Geräte per Apple Business Manager am BlackBerry UEM aktivieren

Am BlackBerry UEM gibt es drei im Alltag relevante Optionen iPhones und iPads über den Apple Business Manager (ABM) zu aktivieren:

  1. Direkte Zuweisung des Gerätes an einen Benutzer in der BlackBerry UEM-Konsole unter Users-> Apple DEP devices
  2. Aktivierung über ein vorher gesetztes Aktivierungskennwort
  3. Aktivierung über die Active Directory Anmeldedaten

Technisch wären auch eine Aktivierung über einen Identity Provider und über den Apple Configurator möglich. Auf diese beiden Optionen gehe im Folgenden nicht ein. Für alle drei Optionen müssen die Geräte im Apple Business Manager (ABM) existieren. Sobald sie dort gelistet sind, kann man sie der jeweiligen BlackBerry UEM Instanz zuweisen. Nach der Synchronisation des BlackBerry UEM mit dem ABM, erscheinen die Geräte in der UEM-Konsole unter Users-> Apple DEP devices. Die Synchronistation der Geräteliste mit dem ABM erfolgt alle 24 Stunden. Die Synchronisation lässt sich auch manuell anstoßen. Aus der Geräteliste heraus kann das Gerät direkt einem Benutzer zugewiesen. Die Aktivierung erfolgt ohne Eingabe weiterer Anmeldedaten. Diese Aktivierungsart ist z.B. für Kiosk-Mode-Szenarien sinnvoll. Damit wäre die erste Option aus der obigen Liste abgedeckt.

Für die Option 2, der Aktivierung per E-Mail-Adresse und Aktivierungskennwort, muss im Feld Benutzername die E-Mail-Adresse des Benutzers eingetragen werden. Das Aktivierungskennwort hat der Benutzer per E-Mail erhalten bzw. wurde durch den UEM-Administrator in der UEM-Konsole gesetzt und dem Benutzer mitgeteilt. Das Aktivierungskennwort kann der Benutzer auch selbstständig im Self Service Portal des BlackBerry UEM setzen. Im folgenden Beispiel hat der Benutzer die E-Mail-Adresse aboui@lab.boui.de. Nach Eingabe des Aktivierungskennworts im Feld Passwort, kann die Aktivierung am UEM über den ABM erfolgen.

iPhone-Aktivierung über E-Mail-Adresse
iPhone-Aktivierung mit E-Mail-Adresse und Aktivierungskennwort

Für die Option 3, Aktivierung per Active Directory Anmeldeinformatione, müssen die Daten im Eingabefeld Benutzername im Format FQDN\Username eingetragen werden. In meinem Beispiel laut der FQDN der AD-Domain LAB.BOUI.DE. Der Username lautet aboui. Folglich muss in dem Feld Benutzername folgendes eingetragen werden: lab.boui.de\aboui. Da das Eingeben des Zeichens \ am iPhone nicht einfach ist, kann man alternativ das Zeichen / verwenden. Mit beiden Zeichen funktioniert die Anmeldung. Dass der FQDN in meinem Beispiel identisch mit dem Teil nach dem @-Zeichen aus Option 2 ist, ist reiner Zufall. Das könnte und dürfte in den meisten Umgebungen sehr wahrscheinlich unterschiedlich sein.

iPhone-Aktivierung per Active Directory Anmeldeinformationen
iPhone-Aktivierung mit Active Directory Anmeldeinformationen

Falls der FQDN der AD-Domain nicht bekannt ist, kann man sich den FQDN in der Kommandzeile auf einem Windows-Rechner einfach anzeigen lassen. Dafür reicht der Befehl set userdnsdomain.

Ausgabe der Kommandozeile für den Befehl set userdnsdomain

Mit der dritten Option ist es für einen Benutzer oder eine Benutzerin ganz einfach sein iPhone oder iPad zu aktivieren. Viele meiner Kunden nutzen diese dritte Option, weil es den Benutzern ermöglich die Geräte ohne IT-Unterstützung bzw. direkten Zugriff auf das eigene E-Mail-Postfach zu aktivieren. Das ist z.B. bei größeren Geräterollouts oder beim Austausch des iPhones oder iPads sehr hilfreich.

