Unverwaltete Apps an iOS-Geräte verteilen

(tl;dr vowe: Abdelkader erklärt, wie man zentral Apps verteilen kann, die keinen Zugriff auf Geschäftsdaten haben. Typisches Beispiel: Social Media Apps für Social Media Teams im Marketing.)

Apple ermöglicht in Verbindung mit einer MDM-Lösung die Verteilung von Apps auf iPhone und iPad. Die App-Verteilung gehört zu den Kernfunktionen eines Mobile Device Managements: Geschäftlich erforderliche Anwendungen werden zentral bereitgestellt und können automatisch installiert werden.

Apps, die über das MDM automatisch installiert werden, erhalten den Status Managed und können auf dienstliche Daten zugreifen. Diese Daten werden als Managed Data klassifiziert. Die Trennung zwischen privaten (unmanaged) und geschäftlichen (managed) Bereichen ist dabei ein zentrales Sicherheitsmerkmal von iOS und iPadOS. Über MDM-Richtlinien lässt sich sicherstellen, dass Managed- und Unmanaged-Daten strikt getrennt bleiben. Beispielsweise kann verhindert werden, dass ein Dokument aus einem geschäftlichen E-Mail-Konto in eine private Messaging-App exportiert wird. Auch die Nutzung der Zwischenablage zwischen verwalteten und unverwalteten Apps kann unterbunden werden.

Es existieren Szenarien, in denen Organisationen Apps auf iPhone oder iPad bereitstellen möchten, ohne diesen Anwendungen Zugriff auf geschäftliche Daten zu gewähren. Ein typisches Beispiel ist ein Social-Media-Team, das verschiedene Apps benötigt. Diese Apps sollen für die tägliche Arbeit verfügbar sein, jedoch keinen Zugriff auf dienstlichen Daten erhalten. Zur Umsetzung dieses Szenarios muss die MDM-Lösung „Managed Distribution for Users“ unterstützen. In BlackBerry UEM ist diese Funktion implementiert.

Im Folgenden werden die technischen Voraussetzungen und Konfigurationsschritte beschrieben. Damit die Verteilung unverwalteter Apps über den BlackBerry UEM funktioniert, muss der BlackBerry UEM in der Version 12.23 QF2 (On-Premise oder Cloud) installiert sein und an den Apple Business Manager angebunden sein. Im BlackBerry UEM muss auch ein gültiges VPP-Token eingerichtet sein. Über das Apple Volume Purchasing Program werden die zu verteilenden Apps beschafft. In meinem Beispiel verwende ich ein per Apple Device Enrolment am UEM aktiviertes iPhone mit iOS 26.3. Mit einer reinen MDM-Aktivierung würde es auch funktionieren. Da die Apple für die unverwaltete App Installation einen Apple Account erfordert, benötigen wir einen Persönlichen oder Managed Apple Account. Seit September 2025 erlaubt Apple im Apple Business Manager verwaltete Endgeräte auf die Nutzung mit Managed Apple Accounts einzuschränken. Entspricht die E-Mail-Adresse des BlackBerry-UEM-Benutzers dem Managed Apple Account, führt BlackBerry UEM das VPP-Enrolment automatisch durch. Bei einem persönlichen Apple Account oder wenn sich die Benutzernamen unterscheiden, muss das Enrolment manuell abgeschlossen werden. Der Benutzer bekommt hierfür im Enterprise App Store (Work Apps) einen Hinweis. Diese Setup ermöglicht die benutzerbasierte App-Zuweisung und gleichzeitig wird der Zugriff auf die Managed Data verhindert. In diesem Beispiel werden die Apps Ice Cubes for Mastodon und Bluesky als unverwaltete Anwendungen bereitgestellt. Beide Apps wurden im Apple Business Manager in ausreichender Lizenzanzahl für den Standort des BlackBerry UEM-Servers beschafft.

Zur strukturierten Zuweisung wird eine Benutzergruppe mit der Bezeichnung „Social Media Apps“ erstellt, der anschließend beide Anwendungen zugewiesen werden. Für jede App ist die Disposition auf „Optional“ zu setzen und das Target auf „Personal“ zu konfigurieren. Nur mit diesen Einstellungen ist gewährleistet, dass die Anwendungen nach der Installation durch den Benutzer unverwaltet bleiben. Da es sich um unverwaltete Apps handelt, können weder App-Configuration-Profile noch Per-App-VPN-Profile zugewiesen werden.

Screenshot BlackBerry UEM-Konsole – Disposition Optional & Target Personal

Die Lizenzierung erfolgt jeweils über eine VPP-Benutzerlizenz. Nach Erstellung der Gruppe werden die entsprechenden Benutzer hinzugefügt.

