Apple’s nye “User Enrollment” er en spændende nyhed i iOS 13 for virksomhederne.
Med iOS 13, som Apple lancerede idag, imødekommer Apple langt om længe behovet for at adskille private data og firmadata. Derved imødekommer Apple organisationernes ønske om, at omfavne Bring-Your-Own-Device (BYOD) enheder, og derved også de enheder, som jeg tidligere har navngivet “Hybrid-enheder”.
En “Hybrid” enhed er den enhed, som firmaet udleverer eller betaler et tilskud til, og som medarbejderen må benytte privat. Som jeg har påpeget i tidligere blogindlæg, så er disse enheder problematiske, idet firmadata og private data blandes sammen for derefter give Facebook, Instagram og andre private apps adgang til firmadata. Disse enheder indeholder også medarbejderne private data, som de ikke ønsker at dele med organisationen, for slet ikke at nævne at her kan let komme en konflikt med bl.a. GDPR ind i billedet.
I flere år har først Samsung (Knox) og senere Google (med Android for Work og nyeste Android Enterprise Work Profile) imødekommet behovet for at samle den private smartphone og den firmaudleverede enhed i een enhed. Eller netop at gøre det muligt at indarbejde BYOD-enheder i organisationen. Nu har Apple så langt om længe erkendt, at de også må imødekomme dette ønske (Og måske også fordi de så, at flere og flere virksomheder vendte sig mod Samsung og senest Android Enterprise!).
Apple udgav i dag d. 19. september den nyeste iOS version 13.0, som vil have flere enterprise fokuserede funktioner. Reelt så er det nye “User Enrollment” først sat til at blive frigivet i version 13.1, som skulle komme den 24. september i år, sammen med det nye iPadOS (Apple adskiller fremover OS’et til iPhones og iPads).
Men det skal ikke forhindre mig i allerede nu, at omtalte disse nye og stærkt efterspurgte funktioner, ikke mindst fordi jeg ved, at denne nyhed vil have stor indflydelse på mange virksomheders strategiske beslutninger omkring mobilitet fremover.
Fremover vil der være 3 enrollment metoder:
Apple beholder den klassiske enrollment metode, som vi kender idag, altså den manuelle proces. Denne proces benævnes “Device Enrollment“.
DEP (Device Enrollment Program) lukker ned, som vi kender det pr. 1. december ’19 og kommer i en ny form og med lidt andre muligheder, under begrebet “Automated Device Enrollment“, forkortet ADE, som administreres fra organisationens Apple Business Manager-portal (eller Apple School Manager-portal). (læs mere her i mit indlæg om ADE)
Og så den nye metode: User Enrollment, som jeg vil forklare nærmere herunder.
Vi vil se de 3 forskellige enrollment processer i brug i de fleste organisationer fremover, da de imødekommer forskellige behov, både fra organisationen, men også fra brugerne.
“Containerisering af virksomheds data”
Det nye “Enterprise” i iOS 13.1 er, at Apple nu gør det muligt, at adskille organisationens/virksomhedens data og brugerens private data.
User Enrollment er den metode, hvormed Apple påtænker at omfavne BYOD enheder og derved også imødekomme slutbrugernes bekymring omkring deres personlige data.
Men User Enrollment kan også være den metode, hvorved mange organisationer sikrer, at de bliver bl.a. GDPR compliant på fx. Hybrid-enhederne, altså opnår en bedre adskillelse af private data fra organisationens data end vi hidtil har haft på iOS enheder.
Dette betyder, at der oprettes et separat (APFS-) område på enheden i forbindelse med “User Enrollment”-processen. Dette område vil være krypteret separat i forhold til det private område. Alle vedhæftede filer, mailtekst, kalender vedhæftninger vil blive gemt i denne container, som administreres af organisationens MDM løsning.
Der skulle også komme en Enterprise Keychain, som ligeledes gemmer data i denne krypterede container.
