Author: Abdelkader Boui

Restrict Apple Account types on your managed devices

Apple has introduced a new feature in Apple Business Manager (ABM) that allows administrators to control which Apple Accounts can sign in on managed devices. Apple calls this feature Apple Account on Organisation Devices. This setting is in your ABM tenant under Access Management-> Apple Services. Administrators can choose to allow either any Apple Account or restrict sign-in only to Managed Apple Accounts. This capability enables organizations to block users from utilizing Personal Apple Accounts on company-issued devices. Previously it was only possible to restrict on which device type Managed Apple Accounts can sign-in.

Details zu Content Caching unter iOS 26 anzeigen

macOS ermöglicht es dir, Content Caching Server einzurichten, die Apps, Bücher und Updates im lokalen Netzwerk speichern. Das ist ideal für Umgebungen mit vielen Apple-Geräten, wie Unternehmen oder Schulen, da es den Internet-Datenverkehr erheblich reduziert. Die Updates werden durch die Endgeräte vom Content Caching Server geladen, statt über Apples CDN-Infrastruktur.

Auf deinem iOS-26-Gerät kannst du die Funktion jetzt direkt überprüfen: Gehe zu Einstellungen-> Wi-Fi, tippe auf das (i) neben deinem Wi-Fi-Netzwerk und scrolle zum Abschnitt „Content Caches“. Dort siehst du alle Details und kannst mit einem Test die Download-Geschwindigkeit messen. Bei iPhones oder iPads die nur per Ethernet angebunden sind, werden die Details zum Content Caching nicht angezeigt.

Unter Dauerspannung

Bild ANKER

Mein UGREEN 100W GaN-Netzteil wurde in meinem Reisesetup durch ein neues 100W-Modell von Anker ausgetauscht. Was das neue Netzteil so gut macht? Es unterbricht nicht die Ladung bereits angeschlossener Geräte, wenn man ein weiteres hinzusteckt. Das ist ein riesiger Vorteil – zum Beispiel, wenn man einen Travel-Router damit betreibt. Das Netzteil reduziert beim Anschluss weiterer Geräte nur den Strom und behält die Spannung an den schon belegten Ports bei.

#reklame

Wichtige Zertifikate und Token für die Apple-Geräteverwaltung

Für die MDM-Verwaltung von Apple Endgeräten gibt es drei wichtige Token bzw. Zertifikate.

  1. Zertifikat für die Apple Push Notification Services (APNS)
  2. Volume Purchasing Program (VPP) Token
  3. Automated Device Enrollment (ADE) Token

Das APNS-Zertifikat ist das wichtigste Zertifikat. Ohne das APNS-Zertifikat kann der MDM-Server keine Push Nachrichten an die Endgeräte, z.B. einem iPhone oder iPad, schicken. Sehr vereinfacht ausgedrückt, funktioniert das mit dem APNS für die MDM-Kommunkiation so: Die Push Nachricht weckt den sogenannten MDM-Daemon am Endgerät auf. Der MDM-Daemon verbindet sich dann mit dem MDM-Server und ruft alle dort anstehenden Befehle ab. Sind keine Befehle mehr da, dann legt sich der MDM-Daemon wieder schlafen.
Um das APNS-Zertifikat zu erstellen, generiert man in seinem MDM-Server eine Zertifikatsanforderung. Diese Zertifikatsanforderung lädt man bei Apple unter https://identity.apple.com/pushcert. Dort muss man sich mit einem Apple Account anmelden um von Apple das Zertifikat erstellen zu lassen. Das Zertifikat muss dann in den MDM-Server hochgeladen werden. Sobald das erledigt ist, können am MDM-Server Apple-Endgeräte aktiviert und verwaltet werden.

Wichtig: Man muss das APNS-Zertifikat immer unter demselben Apple Account erstellen und erneuern. Nutzt man einen anderen Apple Account, dann verliert man damit die MDM-Kommunikation zu seinen Endgeräten.

Falls man den Apple Account, aus welchen Gründen auch immer, ändern möchte, dann muss man sich an den Apple Support wenden. Die können einem helfen das APNS-Zertifikat auf einen anderen Apple Account zu übertragen. Daher mein weiterer Tipp: nutzt für die APNS-Zertifikate einen generischen Apple Account, für den ihr im dienstlichen Passwortmanager die Zugangsdaten speichert.