Screenshot BlackBerry UEM-Konsole – Apps mit VPP-Benutzerlizenz

Auf dem iPhone meldet sich der Benutzer im App Store mit seinem Apple Account an. In diesem Szenario wird ein Managed Apple Account verwendet. Managed Apple Accounts können selbst keine Apps beschaffen, weshalb der Einsatz von Managed Distribution for Users der einfachste Weg diesen Accounts App-Lizenzen zuzuweisen. Anschließend öffnet der Benutzer auf dem durch BlackBerry UEM verwalteten iPhone den Enterprise App Store mit der Bezeichnung Work Apps. Dort erscheinen die zugewiesenen Anwendungen im Reiter New. Über den Button Prepaid erfolgt die Weiterleitung in den Apple App Store, von dem aus die Installation gestartet werden kann. Sollte der Download-Button noch deaktiviert sein, empfiehlt es sich, den Vorgang nach einigen Minuten zu wiederholen, da die VPP-Infrastruktur von Apple in Einzelfällen etwas Zeit benötigt, um Lizenzen den jeweiligen Apple Accounts zuzuweisen.

Screenshot iPhone – Work Apps und Apple App Store mit Ice Cubes for Mastodon App

Nach erfolgreicher Installation lässt sich im MDM-Profil unter „Apps“ verifizieren, dass die über Managed Distribution for Users bereitgestellten Apps dort nicht aufgeführt sind. Sie gelten somit als unverwaltet und besitzen keinen Zugriff auf geschäftliche Daten. In diesem Beispiel sind nur die vier Secu-Apps verwaltet.

Screenshot iPhone MDM-Profil – verwaltete und unverwaltete Apps

Managed Distribution for Users ermöglicht den Entzug zugewiesener App-Lizenzen. Da die Anwendungen unverwaltet sind, werden sie nach dem Lizenzentzug nicht vom Endgerät entfernt. Nach Entzug der Lizenz kann der Benutzer die App noch bis zu 30 Tage weiterverwenden. Diese Funktion ist insbesondere bei kostenpflichtigen Apps relevant, da Lizenzen dadurch einem anderen Benutzer zugewiesen werden können, ohne erneut eine Lizenz erwerben zu müssen. Über den Lizenzentzug wird der Benutzer im App Store entsprechend informiert.

Screenshot iPhone App Store – Lizenzen für Bluesky und Ice Cubes wurden entzogen

Ugreen Finetrack

Heute entdeckt: Diese FindMy-kompatiblen Tracker sind per USB aufladbar und kosten im Viererpack gerade mal soviel wie ein AirTag. Außerdem ist der Aufhänger gleich inklusive.

Für die Geldbörse gibt es das auch in Form einer Kreditkarte:

Ugreen hat einen ganzen Zoo dieser Geräte, auch für Android allgemein oder speziell für Samsung Galaxy.

Die Ugreen-Tracker haben kein UWB, können also nicht sagen, in welchem Schrank sich ein Gegenstand befindet, aber ohne Probleme in welchem Haus. Und piepsen tun sie auch.

#reklame

IKEA + Matter + Thread = Eine kleine Erklärung

Ich war am Samstag zwischen 20:00 und 20:30 bei IKEA. Das ist die beste Zeit, weil kaum noch jemand da ist und man ganz entspannt einkaufen kann. Wir waren bei lieben Freunden zu Besuch und auf dem Heimweg waren das nur 5 km Umweg.

Dort habe ich mir eine neue Smart-Lampe gekauft, die Anfang des Jahres auf den Markt kam. (Lampe ist das, was leuchtet, Leuchte ist das Ding mit der Fassung.) Und dazu muss ich ein bisschen was erzählen. Da wir an der Kasse kaum anstehen mussten, ging das superschnell. Ich hätte gerne noch etwas Lakritz gekauft, aber es gab keine. Ich prangere das an.

IKEA KAJPLATS mit 1521 Lumen maximalem Lichtstrom

IKEA hat eine ganze Reihe neuer Gerätschaften mit Matter-Support. Wir haben auf die Schnelle eine Lampe mit viel Licht gewählt, die aber kein farbiges Licht produzieren kann. Unsere Hue-Lampen haben wir kaum jemals in anderer Farbe als warmweiß leuchten lassen.

Matter ist das wichtige Stichwort, denn Matter ist ein übergreifender Standard, der mit allen System arbeitet, egal ob Apple Home, Samsung Smartthings oder Amazon Alexa. Das ist bisher nur mittel-gut, weil man diese Systeme zwar parallel oder wahlweise betreiben kann, aber nicht übergreifend. Ein Samsung kann also nicht auf Apple Home zugreifen, sondern man muss so ein Gerät (noch) mehrfach registrieren. Das ist hier aber nicht so wichtig.

