Apple-Benutzerregistrierung

Apple-Benutzerregistrierung ist ein Verwaltungsmodus für Privatgeräte von Benutzern, d. h. für BYOD-Szenarien (Bring Your Own Device).

Einschränkung Die Apple-Benutzerregistrierung erfordert iOS 13 (bzw. iPadOS 13) oder neuer.

Verwaltete Apple-ID

Die Benutzerregistrierung verwendet eine verwaltete Apple-ID, um eine Benutzeridentität auf dem Gerät einzurichten und sich bei Apple-Diensten wie iCloud anzumelden.

Verwaltete Apple-IDs gehören zu Ihrem Unternehmen und werden von Ihnen verwaltet. Für jeden Benutzer erstellen Sie in Apple Business Manager eine eindeutige verwaltete Apple-ID und ein Kennwort. Benutzer müssen die Anmeldeinformationen für die verwaltete Apple-ID eingeben, um ihr Gerät bei Sophos Mobile zu registrieren.

Anstatt verwaltete Apple-IDs manuell zu erstellen, können Sie in Apple Business Manager die Verbundauthentifizierung mit Microsoft Azure Active Directory (Azure AD) konfigurieren. Dann verwaltet Apple Business Manager die Erstellung verwalteter Apple-IDs und Benutzer melden sich mit E-Mail und Kennwort aus Azure AD an. Für Details siehe die Dokumentation zu Apple Business Manager.

Auf dem Gerät ist die verwaltete Apple-ID zusätzlich zur privaten Apple-ID des Benutzers vorhanden. Wenn Benutzer das Gerät bei Sophos Mobile deregistrieren, entfernt iOS die verwaltete Apple-ID vom Gerät.

Trennung von privaten und beruflichen Daten

Geräte im Modus Benutzerregistrierung besitzen ein verwaltetes APFS-Laufwerk (Apple File System) zum Speichern der beruflichen Daten. Dieses Laufwerk enthält Folgendes:

  • Verwaltete Apps und App-Daten
  • Einen verwalteten Schlüsselbund
  • Dokumente aus dem iCloud-Konto der verwalteten Apple-ID
  • Daten aus den Apps Mail, Kalender und Notizen für die verwaltete Apple-ID

Wenn Benutzer das Gerät bei Sophos Mobile deregistrieren, löscht iOS das verwaltete APFS-Laufwerk.

Verwaltungsfunktionen

Weil die Benutzer Eigentümer der Gerätes sind, stehen Ihnen nur eingeschränkte Funktionen zur Geräteverwaltung zur Verfügung.

Sie können nicht auf private Daten der Benutzer zugreifen. Sie können nur Inhalte auf dem verwalteten APFS-Laufwerk (Apps, Zertifikate, Richtlinien) verwalten und abfragen.

Sie können nicht auf Gerätekennungen wie UDID, IMEI oder MAC-Adresse zugreifen. Sophos Mobile identifiziert das Gerät anhand einer speziellen ID, die von iOS erstellt wird, wenn Benutzer das Gerät bei Sophos Mobile registrieren. Wenn Benutzer das Gerät deregistrieren und anschließend erneut registrieren, erhält das Gerät eine neue ID und Sophos Mobile behandelt es wie ein neues Gerät.

Weil Sophos Mobile nicht auf die MAC-Adresse zugreifen kann, steht Network Access Control (NAC) für Geräte mit Benutzerregistrierung nicht zur Verfügung.

Warnung Sie können zwar Regeln für das Gerätekennwort festlegen, aber Sie können das Kennwort nicht zurücksetzen, falls Benutzer es vergessen.

App-Management

Auf Geräten im Verwaltungsmodus Apple-Benutzerregistrierung können Sie nur Apps installieren, die Sie in Apple Business Manager erworben haben (vormals Apple-VPP-Apps).

Installieren Sie diese Apps entweder über Sophos Mobile oder weisen Sie sie der verwalteten Apple-ID zu, damit Benutzer sie aus dem App Store installieren können.

Jede App kann nur einmal auf einem Gerät installiert werden, entweder für die private Apple-ID (private App) oder für die verwaltete Apple-ID (verwaltete App). Es gelten folgende Regeln:

  • Sie können keine verwaltete App installieren, wenn Benutzer bereits die gleiche private App installiert haben.
  • Benutzer können eine verwaltete App deinstallieren; sie bleibt jedoch verwaltet, wenn Benutzer sie später erneut installieren.
  • Damit Benutzer eine private App installieren können, die Sie zuvor als verwaltete App installiert haben, müssen Sie die verwaltete App über Sophos Mobile deinstallieren oder die App-Lizenz von der verwalteten Apple-ID entfernen.
  • Die Apps Mail, Notizen und Kalender arbeiten kontenbasiert und können Daten sowohl für die verwaltete Apple-ID (auf dem verwalteten APFS-Laufwerk) als auch für die private Apple-ID (auf dem System-APFS-Laufwerk) speichern.