Per-App-VPN-Profil für die Nutzung mit Apple indigo erstellen

Das Thema Apple indigo ist sicherlich einigen bekannt. Ich hatte vor einiger Zeit hier darübergeschrieben. Da es für die notwendigen Konfigurationseinstellungen nur wenig öffentliche Dokumentation gibt, möchte hier beginnen diese Dokumentation zu erstellen. Da einer der wesentlichen Komponenten einer Apple Indigo-Lösung das VPN ist, beginne ich mit der Dokumentation zur Erstellung des VPN-Profils. Ich zeige, wie ihr am BlackBerry UEM ein passendes VPN-Profil erstellen könnt. Dieses VPN-Profil kann dann dazu genutzt werden, um auf Ressourcen und Dienste im internen Netz zuzugreifen. Dieses VPN-Profil ist für die Nutzung mit BlackBerry UEM in einem Brightsite-Setup gedacht. Auf das VPN-Profil für eine Darksite-MDM-Installation gehe ich nicht ein, weil praktisch keine Organisation bei Apple indigo auf ein Darksite-MDM setzen möchte. Darksite-MDM für Apple indigo bringt einfach zu viele Nachteile und praktisch keine Vorteile.

  1. In der UEM-Konsole unter Richtlinien und Profile-> Netzwerke und Verbindungen->VPN wird über das Plus-Symbol ein neues VPN-Profil angelegt
  2. Im Feld Name muss der Name für das VPN-Profil vergeben werden, z.B. indigo_VPN_Profil
  3. Bei den Gerätetypen ist nur die Auswahlbox für iOS auszuwählen
  4. In der Auswahlliste Verbindungstyp muss IKEv2 ausgewählt werden
  5. Unter Remote-Adresse muss der FQDN des VPN-Gateways eingetragen werden, z.B. vpngw.boui.de
  6. Für Lokale ID wir der VPN-Benutzername benötigt. Da das Profil für mehrere Nutzer verwendet werden soll, tragen wir hier eine Variable ein. Das kann z.B: %username% sein.
  7. Für die Remote-ID wird wieder FQDN des VPN-Gateways eingetragen. Je nach VPN-Lösung muss hier gegebenenfalls ein anderer Wert eingetragen werden
  8. In der Auswahlliste Authentifizierungstyp muss Benutzeranmeldeinformationen ausgewählt werden.
  9. In der Auswahlliste Verknüpftes Profil für Benutzeranmeldeinformationen muss das zuvor angelegte Profil für Benutzeranmeldeinformationen ausgewählt werden. In unserem Beispiel heißt das Profil indigo_VPN_Zertifikat.
    Hinweis: Im Kontext von indigo darf das VPN-Zertifikat nicht über den MDM-Kanal auf das Endgerät gepusht werden. Das VPN-Zertifikat kann z.B. über ein sicheres, internes Netz (Wifi oder Ethernet) über den Safari-Browser auf das Gerät installiert werden.
  10. Den Wert für Keep-alive-Intervall muss auf 10 Minuten gesetzt werden.
  11. Die Haken für MOBIKE deaktivieren und IKVEv2-Umleitung deaktivieren bleiben abgewählt
  12. Der Haken für Perfekte Geheimhaltung bei der Weiterleitung aktivieren muss gesetzt werden
  13. Die Option NAT-Keep-alive aktivieren wird eingeschaltet und der Wert 110 gesetzt
  14. Die Haken für Interne IPv4- und IPv6-IKEv2-Subnetze verwenden, Zertifikatwiderrufprüfung aktivieren und Fallback aktivieren bleiben entfernt
  15. Der Haken für Untergeordnete Sicherheitszuordnungsparameter anwenden wird gesetzt und die Werte wie folgt konfiguriert
    • DH-Gruppe: 19
    • Verschlüsselungsalgorithmus: AES-128-GCM
    • Integritätsalgorithmus: SHA2 256
    • Schlüsseländerungsintervall: 1440
  16. Der Haken für IKE-Sicherheitszuordnungsparameter anwenden wird gesetzt und die Werte wie folgt konfiguriert
    • DH-Gruppe: 19
    • Verschlüsselungsalgorithmus: AES-128
    • Integritätsalgorithmus: SHA2 256
    • Schlüsseländerungsintervall: 1440
  17. Der Wert für MTU kann bei 1280 bleiben
  18. Da wir das Profil für Per App VPN und Per Account VPN nutzen wollen, muss der Haken für Enable per-app VPN gesetzt werden.
  19. Da Safari bei indigo nicht über den VPN-Tunnel auf interne Ressourcen zugreifen darf, dürfen keine Safari Domains eingetragen würden. Das gleiche gilt für die anderen Domain-Listen.
  20. Der Haken für Allow apps to connect automatically muss gesetzt werden.
  21. In der Auswahlliste Traffic Tunneling muss der Wert Application layer ausgewählt werden
  22. Über den Button Hinzufügen wird das neue VPN-Profil gespeichert.
  23. Das fertige VPN-Profil sollte dann wie folgt aussehen

