Private Apple-ID in verwaltete ID ändern

[GucciGünther]

Hallo zusammen,

wir werden bald neue iPhones bekommen (iPhone 12).
Derzeit haben wir das iPhone 7 im Einsatz und dort haben wir für jeden Mitarbeiter "private" Apple-IDs erstellt (mit der Firmen-Mail).

Nun würde ich aber gerne den Apple Business Manager nutzen und dort verwaltete IDs erstellen, damit wir das Passwort zurücksetzen können usw. Ich würde aber gerne die derzeitige Email bzw. die Apple-ID für die Mitarbeiter weiterhin verwenden und diese im Business Manager hinterlegen.
Ist das einfach so möglich und könnte es Probleme bzgl. iCloud-Backup usw. geben?

Viele Grüße
Gucci

 

[holdes]

Wollt ihr das wirklich so tun?

Bei uns hab ich das genau umgedreht gemacht:

Die Geräte sind im Business Manager an die Firma gekoppelt und die Apple IDs sind privat von den MA, hat den Vorteil, dass die MA so ihre eigenen Apps nutzen können ohne auf die Firmensachen schauen zu können (falls das bei euch so gewollt ist).

Meines Wissens nach werden nur Apple IDs als verwaltet betrachtet wenn du die Domain dort anlegst und jede neue ID die dann mit dieser Domain erstellt wird automatisch eine verwaltete wird. Ob sich dann direkt auch bereits bestehende IDs in solche verwandeln und was mit deren iCloud Dingen passiert kann ich dir aber nicht beantworten, in dem Fall würde ich mal die Apple Hotline bemühen.

 

[konkretor]

Leg dir nen MDM zu, dann kannst du Apps im Business Manager kaufen und auf die Geräte ausrollen ohne Apple ID.

Die Mitarbeiter können sich mit ihrer Apple ID anmelden für den Privaten kram

 

[GucciGünther]

Kann ich denn dann auch die AppleID Sperre von den Geräten entfernen wenn ich diese nur über das MDM registriere? Ich hatte vor als MDM intune zu nutzen

 

[holdes]

Die Geräte gehören dann der Firma bzw. dem Verwalter. Du kannst sie über das MDM löschen und die Sperre greift dann nicht. Man könnte auch verbieten dass überhaupt eine iCloud Sperre gesetzt ist. Bei Apple gibts im Netz ne Doku was man alles einstellen kann oder du hast sowieso einen Mac/MacBook parat (brauchst du afaik eh wegen dem Apple Configurator 2 um bereits angeschaffte Geräte mit dem Business Manager zu verheiraten) und schaust mal nach was man so in den Profilen konfigurieren kann.

Tipp: schau dir mal „Relution“ zwecks MDM Lösung an .

 

[GucciGünther]

Ich hab mir jetzt folgendes überlegt:
Mac mini kaufen
iPhones per Apple Configurator 2 in ABM integrieren
Im ABM einen VPP Token erstellen und bei Intune einspielen
Im Intune Profile erstellen und entsprechend verteilen indem man sich in die Unternehmensportal-App einloggt die bereits durch eine Richtlinie auf die Geräte installiert wurde

So wie ich mich jetzt eingelesen habe brauchen wir dann entsprechend keine verwaltete Apple ID und die Mitarbeiter können quasi die jetzige nicht verwaltete ID benutzen um Apps zu kaufen etc. oder ich verteile diese über das VPP vom ABM.

Habe ich etwas vergessen oder nicht bedacht?

 

[holdes]

So in etwa kommt das hin. Allerdings wirst du die Profile sicherlich nicht von Hand auf die Geräte bringen müssen. Ich weiß jetzt nicht wie das bei Intune läuft aber da gibts ja sicher nen Handbuch.

Bei mir sieht der Workflow neuer Geräte dann so aus:

-iPhone/iPad auspacken, anschalten, mit Configurator2 in den ABM bringen
-im ABM einloggen und dort in der Gerätezuweisung das neue iPad/iPhone zu meinem MDM Server zuweisen
-in meiner MDM Lösung einloggen und Geräte synchronisieren
-Den neuen Gerät Namen/User/Richtlinie zuordnen
-iPhone/iPad Updaten/Zurücksetzen und 30 Tage liegen lassen (aufpassen!)
-iPad/iPhone einpacken und MA in die Hand drücken, ab jetzt kann er nichts mehr tun was er nicht darf. Er kann es weitestgehend wie ein Privatgerät nutzen nur mit Firmenapps/Inhalten je nachdem was er für eine Arbeitsstelle hat mehr oder weniger.