Er enheden indrullet vha. User Enrollment, så imødekommes rigtig mange private brugeres bekymringer over de muligheder, som organisationerne tidligere har haft over deres enheder (private del af enheden). Jeg har herunder listet de væsentligste punkter:
- MDM løsningen
- vil heller ikke længere kunne overtage private apps, som organisationen også benytter.
- vil ikke kunne påføre “supervised” funktionerne ud på disse enheder.
- vil ikke kunne låse en pinkode op
- vil ikke kunne se UDID’et, serienummeret eller IMEI nummeret på enheden.
- vil dog kunne opsætte per-app VPN til apps, mails, kontakter og kalender, som er udrullet vha. MDM løsningen
- vil ikke kunne administrere telefon/dataforbruget, herunder roaming restriktioner (men dette sker idag oftest i aftalerne med teleoperatørerne).
- vil ikke kunne forhindre brugen af iCloud, opsætte VPN eller Wi-Fi-proxy.
- vil ikke kunne slette (“wipe”) hele enheden længere.
- vil stadigvæk bla. kunne definere “open in”
User Enrollment forudsætter et Managed Apple ID til disse BYOD (og Hybrid) brugere i Apple Business Manager eller Apple School Manager.
Hvis brugeren af enheden har oprettet et Apple ID og til dette har benyttet deres arbejds email adresse, så har Apple gjort det muligt for organisationen at overtage denne konto.
Uddannelsesområdet har kunne benytte Microsoft Azure Active Directory i forbindelse med authentikering og indrulningen. Det skulle være lige på trapperne for Apple Business Manager, og vil være naturligt, da mange organisationer bruger Office 365 i dag.
Den nye proces skulle være endnu mere simpel for brugeren end den vi kender fra DEP.
Bemærk at User Enrollment også kommer til den kommende macOS version Catalina, hvilket giver helt nye muligheder for organisationerne til at håndtere BYOD-Macs ind i organisationen.
Vigtigt at notere sig:
Organisationerne vil ikke kunne migrere en enhed over i User Enrollment. Det kommer til at kræve en helt ny enrollment af enheden. Og i sagens natur kan enheden naturligvis ikke være DEP’et.
Organisationens Managed Apple ID skal kobles til brugerens firma email adresse og en nødvendighed for at kunne benytte User Enrollment. Aktuelt fungerer User Enrollment kun med Azure AD, og synkroniseringen imellem Azure og Apple Business Manager (ABM) betyder, at Apple kan identificerer brugerne med deres Apple ID samt authentikerer dem mod Azure AD’et.
Men bruger organisationen IKKE Azure AD, så vil organisationen p.t. være nødsaget til – manuelt – at oprettet brugerne i ABM. Dette kan let blive en ganske uoverskuelig og stor opgave. Apple vil nok komme med andre alternativer her i den kommende tid.
At User Enrollment ikke kan overtage de apps, som brugeren allerede har installeret på enheden betyder, at såfremt brugeren allerede har haft enheden indrullet i organisationens MDM løsning via en MDM agent (App) på enheden, så vil en User enrollet enhed ikke kunne “overtage” denne MDM agent og benytte den til den videre enrollment. Her vil man fremover først skulle enrolle enheden igen via et link i Safari browseren. Dette skal organisationen lige have for øje.
Det er (stadigvæk) heller ikke muligt at have flere “containere” på enheden. En person kunne fx. være tilknyttet flere organisationer, fx, som bestyrelsesmedlem, lokalpolitiker, og kun have denne container lagt ned på sin enhed fra een organisation.
Apple giver endnu ikke mulighed for at lave et sikkert “område” for virksomheds relaterede apps i stil med Android Enterprises Work Profile. Derfor ser jeg stadigvæk behovet for at kunne administrere flere settings og restriktioner på selve enheden, som fx. benyttet af hjemmeplejen i mange danske kommuner. Måske skal vi ud i at organisationerne fremover vil definere flere enheder, som rene funktionsenheder, som derved ikke må benyttes privat.
Hertil kommer at der vil komme nogle konflikter med apps, som slutbrugeren benytter privat, og som organisationen også ønsker at rulle ud på enhederne. Jeg vil ikke kunne have en privat Word eller Evernote app på min enhed, idet disse ofte er apps, som min organisation ønsker at pushe ud på min enhed og beskytte.
