Tag: #iphone

iPhone 17 verfügbar

Meine Einschätzung war richtig. Es gab keinen Run auf die neuen iPhones und Amazon kann über Nacht liefern. Das “normale” iPhone 17 wäre meine erste Wahl. Es gibt Varianten mit 256 und 512 GB Speicher.

Die Alternative iPhone 16 ist heute zwar 190 Euro billiger, hat aber nur 128 GB. Ihm fehlen zwei wichtige Neuerungen: das bis zu 120 Hz getaktete Always-On-Display und die wesentlich verbesserte Selfie-Kamera. Zu wenig Speicher schadet der langfristigen Nützlichkeit. Ich gehe davon aus, dass man ein iPhone wenigstens fünf Jahre nutzen wird, bevor man dringend ein neues will.

Das dünne iPhone Air sieht zwar sexy aus, aber es hat Einschränkungen, die sich täglich bemerkbar machen: Kleiner Akku, keine Weitwinkelkamera, nur ein Mono-Speaker. Außerdem kostet es 250 Euro mehr. Ich halte das Air für einen notwendigen Zwischenschritt zu einem schlanken iFold. Apple muss diese Technik erst mal im großen Maßstab erproben.

Update: Mittlerweile haben sich doch zu viele für dieses Modell entschieden und die erste Palette ist weg. Nachschub kommt, wobei Amazon immer konservativ schätzt.

#reklame

Ein paar Gedanken zu iPhone 17 & Co

Foto Apple

Ich will ein bisschen helfen, die richtige Wahl zu treffen bei der Anschaffung eines neuen iPhone. Bei mir steht keine Anschaffung ins Haus, deshalb sind die Überlegungen eher theoretisch.

iPhone 17: Das ist ein gutes Gerät. Es hat (endlich) ein “Promotion”-Display, also einen Bildschirm, der mit unterschiedlichen Frequenzen neu geschrieben werden kann. 120 Hz, wenn Action auf dem Bildschirm ist, und gaaaaanz langsam, wenn es nur eine Uhr anzeigen muss. Das erlaubt ein Always-On-Display. Kann man nutzen, muss es aber nicht. Ebenfalls gut: Es geht bei 256 GB Speicher los. Weniger ist nicht so gut brauchbar.

Das dickste Upgrade ist aber die neue Selfiekamera mit quadratischem Sensor. Damit kannst du ein Gruppenselfie machen, wahlweise auch im Querformat, mit der Kamera oben und die Menschen gucken nicht so schräg zur Seite. Deshalb ein 17 und nicht das alte 16. Auch nicht für hundert Euro weniger.

Preis: 949 €, ganz schön happig, aber wer ein paar Wochen warten kann, der wird bei Amazon sparen können. Ich rechne nicht damit, dass es einen Run auf das Telefon gibt, auch wenn ich das für die beste Wahl halte.

iPhone 17 Pro: Wenn Geld keine Rolle spielt und das iPhone 350 Euro mehr kosten darf, dann ist das 17 Pro eine gute Wahl. (Vielleicht nicht in orange.) Ob du das Max-Modell haben willst, das weißt du selbst. Ich mag den Alu-Unibody, weil er robuster ist als eine reine Glasrückseite. Er wird Kratzer kriegen, aber die Rückseite ist einfach besser geschützt. Alle drei Kameras auf der Rückseite haben nun 48 Megapixel. Mit den “Vergrößerungen” 0,5 x, 1x und 4x. Wie kommt Apple auf 8 Objektive? Sie verkaufen Bildausschnitte als Brennweiten.

iPhone 17 Air: Wenn du das am Freitag bestellen willst, dann würde ich zur Vorsicht raten. Du solltest erst mal Hardcore Reviews abwarten, keine Hands-On oder Jubelinfluencer. Ja, das Ding ist dünn, aber nach dünn hat eigentlich keiner gefragt. Jeder wünscht sich eine bessere Batterielaufzeit und Apple macht den Akku kleiner. Nicht umsonst bietet Apple einen drahtlosen Zusatzakku an, der aus dem schlanken Air ein dickes Air++ macht.