Für die Verteilung von Apps und Büchern ist das VPP-Token relevant. Das VPP-Token wird im Apple Business Manager erstellt. Das VPP-Token ist eine Base64-codierte JSON-Datei. Das Token muss in den MDM-Server kopiert bzw. importiert werden. So kann man Apps und Bücher, die man voher im Apple Business Manager beschafft hat, an seine Nutzer verteilen. Wobei das Beschaffen sich nicht nur auf kostenpflichte Apps und Bücher bezieht, sondern man das auch für kostenfreie Apps und Bücher nutzen. Das ist dann z.B. relevant wenn man iPhones und iPads ausgibt, auf denen die Nutzer keinen Apple Account haben. Das VPP-Token erlaubt es Apps an ein Gerät zu lizenzieren und die Installation zu erlauben. Damit entfällt die Notwendigkeit eines Apple Accounts. Hat man mehrere MDM-Server im Einsatz, ist meine Empfehlung im Apple Business Manager (ABM) pro MDM-Server einen Standort zu erstellen. Pro Standort kann man im ABM ein VPP-Token herunterladen. So bleibt im Überblick auf welchem MDM-Server welche Apps in Verwendung sind.

Wichtig: Wird das Passwort für den Apple Account, mit dem das VPP-Token erstellt wurde, geändert, dann verliert das VPP-Token seine Gültigkeit.

Es reicht das VPP-Token im ABM erneut herunterzuladen und im MDM-Server zu aktualisieren. Dann können wieder Apps und Bücher verteilt werden.

Für die Geräteaktivierung, von Apple Automated Device Enrollment genannt, gibt es noch das sogenannte ADE-Token. Das ADE-Token ermöglicht eine Zero Touch Aktivierung der Apple-Endgeräte. Auch das ADE-Token wird im ABM erstellt. Um das ADE-Token zu bekommen, muss man zuvor im MDM-Server ein Schlüsselpaar generieren. Im MDM-Server lädt man den öffentlichen Schlüssel herunter. Diesen lädt man im ABM-Portal hoch und kann im Anschluss den Token herunterladen. Das Token muss im MDM-Server importiert werden. Im Anschluss muss im MDM-Server nur noch die Enrollment Configuration eingerichtet werden. Die Enrollment Configuration definiert unter anderem welche Bildschirme und Einstellungen bei der Aktivierung und Einrichtung des Endgerätes angezeigt werden. Damit Geräte über ADE aktiviert werden können, müssen sie dem MDM-Server zugewiesen werden. In die eigene ABM-Instanz werden neu gekaufte Geräte normalerweise vom Händler gepackt. Der braucht von euch nur eure Organisations-ID aus dem ABM. Hier habe ich beschrieben, wie man mit dem Apple Configurator Geräte manuell in den ABM aufnehmen kann.

Wichtig: Hat man das ADE-Token im MDM-Server schon eingebunden und lädt es im ABM nochmal herunter, dann verliert das schon im MDM-Server importierte ADE-Token seine Gültigkeit.

Das neue ADE-Token muss importiert werden, dann können wieder Endgeräte gegen diesen MDM-Server aktiviert werden. Falls ihr im ABM die automatische Gerätezuordnung zu einem MDM-Server konfiguriert habt und neue Geräte am MDM-Server nicht auftauchen, dann meldet euch im Apple Business Manager an. Eventuell hat Apple neue Terms and Conditions für den ABM veröffentlicht, die noch nicht akzeptiert wurden. Erst wenn die akzeptiert wurden, klappt es mit der automatischen Gerätezuweisung wieder.

Die oben genannten Zertifikate bzw. Token sind alle maximal ein Jahr gültig und müssen rechtzeitg erneuert werden. Wenn ihr die zeitige Erneuerung mal verpassen sollte, dann könnt ihr das auch ein paar Tage später nachholen. Ich habe die Beschreibung so generisch wie möglich gehalten, weil sich die Verwaltung der Tokens und Zertifikate je nach Hersteller der MDM-Lösung leicht unterscheiden kann. Grundsätzlich sind alle MDM-Hersteller auf die Anbindung der Tokens und Zertifikate angewiesen, damit eine reibungslose Integration in die Apple-Welt möglich ist.

Apple device migrations will get a lot easier

Today, Apple has unlocked a new feature in Apple Business Manager which will allow customers to migrate ADE devices from one MDM to another without the need to wipe the devices. This will significantly simplify the process of changing an existing MDM solution. The feature will require the devices to be on iOS or iPadOS 26. You can set an enrolment deadline. If the user has not migrated the device by the deadline, the migration will be enforced on the due date. Devices running macOS 26 can also be migrated using this new feature.

In your Apple Business Manager tenant you can filter for devices that support the enrolment deadline. This gives you a simple way to narrow down the devices in your ABM tenant that support the migration feature.

I have several customers who are planning to migrate from a third-party MDM to BlackBerry UEM. The release of iOS and iPadOS 26 will make the migration a lot easier. I cannot wait to test this migration approach in my lab and use it in production with my customers.