Og jeg kan allerede se mange organisationer, som gerne ville have bedre hånd i hanke med de udleverede enheder. Blandt andet vil User Enrollment ikke kunne benytte “supervised funktionerne”, herunder muligheden for at unlocke et glemt password til slutbrugerens eget Apple-id, hvorved organisationen vil stå med en enhed, som ikke lige kan benyttes igen. Men igen: husk at User Enrollment skal benyttes på brugernes egne enheder, altså BYOD enheder).
I forhold til Persondataforordningen (GDPR):
User Enrollment imødekommer også en funktion i MDM-løsningerne, som jeg længe har efterlyst i forhold til GDPR. Hidtil har IT-afdelingen kunne se alle de private apps, som jeg har installeret på min enhed. Derved kan min organisation, kollega eller chef få en indsigt i mit privatliv (fx. dating apps (Scor, Tinder, Grinder), min ludomani (mine mange spil-apps, som fx. Tips, Bett24, osv), osv. Disse oplysninger skal min organisation ikke have og slet ikke kunne gemme.
Er enheden fremover enrollet med “User Enrollment”, så vil MDM løsningen ikke længere kunne se mine privat installerede apps, men kun de apps, der er udrullet af organisationen via MDM løsningen.
Det bliver interesant at se hvordan MDM løsningerne vil kunne administrere dette i deres visninger af de enrollede enheder.
Andre enterprise nyheder i iOS 13:
Ser vi lige bort fra User Enrollment og mere på de andre ny enterprise funktioner, så vil jeg lige nævne et par stykker:
- Flere af de restriktioner, som man tidligere kunne påføre en iOS enhed vha. MDM løsningerne, vil fremover kun være muligt, såfremt enheden er “Supervised” (dvs. enrollet fx igennem ADE – Automated Device Enrollment (tidl. DEP): app removal, FaceTime, Safari, Siri, m.fl.
- Og der er bl.a. følgende nye muligheder med supervised enheder: administration af “Find My Devices, Find my friends, Wi-Fi settings, m.fl.
- Single Sign On mulighederne udvides.
- Der kommer en Enterprise iCloud Drive-løsning, der betyder at virksomhederne nu kan sikre, at virksomhedsrelateret data bliver gemt i en separat iCloud løsning.
- Der kommer også en “Enterprise Notes” løsning.
- Med adskillelsen af OS’et til iPhone og iPad og derved den nye iPadOS-version, så vil nogle organisationer skulle ændre på deres MDM løsninger til at håndtere de nye iPad muligheder i separate profiler.
Og så forlyder det, at vi vil kunne tilslutte en mus fremover til både vores iPhone og vores iPad.
Hvilke MDM leverandør understøtter User Enrollment?
Man skal have en MDM* løsning, der supporterer User Enrollment. Det er alene MDM løsningen, der administrere dette. Organisationer, der endnu ikke har anskaffet sig en MDM løsning, og som ønsker at have styr på data sikkerheden samt deres udleverede enheder, må i byen for at anskaffe sig en MDM løsning snarest.
Markedet førende MDM løsninger: Microsoft Intune, VMwares WorkSpaceOne, Sophos Mobile, SOTI, MobileIron, m.fl. har p.t. travlt med at understøtte de nye funktioner i iOS 13 og iPadOS, set ud fra den klassiske device management vinkel. Vi skal ikke se fuld understøttelse af User Enrollment fra day-one, fornemmer jeg.
Det er ikke sikkert, at blot fordi at en MDM leverandør udtaler, at de understøtter iOS 13 (og 13.1), at de så har indarbejdet alle de nye funktioner på udgivelses dagen! Vi har tidligere set, at der godt kan gå flere uger, om ikke flere måneder, inden nye funktioner er understøttet. Og bemærk, at det stadigvæk ikke betyder, at ALLE nye funktioner er understøttet. Afklar dette med din MDM leverandør
Jeg forventer at der kommer en del officielle udmeldinger fra MDM/EMM/UEM producenterne omkring lanceringen af iOS 13.1 her om en lille uges tid.