Ich halte das Air für einen Probelauf für ein faltbares iPhone. Exakt so wie Samsung erst ein ganz dünnes Galaxy brachte und danach ein neues Galaxy Fold, das zusammengeklappt wie ein normales Galaxy wirkt. Ein “iPhone Fold” wird dann zwei Akkus haben und garantiert anders heißen.

Wichtige Zertifikate und Token für die Apple-Geräteverwaltung

Für die MDM-Verwaltung von Apple Endgeräten gibt es drei wichtige Token bzw. Zertifikate.

  1. Zertifikat für die Apple Push Notification Services (APNS)
  2. Volume Purchasing Program (VPP) Token
  3. Automated Device Enrollment (ADE) Token

Das APNS-Zertifikat ist das wichtigste Zertifikat. Ohne das APNS-Zertifikat kann der MDM-Server keine Push Nachrichten an die Endgeräte, z.B. einem iPhone oder iPad, schicken. Sehr vereinfacht ausgedrückt, funktioniert das mit dem APNS für die MDM-Kommunkiation so: Die Push Nachricht weckt den sogenannten MDM-Daemon am Endgerät auf. Der MDM-Daemon verbindet sich dann mit dem MDM-Server und ruft alle dort anstehenden Befehle ab. Sind keine Befehle mehr da, dann legt sich der MDM-Daemon wieder schlafen.
Um das APNS-Zertifikat zu erstellen, generiert man in seinem MDM-Server eine Zertifikatsanforderung. Diese Zertifikatsanforderung lädt man bei Apple unter https://identity.apple.com/pushcert. Dort muss man sich mit einem Apple Account anmelden um von Apple das Zertifikat erstellen zu lassen. Das Zertifikat muss dann in den MDM-Server hochgeladen werden. Sobald das erledigt ist, können am MDM-Server Apple-Endgeräte aktiviert und verwaltet werden.

Wichtig: Man muss das APNS-Zertifikat immer unter demselben Apple Account erstellen und erneuern. Nutzt man einen anderen Apple Account, dann verliert man damit die MDM-Kommunikation zu seinen Endgeräten.

Falls man den Apple Account, aus welchen Gründen auch immer, ändern möchte, dann muss man sich an den Apple Support wenden. Die können einem helfen das APNS-Zertifikat auf einen anderen Apple Account zu übertragen. Daher mein weiterer Tipp: nutzt für die APNS-Zertifikate einen generischen Apple Account, für den ihr im dienstlichen Passwortmanager die Zugangsdaten speichert.

Für die Verteilung von Apps und Büchern ist das VPP-Token relevant. Das VPP-Token wird im Apple Business Manager erstellt. Das VPP-Token ist eine Base64-codierte JSON-Datei. Das Token muss in den MDM-Server kopiert bzw. importiert werden. So kann man Apps und Bücher, die man voher im Apple Business Manager beschafft hat, an seine Nutzer verteilen. Wobei das Beschaffen sich nicht nur auf kostenpflichte Apps und Bücher bezieht, sondern man das auch für kostenfreie Apps und Bücher nutzen. Das ist dann z.B. relevant wenn man iPhones und iPads ausgibt, auf denen die Nutzer keinen Apple Account haben. Das VPP-Token erlaubt es Apps an ein Gerät zu lizenzieren und die Installation zu erlauben. Damit entfällt die Notwendigkeit eines Apple Accounts. Hat man mehrere MDM-Server im Einsatz, ist meine Empfehlung im Apple Business Manager (ABM) pro MDM-Server einen Standort zu erstellen. Pro Standort kann man im ABM ein VPP-Token herunterladen. So bleibt im Überblick auf welchem MDM-Server welche Apps in Verwendung sind.

Wichtig: Wird das Passwort für den Apple Account, mit dem das VPP-Token erstellt wurde, geändert, dann verliert das VPP-Token seine Gültigkeit.

Es reicht das VPP-Token im ABM erneut herunterzuladen und im MDM-Server zu aktualisieren. Dann können wieder Apps und Bücher verteilt werden.

