apple-ID (Benutzerkonten). IT-Verantwortliche können diese in ABE für die Mitarbeiter anlegen. Ein solches Konto erteilt Mitarbeitern bestimmte ABE-Berechtigungen. Die Nutzung dieser verwalteten Apple-IDs ist im Vergleich zu persönlichen, privat angelegten Apple-IDs eingeschränkt und einige Apple-Dienste und -Funktionen sind deaktiviert:

- App Store, iTunes Store und iBooks Store: Surfen erlaubt, aber nicht das Einkaufen.

- iCloud-Schlüsselbund

- Finde mein iPhone / Finde meinen Mac / Finde meine Freunde

- iCloud-Familienfreigabe

- Nachrichten und Face Time (ist jedoch für Benutzer in ABM aktivierbar)

Verknüpfte Authentifizierungen sind mit ABE ebenfalls möglich. Diese erlauben es, verwaltete Apple-IDs aus der Verknüpfung mit Authentifizierungsprovidern wie Microsoft Azure AD oder Google Workspace zu generieren. Dies ist natürlich praktisch, da ansonsten nur das manuelle Anlegen für jeden einzelnen Mitarbeiter zur Auswahl steht.

Wir hatten bereits angesprochen, dass es einen Unterschied zwischen dienstlichen und privaten Geräten gibt. Je nach Abo-Modell stehen hier unterschiedliche Optionen der Geräteverwaltung zur Verfügung. Mit einem MDM-System sind Unternehmen in der Lage, verschiedene Endgeräte zu verwalten. Dies umfasst neben der Konfiguration und Aktualisierung von Geräteeinstellungen (Konfigurationsprofilen) auch das Verteilen, Verwalten und Konfigurieren von Apps.

Ein solches MDM-System stellt Apple mit ABE jetzt ebenfalls zur Verfügung. Was früher Dritthersteller wie Jamf oder SimpleMDM übernommen haben, bietet Apple inzwischen in seinem Portal an. Das Konzept bedingt, dass der IT-Verantwortliche Regeln für die Konfiguration von Geräten definiert. Vergewissern Sie sich also, dass Sie die wichtigsten Einstellungen hier hinterlegen. Dazu zählen zum Beispiel das Einrichten eines WLANs oder eines VPNs, die Vorgabe eines Passcodes, die Firewalleinstellungen und ähnliche Dinge.

Diese Konfigurationen lassen sich dann über sogenannte "Sammlungen" (Colletions) bündeln. Haben Sie in Ihrer Firma unterschiedliche Niederlassungen, können Sie beispielweise für jede eine Sammlung anlegen. Diese enthalten aber nicht nur Konfigurationen, sondern auch Apps. Der Kaufprozess erfolgt dabei analog dem in ABM erfolgten Vorgehen. Der Unterschied ist jedoch, dass sich die Apps im Portal direkt einer Sammlung zuordnen lassen. Damit Sammlungen ihre Wirkung entfalten, lassen sie sich Benutzern, Gruppen und/oder Geräten, die sich im ABE-Portal bekannt gemacht haben, zuordnen.

Der Vollständigkeit halber sei erwähnt, dass Sie das Konstrukt der Sammlungen auch ignorieren können. Einstellungen und Apps lassen sich auch direkt etwa einem Benutzerkonto zuweisen. Aus unserer Erfahrung ist davon jedoch eher abzuraten, da dies die Übersichtlichkeit reduziert.

Um Sammlungen mit Konfigurationen und Apps nicht jedem Anwender einzeln zuordnen zu müssen, gibt es die Möglichkeit, normale oder intelligente Benutzergruppen einzurichten. Smarte

Benutzergruppen erlauben es, alle Anwender mit bestimmten Rollen an definierten Standorten dynamisch zusammenzufassen. Wenn sich die Gruppe im Laufe der Zeit ändert, weil sich beispielsweise neue Mitarbeiter der Vertriebsmannschaft anschließen, kann die smarte Benutzergruppe automatisch erweitert werden. Dies hat zur Folge, dass auch die neuen Kollegen automatisch die zugehörigen Einstellungen und Konfigurationen erhalten.

