Trennen von beruflichen und privaten Kontakten mit "Apple Configurator 2"

Moin an alle,
ich hab gerade folgendes Problem: ich bin wie vermutlich so viele für die Geräte in der Familie zuständig. Ein Familienmitglied hat jetzt den Wunsch von Android auf ein iPhone zu wechseln. Allerdings nur unter der Voraussetzung, dass WhatsApp nicht Zugriff auf alle Kontakte gegeben wird, sondern nur auf einige wenige, also selektiv auf Gruppen auch wenn davon nur 2 benötigt werden. (Kontakte sind per CardDAV eingebunden)
Und zwar kommt das daher:
Die Person hat zuvor ein android Phone genutzt und verwendet für die Kommunikation mit den meisten Personen Threema und signal. Für einige wenige Personen mit denen sie über WhatsApp geschrieben hat, war auf dem Gerät ein eigenes Arbeitsprofil erstellt worden (es gibt eine open source app aus dem fdroid-store die es einem ermöglicht auf dem Gerät Arbeitsprofile zu erstellen und zu verwalten, shelter heißt die). In dieses Arbeitsprofil wurde dann WhatsApp installiert. Apps in dem Arbeitsprofil haben keinen Zugriff auf private aus dem privaten (standart) Profil und umgekehrt.
Somit hatte WhatsApp nur zugriff auf die paar Kontakte die im Arbeitsprofil lagen.

Diese Art der Datensparsamkeit soll jetzt weiter fortgeführt werden.

Mir ist bekannt, dass man auf iPhones berufliche und private Kontakte trennen kann wenn man ein MDM nutzt, und die Kontakte auf einem Exchange server hinterlegt sind. Dieses Dokument Einstellungen der MDM-Payload „Kontakte“ für Apple-Geräte - Apple Support (DE) legt für mich nahe, dass das auch mit auf CadDAV hinlegten Kontakten funktioniert.
Jetzt hab ich keine Lust Geld für eine MDM Lösung auszugeben und würde stattdessen gerne wissen, ob man das über die „Apple Configurator 2“ Anwendung lösen kann, in dem man das Gerät darüber verwaltet und entsprechende Payloads für das Gerät hinterlegt.

Es stellt kein problem dar, weiterer CardDAV accounts zu erstellen und einen Teil der Kontakte auf einen neuen Account zu transferieren, Zugang dazu habe ich.

Jeder Hinweis ist willkommen :hugs:

2 „Gefällt mir“

Herzlich willkommen hier im Forum!

Du fängst ja gleich mit einer komplexen Frage an.
Fangen wir mit dem einfachen an, es ist nicht möglich dies zu 100% am iPhone zu erstellen/betreuen, weder mit Bordmitteln noch ist mir eine iOS App für die Profilerstellung bekannt.
Unter macOS kann man Profile mit z.B. dem iMazing Profil Editor oder der OpenSource Software „ProfilCreator“ machen.

Diese können, wenn es als MDM gelöst werden muss, über einen Mac mit dem Apple Configurator 2 auf das iPhone gespielt werden. (Die (neue) iOS App kann dies nicht!)

Wie weit man so die Kontaktbücher trennen kann, weiß ich nicht. Bei mir hat WhatsApp einfach keinen Zugriff mehr.


Sicherlich geht bei deinem Vorhaben Ausprobieren über Studieren, falls du dafür einen WhatsApp-Testaccount brauchst, kann ich dir [Satellite](https://www.satellite.me) empfehlen, um eine weitere deutsche Handynummer zu erhalten.
2 „Gefällt mir“

Hallo in die Runde und danke @Bergruebe für das herzliche willkommen.

Ich hab jetzt die letzten beiden Tage, wenn ich mal ein bisschen Zeit hatte, versucht mir zu erschließen, wie da alles zusammen spielt und ich muss gestehen ich bin mir nicht sicher ob ich mir das richtig zusammen gereimt habe.
Hier ist was ich glaube zu wissen, und bitte zeigt gern alle Fehler auf die ich hier gerade mache:
Wenn man ein iPhone managen will, bekommt jedes Gerät einen blueprint in dem man Sachen wie restrictions konfigurieren kann. Desweiteren können zu einem Blueprint sogenannte Profile hinzugefügt werden. Profile können aber irgendwie auch Restrictions konfigurieren und den Profilen können dann sogenannte Payloads hinzugefügt werden, z.B. eine Konfiguration für einen CardDAV Account für Kontakte.
Falls da gute Lektüre vorhanden ist oder ein Video welches das mal gut erklärt, dann würde ich mich sehr über einen Link dazu freuen. Mir fehlt momentan ein high Level overview von der gesamten Thematik, ich habe nur raus gegoogelt wie mein spezieller usecase funktionieren könnte.


Aber um mal chronologisch auf deinen Beitrag zu antworte:

  • ein Mac ist vorhanden.

  • nein es muss nicht zwangsläufig über ein MDM gelöst werden. Mir ist aber keine zweite Lösung bekannt, die unterschiedlichen Apps, Zugang zu unterschiedlichen kontakte-listen gibt (den mit Profilen installierten, (also managed apps) zu den managed contacts und den vom user installierten, zu den vom user hinterlegte Kontakte).


Du meintest „Wie weit man so die Kontaktbücher trennen kann, weiß ich nicht.“
Das sollte so wie ich das verstanden habe mit den Konfigurationsoptionen

Allow documents form managed sources in unmanaged destinations
Und
Allow documents form unmanaged sources in managed destinations
in der Restrictions Kategorie von den blueprints gelöst sein, sofern man durch einen payload(/Profil?) einen Account für Kontakte (z.B CardDAV) hinterlegt, und der user dann selber noch einen Kontakte account (z.B CardDAV) hinterlegt.


