Das neue Verwaltungsportal befindet sich derzeit in der Beta-Phase. Gern kannst du uns dein Feedback zum neuen Portal, über den entsprechenden Button (links unten im neuen Verwaltungsportal zukommen lassen. Wie du ein vollständig verwaltetes iOS/iPadOS-Gerät im aktuellen Portal für die Nutzung als COPE-Gerät konfigurierst, zeigen wir dir hier.
Mit Hilfe einiger Richtlinien kannst du deine vollständig verwalteten Apple-Geräte so konfigurieren, dass sie sowohl geschäftlich, als auch privat genutzt werden können (Company Owned Personally Enabled – COPE). Das Unternehmen hat auch hier die Kontrolle über das Gerät, aber nicht über den persönlichen Bereich. Dieser ist einschließlich seiner Apps, Daten und Nutzungen, für das Unternehmen nicht sichtbar oder zugänglich.
Anmeldung mit privater Apple-ID erlauben
Geschäftliche und private Apps und Daten trennen
Anmeldung mit privater Apple-ID erlauben
- Bevor deine Geräte privat und geschäftlich genutzt werden können, musst du sie für Cortado MDM registrieren. Gehe dafür vor, wie in unserem Hilfe-Artikel Registrierung firmeneigener iOS/iPadOS-Geräte beschrieben.
- Setze im ADE-Profil (unter Einstellungen→ Apple→ Apple Automatische Geräteregistrierung→ Einrichtungsschritte) das Häkchen bei Einrichtung der Apple-ID (Pfeil im Bild). Dann kann der/die Nutzer/-in die Apple-ID bereits während der Geräteeinrichtung eingeben.
- Nutzer/-innen können die Einrichtung der Apple-ID zudem jederzeit über die Geräteeinstellungen vornehmen (Pfeil im Bild).
Geschäftliche und private Apps und Daten trennen
Nutzer/-innen von COPE-Geräten können sich ihre privaten Apps über den App Store auf die Geräte laden. Geschäftliche Apps weist du den Nutzer/-innen hingegen über das Verwaltungsportal zu. Gehe dafür vor, wie in unserem Hilfe-Artikel Apps aus dem Apple Business Manager importieren und verteilen beschrieben.
Um den Austausch von Daten zwischen privaten und geschäftlichen Apps und Kontakten zu verhindern, musst du nun noch einige Richtlinien aktivieren bzw. deaktivieren.
- Wechsle dafür ins aktuelle Verwaltungsportal von Cortado MDM.
- Erstelle eine neue Richtlinie. Klicke dazu im Verwaltungsportal unter Verwaltung→ Richtlinien auf das Plus-Icon. Wähle anschließend iOS/iPadOS.
- In den Richtlinien wähle zunächst die Einrichtungsmethode Betreute Geräte aus (Pfeil im Bild).
Hinweis! Achte darauf, dass die Richtlinie Ändern von Accounteinstellungen erlauben (Pfeil im Bild), aktiviert ist (Standardeinstellung). Anderenfalls kann der/die Nutzer/-in keine private Apple-ID auf dem Gerät hinterlegen.
Für die Trennung von geschäftlichen und privaten Apps und Daten findest du eine Reihe von Richtlinien unter Daten- und Containerschutz. Konfiguriere mindestens die markierten Richtlinien, wie folgt (siehe Bild):
- Entferne das Häkchen bei Dokumente von verwalteten Quellen in nicht verwalteten Zielen erlauben. Dann werden den Nutzer/-innen auf den iOS/iPadOS-Geräten beim Teilen von Dokumenten nur noch diejenigen Apps angeboten, die du über das Verwaltungsportal bereitgestellt hast.
- Möchtest du darüber hinaus verhindern, dass Dokumente aus privaten Apps in geschäftliche Apps gelangen, entferne außerdem das Häkchen bei Dokumente von nicht verwalteten Quellen in verwalteten Zielen erlauben.
- Wenn zudem verhindert werden soll, das Daten (z. B. Texte) zwischen verwalteten und nicht verwalteten Apps hin und her kopiert und eingefügt werden können, aktiviere die Richtlinie Verwaltete Zwischenablage.
- Achte außerdem darauf, dass die Checkbox Nicht verwalteten Apps erlauben, aus verwalteten Kontakten zu lesen deaktiviert ist (Standardeinstellung). So ist sichergestellt, das private Apps (wie beispielsweise WhatsApp) nicht auf die geschäftlichen Kontaktdaten zugreifen können. Beachte hierzu auch die Hinweise in unserem How-To So verhindern Sie den Zugriff von WhatsApp, Clubhouse und Co auf geschäftliche Kontakte bei iOS.
- Deaktiviere die Richtlinien Verwalteten Apps das Schreiben in nicht verwalteten Kontakten erlauben. Dadurch wird verhindert, dass verwaltete Apps, wie z. B. Outlook auf private Kontakte zugreifen können.
Hinweis! Die Richtlinien Nicht verwalteten Apps erlauben, aus verwalteten Kontakten zu lesen und Verwalteten Apps das Schreiben in nicht verwalteten Kontakten erlauben, greifen nur, wenn die Richtlinie Dokumente von verwalteten Quellen in nicht verwalteten Zielen erlauben deaktiviert wurde. Die Richtlinie Verwaltete Zwischenablage greift nur, wenn die Richtlinie Dokumente von nicht verwalteten Quellen in verwalteten Zielen erlauben deaktiviert wurde.
Möchte der/die Nutzer/-in ein Dokument aus einer geschäftlichen App, mit einer anderen App teilen bzw. dorthin exportieren, werden jetzt nur noch Business-Apps angeboten (Beispiel im Bild). Private und geschäftliche Daten sind somit voneinander getrennt.
Darüber hinaus stehen dir hier eine Reihe weiterer Richtlinien zur Verfügung, mit deren Hilfe du verhindern kannst, dass Daten über AirDrop, die iCloud oder die Dateien-App abfließen können. Aktivieren/Deaktiviere diese Richtlinien entsprechend.