Zugriff auf managed und unmanaged Contacts in iOS 12 steuern

Apple hat mit der Freigabe von iOS 12 am 19. September 2018 wieder eine Reihe von Einstellungen in das Betriebssystem integriert, welche per Mobile Device Management (MDM) steuerbar sind und sich vorrangig an Unternehmensnutzer richtet. Wichtigste Neuerung ist die Steuerbarkeit des Zugriffes auf „managed“ und „unmanaged Contacts“ – eine Änderung, welche mit iOS 11.3 im Zuge der Inkraftsetzung der EU-DSGVO im März 2018 eingeführt wurde.

Hintergrund der Änderung

Die Unterscheidung zwischen „managed“ und „unmanaged“ bezog sich bis zur Freigabe mit iOS 12 im Wesentlichen auf Apps und Dokumente. Objekte konnten durch das Mobile Device Management System in eine der beiden Kategorien klassifiziert werden und der Datenaustausch zwischen beiden Welten limitiert werden.

Beispielhaft konnte eine im Unternehmen genutzte App als „managed“ klassifiziert werden und der Datenaustausch mit dem „unmanaged“-Bereich unterbunden werden. Im Ergebnis stand ein höheres Sicherheitsniveau, da es keine Vermischung zwischen privatem und beruflichen Bereich gab (der Spezialterminus für ein solches Konzept lautet DLP – Data Loss Prevention).

Mit der Veröffentlichung von iOS 11.3 im März wurde diese Trennung zusätzlich auf die Kontakte des Geräts erweitert. Hintergrund war die Einführung der EU-DSGVO. Die Folgen waren aus Sicht der (privaten) Nutzer gravierend: auf im „managed“-Bereich gespeichert und synchronisierte berufliche Kontakte, welche beispielsweise auf einem Microsoft Exchange Server gespeichert sind, konnte im „unmanaged“-Bereich nicht mehr zugegriffen werden. Prominentes Beispiel: WhatsApp.

Mit dem Ziel, das oben genannte Problem zu lösen, gab es nur zwei Ansätze:

  1. Es findet eines Deklaration von einer entsprechenden „unamanged“-App als „managed“-App statt
  2. Man lebt mit der Einschränkung

Offensichtlich waren die beiden oben genannten Lösungsalternativen nicht ausreichend, weshalb es nun neue Möglichkeiten gibt.

Neue Konfigurationsoptionen „allowManagedToWrite UnmanagedContacts“ und „allowUnmanagedToRead ManagedContacts“

Mit der Veröffentlichung von iOS 12 werden nun neue Konfigurationsoptionen aufgenommen, welche den Zugriff granularer steuern lassen.

allowManagedToWriteUnmanagedContacts
Optional. If set to true, managed apps can write contacts to unmanaged contacts accounts. Defaults to false.
if allowOpenFromManagedToUnmanaged is true, this restriction has no effect.
A payload that sets this to true must be installed via MDM.
Availability: Available only in iOS 12.0 and later.
allowUnmanagedToReadManagedContacts
Optional. If set to true, unmanaged apps can read from managed contacts accounts. Defaults to false. if allowOpenFromManagedToUnmanaged is true, this restriction has no effect.
A payload that sets this to true must be installed via MDM.
Availability: Available only in iOS 12.0 and later.

Quelle: https://developer.apple.com/enterprise/documentation/Configuration-Profile-Reference.pdf

Die Einstellung kann mit einem kompatiblen Mobile Device Management System auf die Geräte ausgerollt werden.

Vorteile der neuen Lösung

Es bietet sich somit nun die Möglichkeit, den Datenaustausch und Zugriff auf Kontakte zwischen „managed“ und „unmanaged“ etwas feingliedriger zu steuern. Gemäß dem obigen Beispiel wäre es also möglich, den Zugriff auf „managed“-Kontakte für „unmanaged“-Apps freizugeben und somit privat genutzten Apps, wie etwa WhatsApp, die Berechtigung einzuräumen.

Ob das dauerhaft im Einklang mit der EU-DSGVO ist, muss an anderer Stelle separat evaluiert werden.

Schreibe einen Kommentar