Matter geht über Wifi oder wie hier bei den IKEA-Sachen über Thread. Thread basiert auf Bluetooth und bildet ein Mesh Network. Dieses Netzwerk hat innere Knoten, sogenannte Router, und Endpunkte. Router hängen typischerweise immer am Strom, Endpunkte kann man auch mit Batterien betreiben.

Diese Lampe ist ein Router. Man schraubt sie in eine normale E27-Fassung und versorgt sie mit 230 V Wechselstrom. Wenn man die Leuchte ausschaltet und damit den Strom trennt, verschwindet der Router aus dem Mesh. Das will man nicht. Also Lampe reindrehen und Leuchte einschalten.

Wie man sehen kann, habe ich sehr viele Router. Das sind alles interne Knoten des Thread-Netzwerks. Drei davon hat sich Thread als Border Router ausgeguckt, die verbinden das Thread-Mesh mit meinem (Wifi-)Heimnetzwerk. Das sind hier Apple HomePod mini. Der Übergang zwischen Thread und Wifi ist also redundant. Wenn ein HomePod bootet, beeinträchtig das nicht das Netz.

Das Einrichten eines Thread-Gerätes ist super-einfach. Man scannt mit der Home-App einen kleinen QR-Code auf der Lampe (und der Doku) und schon taucht das Gerät auf. Apple-User kennen das von Homekit.

Diese neuen Matter-Geräte sind bei IKEA noch relativ schlecht bewertet. Das liegt vor allem daran, dass die meisten Kunden Matter over Thread nicht verstehen. Das hat mich bewogen, mal ein bisschen mehr zu erklären.

Je mehr Thread-Router man hat, desto dichter und stabiler wird das Netz. Also genau andersrum als bei Wifi. Die Schaltgeschwindigkeit ist brutal viel schneller als etwa über eine Hue-Bridge. Das waren die beiden ersten Kommentare bei mir zu Hause: “Wow, ist die hell”, und “die schaltet aber schnell”. Licht wird hier über Bewegungsmelder, Siri oder die Home-App geschaltet. IKEA hat aber auch Schalter oder Dimmer für sehr kleines Geld. (Man ignoriere die Badematte 🤣.) Diese Fernbedienungen sind Endpunkte, laufen also mit Batterien.

Ich warte noch auf die angekündigten Schaltsteckdosen, aber der Einstieg von IKEA wird dem Matter-Standard endgültig zum Durchbruch verhelfen. Ich musste übrigens nichts von IKEA installieren. Die Apple Home App hat einfach ein Software-Update heruntergeladen und installiert.

Und das wird damit auch keine IKEA-Welt, sondern man kann munter Matter-Geräte aller Hersteller mit einander mischen.

iPhone retour

Bekannter hat sich ein iPhone 17 Pro Max gekauft. Heute hat er es nach zwei Wochen wieder zurück geschickt. Er geht wieder auf sein vertrautes 13 Pro zurück. “Erstaunlich, wie klein der Unterschied ist …” und “… dass ich jetzt auch sehe, dass das normale reicht. Und bloß nix größeres mehr…”

Empfohlen hatte ich ein iPhone 17. Das ist gut 500 Euro preiswerter als der Klotz 17 Pro Max. Pro heißt in der Generation 17 vor allem teuer.

#reklame

sudo send money

Todd C. Miller:

For the past 30+ years I’ve been the maintainer of sudo. I’m currently in search of a sponsor to fund continued sudo maintenance and development. If you or your organization is interested in sponsoring sudo, please let me know.

What you consider free software is built by people who rarely get compensated for their work. I see $1523 on OpenCollective and $1512 from GitHub Sponsors. With an estimated yearly budget of $906.

Next time you do a sudo apt-get remind yourself there is a person behind that.

Neue Apple AirTags (2nd gen)

Apple hat gestern eine zweite Generation von AirTags angekündigt. Äußerlich unverändert haben sie neue Chips für Bluetooth und Ultraweitband, welche die Reichweite erhöhen, aus der man sie orten kann. Außerdem können sie nun lauter piepsen.

An der grundsätzlichen Wirkungsweise ändert sich nichts. AirTags haben keine Ortungsfunktion, sondern sie werden von anderen Apple-Geräten gefunden, die dann anonym die Ortsdaten übermitteln.