Für die Geräteaktivierung, von Apple Automated Device Enrollment genannt, gibt es noch das sogenannte ADE-Token. Das ADE-Token ermöglicht eine Zero Touch Aktivierung der Apple-Endgeräte. Auch das ADE-Token wird im ABM erstellt. Um das ADE-Token zu bekommen, muss man zuvor im MDM-Server ein Schlüsselpaar generieren. Im MDM-Server lädt man den öffentlichen Schlüssel herunter. Diesen lädt man im ABM-Portal hoch und kann im Anschluss den Token herunterladen. Das Token muss im MDM-Server importiert werden. Im Anschluss muss im MDM-Server nur noch die Enrollment Configuration eingerichtet werden. Die Enrollment Configuration definiert unter anderem welche Bildschirme und Einstellungen bei der Aktivierung und Einrichtung des Endgerätes angezeigt werden. Damit Geräte über ADE aktiviert werden können, müssen sie dem MDM-Server zugewiesen werden. In die eigene ABM-Instanz werden neu gekaufte Geräte normalerweise vom Händler gepackt. Der braucht von euch nur eure Organisations-ID aus dem ABM. Hier habe ich beschrieben, wie man mit dem Apple Configurator Geräte manuell in den ABM aufnehmen kann.

Wichtig: Hat man das ADE-Token im MDM-Server schon eingebunden und lädt es im ABM nochmal herunter, dann verliert das schon im MDM-Server importierte ADE-Token seine Gültigkeit.

Das neue ADE-Token muss importiert werden, dann können wieder Endgeräte gegen diesen MDM-Server aktiviert werden. Falls ihr im ABM die automatische Gerätezuordnung zu einem MDM-Server konfiguriert habt und neue Geräte am MDM-Server nicht auftauchen, dann meldet euch im Apple Business Manager an. Eventuell hat Apple neue Terms and Conditions für den ABM veröffentlicht, die noch nicht akzeptiert wurden. Erst wenn die akzeptiert wurden, klappt es mit der automatischen Gerätezuweisung wieder.

Die oben genannten Zertifikate bzw. Token sind alle maximal ein Jahr gültig und müssen rechtzeitg erneuert werden. Wenn ihr die zeitige Erneuerung mal verpassen sollte, dann könnt ihr das auch ein paar Tage später nachholen. Ich habe die Beschreibung so generisch wie möglich gehalten, weil sich die Verwaltung der Tokens und Zertifikate je nach Hersteller der MDM-Lösung leicht unterscheiden kann. Grundsätzlich sind alle MDM-Hersteller auf die Anbindung der Tokens und Zertifikate angewiesen, damit eine reibungslose Integration in die Apple-Welt möglich ist.

Restoring an iPhone in recovery mode

Previously I explained how you could use an iPhone to add another iPhone or iPad to Apple Business Manager. There is another common task where you no longer need a Mac or PC: restoring iOS on an iPhone in recovery mode.

The process is very simple and only requires an iPhone or iPad running iOS 18.

  • Put the iPhone in recovery mode.
  • You will see a screen titled support.apple.com/iphone/restore showing a computer and USB cable.
  • While in this state, click the side button as fast as possible until the Apple logo appears and starts flashing. Release the button.
  • You will see an animation of two iPhones moving closer to each other. Your iPhone is now in the wireless restore mode.
  • On your other iPhone you will see a pop-up Restore Nearby iPhone
  • Click Continue.
  • Enter the six digit pairing code shown on the other iPhone. The pairing process will take a few moments to complete. The process will fail if your iPhone or iPad are connected to a Wi-fi network with a captive portal or where 802.1x authentication is required.
  • Select System Recovery and tap Continue.
  • Depending on your Internet bandwidth, the process can take time to complete. Be patient and make sure to connect both devices to a charger while the process is running.

So far, I have used this feature to restore an iPhone 16 and an iPad Pro 11″ M4. Apple states that this will work with an iPad mini with an A17 Pro CPU, too. I do not know if this works with older devices, e.g., iPhone 15. I am happy to test if someone sends me the older devices. Regardless, this feature can be particularly useful if you need to restore an iPhone and do not have access to a Mac or PC to complete the restore. Think of scenarios where you have users in a remote location, e.g., branch offices, with limited access to a Mac or PC. If you have successfully tested this process with older devices, I would appreciate your feedback in the comments.

