viele iPad im Unternehmen / ein oder mehrere Accounts? wie Apps kaufen und verteilen?

[kalito]

Hallo Mit-Leser/-Schreiber!

Manch ein Chef ist tatsächlich vom iPad überzeugt und stellt sich natürlich die Frage, ob man so ein Gerät nicht für jeden Außendienstmitarbeiter einsetzen kann.

Viele Informationen habe ich schon gefunden. So z.B. zum Profile-Manager und dass vorraussichtlich ein "Mobile Device Manager" benötigt wird, wenn die Geräte von Ferne gesperrt werden sollen.

Aber:

Wie sieht es denn überhaupt mit der Aktivierung von >30 iPad aus? Muss jedes Gerät einzeln aktiviert werden?

Und mit welchem iTunes-Account? Nutzt man dann immer den Selben?

Wie kann ich denn eine Software dann mehrfach (also 30x) auf die Geräte verteilen? Für private Geräte hat man ja 5 mal die Möglichkeit, eine App zu verteilen, wenn auf jedem Gerät der Selbe Account aktiviert wurde. Aber in einem Unternehmen !?

Zwischen dem ganzen Markting-Zeugs von Apple und den "einfachen" Erklärungen fehlt mir irgendwo eine Seite, die beschreibt, wie man dabei vorgeht.

Vielleicht hat ja jemand einen Tip für mich, oder kennt sogar die Antwort auf die Fragen?

Vielen Dank

 

[maba_de]

hast Du mal hier nachgesehen:
http://www.apple.com/de/ipad/business/integration/

 

[kalito]

hast Du mal hier nachgesehen:
http://www.apple.com/de/ipad/business/integration/

Hallo

vielen Dank für den Hinweis, aber: ja, auch das hatte ich schon gesehen. Das sind eben die Marketing-Seiten, die mir so im Detail nicht weiterhelfen.

Vor allem, wenn man sich mal die "Erfahrungsberichte" anschaut, dann findet man beispielsweise bei dem vom Hyatt Hotel folgende Aussagen:

"Sobald die Geräte aktiviert sind, können Benutzer das Funktionsspektrum des iPad erweitern, indem sie spezielle Apps wie Keynote, Documents to Go und Dropbox aus dem App Store laden. Mit dem App Store und der iOS Plattform können sich Benutzer ihre eigenen Lösungen zusammenstellen und implementieren, ganz ohne IT-Unterstützung..."​

Und genau DAS soll nicht passieren. Die Anwendungen (also Apps) sollen zentral heruntergeladen und auf die Geräte verteilt werden. Der iTunes Store wird gesperrt, genau wie viele andere Dinge auch (iBooks, in-App-Käufe, ...), und die Einstellungen für Mail und Kontakte werden auch festgelegt. Dazu kommt noch, dass unternehmenseigene Apps verteilt werden sollen.

Wie gesagt: bin für jeden Tip dankbar.

 

[schatzfinder]

ihr könnt doch einfach genau das tun, was du da vor hast. was muss man denn da noch wissen?

 

[maba_de]

ich habe exakt zu diesem Thema einen Termin bei Apple in München.
Da geht es um Integration in Unternehmen, MDM Lösungen, Sicherheit etc..
Die bieten solche Termine regelmäßig an, man braucht halt eine Einladung (nach meinem Termin kann ich also mehr sagen ).
Alternativ kann man sich einen Apple Premium Partner suchen, auch hier gibt es
Anbieter, die solche Fragen klären können.

 

[BenWishh]

Das Problem haben wir im Unternehmen auch schon angesprochen.
Wir sehen da momentan nur zwei Möglichkeiten:
1. In den USA hat Apple ja mit Volumenlizenzen von Apps für Unternehmen gestartet --> Hoffen, dass dies bald auch nach DE kommt
2. Jeder MA muss sich seinen eigenen Account einrichten und seine Apps selber kaufen. Bei einer Begründung, dass die App primär dienstlich eingesetzt wird, könnte z.B. eine Abrechnung über das Unternehmen erfolgen (Gutschrift auf die Gehaltsabrechnung).

Wir werden es wahrscheinlich so machen. Mit iOS5 braucht man auch keine iTunes Aktivierung mehr, der User kann das Gerät sofort in die Hand bekommen, eventuell mit einem kleinen Handbuch, welches die ersten Schritte erklärt.

Natürlich kannst du über Profile auch einstellen, dass iBooks-Store, iTunes und der Appstore gesperrt werden. Dann bekommst du aber keine neuen Apps auf die Geräte. Da müsstest du bei der Einrichtung erst einmal jede App installieren, die Stores sperren und das Gerät dann dem MA aushändigen. Apps kommen nunmal NUR über den Appstore auf das Gerät. Ausnahme sind die inHouse-Verteilung von Unternehmen, die einen Enterprise-Developer Account haben. Die können auch Apps so verteilen, allerdings NUR ihre selbstgeschriebenen Applikationen.