Min mening:
User Enrollment er tænkt fra Apples side til brug for BYOD-enheder og ikke “hybrid”-enhederne, altså de enheder, som virksomheden udleverer og som brugeren må benytte privat! Dette skal vi lige have for øje.
Her er tale om et stærkt tiltag fra Apples side, og godt at se at Apple nu går aktivt ind i de udfordringer, som mange har påpeget i flere år.
Det er min klare fornemmelse, at den nye “User Enrollment” vil betyde, at væsentlig flere Hybrid-enheder og BYOD enheder vil blive indrullet med denne metode fremover.
Dette vil løfte sikkerheden, men også betyde en øget effektivitet, idet brugerne nu vil kunne samle den private enhed og firmaenheden i et.
Vi vil også se at flere vælger at benytte deres egen enhed fremfor den “billigere” model, som deres organisation har udleveret.
Hvis organisationen ikke har mulighed for at indrulle BYOD eller Hybrid enhederne vha. User Enrollment, så er løsningen stadigvæk enten 1) ikke at tillade BYOD iPhone- og iPad enheder ind i organisationen, eller 2) at benytte de containerløsninger, som mange MDM løsninger leverer, og som herved containeriserer organisationens data.
Det er stadigvæk afgørende for organisationerne at beskytte deres data, herunder at overholde gældende (data-)lovgivning, hvilket også omfatter GDPR. Organisationen skal sikre, at organisationens data ikke blandet med de private data og f.eks. deler organisationens kontakter, kalender oplysninger med andre apps (Læs her om “Appware”). Ligeledes at organisationens data ikke gemmes i brugerens private iCloud.
Jeg har endnu ikke set hvordan Apple vil håndtere administrationen af de mange billeder, som vi tager. I mange organisationer benyttes kameraet til dokumentation. Det kunne være en skolelærer, der modtager en mishandlet barn i skolen, og som skal dokumentere dette til den komme indberetning. Billeder af et whiteboard med sensitive organisations data. Ja, jeg har sågar set folk lige tage et billede af et pas, kørekort eller sygesikringskort. Disse billeder vil stadigvæk ligge blandet sammen med brugerens private billeder!
Disse nye enrollment muligheder og derved bedre sikkerhed at organisationens data vil måske også få den konsekvens at myndighederne vil skærpe kravene til, at organisationerne sikrer deres adgangen til deres data på de mobile enheder bedre end de gør i dag, altså implementere en strategi med brug af netop User Enrollment.
Der vil sikkert være en del børnesygdomme, work-arounds og problemer i begyndelsen. Nogle af disse har jeg allerede skitseret ovenfor. Men over tid forventer jeg, at Apple og MDM løsningerne vil løse disse.
Der er stadigvæk et stykke vej for Apple, at tilbyde den samme 2-enheder-i-en, som Google tilbyder med Android Enterprise Work Profile. Men når Apple nu med disse nye funktioner i iOS 13 og 13.1 melder sig ind i kampen, så regner jeg med at Apple også fortsætter henimod noget, der minder om Android Enterprise Work Profile, så vi får en klar adskillelse og derved en 2-ién-iPhone.
Jeg er ganske positiv!
*Og for god ordens skyld skal her lige korrigeres, at der reelt er tale om en EMM eller UEM løsning idag, men langt de fleste kalder det stadigvæk en MDM løsning. Læs om forskellen her.
Disclaimer: Jeg har endnu ikke haft mulighed for at teste ovenstående User Enrollment, herunder alle de nye funktioner på en enhed med en MDM løsning. Jeg må derfor nødvendigvis tage forbehold for, at jeg kan have misforstået en ting eller to i min sammenfatning af de mange kilder, som jeg benytter mig af.
Jeg håber, at du har lyst til at tilmelde dig mit ugentlige nyhedsbrev, der gerne skulle holde dig opdateret om hvad der sker indenfor Mobility området, herunder MDM. Klik her for at tilmelde dig.