Restoring an iPhone in recovery mode

Previously I explained how you could use an iPhone to add another iPhone or iPad to Apple Business Manager. There is another common task where you no longer need a Mac or PC: restoring iOS on an iPhone in recovery mode.

The process is very simple and only requires an iPhone or iPad running iOS 18.

  • Put the iPhone in recovery mode.
  • You will see a screen titled support.apple.com/iphone/restore showing a computer and USB cable.
  • While in this state, click the side button as fast as possible until the Apple logo appears and starts flashing. Release the button.
  • You will see an animation of two iPhones moving closer to each other. Your iPhone is now in the wireless restore mode.
  • On your other iPhone you will see a pop-up Restore Nearby iPhone
  • Click Continue.
  • Enter the six digit pairing code shown on the other iPhone. The pairing process will take a few moments to complete. The process will fail if your iPhone or iPad are connected to a Wi-fi network with a captive portal or where 802.1x authentication is required.
  • Select System Recovery and tap Continue.
  • Depending on your Internet bandwidth, the process can take time to complete. Be patient and make sure to connect both devices to a charger while the process is running.

So far, I have used this feature to restore an iPhone 16 and an iPad Pro 11″ M4. Apple states that this will work with an iPad mini with an A17 Pro CPU, too. I do not know if this works with older devices, e.g., iPhone 15. I am happy to test if someone sends me the older devices. Regardless, this feature can be particularly useful if you need to restore an iPhone and do not have access to a Mac or PC to complete the restore. Think of scenarios where you have users in a remote location, e.g., branch offices, with limited access to a Mac or PC. If you have successfully tested this process with older devices, I would appreciate your feedback in the comments.

Apple Intelligence per MDM deaktivieren

Apple hat heute iOS 18.4 veröffentlicht. Mit iOS 18.4 ist es nun ohne Umwege möglich Apple Intelligence in Deutschland zu nutzen. Nach einem Update auf iOS 18.4 wird der Nutzer aufgefordert Apple Intelligence einzurichten. Im Unternehmens- und Behördenumfeld wollt ihr Apple Intelligence gegebenenfalls deaktivieren. Dafür müssen die iPhones und iPads per MDM verwaltet sein. Dann könnt ihr den Geräten sogenannte SkipKeys mitgeben. Mit dem SkipKey Intelligence lässt sich die Aufforderung Apple Intelligence einzurichten ausblenden. Diese Aufforderung erscheint direkt nach dem iOS 18.4 installiert wurde und das iPhone oder iPad gebootet hat.

Im BlackBerry UEM müsst ihr dafür ein Custom Payload Profil erstellen. Dort fügt ihr den unten gezeigten XML-Text ein und weist es den Endgeräten bzw. Nutzern zu. Nach dem Update auf iOS 18.4 wird der Nutzer nicht mehr aufgefordert Apple Intelligence einzurichten.

<dict>
<key>SkipSetupItems</key>
<array>
<string>Intelligence</string>
</array>
<key>PayloadDisplayName</key>
<string>Post OS Update Skip Keys</string>
<key>PayloadIdentifier</key>
<string>com.example.mysetupassistantpayload</string>
<key>PayloadType</key>
<string>com.apple.SetupAssistant.managed</string>
<key>PayloadUUID</key>
<string>0dfccedc-e28f-4df5-bca7-a0807deab543</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>

In der IT Policy, auch bekannt als MDM Restrictions, solltet ihr noch folgende Einstellungen deaktivieren damit der Nutzer diese Apple Intelligence Funktionen nicht nutzen kann:

  • Allow Genmoji
  • Allow image playground
  • Allow image wand
  • Allow mail summary
  • Allow personalized handwriting results
  • Allow writing tools
  • Allow external intelligence integrations
  • Allow external intelligence integrations sign-in
  • Allowed external intelligence workspace IDs
  • Allow Mail smart replies
  • Allow Notes transcription
  • Allow Notes transcription summary
  • Allow Safari summary
  • Allow Visual Intelligence summary
  • Allow Apple Intelligence Report

Damit diese Richtlinien und der SkipKey greifen, müssen die iPhones und iPads supervised sein. Eine reine MDM-Aktivierung reicht nicht aus. Die genannten Einstellungen lassen sich auch in anderen MDM-Lösungen vornehmen. Eine direkte Übernahme des oben gezeigten XML-Beispiels wird in der Regel nicht möglich sein. Bei anderen MDM-Lösungen benötigt ihr eine vollständige .mobileconfig-Datei. Für Details müsst ihr in die Dokumentation eures MDM-Herstellers schauen.

Nutzen eure Anwender BlackBerry Dynamics, dann solltet ihr in der BlackBerry Dynamics Policy noch die Einstellung Allow Apple Intelligence in-app writing tools deaktivieren. Mehr muss man nicht tun um Apple Intelligence auf den verwalteten iPhones und iPads zu deaktivieren.