Und du meintest noch: Diese (Profile) können, wenn es als MDM gelöst werden muss, über einen Mac mit dem Apple Configurator 2 auf das iPhone gespielt werden. (Die (neue) iOS App kann dies nicht!)

Wie ich es verstanden haben könne profile nur als Teil eines Blueprints auf ein iphone übertragen werden. Vielleicht meintest du das ja und ich hänge mich hier nur auf, weil ich einfach neu in dem Thema bin oder habe ich da etwas falsch verstanden ?
Desweiteren ist mir nicht ganz bewusst welche (neue) iOS app du meinst. Handelt es dich dabei im den Nachfolger vom Apple Configurator 2 und der Nachfolger läuft auch auf iOS Geräten oder wie ist muss ich das verstehen ?

Oh und danke für die Tipps mit dem sigate und den Profil Editoren :wink:

Das Plan aktuell ist: mit dem iMazing Profile editor ein Profil erstellen mit den genannten restrictions und einem payload für Kontakte. Das dann über einen blueprint mit dem apple confiturator 2 auf das geht spielen.
Wenn da jemand Probleme mit sieht, dann immer gerne raus damit :wink:

1 „Gefällt mir“

Ich gehe mal davon aus, dass du von Configurator sprichst. Nein, du kannst Blueprints erstellen, jedoch muss du nicht für jedes Gerät einen erstellen. Du kannst auch ohne Profile auf das Gerät laden.
Profile sind vorgefertigte Einstellungen, die teilweise tiefer gehen als die über die normale GUI aufrufbaren. Da ist es gleich, ob man etwas verbietet oder einen „Service“ hinterlegt, beides sind Konfigurationen.
Ich nutze z.B. ein Profil um meine verschiedenen Mailadressen samt S/MIME Zertifikat auf meine Geräte zu spielen. (leider werden solche Einstellungen ja nicht von dem iCloud Keychain übernommen.)

Für die meisten Beschränkungen muss das Gerät „betreut“ werden. Das geht nur über ein MDM (+ Business/School Manager) oder dem Apple Configurator 2.

Leider sind die Informationen die man zu diesen Themen findet wirklich gering und meist in Foren verteilt. Ich habe mir mein Wissen auch eher zusammengereimt als irgendwo aufgeschlüsselt gelesen :wink: (somit sind auch Fehler meinerseits nicht ausgeschlossen)


Die zwei Optionen kannte ich noch gar nicht, so könnte das eventuell klappen. Ich habe jedoch noch nie über Profile eine App installieren lassen.

Apple hat im letzen Monat eine Version des AC 2 auch für iOS herausgebracht, jedoch ist die nur für dem Business oder School Manager ein kleines Werkzeug um neue Macs hinzuzufügen. Ich wollte nur klar stellen, dass es keine iOS only Lösung gibt, sondern immer zum bearbeiten ein Mac benötigt wird.

1 „Gefällt mir“

Da hast du rech. Zum Glück scheint es so, als müssten Geräte gerade bei den für mich relevanten Einschränkungen nicht „betreut“ sein.

Das geht auch tatsächlich nicht über Profile wenn ich das richtig sehe, sondern über die MDM Lösung bzw über „Apple Configurator 2“. (Der screen hier erscheint wenn man einen blueprint im Apple Configurator bearbeitet, hab da mal ein testweisen ein paar apps rein geworfen)

Allerdings muss für das Anwenden von Blueprints auf einem Gerät, (wenn ich mir da nicht wieder was falsches zusammengereimt habe) selbiges betreut sein. Aber du meintest ja (siehe erster Quote) das würde einfach mit „Apple Configurator 2“ gehen und zwar wenn ich das richtig interpretiere, komplett ohne Business/School Manager. (offensichtlich mit dem Nachteil, nicht jederzeit Änderungen im Sinne von neuen Profilen an die Geräte ausspielen kann, weil man das Gerät immer physisch mit dem Mac verbinden muss, somit nix mit Fernwartung).

2 „Gefällt mir“

Sofern du kein MDM nutzt, muss das Gerät immer angeschlossen werden um den AC2 zu nutzen.

Wenn du ein Gerät an den Mac anschließt und dann den AC2 öffnest, wird dir dort das Gerät angezeigt und du kannst Profile draufspielen. Sonst kannst du Profile auch per Mail oder AirDrop verschicken. Die können dann am Gerät in den Einstellungen aktiviert werden. So kannst du eingeschränkt auch aus der Ferne Sachen ändern, indem du das alte Profil überschreibst/veränderst.

Wenn du es elegant lösen willst, signierst du die Profile, dann werden die nicht rot angezeigt. Bei mir hat das mit einem S/MIME Privat Key geklappt.

1 „Gefällt mir“

Mal schauen ob ich mich damit dann noch rumschlagen will. Ich muss mir jetzt erst mal ein Testgerät besorgen.

BTW dieses Dokument hier von iMazing hat fand ich ganz gut einen Überblick über die gesamte Thematik gegeben Understanding Supervision, MDM, DEP and VPP

2 „Gefällt mir“

Danke für den Tipp, ist direkt auf meiner Leseliste gelandet.

Wenn der Rest klappt ist das signieren eine Sache von ein paar Minuten. Wäre wahrscheinlich eleganter, falls du aus der Ferne ein neues Profil verschickst und nicht erklären musst, dass alle Sicherheitswarnungen ignoriert werden sollen.

1 „Gefällt mir“