Mit der Apple Watch Series 9 und der Apple Watch Ultra 2 (und neuer) kann man nun die Funktion “Genaues Suchen” erstmals am Handgelenk verwenden, wenn die Uhren mit watchOS 26.2.1 laufen. Auch die iPhones haben ein passendes Softwareupdate erhalten.

#reklame

From my inbox

Ihr könnt euch sicher noch an diese sensationelle Fiskars-Schere erinnern, die hier täglich im Einsatz ist. Dann habe ich ein noch heftigeres Modell entdeckt, das etwas anders funktioniert und mir die auch gewünscht. Gestern kam sie. Vielen Dank, Kurt.

Wie man sehen kann, sind die beiden Schneiden viel dicker und die Kante ist gezahnt, damit der Werkstoff nicht wegrutschen kann. Damit schneidet man dann auch Teppiche oder ähnliches mühelos.

Fiskars schreibt “Ideal zum Schneiden von Isolationsmaterialien wie Steinwolle oder Styropor”. Ich habe damit bisher Kabelbinder und Verpackungen zerschnitten. Das geht so mühelos wie Zeitungspapier mit einer Büroschere. 😊

Welche nun? Die Wahl ist einfach. Die Mehrzweckschere taugt für alles, die Hochleistungsschere ist vor allem für grobe Arbeiten gedacht, bei denen man feste zupacken muss. Wenn das nicht reicht, muss man mehr Gewalt ausüben.

#reklame

Dave2D: Windows is Ruining New Laptops

I have been banging this drum for a while. But it is very important to drive this point home in Redmond.

I remember when Microsoft did the right thing about ten years ago: Make a clean version of Windows 10 without any bloatware and ship it on beautiful Surface Pro devices. That’s when I stopped using Macs. I no longer needed a Macbook and an iPad. Edge was clean and powerful.

A few years ago the enshittification came back in full force. The reaction from users is brutal. You can use a big hammer to trim all the annoying things from Windows or you can move platforms.

For now I chose to be very loud about this problem. I am way past the point where I welcome anything “new and exciting” from Microsoft. Wrong incentives within the company need to be fixed from the top down.

And please, spare me your “just use Linux” or “I am on Apple”. I know. I have a lot more than one computer.

USB-Kabel testen

Die Politik hat beschlossen, alle Geräte kriegen jetzt eine USB-C Schnittstelle zum Laden. Und dann liegt häufig auch ein Kabel bei. Wenn man dieses passende Kabel für andere Zwecke verwendet, dann fällt einem vielleicht auf, dass die Datenübertragung schnarch-langsam ist. Oder dass es ewig dauert, bis der Laptop-Akku voll ist.

Das liegt daran, dass USB-C Kabel zwar gleich aussehen, aber nicht gleich sind. Und da sie schlecht oder gar nicht markiert sind, braucht man ein Testgerät, um herauszufinden, was das Kabel denn wirklich kann. Powertipp: Schaut mal in den Stecker. Die Farbe des Kunststoff im Stecker sagt etwas aus.

Ich habe Abdelkader gefragt, ob er ein billigeres Testgerät als dieses kennt, und er meint, dass er das lange beobachtet hat, aber dann genau das für 43 € gekauft hat. Das kostet es gerade auch.

Man steckt beide Enden des Kabel in das Testgerät und dann sieht man auf vier Bildschirmseiten, was es kann. Dann kann man endlich ganz sicher entscheiden, welches Kabel in die Tonne gehört und welches man auf Reisen mitnimmt.

#reklame

Microsoft Bitlocker Recovery Keys

Es gibt eine große Aufregung über Bitlocker Recovery Keys, die Microsoft an das FBI ausgehändigt haben soll. Was ist das, wo sind sie gespeichert, wie benutzt man sie?

Bitlocker verschlüsselt lokale Speichermedien, etwa im Laptop, sodass niemand ohne Anmeldung an die Daten kommen kann. Wenn man eine Festplatte mit Bitlocker verschlüsselt, dann bietet Microsoft drei Möglichkeiten an, einen Recovery Key abzuspeichern:

  • In der Microsoft Cloud
  • In einer Datei auf einem externen Speichermedium
  • Als Papierausdruck

Ich empfehle, mindestens zwei dieser Verfahren zu nutzen. Mir ist es bisher rund ein halbes Dutzend mal passiert, dass Windows beim Start nach diesem Recovery Key gefragt hat, bevor es die Festplatte freigegeben hat.

In der Microsoft Cloud findet man diese Keys unter zwei Adressen:

Dort kann man sie löschen, wenn man das möchte. Ich rate aber dringend davon ab, das einzige Backup zu löschen. Sucht man in Windows nach “Bitlocker”, dann kann man dort in eine Datei oder auf Papier exportieren.