Mit der Einführung von "Managed Apps", "Managed Accounts" und "Managed Open-In" mit iOS 5 hat Apple eine Möglichkeit geschaffen, Unternehmensdaten auf Telefonen von privaten Daten zu logisch und transparent zu trennen. Die Trennung erfolgt auf Datenebene und ist für den Nutzer nicht ersichtlich. In der Folge werden werden private und dienstliche Daten in den gleichen Apps dargestellt - bspw. private und dienstliche Termine in der gleichen "Calendar"-App.
Durch die optische Vermischung beider "Datentöpfe" stellen sich berechtigterweise Fragen nach der Vertraulichkeit der Unternehmensdaten. Der folgende Artikel klärt den Sachverhalt auf.
Was sind "Managed Accounts"?
"Managed Accounts" sind Accounts der folgenden Typen und werden immer vom Mobile Device Management System automatisch auf dem iOS-Device konfiguriert:
- Kontakte
- Kalender
- Exchange ActiveSync (EAS)
- Google Account
- LDAP
- Mail (POP3, IMAP, SMTP)
- VPN
Diese Accounts werden somit vom Unternehmen "gemanaged" und gehören daher zu den "Managed Accounts". Insbesondere bei Einbindung von Exchange ActiveSync (EAS) Konten, werden die Daten (Termine, Kontakte, Mails) in den eingebauten Apple-Apps dargestellt.
Was passiert bei gleichzeitiger Nutzung von "Managed Accounts" und persönlichen Konten?
Die Daten der verschiedenen Konten werden in den gleichen Apple eigenen Apps (Kalender, Telefon-App für Kontakte und Mail) angezeigt. Das bedeutet, dass bspw. dienstliche und private Termine im gleichen Kalender dargestellt werden. Zu unterscheiden ist jedoch die Datenspeicherung: die Daten werden in der selben Ansicht dargestellt, jedoch strikt logisch auf dem Gerät getrennt. Es erfolgt somit eine Vermischung der Daten nur in der Anzeige auf dem Display.
Was sind die Voraussetzungen für die Nutzung von "Managed Accounts"?
Die folgenden Voraussetzungen müssen erfüllt sein, um "Managed Accounts" anlegen zu können:
- ein Konto vom obigen Typ (bspw. Exchange ActiveSync EAS) muss entweder per Mobile Device Management System oder Apple Configurator 2 auf das Gerät per Profil gespielt werden (manuell auf dem Gerät angelegte Konten sind automatisch unmanaged!)
- der Datenaustausch zwischen "Managed" und "Unmanaged" muss per Konfiguration über das Mobile Device Management System oder den Apple Configurator 2 unterbunden werden (Konfigurationsoption: "allowOpenFromManagedToUnmanaged" muss auf "false" gesetzt werden)
- Eventuell sind weitere Konfiguration nach Bedarf zu setzen (bspw. "PreventMove" für Email um zu verhindern, dass Emails zwischen "Managed" und "Unmanaged" Konten verschoben werden)
Die somit umgesetzte Konfiguration definiert das Unternehmenskonto als "Managed Account" und unterbindet den Datenaustausch mit "Unmanaged" Konten oder Apps.
Haben Drittanbieter PIM-Apps (z. B. miCal, Calendars5) Zugriff auf die Daten des "Managed Accounts"?
Nein, so lange die Drittanbieter-Apps unter Nutzung des Mobile Device Management Systems nicht zu "Managed Apps" deklariert werden, bleibt Ihnen der Zugriff auf die Unternehmensdaten des "Managed Accounts" verwehrt.
Quellen:
