Apples neueste Version des MacBook Pro kam mit dem neuen T2-Chip. Der von Apple konzipierte T2-Chip wurde erstmals mit dem Release des iMac Pro Ende letzten Jahres in Apple Hardware eingeführt. Der T2-Chip bietet großen Unternehmen, die seit Kurzem oder Langem Apple Geräte einsetzen, großartige Sicherheitsfunktionen. Zu diesen Sicherheitsfunktionen gehört eine sichere Startsequenz. Die Grundeinstellungen hierfür ist auf Full Security Mode eingestellt. Das Wichtigste hierbei zu erwähnen ist, dass mit selektiertem Full Security Mode jede Software, die beim Starten geladen wird (z. B. das Betriebssystem selbst), eine stabile Internetverbindung benötigt und mit Apple verifiziert werden muss.
Beim zuletzt genannten Punkt sollten bei Unternehmen die Alarmglocken läuten, die Apple mithilfe von traditionellen Bereitstellungsmethoden skalieren. Hierzu zählen zum Beispiel das Booten von externen Festplatten oder dem Netzwerk zum Herunterziehen eines monolithischen ‚geklonten’ Festplatten-Image. Aufgrund der grundlegenden Begebenheiten beider Methoden gibt es keine Verifizierung mit Apple für die Integrität des Betriebssystems – welche der T2-Chip für eine sichere Startsequenz erfordert. Es stellt sich folglich für Unternehmen die Frage, wie sie ihre Apple Geräte auf eine moderne und effiziente Weise verwalten können.
Der Weg zur modernen Apple Geräteverwaltung
Die gute Nachricht ist, dass dies keine komplette Überraschung sein sollte, da das Thema bereits seit längerer Zeit diskutiert wird. In den letzten Jahren hat Apple verschiedene KB-Artikel veröffentlicht, in denen von monolithische Imaging-Methoden eher abgeraten wird. Apple bietet stattdessen ein ‚Best-in-Class’-Bereitstellungsprogramm an (ehemals Programm zur Geräteregistrierung (DEP) und jetzt Teil des Apple Business Manager), mit dem Unternehmen Geräte direkt nach dem Auspacken mit einer stabilen Internetverbindung konfigurieren können.
Neben der automatisierten Geräteregistrierung ermöglicht Apple Business Manager – wenn dieser mit einer Verwaltungslösung gepaart ist – Sicherheitsfunktionen durchzusetzen, Geräte auf dem neuesten Stand zu halten und dass die Unternehmensrichtlinien eingehalten werden.
Wie kommen Unternehmen, die die oben genannten Programme noch nicht verwenden und neue Hardware einführen, aus? Kurzgefasst – sie sollten sich direkt für die Programme anmelden und mit ihrem Apple Händler besprechen, ob sie die zuvor erworbenen Geräte nachträglich registrieren können. Es geht darum, beim Kauf eine Vertrauensbasis zu etablieren, sodass Geräte bei der Aktivierung verifiziert werden können, dass sie tatsächlich von dem Unternehmen erworben wurden, welches sie konfiguriert. Das Letzte, was Unternehmen tun sollten, ist den Prozess zu rekonstruieren und zu versuchen, alte Imaging-Techniken am Laufen zu halten. Sofern Unternehmen die Deployment Programme von Apple aus irgendeinem Grund nicht ausrollen können, sollte eine MDM-Plattform für grundlegende Verwaltungsaufgaben eingesetzt werden – z. B. um Geräte per Fernverwaltung zu löschen oder zu sperren, und Konfigurationen für Festplattenverschlüsselungen einzustellen.
Einhergehend mit dem allmählichen Ende von traditionellen Imaging-Methoden müssen sich Unternehmen verschiedenen Herausforderungen stellen, wenn sie zu modernen Workflows wechseln. Active Directory ist hierfür ein gutes Beispiel. Viele Unternehmen verlassen sich sehr auf die Verwendung eines Directory Services, um Authentifizierungen und Autorisierungen bereitzustellen. Immer mehr Mitarbeiter entscheiden sich dafür, remote zu arbeiten. Hierbei stellt sich die Frage, ob die Benutzererfahrung behindert wird, wenn sich auf ein zentrales Passwort verlassen werden muss, um auf Unternehmensressourcen zugreifen zu können. Kurz gesagt - ja.