Apple indigo hat BSI-Zulassung erhalten

Im Oktober 2022 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Sicherheitseigenschaften von Apple iOS und iPadOS bestätigt. Die Zertifizierung läuft unter dem Namen indigo (iOS native devices in government operation). Apple indigo ermöglicht die sichere und native Nutzung von iPhones und iPads im behördlichen Umfeld und ist für die Nutzung bis hin zur Klassifizierungsstufe “Verschlusssache – nur für den dienstlichen Gebrauch” (VS-NfD) zugelassen. Knapp 20 Monate nach der Pressemeldung des BSI hat Apple indigo am 18. Juni 2024 eine Zulassung erhalten. Damit hat Apple einen wichtigen Meilenstein für den Einsatz von iPhones und iPads in deutschen Bundesbehörden erreicht. 

Neben den erlaubten iPhone- bzw. iPad-Modellen und einer der zugelassenen VPN-Lösungen benötigt man für Apple indigo ein passendes Mobile Device Management (MDM). Das MDM kann entweder im Brightsite- oder Darksite-Modus betrieben werden. Aktuell gibt es noch kein für den sogenannten Brightsite-Einsatz zertifiziertes MDM. Es befinden sich zwei Anbieter im Zertifizierungsprozess. Diese MDM-Lösungen können vor Abschluss des Zertifizierungsprozesses zur Verwaltung der Apple indigo Endgeräte verwendet werden. Für das Darksite-Setup, das für indigo eher selten zum Einsatz kommt, wird keine BSI-Zertifizierung benötigt. Für die Brightsite-MDMs wird die Zertifizierung benötigt. Mit meinem Arbeitgeber sind wir im BSI-Zertifizierungsprozess für unsere MDM-Lösung BlackBerry UEM. Das Apple indigo Ökosystem kann um zugelassene Apps erweitert werden. Die Apps sind dann notwendig, wenn man Nutzungsszenarien hat, die nicht von den zugelassenen Apple Apps Kalender, Kontakte & Mail abgedeckt sind. Im Kontext von Apple indigo darf z.B. Safari nicht auf dienstliche Ressourcen zugreifen. Das macht den Einsatz von Drittanbieter-Webbrowsern notwendig. Zurzeit gibt es zwei zugelassene Webbrowser. Einer dieser Browser ist SecuFox von Secusmart.

Wer sich zum Thema Apple indigo und kompatiblem MDM austauschen möchte, kann mich gerne kontaktieren. Im Kontext von Apple indigo habe ich schon einige Proof of Concepts mit unserer Lösung zur Verwaltung mobiler Endgeräte, BlackBerry UEM, umgesetzt.