Verteilen proprietärer interner Apps auf Apple-Geräten
Apple-Geräte unterstützen die drahtlose Installation proprietärer interner Apps ohne Verwendung eines Mac oder Besuch im App Store. Damit du diese Apps verteilen kannst, benötigst du ein Bereitstellungsprofil. Bereitstellungsprofile können mit einer MDM-Lösung installiert und verwaltet werden. Anschließend können Benutzer diese Bereitstellungsprofile über MDM oder ein App-Update laden und installieren. Besuche vor dem Ablauf des Bereitstellungsprofils die Apple Developer-Website, um ein neues Profil für die App zu erstellen. Exportiere für eine iOS- oder iPadOS-App ein neues App-Paket (eine Datei mit der Erweiterung .ipa) mit dem neuen Bereitstellungsprofil für die Benutzer, die die App zum ersten Mal installieren.
Bereitstellen und Verwalten von Personen für proprietäre interne App-Entwickler
Proprietäre interne App-Entwickler haben Zugriff auf Apple APIs zum Bereitstellen und Verwalten von Personen, um Aufgaben wie die Erstellung von Bereitstellungsprofilen und die Integration der Benutzerverwaltung in bestehende Prozesse zu automatisieren.
Es gibt zwei Möglichkeiten zum Verteilen proprietärer interner Apps:
MDM verwenden
Eine Website verwenden
Beide Methoden setzen voraus, dass die App für die Verteilung vorbereitet wird. Hierzu gehört die Vorbereitung einer Manifest-Datei.
Proprietäre interne App für die drahtlose Verteilung vorbereiten
Zum Vorbereiten einer proprietären internen App für die drahtlose Verteilung müssen eine archivierte Version (eine „.ipa“-Datei) und eine Manifest-Datei erstellt werden, die die drahtlose Verteilung und Installation der App ermöglicht. Verwende Xcode, um ein versioniertes Archiv deiner App zu erstellen, und exportiere dann die App für die Verteilung an das Unternehmen. Xcode verwendet das Verteilungszertifikat und umfasst ein entsprechendes Bereitstellungsprofil. Die Manifest-Datei ist eine XML-Eigenschaftsliste (eine „.plist“-Datei), die von Apple-Geräten zum Auffinden, Laden und Installieren der Apps von deinem Webserver verwendet wird. Die Manifest-Datei wird von Xcode anhand der Informationen erstellt, die du beim Freigeben einer archivierten App für die Verteilung an ein Unternehmen bereitstellst. Die Liste der Attribute und zugehörigen Werte findest du unter Install Application Command auf der Apple Developer-Website.
Verwaltete proprietäre interne Apps für Mac-Computer
Ab macOS 14 lassen sich mehr Apps verwalten. Wenn ein Paket mehr als ein App-Paket enthält, werden alle Apps verwaltet, die im Ordner „Programm“ implementiert werden. Verwaltete Apps müssen im Ordner „Programme“ verbleiben, um als verwaltet berücksichtigt zu werden.
Mit einer MDM-Lösung können Unternehmen festlegen, ob eine verwaltete App bei der Deregistrierung behalten oder entfernt wird und Apps mit der MDM-Lösung sogar deinstallieren. Daraufhin wird das App-Paket aus dem Ordner „Programme“ entfernt. Alle vom Paket installierten Daten oder verknüpfte Scripts an anderen Orten bleiben unverändert.
Darüber hinaus befinden sich die Daten von verwalteten Apps bei der Verwendung der Benutzerregistrierung oder der accountgesteuerten Benutzerregistrierung auf einem separaten Volume.
Anforderung der Paket-ID einer Mac-App
Klicke zum Abrufen der Paket-ID bei gedrückter Taste „ctrl“ auf die App und wähle „Paketinhalt anzeigen“. Öffne den Ordner „Contents“ und öffne die Datei „Info.plist“. Öffne die Datei in der App „TextEdit“, wenn du nicht sicher bist, welche App du verwenden sollst. Suche mithilfe der Suchfunktion der App nach „CFBundleIdentifier
“ in der Datei und kopiere den String unter dieser Zeile. Beispiel: com.betterbag.applicationname. Setze die Paket-ID der App in eine Textdatei oder Notiz ein, um zu einem späteren Zeitpunkt auf sie zugreifen zu können.
App mittels MDM verteilen
Verwende für die MDM-Lösung ein Manifest entweder mit dem Befehl InstallEnterpriseApplication
(Manifest-Datei oder eingebettetes Manifest) oder mit InstallApplication
(Manifest-Datei). macOS unterstützt sha256 und das Anheften von Zertifikaten (Certificate Pinning). Beim Verwenden dieser Befehle mit anderen Betriebssystemen stehen weitere Optionen zur Verfügung:
Bei Geräten mit iOS 17.2 oder iPadOS 17.2 (oder neuer) kannst du auch die deklarative App-Konfiguration verwenden.