Wir werden wohl eher den AppStore offen lassen und das Ganze mit einem Mobile Device Management überwachen. T-Mobile hat da ein spannendes Pilot-Projekt gestartet, womit man in Zukunft über eine SAS-Lösung für ca. 5€ / Monat / Gerät die Geräte mobil verwalten kann. Es kommt eine App auf das Gerät, welches bestimmte Software zum installieren vorschlägt (die dann aber trotzdem über den Appstore bezogen werden) und die Geräte können von der Ferne überwacht, administriert und gesperrt/gelöscht werden. Hierüber kannst du zum Beispiel dann auch abfangen, dass der User irgendwelche Software die du nicht möchtest installiert anhand von Black-/White-Listen. Haut sich der MA z.B. Facebook auf sein iPhone / iPad, so bekommt er eine Push-Nachricht oder eine eMail, dass er die Software bitte wieder löschen soll und wenn nicht, dann kannst du ihm das Gerät resetten. Das ist auch eine interessante Lösung, zumal es die Investitionskosten niedrig hält!

 

[BenWishh]

ich habe exakt zu diesem Thema einen Termin bei Apple in München.
Da geht es um Integration in Unternehmen, MDM Lösungen, Sicherheit etc..

Da wird dir Apple genau das erzählen, was auf ihren Internetseiten steht Schön iPhone-Konfigurationsprogramm nutzen und MDM beschränkt sich dann auf FindMyIphone von MobileMe

 

[kalito]

ihr könnt doch einfach genau das tun, was du da vor hast. was muss man denn da noch wissen?

kurz gesagt: wie?

Wie kann mit einem MDM (mobile device manager) ein Roll-Out von Apps stattfinden?
Was für einen iTunes-Account muss man haben, um mehr als 5 mal eine gekaufte App zu verteilen?

Wenn man eigene Unternehmens-Apps entwickelt, muss man sich als Entwickler im Apple Unternehmensprogramm registrieren. Wenn nun über den Profile-Manager iTunes auf den Geräten gesperrt wurde, wie erhalten die Geräte dann die Software?

Wie kann ich eine Black-/White-List für Apps einrichten, die der Anwender herunterladen darf?
Wie kann ich die Kommunikation bestimmter Anwendungen mit dem Internet verhindern? (z.B. Spiele erlauben, aber die dürfen dann nicht nach draußen kommunizieren - oder eben auch anderen Anwendungen)


Dem Hinweis von BenWishh gehe ich mal nach:

T-Mobile hat da ein spannendes Pilot-Projekt gestartet

Das scheint mir (zumindest) im Moment recht brauchbar zu sein.

Mal schauen, was sich Apple mal langsam für Unternehmen einfallen lässt.


Hat sich vielleicht schon mal jemand mit der Software "Tarmac" von Equinux auseinandergesetzt? Laut Webseite soll die Software viele Punkte können, die mir fehlen.

 

[jvc]

1. MDM App Rollout: Geht nicht. Applikationen müssen über iTunes gekauft und installiert werden

2. Account: Volumen Lizenzen gibt es derzeit nicht in DE. Jeder benötigt einen eigenen Account. Vorsicht: Apple weist auf den Rechnungen gekaufter Apps keine Mehrwertsteuer aus. Anerkennung vorher prüfen lassen. Firmen Accounts gibt es derzeit nicht. iTunes setzt eine natürliche Person voraus - http://carta.info/28290/apple-finanzministerium-moniert-mehrwertsteuerpraxis-des-itunes-store/

3. Eigene Apps: Werden auch über iTunes installiert - geht nicht ohne

4. Black-List: Geht nicht

5. Restrition: Bei WLAN über eine Firewall - über 3G: Keine Möglichkeit

6. Tarmac: Kann meiner Meinung nicht das, was Du brauchst. Kann auch keine Apps aus dem Store verteilen, sondern nur Eigenentwicklungen in iTunes bereitstellen - eher eine Softwareverteilung für iTunes.

jvc

PS: Warum willst Du die User entmündigen und so dermaßen beschneiden? Das ist heute nicht mehr angebracht. Wenn Du Sicherheitsbedenken hast, dann denke eher über eine Sandboxlösung nach

 

[kalito]

PS: Warum willst Du die User entmündigen und so dermaßen beschneiden? Das ist heute nicht mehr angebracht. Wenn Du Sicherheitsbedenken hast, dann denke eher über eine Sandboxlösung nach

Es handelt sich um ein Unternehmensnetz, mit Unternehmenshardware mit dem die Anwender auf Kundendaten zurückgreifen. Allein aus Datenschutzrechtlichen Gründen muss sichergestellt sein, dass nicht irgendeine App (z.B. Facebook) auf die Idee kommt, das Adressbuch (was von einem zentralen Server stammt) zu publizieren und zu prüfen, wie das persönliche Personen-Netzwerk aussieht.

