AppleID mit Azure

Für die Nutzung von Apple-Geräten ist eine AppleID erforderlich. Als Firma kann ich die Anmeldung an Apple per Federation mit dem AzureAD vereinfachen und absichern.

Privat und Firma

Ehe sie nun die Einrichtung durchführen, sollten Sie erst einmal innehalten und die aktuelle Nutzung von Apple-Geräten mit der AppleID in ihrer Firma überdenken. Ohne den Apple Business Manager konnten auch in der Vergangenheit ihr Mitarbeiter schon ein IPhone o.ä. kaufen und einrichten. Dazu brauchen Sie eine AppleID, die sich jeder Mitarbeiter auch einfach mit der Firmen-Mailadresse erstellen kann.

Für Apple macht es aber erst einmal keinen Unterschied, ob eine Person eine AppleID mit einer "icloud.com" oder eine "gmx.de" oder einer Firmendomain wie "netatwork.de" anlegt. Technisch ist es einfach eine eigenständige losgelöste AppleID, die von dem Mitarbeiter bei der Einrichtung genutzt wird und mit der er auch weitere Apps installieren kann. Über Gutscheine, eine eigene Kreditkarte oder auch Firmenkreditkarte kann der Mitarbeiter auch Produkte über den Apple Store kaufen, d.h. Apps aber auch Medien etc.

Dass dieses Vorgehen nicht gerade sinnvoll ist, mussten vor Jahren auch schon Firmen erkennen in denen die Anwender sich eine "LiveID/MIcrosoft Konto" mit der Firmendomain angelegt haben und später dann ein Office 365-Konto mit der gleichen Domain eingerichtet wurde.

Grundsätzlich müssen sie zwischen "Privat" und "Business" unterscheiden. Für eine Firma ist es natürlich ratsam, wenn die Geräte der Firma auch durch die Firma verwaltet werden und damit auch die Konten durch die Firma kontrolliert werden. Dafür gibt es die Federation der Domain mit Apple.

Für den weniger versierten Anwender hingegen ist es auch wichtig, auf seinen privaten Geräten eine AppleID ohne Bezug zur Firma zu nutzen. Er kann ja gerne eine Adresse auf "icloud.com" nutzen, analog zu der "outlook.com"-Domain bei einem Microsoft-Konto. Er sollte das auch tun, denn wenn er die Firma verlässt, hat er keinen Zugriff mehr auf das Postfach und jegliche Kommunikation von Apple mit der AppleID unter der Firmendomain ist damit unterbrochen. Es wird noch schlimmer da nun die Firma mit Zugriff auf das Postfach zur Mailadresse die AppleID "übernehmen" könnte.

Sie sollten also im Vorfeld sicherstellen, dass "private Konten und Geräte" auch eine AppleID nutzen, die nicht mit der Firmendomain zu tun hat während die Firmengeräte natürlich weiterhin mit einer der Firma gehörenden AppleID arbeiten können.

Einschränkungen

Die Nutzung von "verwalteten AppleIDs" hat aber auch einige Einschränkungen.

  • Kein ApplePay
  • Kein iCloud Mail
  • Keine iCloud Familienfreigabe
  • kein iMessage
  • ReadOnly Apple Store
    Der Anwender kann im Store die Apple suchen und anschauen aber keine Apps installieren, d.h. weder kostenpflichtig noch kostenfrei
  • Keine Mediendienste
    d.h. kein Apple One, Apple Arcade, Apple Music, Apple Radio, Apple Fitness+, Apple News+, Apple TV+
  • Kein "Wo ist"
  • Kein HomeKit
  • Keine neuen Konten mit der eingerichteten Domain

All diese Einschränkungen zeigen aber gut, dass die verwalteten AppleIDs nicht parallel für den privaten Einsatz genutzt werden sollte, sondern primär auf das Interesse der Firma ausgerichtet sind. Es gibt noch ein paar Punkte mehr und die Liste dürfte auch schnell wieder veralten. Daher hier der Link zur Apple Dokumentation.

Domain eintragen

Die Nutzung von AppleIDs mit der Firmendomain über den Apple Business-Manager hat für die Firma natürlich den Vorteil, dass alle Konten damit zentral verwaltet werden können. Für den Anwender hat das den "Nachteil", dass er nicht mehr alleine Herr über seine Firmen-Geräte ist, da die Firma z.B. die Bereitstellung von Apps steuern kann.

Der erste Schritt besteht nun darin, die DNS-Domain im Apple Business Manager zu addieren. Der Prozess ähnelt stark der Einrichtung einer Domain in Microsoft 365.

