Verhindern Sie, dass Endbenutzer Apps unter iOS kaufen

Wir möchten iPads innerhalb unserer Organisation bereitstellen. Wir möchten in der Lage sein, Apps für Benutzer zu installieren, was über die Verwaltung mobiler Geräte erfolgen kann. Wir möchten jedoch nicht, dass Benutzer Apps kaufen können, da diese Apps mit ihrem internen Einkaufskonto gekauft werden können. Auf diese Weise gekaufte Apps sollten das Unternehmen nicht verlassen dürfen. Ein Benutzer kann jedoch eine App über sein persönliches Apple-Konto erwerben und sie auf seinen anderen Geräten verwenden, obwohl er sie mit seinem organisatorischen Einkaufskonto gekauft hat.

Ich kann weder durch lokale Einschränkungen noch durch die Verwaltung mobiler Geräte eine Möglichkeit finden, den Kauf von Apps auf einem iOS-Gerät zu verbieten. Ich kann nur scheinen:

• Beschränken Sie die Installation ALLER Apps (inakzeptabel, da wir dann keine Apps auf Geräte übertragen können).
• Einrichten eines organisatorischen iCloud-Kontos auf allen Geräten und Einschränken der lokalen Änderung der Kontoeinstellungen (nicht akzeptabel, da das Kennwort eingegeben werden muss, um MDM-Push-App-Installationen zu akzeptieren)

Gibt es eine Möglichkeit, nur App-Käufe zu blockieren? Gibt es eine MDM-Suite, die diese Funktionalität bietet?

Der Weg dazu besteht darin, eine Reihe von AppleIDs ohne Kreditkarte zu generieren, auf die die Endbenutzer keinen Zugriff haben, und die Profile mithilfe eines MDM (und möglicherweise eines Konfigurators) auf die Geräte zu übertragen. Solange der Endbenutzer das Kennwort für die AppleID nicht kennt, kann er überhaupt nicht auf den App Store zugreifen und Apps, die für diese ID autorisiert sind, werden nicht an anderer Stelle ausgeführt.

DANN müssen Sie verhindern, dass der Benutzer dieses Profil ändert / löscht, das ist eigentlich der schwierige Teil. Das IOS MDM-Framework von Apple unterstützt Kennwortsperren usw. für Profile, aber nicht alle MDMs machen dies offensichtlich (oder möglich). Sie können dies mit dem überwachten Konfigurator tun, müssen dann aber mit jedem Gerät arbeiten.

Hier ist eine etwas veraltete Liste von MDM-Anbietern. Dies könnte ein guter Anfang sein.

Hier ist ein Link zum Generieren von AppleIDs in großen Mengen:

http://www.enterpriseios.com/wiki/Batch_Apple_ID_Creator

Wenn Sie eine BYOD-Konfiguration ausführen (im Gegensatz zur Bereitstellung der Geräte), ist dies meiner Meinung nach etwas schwieriger, aber nicht unmöglich (einige MDMs unterstützen Richtlinienagenten auf dem Gerät).

Hier ist ein Link zu den in einem Profil verfügbaren Parametern (Apple Developer-Registrierung erforderlich). Dies sollte eine Vorstellung davon geben, was möglich ist: https://developer.apple.com/library/ios/featuredarticles/iPhoneConfigurationProfileRef/Introduction/Introduction.html

Ich habe kein Apple Developer Enterprise-Konto, daher habe ich keinen Zugriff auf die vollständige MDM-API-Dokumentation.

Derzeit gibt es in iOS keine Schnittstelle, um es so zu blockieren, wie Sie es möchten.

Apple stellt den Endbenutzer an die erste Stelle. Die Endbenutzererfahrung ist für sie wichtiger als die Kontrolle für Administratoren. Wenn Sie MDM mit iOS verwenden, kann der Endbenutzer jederzeit entscheiden, dass er keine Geräteverwaltung benötigt, Ihre Profile entfernen und alles installieren, was er möchte.

Ich denke, diese Aussage ist falsch und der einzige Weg:

Beschränken Sie die Installation ALLER Apps (inakzeptabel, da wir dann keine Apps auf Geräte übertragen können).

Verwenden Sie den "Enterprise Appstore", über den einige MDM-Lösungen verfügen.

Das heißt, wenn Sie wirklich eine Einschränkung vornehmen möchten. Weil das sowieso nicht viel Sinn macht, da Benutzer sowieso machen können, was sie wollen.

Die einzige Möglichkeit, mit iOS-Geräten wirklich zu funktionieren, sind Richtlinien. Richtlinien, die nicht auf Software basieren. Sie können dies "überwachen", indem Sie Auslöser in Ihrem MDM-Dienst einrichten (sofern Ihr MDM-Dienst dies unterstützt) und einen Auslöser für Apps festlegen, die nicht zulässig sind und auf dem nicht konformen Gerät eine Aktion ausführen. Senden Sie beispielsweise eine Warnung und löschen Sie gegebenenfalls die Unternehmens-E-Mail, das WLAN und andere Einstellungen, die erforderlich sind, um sie für den Zweck zu verwenden, für den sie bestimmt ist. Oder wischen Sie das Gerät ab, sie kommen in kürzester Zeit zu Ihrem Support-Desk.

Vergessen Sie nicht, einen Fehlerbericht bei Apple einzureichen. Vielleicht werden sie eines Tages zustimmen, dass dies ein Fehler von ihrer Seite ist, keine Funktion.

Wenden Sie sich an APPLE, um ein Unternehmenskonto einzurichten. Erlaube KEIN Geld für den Kauf von Apps. Jeder, der eine legitime App für sein Geschäftskonto erwerben muss, sollte dies extern oder auf einem IPad im Besitz der Personalabteilung tun. Dieser Kauf kann über normale Erstattungsverfahren abgewickelt werden. Anschließend kann die App auf das offizielle iPad der Firma übertragen werden.

Um Probleme von Benutzern zu beheben, die nicht genehmigte Apps auf ihren iPads haben: VERHINDERN SIE NICHT: PRÜFEN. Erwähnen Sie, dass es regelmäßige, unangekündigte Inspektionen von Unternehmens-iPads geben wird, um nach der Installation nicht genehmigter Apps zu suchen. Genau wie bei Laptops, auf denen Benutzer ihre eigene Software installieren, müssen Sie sich keine Sorgen machen, dies zu verhindern. Dies ist angesichts der Umgehungen, die Benutzer ausführen können, erfolglos. Drohen Sie stattdessen Inspektionen und führen Sie gelegentlich Inspektionen durch, um die Angst vor Gott in die Nutzerbasis zu bringen.