Dazu kommt, dass die Geräte für die Personen gedacht sind, die ständig unterwegs sind - also typische Vertriebler. Diese treten also bei Kunden auf und erhalten vorgefertigtes Material zur Präsentation. Dort sollte also nicht das Gerät "unaufgeräumt" wirken und irgendwelche Spiele zeigen.

Im Moment geht für den Anfang die Neigung dazu, die Präsentationen als Webseiten aufzubereiten (HTML5 ohne Flash), 3G zu aktivieren und alle Möglichkeiten zu sperren. Wie es später mal sein wird, steht noch nicht fest. Erstmal abwarten, was iOS5 so bringt.

Aber danke für die Hinweise

 

[italien01234]

Lad dir das Iphone Konfigurationsprogramm von Apple runter (heißt nur so geht genauso mit iPad). Damit kann man Konfigurationsprofile erstellen. Die beinhalten das man z.B. keine Apps installieren kann, nicht synchronisieren kann, Automatisch VPN verbindungen aufbaut und so weiter. Nutzen wir hier auch. Nur du kannst dann mit Eingabe eines Passworts Apps hinzufügen oder entfernen. Allerdings für 30 iPads auf einmal eine App auszurollen ohne das du sie jedesmal in der Hand halten musst gibt es meines Wissens nach nicht. Solltest du was finden bitte ich um Info

Hier hab mal schnell den Link rausgekrammt http://support.apple.com/kb/DL926?viewlocale=de_DE

 

[jvc]

Mit dem Datenschutz etc. das habe ich mir schon gedacht. Daher nutzen wir eine Sandbox (z. B. Good). Auch Citrix kann eventuell helfen.

jvc

 

[Arakis]

Die "veraltete" IT-Administrations Denke (von Gedanken) funktioniert z.Z. mit dem iPad nicht. Also quasi viele Geräte und ein Image, mit entsprechend installierten Programmen und evtl. Beschränkungen.

Wie oben bereits erwähnt wurde, gibt es Unternehmensansätze für die App-Verteilung nur gegen entspr. Enterprise-Lizenz bzw. über Enterprise-Accounts (vorerst nur USA).

Bei uns hatten wir das Glück, das die wichtigen Datenbanken und Programme, fast alle vollständig über ein Webinterface angesprochen werden können, ohne das es dafür einer App bedarf. Lustigerweise musten wir jetzt aber unsere Programme so anpassen ,bzw. anpassen lassen, bzw. müssen jetzt in Zukunft darauf achten, das diese für z.B. eine Dokumentenvorschau kein Flash mehr benutzen darf. Ein Punkt, der vor ca. 1 Jahr bei unseren Überlegungen noch keine Rolle spielte, jetzt aber durch die massive Verbreitung des iPads unbedingt zu berücksichtigen ist.

 

[kalito]

Danke für den Hinweis auf das Apple Konfig.Prog. Das hatte ich mir auch schon angeschaut. Ist einfach, aber noch nicht ausreichend.

Ein "Roll-out" auf mehrere Geräte (am liebsten per "Remote") scheint im Moment keine Software zu bieten, so dass man alle Geräte immer "einsammeln" muss, oder (was vermieden werden soll) den Mitarbeitern den Hinweis (mail/sms) gibt, die Apps selber aus iTunes zu laden.

Einen Firmenaccount gibt es in DE im Moment auch nicht, so dass jedes Gerät für Einzelaccounts aktiviert werden muss (mit dem neuen iOS hoffentlich hinfällig).

Wenn man aus der Ferne die Geräte sperren oder löschen möchte kommt man um eine MDM Lösung nicht vorbei. Hier gibt es mehrere Anbieter (Liste sicherlich nicht vollständig):

- Equinux
- Holzapple
- Odyssey Software
- Airwatch
- jamf software
- funambol device management

Die derzeit beste Lösung wäre also, den Mitarbeitern das Gerät so in die Hand zu drücken, wie es aus der Verpackung kommt, das Gerät im Firmennetz verbieten und alle Anwendungen per Web und HTML5 anzubieten. - Das scheint wohl auch im Sinne der Apple-Strategie zu sein.

Das die alte Herangehensweise der IT Administration mit solchen Geräten wie dem iPad nicht mehr funktioniert, war ja bereits mit Einführung der Apps klar. Durch die Restriktionen von Apple wird vieles "vereinfacht", aber an anderer Stelle auch wieder erschwert, wenn es um den Datenaustausch geht. Einerseits sollen Mitarbeiter Zugriff auf Firmendaten haben, aber andererseits entstehen die Problem erst, wenn ein Gerät geklaut wird, oder Daten in die "Cloud" gestellt werden und dann auf irgendeinem Server landen, wo nicht der dt. Datenschutz gilt.