  • Domain im Business Manager addieren
    Das geht nur für Domains, die noch nicht bei Apple registriert sind
  • Angegeben TXT-Record im DNS hinterlegen
    Um den Besitz nachzuweisen, muss der DNS-Admin einen TXT-Eintrag in der Form "apple-domain-verification=hier_kommt_der_code_rein" anlegen. Dafür haben Sie 14 Tage Zeit.
  • Domain verifizieren
    Danach stoßen Sie die Prüfung an, damit Apple die Domain ihrer Instanz zuweist

Natürlich kann einen Domain nur genau einer Business Manager Instanz zugewiesen werden. Sollte die Domain schon an eine andere Instanz zugewiesen sein, können Sie nur ihre Kontaktdaten an den anderen Administrator senden und hoffen, dass er sich mit ihnen in Verbindung setzt. Apple greift hier angeblich nicht ein und sie können auch nicht sehen, wer der "Besitzer" ist.

Ich habe noch nicht herausgefunden, ob ein "Admin Takeover" einer Domain möglich ist, wenn die andere Instanz verwaist ist.

Wenn Sie Domain haben, kann es natürlich immer noch sein, dass Benutzer bereits eine AppleID mit dieser Domain nutzen. In dem Fall sehen Sie als Business Manager Admin diese Konten und können diese Benutzer gezielt ansprechen, ehe Sie das Konto "zurückfordern".

Offen: Was sieht der Benutzer. wird das bestehende Konto samt Apps und Käufen beibehalten/migriert oder ist es ein neues Konto?

Benutzer verwalten

Sie können natürlich manuell Konten im Apple Verzeichnisdienst anlegen und verwalten. Das wäre dann vergleichbar mit den "Cloud Only"-Konten in einem AzureAD und für sehr kleine Firmen mit wenig Fluktuation oder ganz ohne lokale AD ist dies ein durchaus üblicher Weg. Größere Firmen werden natürlich sehr schnell nach einem Verzeichnisabgleich mit einem bestehenden Verzeichnisdienst, z.B. einem lokale AD oder AzureAD fragen.

Apple erlaubt die Kopplung des Apple Business Managers mit dem Azure AD und dem Google Verzeichnisdienst. Dabei kommt SCIM (Siehe auch SCIM - System for Cross-Domain Identity Management) zum Einsatz. Der Business Manager Admin holt sich eine URL und ein Secret von Apple und richtet dann im AzureAD den Apple Business Manager als Applikation ein.

Sie müssen Sie danach am Apple Portal unter "https://business.apple.com/" anmelden, um die Einrichtung abzuschließen.

Dieser Prozess unterscheidet sich von der üblichen Einrichtung einer "klassischen" Enterprise Application. Sie melden Sich am Apple Portal an und machen von dort die Einstellungen zu Berechtigungen, SCIM etc

Am Ende ist natürlich auch der Apple Business Manager eine App in ihrem Tenant.

Bild wird nachgereicht

Apple beschreibt noch eine zweite Option, bei der nicht SCIM genutzt wird sondern Apple quasi "on the fly" ein Konto anlegt, wenn der Benutzer mit einem vom AzureAD ausgestellten Token sich beim Apple Identifizierungsdienst meldet. Das OAUTH-Token enthält ja mehrere Felder, die der Apple Business Manager zum Aufbau seiner eigenen Benutzerdaten nutzen kann. Die ist aus meiner Sicht aber eine "Lite"-Version, da die Benutzerinformationen nur bei einer Anmeldung am Apple Business Manager aktualisiert werden und keine automatische Lösung von Objekten erfolgt.

Die Replikation mittels SCIM ist nicht auf AzureAD beschränkt. Theoretisch könnten Sie mit einer passenden Software auch einen Sync-Dienst schreiben oder kaufen, der Daten aus anderen Datenquellen einliest und u.a. zu Apple schreibt. Quelle könnte auch ihre Personalverwaltungssoftware (SAP Success Factors, Personio u.a.) sein, wenn diese SCIM unterstützen.

Authentifizierung

Bei der Benutzer-Synchronisation per SCIM werden keine Kennworte oder Hashwerte übertragen. Der Benutzer kann sich an den Apple Diensten entweder mit einem getrennten Kennwort anmelden oder Sie nutzen auch hier einen Identity Provider (IdP). Apple unterstützt hier neben Google oder AzureAD auch einen lokalen ADFS-Service. Interessant ist hier neben der SCIM-Kopplung aber vor allem das AzureAD und sie können sowieso nur einen IdP einrichten.

Wenn Sie für den Verzeichnisabgleich mit SCIM noch nicht die Apple Enterprise App in ihrem Tenant eingerichtet haben, dann sollten Sie dies nun für die Authentifizierung nachholen.

Bild wird nachgereicht

Weitere Links