Bei Geräten mit macOS kannst du Folgendes verwenden:
Den Befehl
InstallApplication
für Volumenlizenzen und .pkg-InstallationenDen Befehl
InstallEnterpriseApplication
nur für .pkg-Installationen
Weitere Informationen findest du unter MDM-Befehle.
App über eine Website verteilen
Für die drahtlose Installation von Apps müssen die betreffenden iOS-, iPadOS- und visionOS 1.1-Apps die folgenden Voraussetzungen erfüllen:
Apps müssen im .ipa-Format vorliegen und mit einem internen Bereitstellungsprofil erstellt worden sein.
Sie müssen über eine XML-Manifest-Datei verfügen.
Sie müssen von einer Website geladen werden, deren Adresse mit HTTPS beginnt.
Sie müssen mit einem Zertifikat signiert sein, dem auf dem Gerät vertraut wird.
Ihre Netzwerkkonfiguration muss Geräten den Zugriff auf einen Server bei Apple ermöglichen. Weitere Informationen findest du im Apple Support-Artikel Apple-Produkte in Unternehmensnetzwerken verwenden.
Zum Installieren des Pakets laden Benutzer die Manifest-Datei von deiner Website. Dazu verwenden sie das bestimmte URL-Präfix. Du hast auch die Möglichkeit, eine URL zum Laden der Manifest-Datei per iMessage oder einer E-Mail bereitzustellen. Hier ist ein Beispiel für einen solchen Link mit hinzugefügtem Präfix:
<a href="itms-services://?action=download-manifest&url=https://betterbag.com/manifest.plist">App installieren</a>
Es bleibt dir überlassen, ob du eine Website zum Verteilen von Apps dieses Typs erstellst und bereitstellst. Stelle sicher, dass Benutzer authentifiziert sind und dass die Website – deinen Anforderungen entsprechend – über dein Intranet oder über das Internet zugänglich ist. Deine Website kann eine einzelne Seite sein, die mit der Manifest-Datei verknüpft ist. Wenn ein Benutzer auf den Weblink tippt, wird die Manifest-Datei geladen, die den Ladevorgang und die Installation der auf deiner Webseite beschriebenen Objekte veranlasst.
Beachte diese zusätzlichen Hinweise:
Füge keinen Weblink direkt zur archivierten App (.ipa-Datei) hinzu. Die .ipa-Datei wird vom Gerät geladen, wenn die Manifest-Datei geladen wird. Obwohl es sich beim Protokollteil der URL um einen itms-services-Link handelt, ist der App Store an diesem Vorgang nicht beteiligt.
Stelle sicher, dass deine .ipa-Datei über HTTPS zugänglich ist und dass deine Site mit einem Zertifikat signiert ist, das für iOS und iPadOS vertrauenswürdig ist. Die Installation schlägt fehl, wenn ein selbstsigniertes Zertifikat keinen Vertrauensanker hat und durch das Gerät nicht ausgewertet werden kann.
Lade die folgenden Objekte in einen Bereich deiner Website, auf den authentifizierte Benutzer zugreifen können:
Die Manifest-Datei (mit dem Suffix .plist)
Die App-Datei (mit dem Suffix .ipa)
In bestimmten Fällen ist es erforderlich, deinen Webserver auf bestimmte Weise zu konfigurieren, damit die Manifest- und die App-Datei korrekt übertragen werden. Füge für den Server die MIME-Typen zu den Einstellungen der MIME-Typen des Webdiensts hinzu:
application/octet-stream ipa
text/xml plist
Füge für den Microsoft Internet Information Server (IIS) die MIME-Typen auf der Seite „Eigenschaften“ des Servers mithilfe des IIS-Managers hinzu:
.ipa application/octet-stream
.plist text/xml
Hinweis: Wenn du ein Self-Service-Portal erstellst, solltest du einen Webclip zum Home-Bildschirm des Benutzers hinzufügen, damit der Benutzer für zukünftige Informationen (z. B. neue Konfigurationsprofile, empfohlene Apps aus dem App Store und die Registrierung bei einer MDM-Lösung) zurück zum Portal geleitet werden kann.
Gültigkeit von Zertifikaten
Beim erstmaligen Öffnen einer App durch einen Benutzer wird das Verteilungszertifikat überprüft, indem eine Verbindung zum OCSP-Server von Apple hergestellt wird. Wenn das Zertifikat annulliert wurde, startet die App nicht mehr. Zum Überprüfen des Identitätsstatus muss das Gerät „ocsp.apple.com“ erreichen können.