Mit dem Einsatz von MDM können die Passworteinstellungen lokaler Benutzerkonten im Rahmen eines unkomplizierten Prozesses verwaltet werden. Es muss sich folglich nicht auf eine Verbindung zurück zum Hauptquartier verlassen werden, um ein Passwort zu ändern. Ein cleverer Ansatz besteht darin, lokale Benutzerkonten auf dem Gerät zu verwalten und Unternehmensdaten zu schützen, auf die über die Cloud mithilfe eines Identitätsanbieters wie Okta zugegriffen werden kann, um eine Zwei-Faktor-Authentifizierung zu realisieren.
Macht von Identitätsanbietern und MDM
Lassen Sie uns einen genaueren Blick auf einen der größten Identitätsanbieter werfen – Azure Activity Directory (AAD) von Microsoft. Das Directory von Microsoft basiert tatsächlich nicht einmal auf traditionellen LDAP-Attributen (nativ) und bietet eine große Bandbreite an Sicherheitsfunktionen, die sich viele Unternehmen wünschen. Eine dieser Funktionen ist Conditional Access für ihre Palette an Microsoft Office 365 Anwendungen (als auch andere).
Die Idee ist einfach: bestimmte Compliance-Regeln für Geräte werden konfiguriert, um Benutzern Zugriff auf Anwendungen zu gewähren. Beispielsweise können Sie eine Richtlinie konfigurieren, die den Zugriff auf Outlook nur erlaubt, wenn das Gerät auf der aktuellsten Betriebssystemversion läuft. Sofern das Gerät der Richtlinie nicht entspricht, wird der Zugriff auf Outlook nicht zugelassen.
In einem Umfeld, in dem immer mehr Informationen von außerhalb des Sicherheitsnetzes eines internen Netzwerks stammen und über die Cloud zugänglich sind, ermöglicht diese Funktion von Microsoft Administratoren Zugriff nur für vertrauenswürdige Benutzer mit vertrauenswürdigen Geräten zu gewährleisten. Ausschließlich Kunden, die sowohl Microsoft als auch Jamf nutzen, können die gleichen Compliance-Richtlinien einsetzen und auf ihren macOS Geräten im Unternehmen anwenden. Mithilfe dieser Integration werden Geräte von Jamf verwaltet und die Compliance durch MS überprüft. Zudem wird im Self Service eine benutzerfreundliche Variante zur Realisierung der Übereinstimmung von nicht konformen Geräten bereitgestellt.
Vorteile von macOS Mojave
Mit macOS Mojave wird der Installer über außergewöhnliche Automatisierungsbefehle in Form von “startosintall --eraseinstall” verfügen. Diese Befehle ermöglichen es Administratoren, Remote-Skripte zu erstellen, die mit nur einem Mausklick das Löschen der Festplatte auslösen. Durch die Verwendung wie z. B. Self Service von Jamf Pro können Administratoren Endbenutzer dazu befähigen, Upgrades selbst durchzuführen, während sie gleichzeitig im Hintergrund die Kontrolle über den Prozess behalten.
Es ist eine spannende Zeit in der Welt der Apple Technologie. Mit den vorgenommenen Änderungen müssen viele Administratoren einen mutigen Schritt machen und eine völlig andere Art der Gerätebereitstellung implementieren. Wenn Sie jedoch einen Blick auf Windows 10 und Autopilot von Microsoft schauen, wird schnell klar, dass sich diese Änderung nicht allein auf Apple bezieht, sondern es sich vielmehr um eine umfassende Transformation in der Industrie handelt.
Haben Sie Fragen zu dem Deployment von Workflows? Dann kontaktieren Sie uns gerne.
Sofern Sie noch kein Jamf Kunde sind und die Workflows in Aktion sehen möchten, fordern Sie einfach eine kostenlose Testversion an.
Abonnieren Sie den Jamf Blog
Wir sorgen dafür, dass Apple Updates sowie Jamf Neuigkeiten direkt bei Ihnen im Postfach landen.
Um mehr darüber zu erfahren, wie wir Ihre Informationen sammeln, verwenden, offenlegen, übertragen und speichern, werfen Sie bitte einen Blick auf unsere Datenschutzbestimmungen.