Administratoren haben die Möglichkeit, den Überwachungsmodus für Geräte zu aktivieren, die über Apple Configurator registriert wurden. Hierdurch werden zusätzliche optimierte Sicherheitsfunktionen aktiviert. Bei diesem Modus werden jedoch verschiedene Beschränkungen auf dem Gerät eingeführt.

Vorteile

Nachdem ein Gerät überwacht und bei Workspace ONE UEM registriert wurde, besitzt der Administrator folgende optimierte Funktionen, die im Vergleich zu normalen Geräten zur Konfiguration zur Verfügung stehen.

  • Erhöhte Berechtigungen über MDM
    • Hindern Sie Benutzer an der Entfernung von Anwendungen. Die Entfernung von Anwendungen kann durch Restriktionen unter „Systemkonfiguration“ auch lokal auf dem Gerät beschränkt werden.
    • Verhindern Sie die Verwendung von AirDrop.
    • Hindern Sie Benutzer an der Änderung von iCloud- und E-Mail-Kontoeinstellungen, die Kontoänderungen verbieten.
    • Deaktivieren Sie iMessage.
    • Legen Sie Restriktionen für iBookstore-Inhaltsbewertungen fest.
    • Game Center und iBookstore deaktivieren
  • Erhöhte Sicherheit
    • Endbenutzer daran hindern, auf Websites mit jugendfreien Inhalten in Safari aufzurufen
    • Beschränken, welche Geräte eine Verbindung zu festgelegten AirPlay-Zielen wie Apple TVs herstellen können
    • Installation von Zertifikaten oder nicht verwalteten Konfigurationsprofilen verhindern
    • Erzwingen, dass der gesamte Netzwerkdatenverkehr des Geräts über ein globales HTTP-Proxy erfolgt
  • Kiosk-Modus
    • Sperren Sie Geräte auf eine Anwendung mit Einzel-App-Modus und deaktivieren Sie die Schaltfläche „Startseite“.
  • Anpassen von Hintergründen und Texten auf dem Gerät
  • Aktivieren oder Aufheben der Aktivierungssperre

Beschränkungen

  • Der USB-Zugriff auf überwachte Geräte ist auf die Überwachung von Mac-Geräten beschränkt.
  • Daten können mit iTunes nicht auf das und vom Gerät kopiert werden, wenn das Apple Configurator-Identitätszertifikat nicht auf dem Gerät installiert ist.
    • Medien wie Fotos und Videos können nicht von dem Gerät auf einen PC oder Mac kopiert werden. Verwenden Sie VMware Content Locker für die Übertragung dieses Datentyps, um die Inhalte mit denen im Abschnitt „Private Dokumente“ des Benutzers zu synchronisieren. Alternativ können Daten mithilfe einer Dateifreigabeanwendung per WLAN/WWAN auf einen Server übertragen werden.
  • Im Überwachungsmodus wird der Zugriff auf geräteseitige Protokolle mittels iPhone Configuration Utility (IPCU) verhindert.
    • Durch diesen Modus wird die Fehlerbehebung von Anwendungs- oder Geräteproblemen erschwert. Der Grund für diese Schwierigkeit ist darauf zurückzuführen, dass die Protokolle nur von dem Gerät abgerufen werden können, wenn das Gerät mit dem überwachten Mac verbunden ist. Um einige dieser Probleme zu beheben, verwenden Sie das Workspace ONE SDK. Dieses dient zum Senden von Protokollen und Logistik von den Anwendungen an die UEM-Konsole.
  • Die Geräte können nicht einfach auf die Werkseinstellungen zurückgesetzt werden.
    • Sobald ein Gerät auf die Werkseinstellungen zurückgesetzt wurde, muss es wieder mit dem überwachten Mac verknüpft werden, um den Überwachungsmodus wiederherzustellen. Dieser Vorgang kann sich als problematisch erweisen, wenn sich der Mac nicht in der Nähe des Geräts befindet.

Bei der Entscheidung bezüglich der Aktivierung des Überwachungsmodus sollten Sie Folgendes berücksichtigen: Trotz der Aktivierung zusätzlicher Funktionen, die die Sicherheit auf dem Gerät erhöhen, müssen die USB-Beschränkungen berücksichtigt werden.

Die Nähe des Geräts zum überwachten Mac spielt eine wichtige Rolle bei den Entscheidungen. Da aufgrund der USB-Beschränkung der Zugriff auf geräteseitige Protokolle verwehrt wird, muss ein fehlerhaftes Gerät an das Lager zurückgesendet und das Staging zur Wiederherstellung des Funktionalität erneut durchgeführt werden.

Die Vorabentscheidung bezüglich der Überwachung ist wichtig, da der Vorgang zur Überwachung oder der Verzicht auf eine Überwachung die Lieferung des Geräts an einen IT-Standort oder ein Lager erfordert.