Die OCSP-Antwort wird auf dem Gerät für die vom OCSP-Server festgelegte Zeit im Cache gespeichert. Dies sind derzeit drei bis sieben Tage. Die Gültigkeit des Zertifikats wird erst erneut überprüft, wenn das Gerät neu gestartet wird und die im Cache gespeicherte Zeitspanne überschritten wurde. Wird das Zertifikat zu diesem Zeitpunkt annulliert, startet die App nicht mehr.
ACHTUNG: Durch das Annullieren eines Verteilungszertifikats werden alle Apps ungültig, die du damit signiert hast. Annulliere ein Zertifikat nur als letzten Ausweg, wenn feststeht, dass der Schlüssel verloren gegangen ist oder davon auszugehen ist, dass die Sicherheit des Zertifikats nicht mehr gewährleistet ist.
Bereitstellen aktualisierter, proprietärer interner Apps
Apps, die du selbst verteilst, werden nicht automatisch aktualisiert. Wenn eine neue Version verfügbar ist, kannst du die Benutzer über die Aktualisierung informieren und zur Installation der App auffordern. Du kannst auch festlegen, dass die App nach Aktualisierungen sucht und dass sie die Benutzer beim Öffnen der App darüber informiert. Stelle sicher, dass die Mitteilung den itms-services-Link bereitstellt. Du kannst auch openURL innerhalb der App verwenden, um die Aktualisierung zu installieren.
Sollen Benutzer die auf ihrem Gerät gespeicherten App-Daten behalten, musst du sicherstellen, dass die neue Version dieselbe Paket-ID wie die ersetzte Version verwendet. Außerdem musst du die Benutzer anweisen, die alte Version erst zu löschen, nachdem sie die neue Version installiert haben.
Erstelle vor Ablauf des Bereitstellungsprofils über die iOS Developer-Website, die iPadOS Developer-Website oder die visionOS Developer-Website ein neues Profil für die App. Exportiere ein neues App-Paket (eine Datei mit der Erweiterung .ipa) für die App mit dem neuen Bereitstellungsprofil für die Benutzer, die die App zum ersten Mal installieren.
Wenn Benutzer die App bereits verwenden, empfiehlt es sich, die Aktualisierung für die nächste Version der App so einzuplanen, dass diese das neue Bereitstellungsprofil enthält. Auf diese Weise werden die Benutzer beim Arbeiten mit deiner App nicht unterbrochen. Andernfalls kannst du nur die neue .mobileprovision-Datei verteilen, sodass Benutzer die App nicht neu installieren müssen. Das neue Bereitstellungsprofil überschreibt das im Archiv der Apps vorhandene Profil.
Die Gültigkeit von Bereitstellungsprofilen für die Verteilung läuft 12 Monate nach ihrer Herausgabe ab. Nach dem Ablaufdatum wird das Profil gelöscht und die App wird nicht mehr gestartet.
Wenn dein Verteilungszertifikat abläuft, wird die App nicht gestartet und du musst die App mit einem neuen Verteilungszertifikat neu erstellen. Dein Verteilungszertifikat ist drei Jahre nach der Ausgabe bzw. bis zum Ablauf deiner Mitgliedschaft im Apple Developer Enterprise Programm gültig, je nachdem, welcher Zeitpunkt zuerst erreicht wird. Damit dein Zertifikat nicht abläuft, musst du deine Mitgliedschaft vor dem Ablauf erneuern.
Es ist möglich, zwei aktive, unabhängige Verteilungszertifikate gleichzeitig zu verwenden, wobei jedes der beiden Zertifikate vom jeweils anderen unabhängig ist. Das zweite Zertifikat dient der Abdeckung der Zeitspanne, während der du deine Apps aktualisieren kannst, bevor das erste Zertifikat abläuft. Achte beim Anfordern des zweiten Verteilungszertifikats darauf, dein erstes Zertifikat nicht zu annullieren.
Fehlerbeseitigung für die drahtlose Verteilung von Apps
Schlägt die drahtlose Verteilung von Apps mit der Meldung fehl, dass der Ladevorgang nicht gestartet werden kann, kannst du wie folgt vorgehen:
Vergewissere dich, dass die App korrekt signiert ist. Teste die App, indem du sie mithilfe von Apple Configurator für Mac auf einem Gerät installierst und prüfst, ob dabei Fehler auftreten.
Vergewissere dich, dass der Link zur Manifest-Datei korrekt ist und dass die Manifest-Datei für Webbenutzer zugänglich ist.
Stelle sicher, dass die URL zur .ipa-Datei (in der Manifest-Datei) korrekt ist und dass die .ipa-Datei für Webbenutzer über HTTPS zugänglich ist.