Apple Intelligence per MDM deaktivieren

Apple hat heute iOS 18.4 veröffentlicht. Mit iOS 18.4 ist es nun ohne Umwege möglich Apple Intelligence in Deutschland zu nutzen. Nach einem Update auf iOS 18.4 wird der Nutzer aufgefordert Apple Intelligence einzurichten. Im Unternehmens- und Behördenumfeld wollt ihr Apple Intelligence gegebenenfalls deaktivieren. Dafür müssen die iPhones und iPads per MDM verwaltet sein. Dann könnt ihr den Geräten sogenannte SkipKeys mitgeben. Mit dem SkipKey Intelligence lässt sich die Aufforderung Apple Intelligence einzurichten ausblenden. Diese Aufforderung erscheint direkt nach dem iOS 18.4 installiert wurde und das iPhone oder iPad gebootet hat.

Im BlackBerry UEM müsst ihr dafür ein Custom Payload Profil erstellen. Dort fügt ihr den unten gezeigten XML-Text ein und weist es den Endgeräten bzw. Nutzern zu. Nach dem Update auf iOS 18.4 wird der Nutzer nicht mehr aufgefordert Apple Intelligence einzurichten.

<dict>
<key>SkipSetupItems</key>
<array>
<string>Intelligence</string>
</array>
<key>PayloadDisplayName</key>
<string>Post OS Update Skip Keys</string>
<key>PayloadIdentifier</key>
<string>com.example.mysetupassistantpayload</string>
<key>PayloadType</key>
<string>com.apple.SetupAssistant.managed</string>
<key>PayloadUUID</key>
<string>0dfccedc-e28f-4df5-bca7-a0807deab543</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>

In der IT Policy, auch bekannt als MDM Restrictions, solltet ihr noch folgende Einstellungen deaktivieren damit der Nutzer diese Apple Intelligence Funktionen nicht nutzen kann:

  • Allow Genmoji
  • Allow image playground
  • Allow image wand
  • Allow mail summary
  • Allow personalized handwriting results
  • Allow writing tools
  • Allow external intelligence integrations
  • Allow external intelligence integrations sign-in
  • Allowed external intelligence workspace IDs
  • Allow Mail smart replies
  • Allow Notes transcription
  • Allow Notes transcription summary
  • Allow Safari summary
  • Allow Visual Intelligence summary
  • Allow Apple Intelligence Report

Damit diese Richtlinien und der SkipKey greifen, müssen die iPhones und iPads supervised sein. Eine reine MDM-Aktivierung reicht nicht aus. Die genannten Einstellungen lassen sich auch in anderen MDM-Lösungen vornehmen. Eine direkte Übernahme des oben gezeigten XML-Beispiels wird in der Regel nicht möglich sein. Bei anderen MDM-Lösungen benötigt ihr eine vollständige .mobileconfig-Datei. Für Details müsst ihr in die Dokumentation eures MDM-Herstellers schauen.

Nutzen eure Anwender BlackBerry Dynamics, dann solltet ihr in der BlackBerry Dynamics Policy noch die Einstellung Allow Apple Intelligence in-app writing tools deaktivieren. Mehr muss man nicht tun um Apple Intelligence auf den verwalteten iPhones und iPads zu deaktivieren.

Und wie immer gilt mein Rat: testet eure Apps und Konfigurationen mit iOS 18.4 bevor ihre das Update für eure Nutzer erlaubt.

Opinion: e is for enterprise

Photo Apple

This week, Apple has launched the iPhone 16e. There are many commentators with a negative view on the iPhone 16e. Many of them called the iPhone 16e an inferior product and wrong product decision by Apple. I very much disagree with this view. I would like to explain why I disagree.

Who is going to buy the product? A person or an organization which wants to cheapest available iPhone. This will be a customer who does not care for the latest features or fancy colors. They have made the decision based on long term use and a proper support channel. This is especially true for large organizations which are frequently called enterprises. It is especially true for government organizations. These customers buy “fleet devices” by the thousands.