Und wie immer gilt mein Rat: testet eure Apps und Konfigurationen mit iOS 18.4 bevor ihre das Update für eure Nutzer erlaubt.

Opinion: e is for enterprise

Photo Apple

This week, Apple has launched the iPhone 16e. There are many commentators with a negative view on the iPhone 16e. Many of them called the iPhone 16e an inferior product and wrong product decision by Apple. I very much disagree with this view. I would like to explain why I disagree.

Who is going to buy the product? A person or an organization which wants to cheapest available iPhone. This will be a customer who does not care for the latest features or fancy colors. They have made the decision based on long term use and a proper support channel. This is especially true for large organizations which are frequently called enterprises. It is especially true for government organizations. These customers buy “fleet devices” by the thousands.

In this type of organisation, users will be issued their iPhone with a screen protector pre-installed, a case, and a USB charger. In some cases Bluetooth might be restricted. If they need a replacement for their accessories, they will call IT or get it from the vending machine. Therefore, there is not much upsell potential for Apple or any third-party accessories manufacturer. Even if these devices came with MagSafe and an UWB chip, it is unlikely that Apple or any other manufacturer would be able to sell any additional accessories to these user groups. So, no upsell on an AirTag or a MagSafe charger.

Enterprises need a device that can last them three to five years. This is a perfect fit for the iPhone 16e. Sure, there are organizations who are deploying iPhone 15 Pro or 16 Pro to their users. These are often VIP users, and the exception.

For the average office worker the iPhone 16e is perfect. The increased battery life is also important for these organisations, as some of them deploy their MDM solution in a darksite scenario where you need to use an Always On VPN or VPN On Demand. These VPN configuration can be very taxing on the battery life. Any increase in battery life is appreciated by these user groups.

Why not a cheaper Android? There are use cases in organisations where Android is the only choice. But often, at least in my experience, iPhones and iPads are much better to manage than most Android devices. The majority of my customers issues iPhones to their users. This is often driven by the fact that the TCO for any iPhone is much better than of most Android devices and the iPhones have a higher acceptance with the users. Even when given the choice between a comparably priced Android smartphone and an iPhone, e.g., iPhone 15 Pro and Samsung Galaxy S24, users tend to select the iPhone.

I am sure there are many enterprises and similar organizations out there which have delayed their smartphone device refresh because they were waiting for “the new iPhone SE”. That is why I think the e in iPhone 16e is for enterprise. If I would have the budget for a new test device, I would have pre-ordered an iPhone 16e.

#reklame

Leichtes Gepäck

Aufgeklapptes mophie Reiseladegerät lädt AirPods, iPhone und Watch

Das letzte Jahr war ich deutlich häufiger auf Dienstreisen. Um nicht immer verschiedene Ladegeräte mitzunehmen, habe ich versucht mein Setup zu optimieren. Dadurch habe ich nun ein leichtes Gepäck mit dem ich unterwegs alle meine Geräte gleichzeitig laden kann. Es funktioniert für mein iPhone, mein iPad, mein Laptop, meine AirPods Pro 2 und meine Apple Watch Ultra 2.

Mein Ladezubehör besteht aus diesen Komponenten:

Das mophie Reiseladegerät lässt sich sehr kompakt zusammenfalten

Mophie liefert ein 60W USB-C-Kabel mit. Das ist mir kaputt gegangen. Deswegen habe ich es gegen das Anker USB-C auf USB-C Kabel getauscht. Das Set von mophie kommt mit einem 30W USB-C-Netzteil. Das ist zu schwach um auch gleichzeitig mein Laptop bzw. iPad zu laden. Da ich nur ein Ladegerät mitnehmen wollte, habe ich es gegen das UGREEN 100W GaN-Netzteil getauscht. Das Set ist jetzt seit über einem Jahr bei mir im Einsatz und hat sich bewährt. Zur Aufbewahrung und zum Transport benutze ich eine kleine Zubehörtasche von Ikea Namens VÄRLDENS.

Aufgeklapptes mophie-Reiseladegerät mit 100W-Netzteil und 3x USB-Kabel

Für die seltenen Fälle in denen ich noch Geräte mit Lightning- oder micro-USB-Anschluss laden muss, habe ich einen Apple Ligthning auf microUSB-Adapter und einen USB-C auf microUSB-Adapter in der Tasche.

USB-C auf microUSB-Adapter und microUSB auf Lightning-Adapter

Von dem mophie-Reiseset wurde in der Zwischenzeit eine neue Variante veröffentlicht. Bei Amazon finden sich ähnliche Ladegeräte, z.B. dieses 3-in-1-Ladegerät von Anker. #reklame