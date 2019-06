Apple's ontwikkelaarscongres WWDC aan het begin van de maand zat bomvol met nieuws over iOS 13, watchOS 6, macOS Catalina, het nieuwe iPadOS en de nieuwe Mac Pro (met de terugkeer van de tower met meerdere upgrade-opties).

Aan het eind van de week was er een sessie van een uurtje over het beheer van Apple-apparaten (die je hier kunt bekijken). De presentatie, samen met gerelateerde sessies en documentatie, liet zien waar Apple heen wil en dat is goed nieuws voor IT'ers. Apple kondigde onder meer het volgende aan:

Apple heeft een nieuw beheerd gebruikersprofiel voor BYOD-apparaten.

Er is een single sign-on (SSO) extensie voor iOS en macOS die authenticatie en beveiligde toegang tot zakelijke systemen, clouds en apps versimpelt.

Apple Business Manager wordt de enige plek om zakelijke apps te kopen en beheren.

Na twee jaar hiervoor te hebben gewaarschuwd, gaat apparaatbeheer nu enkel nog over apparaten 'Onder supervisie'. (Reeds uitgerolde apparaten zien geen verandering in beheerprofielen totdat deze worden hersteld.)

Apple heeft zijn documentatie opgefrist voor het MDM-platform om het eenvoudiger te maken om informatie te vinden en om content voor ontwikkelaars te scheiden van content voor beheerders.

Een uitdaging bij het zo ver krijgen van personeel dat het BYOD-beleid omarmt, is de zorg over hoeveel controle IT krijgt over het apparaat van een werknemer. Verder blijven er vragen bestaan over welke informatie IT precies kan opvragen over het apparaat en het gebruik ervan. Dat is geen onredelijke vraag, want beheerpolicy's worden op het hele apparaat toegepast en IT kan opdrachten geven die op het volledige apparaat van toepassing zijn, bijvoorbeeld het wissen van de huidige toegangscode. Ook kunnen er meer details worden opgevraagd over het apparaat, het gebruik en de configuratie, bijvoorbeeld om te zien welke apps zijn geïnstalleerd, inclusief persoonlijke, onbeheerde apps.

Met iOS 13 introduceert het bedrijf nieuwe enrollment-opties om gebruikers op te nemen in het beheerbeleid. Dat moet worden afgetrapt door de gebruiker zelf, geeft informatie over het proces (die je kunt aanpassen) en vereist dat de gebruiker authenticeert met bedrijfscredentials (daarover zo meer).

Privacy van gebruikers terug

Er wordt met deze methode een apart APFS-volume aangemaakt op het apparaat waar zakelijke content op wordt opgeslagen en dit wordt gescheiden cryptografisch beveiligd. Beheerde apps en accounts slaan data op dit volume op, zodat hij kan worden gewist zonder dat je je zorgen hoeft te maken over persoonlijke data. Het verwijderen van de encryptiesleutels zorgt ervoor dat in essentie zakelijke gegevens onbruikbaar zijn.

Maar dat is niet het enige wat iOS 13 in petto heeft. Enrollment vanuit de gebruiker betekent dat de meeste apparaatbeherende opdrachten (zoals het verwijderen van de toegangscode) niet beschikbaar zijn en dat de informatie die de beheerder kan opzoeken veel meer need-to-know is. De meeste configuratiegegevens worden niet gedeeld, inclusief informatie over apps die niet worden beheerd.

Dit soort wijzigingen bevestigt de reputatie van Apple als privacyvriendelijk en helpt werkgevers om personeel gerust te stellen met het beheer van persoonlijke apparaten en neemt zorgen weg van HR wat betreft het gebruik van de apparaten.

Drie soorten beheer

Als gevolg van deze wijzigingen zijn er nu drie manieren om iOS-apparaten in te schrijven in een beheerprogramma en te beheren, gebaseerd op type gebruik en wie de eigenaar is:

Apparaten Onder supervisie die moeten worden vergrendeld. Dat gaat voornamelijk om publieke (kiosk-)apparaten, hardware die elke dag wordt uitgeleend en andere apparaten die worden gedeeld. Apparaten Onder supervisie moeten in het bezit zijn van de organisatie en Onder supervisie worden geplaatst door ofwel Mac-applicatie Apple Configurator 2 of met Apple's OTA Device Enrollment Program. Apparaten Onder supervisie via device enrollment. Deze middenweg is toepasselijker voor door het bedrijf aangeschafte hardware die is toegewezen aan een enkele gebruiker voor zowel persoonlijk als zakelijk gebruik. User enrollment. Dit geeft de meeste transparantie en een uiterst voorzichtig geselecteerd stukje beheer. Dit is vooral bedoeld voor BYOD en de bescherming van zakelijke content én gebruikersprivacy.

Authenticatie en SSO

De volgende grote aankondiging ging over SSO-authenticatie. Dit maakt het aanspreken van zakelijke resources stukken makkelijker en het koppelt aan Touch ID en Face ID. Het koppelt ook aan beheerde Apple ID's voor bedrijven. Apple tekent daarbij aan dat dit losstaat van de consumentenfeature Sign In With Apple die verplicht wordt voor ontwikkelaars van apps met third party-inlogfunctionaliteit. Die optie voegt privacymiddelen toe die je niet hebt met huidige social media inlogopties.

Dat zijn twee verschillende initiatieven en het lijkt er geenszins op dat Apple deze wil samenvoegen. Sterker nog, dat zou ingaan tegen het hele idee van het strikter scheiden van persoonlijke en zakelijke gegevens. Zoiets maakt het lastiger om juist de dingen van elkaar te scheiden en privacy te waarborgen, wat Apple wil bereiken met de nieuwe maatregelen.

Die SSO-optie in iOS 13 en macOS Catalina werkt met een IAM- of directorysysteem. Als ontwikkelaars de vereiste API's implementeren, bieden apps de single sign-on functionaliteit. Die werkt met cloud en andere netwerkdiensten.

Beheerde Apple ID's

Beheerde Apple ID's waren voorheen enkel beschikbaar in onderwijsinstellingen, maar ze nemen nu een centrale rol in bij het enrollmentproces. Als een gebruiker zijn of haar toestel inschrijft, moet een Apple ID worden opgegeven. Dat ID en het profiel worden gebruikt voor toegang tot het apparaatvolume dat de bedrijfsgegevens bevat, alsmede de toegang tot een zakelijke iCloud-account die kan worden gebruikt in de app Bestanden.

Dit beheerde Apple ID ziet er doorgaans uit als andere zakelijke credentials, omdat de beheerde ID's worden aangemaakt met een bestaand directorysysteem (inlusief clouddiensten als Azure Active Directory).

Allemaal bij elkaar opgeteld zijn dit grote verbeteringen voor zakelijke klanten. Ze voorzien in de behoefte aan beveiliging en toegang in deze wereld van mobile and cloud first die bedrijven vereisen. Daarnaast benadrukken ze dat Apple privacy serieus neemt en bereid is om tijd en moeite te steken in het bedienen van zakelijke klanten.