Normale Benutzergruppen hingegen beinhalten statische, spezifisch festgelegte Benutzer. Auch diese Gruppen lassen sich natürlich für die Zuordnungen von Konfigurationen beziehungsweise Sammlungen verwenden. Diese sieht der Mitarbeiter dann, sobald er sich mit seinem Gerät anmeldet.

Damit diese Anmeldung an einem Gerät funktioniert, müssen Sie dieses ABE bekannt machen. ABE greift auf das bereits von ABM bekannte Device Enrollment (DEP) – einen Bereitstellungsprozess für iOS- und macOS-Geräte – zurück. DEP automatisiert die Bindung von direkt bei Apple oder einem autorisierten Apple-Händler gekauften Geräten an ein MDM-System. Der Bereitstellungsprozess durch DEP basiert auf der Einhaltung einer Vertrauenskette von der Geräteproduktion über die (DEP-autorisierten) Händler bis zum endgültigen Einsatz. Erworbene Devices registriert im Rahmen des Kauf-prozesses der DEP-Händler im ABE des Unternehmens.

Diese Art der Geräteregistrierung kommt jedoch nur für dienstlich erworbene Geräte infrage, bei denen die Firma der Eigentümer ist. ABE unterstützt aber auch die sogenannte Benutzerregistrierung (User Enrollment) für BYOD. Hierbei handelt es sich um ein privates Endgerät (iOS, iPadOS ab Version15 oder MacOS ab Monterey), auf dem der Mitarbeiter eine dienstliche Nutzung ermöglichen möchte. Hier erfolgt das Registrieren in ABE mithilfe der verwalteten Apple-ID. Um die Einrichtung der Geräte in den Händen der Anwender so einfach wie möglich zu gewährleisten, erlaubt ABE das Generieren einer Anleitung, die dem Mitarbeiter per E-Mail zugestellt wird.

Alle in ABE bekannten und durch den Anwender eingerichteten Geräte erhalten durch ABE die Apple Business Essentials App. Diese bietet verschiedene Self-Service-Szenarien an. Dazu gehören neben der Installation von Apps auch Hilfestellungen zu Hard- und Software, etwa "Wie kann ich über AirPrint drucken?" oder "Reparatur oder Austausch von Geräten vor Ort."

Geräte lassen sich durch den IT-Verantwortlichen zusätzlich mit "AppleCare+ for Business Essentials" verknüpfen. Ein solcher Plan beinhaltet bis zu zwei jährliche Reparaturen. Dabei spielt es keine Rolle, ob es sich um einen zerbrochenen iPhone-Bildschirm oder um das Logic-Board eines MacBook Pro handelt. Entsprechende Reparatur- und Servicetermine kann der Mitarbeiter ebenfalls über die Support-App oder die Supportwebsite vereinbaren. Der IT-Verantwortliche erhält jedoch einen Freigabe-Workflow, damit die Reparaturen über die abgeschlossenen Kontingente erfolgen. Ebenso können IT-Verantwortliche auch eigenständig Reparaturaufträge in ABE direkt anlegen.

Von Erstkonfiguration über das Mitarbeiter-Onboarding bis hin zu Softwareaktualisierungen oder Geräteupgrades dürfte APE wohl recht bald auch für größere Unternehmen sowie außerhalb Amerikas zur Verfügung stehen. Es bleibt zu hoffen, dass Apple es nicht bei diesem ersten Schritt belässt.

Der MDM-Markt ist ein Markt voller potenter Konkurrenten, dennoch ist nicht zu unterschätzen, mit welchem Elan Apple sich hier engagiert. Der MDM-Funktionsumfang ist noch sehr gering, aber es ist davon auszugehen, dass Apple aufholen wird. Die Migration aus dem bekannten ABM heraus ist ein echter Vorteil, der an Einfachheit kaum zu überbieten ist, denn an ABM führt in einer modernen IT kein Weg vorbei.