In this type of organisation, users will be issued their iPhone with a screen protector pre-installed, a case, and a USB charger. In some cases Bluetooth might be restricted. If they need a replacement for their accessories, they will call IT or get it from the vending machine. Therefore, there is not much upsell potential for Apple or any third-party accessories manufacturer. Even if these devices came with MagSafe and an UWB chip, it is unlikely that Apple or any other manufacturer would be able to sell any additional accessories to these user groups. So, no upsell on an AirTag or a MagSafe charger.

Enterprises need a device that can last them three to five years. This is a perfect fit for the iPhone 16e. Sure, there are organizations who are deploying iPhone 15 Pro or 16 Pro to their users. These are often VIP users, and the exception.

For the average office worker the iPhone 16e is perfect. The increased battery life is also important for these organisations, as some of them deploy their MDM solution in a darksite scenario where you need to use an Always On VPN or VPN On Demand. These VPN configuration can be very taxing on the battery life. Any increase in battery life is appreciated by these user groups.

Why not a cheaper Android? There are use cases in organisations where Android is the only choice. But often, at least in my experience, iPhones and iPads are much better to manage than most Android devices. The majority of my customers issues iPhones to their users. This is often driven by the fact that the TCO for any iPhone is much better than of most Android devices and the iPhones have a higher acceptance with the users. Even when given the choice between a comparably priced Android smartphone and an iPhone, e.g., iPhone 15 Pro and Samsung Galaxy S24, users tend to select the iPhone.

I am sure there are many enterprises and similar organizations out there which have delayed their smartphone device refresh because they were waiting for “the new iPhone SE”. That is why I think the e in iPhone 16e is for enterprise. If I would have the budget for a new test device, I would have pre-ordered an iPhone 16e.

#reklame

How to manually add an iPhone to Apple Business Manager

Apple allows you to fully automate the MDM enrollment process for most of their devices using Automated Device Enrollment (ADE). In combination with the MDM, ADE allows you to customise and automate the device activation process without the need for an administrator to ever touch the device. To use ADE with your MDM of choice, the devices have to be purchased through an authorized reseller. The reseller can then add the devices to your Apple Business Manager (ABM) instance. There you can then assign them to your MDM servers. For devices that you already own or which were not purchased through a reseller that can add the devices to your ABM instance, there is a manual way to add them. The manual approach requires the use of Apple Configurator – either on an iPhone or Mac. The following steps describe how you can add an iPhone to ABM using another iPhone. It works exaclty the same when you want to add an iPad. I find these steps much easier than using a Mac to add a device to Apple Business Manager.

What you need to prepare and have ready before you begin

Before you begin, make sure to install Apple Configurator on your iPhone and login with your ABM account. After the login you should be presented with the below view. Notice the view finder in the center of the screen. We will use this view finder later on to scan the enrollment code.

Preparing Apple Configurator

  • Tap on the cogwheel in the lower left corner
  • Make sure the “Share Wi-Fi” is selected
  • Make sure that “None” is selected under “MDM SERVER ASSIGNMENT”
    • We will assign the device to the correct MDM server instance later
  • Tap on “Done” in the top left corner

Adding the iPhone to Apple Business Manager

  • Now get the iPhone or iPad you want to add.
  • Turn on the iPhone and swipe up on the “Hello” Screen
  • You will be presented with the language selection screen
  • Continue the OOBE (out of the box experience) setup until you get to the Quick Start screen. There you will have to tap on Set Up Without Another Device
  • Continue with the OOBE setup until you get to the Choose a Wi-Fi Network screen
  • Now get the iPhone where you have previously installed Apple Configurator. When iPhone is in proximity, the screen on the device you want to add, should change to the below view.
  • Make sure to position the image in the frame of the Apple Configurator to initiate the enrollment process into Apple Business Manager
  • The enrollment process will beginn immediately
  • Leave the iPhone with Apple Configurator open, unlocked and next to the device you are adding. If you close Apple Configurator to soon, the enrollment process will fail and you will have to repeate the whole procedure.
  • When the enrollment process is finished, you will get the below screen showing that the iPhone was added to your ABM instance. Please tap on Erase iPhone to complete the enrollment to your ABM instance

You can now login to your ABM and assign the device to your MDM server instance.