Aber vielen Dank für die ganzen Hinweise und die spannende Diskussion - vermutlich wird es nicht die letzte zu diesem Thema gewesen sein.

 

[toto]

Schau mal bei apple.com/ipad/business (also nicht die deutsche Site). Dort findest du bei einigen Themen Links zu PDFs, die weiterführende Infos beinhalten. Diese sind so auf der deutschen Site nicht zu finden. U.a. wird auf der Site die Wireless App Distribution für In-House-Apps erwähnt.

Wireless App Distribution
iPad enables enterprises to securely host and wirelessly distribute in-house apps to employees over Wi-Fi and 3G. Apps can be updated without requiring users to connect to their computers. In-house apps can be hosted on any web server accessible to users. Users simply tap on a URL to install apps wirelessly without needing to connect to their computers.

 

[Arakis]

Schau mal bei apple.com/ipad/business (also nicht die deutsche Site). Dort findest du bei einigen Themen Links zu PDFs, die weiterführende Infos beinhalten. Diese sind so auf der deutschen Site nicht zu finden. U.a. wird auf der Site die Wireless App Distribution für In-House-Apps erwähnt.

Mit In-House-Apps sind meine ich nur Apps gemeint, die mit einer Enterprise Lizenz für das Unternehmen entwickelt wurden. Das schließt den App-Store aber aus.

 

[toto]

Mit In-House-Apps sind meine ich nur Apps gemeint, die mit einer Enterprise Lizenz für das Unternehmen entwickelt wurden. Das schließt den App-Store aber aus.

Das ist richtig. Ich bezog mich auf den Wunsch des TE hier:

Dazu kommt noch, dass unternehmenseigene Apps verteilt werden sollen.

Und dabei die Aussage hier im Thread war, dass dies nur über den iTunes Store geht.

 

[aj77]

Hi,
wir haben das Thema auch gerade:
Fakt:
- ca 100 iPads in 4 Wochen auszurollen
- User dürfen KEINE Apps installieren
- ca 12 Apps werden von der IT installiert

Wie haben wir es gelöst:
- MDM-Software zur OTA-Installation von VPN- und WLAN-Konfig, Remote sperren, User-Self-Service, Verwaltung von T-Mobile-UMTS-Verträgen (Das Portal von T-Mobile wird auf unserer MDM-Lösung basieren!)
- Jedes iPad braucht zwingend einen eigenen Account, der aber vom User nicht verwaltet wird
- die Apps werden mit dem IT-Account gekauft bzw an die einzelnen Accounts verschenkt (so spart man sich die Zahlungsinformationen bei jedem Account oder die Abrechnung mit den Usern)
- Alle iPads werden zentral verwaltet/upgedatet
- Die Apps werden zentral installiert
- es wird verboten (und per MDM verhindert) Apps zu installieren
fertig
Ein Haufen Arbeit für die IT. Wäre weniger Arbeit, dürften die User selbst installieren.

btw: Blacklistening geht (per MDM)! Wird eine blacklistet App installiert, bekommt der User und Admin eine Mail. Dann kann man entscheiden.
Whitelistening ist besser und geht! z.B. im Store vom MDM werden Apps vorgeschlagen und nur die dürfen installiert werden.

/AJ
-

Edit: Citrix macht auf dem iPad mMn nicht viel Sinn, weil ich da immer einen Mauszeiger brauche und mein Finger ist dicker als ein Mauszeiger... Sogar der Bamboo ist dicker... -> wird ungenau und der User nimmt es nicht an.

 

[griäch]

Im Moment geht für den Anfang die Neigung dazu, die Präsentationen als Webseiten aufzubereiten (HTML5 ohne Flash), 3G zu aktivieren und alle Möglichkeiten zu sperren.

Aber danke für die Hinweise

Stellt Euch mal vor, wie angenehm es für den Aussendienstmitarbeiter doch ist, wenn er bei Kunden verzweifelt die Website aufzurufen versucht, aber in dem Bunker halt keinen Empfang hat...wie wärs anstelle dessen mit einer Präsentationen auf dem iPad, bspw. mit der App Keynote? Dänn wäre er nicht auf Empfang angewiesen...

 

[Baako]

Hi,

- es wird verboten (und per MDM verhindert) Apps zu installieren
fertig


Whitelistening ist besser und geht! z.B. im Store vom MDM werden Apps vorgeschlagen und nur die dürfen installiert werden.

Wäre mir neu dass dies in der Kombination geht. Die vorgeschlagenen Apps werden im "recommended Apps" angezeigt und wenn der Benutzer diese dann Installieren will wird er direkt in den Appstore geleitet. Genau den hast Du ihm ja mit der Policy oben verboten.