Du siehst die 30 Tage Wartezeit? Sollte man sich gut überlegen aber neu hinzugefügte Geräte (nur beim hinzufügen mit dem Configurator2) können beim einrichten vom MDM Server getrennt werden. Hier gibt es beim Ersteinrichtungsmenü einen dann einen Button „entfernte Verwaltung verlassen“. Der verschwindet nach 30 Tagen Mitgliedschaft im MDM aber von allein, selbst wenn der MA das Gerät löscht, kann es außer dir niemand mehr vom MDM trennen.

Ich hoffe das war nicht zu verwirrend. Kauft man die iPhones/iPads übrigens bei Apple oder einem autorisierten Händler und gibt dessen Verkäufer ID im ABM an, so sind die iPhones/iPads bei Kauf direkt mit dem MDM verbunden und trotzdem noch eingeschweißt. Ist charmant, weil man dem MA dann zum einen ungeöffnete Verpackugen in die Hand drückt und zum anderen fallen die ersten Schritte mit dem Configurator2 weg.

Den VPP Token generiert man und uploaded den entsprechend in seine MDM Lösung. Man kann dann auch alle Apps sehen, für welche man im ABM Lizenzen gekauft hat und auf Geräte verteilen. Das ist aber eigentlich nur bei Apps interessant die Geld kosten, kostenlose Apps kann ich im MDM auch so den User/Gruppen/Geräten zuweisen und sie laden das entsprechend automatisch aus dem AppStore. Ich kann dir auch nur abraten im ABM kostenlose App/Lizenzen für 0€ zu kaufen weil es zum einen nicht notwendig ist und zum anderen deinen ABM vollmüllt und nur ein Apple Mitarbeiter dort deine 0€ Lizenzen löschen kann, das wird schnell unübersichtlich .

 

[GucciGünther]

Genauso wie du das geschrieben hast, habe ich mir das Ganze vorgestellt.
Vielen Dank für deine Unterstützung

Wenn ich's nicht vergesse berichte ich hier ob es gut läuft oder auch nicht

Das mit den 30 Tagen warten ist tatsächlich etwas unglücklich. Ich weiß nicht ob unser Anbieter ein autorisierter Händler ist, frage ich am besten noch einmal nach.

Die User können Apps aber weiterhin eigenständig auf die Geräte laden und ich kann zusätzlich über die Verwaltung des ABM ebenfalls Apps draufspielen, korrekt? Solange die User ihre eigene Apple-ID benutzen (bzw. die die wir für sie erstellt haben mit der Firmen-Mail, aber nicht verwaltet sind) und keine verwaltete von uns.

 

[holdes]

So ist es. Der Vorteil liegt eben darin, dass alles was du administrativ auf die Geräte aufspielst von den privat installierten Apps nicht gesehen werden kann (sofern man es so einstellt) und damit sogar die DSGVO wahren kann (bzw. allgemein keinen Datenverlust).

Bei den Händlern gibt es nicht viele die eine Apple Business ID haben, da muss man auch etwas Gück haben den richtigen zu erwischen. Wer definitiv welche hat ist unter anderem Bechtle, Notebooksbilliger, Cyberport und Gravis.

Ich hab dir hier mal einen Teilscreenshot aus meinem MDM gemacht, so sieht die Option dafür aus:

Einfaches Beispiel:
Die MA können sich sogar WhatsApp ("nicht verwaltete App") installieren aber WhatsApp sieht die Kontakte ("verwaltete Dokumente") nicht welche ich per MDM als Adressbuch auf die Geräte ausrolle, auch wenn der User WhatsApp alle Rechte gibt.

Ich habe im Gegenzug auch iPads im Umlauf welche gar keinen AppStore haben, da diese Geräte quasi rumgereicht werden und keiner Person fest zugeordnet sind. Dort gibt es auch keine iCloud Anmeldung für die User. Trotzdem kann ich per MDM Apps aus dem Store drauf installieren, da Apple diese Apps dann dem Gerät und nicht der AppleID zuweist.

Für Mail gibt es im speziellen noch ein paar zusätzliche Einstellungen. Dort geht es auch granularer und man kann z.B. einstellen, dass dein Firmen-Mailaccount in einer selbst installierten App bei Aktionen wie "senden per Mail" nicht zur Verfügung steht.