alotofpeople - Fotolia

Mit Enterprise Mobility Management (EMM) lässt sich Windows 10 ausreizen

In Verbindung mit einem EMM-System macht Windows 10 für Unternehmen den Weg frei zu einem konsistenten Geräte- und Sicherheits-Management.

Dieser Artikel behandelt

MDM

ÄHNLICHE THEMEN

In Windows 10 werden bisher getrennte Betriebssystemversionen für die traditionellen Windows-PCs, für Tablets und Smartphones auf einer Plattform zusammengeführt und können gemeinsam von einem EMM-System (Enterprise Mobility Management) verwaltet werden. Damit wird ein erster großer Schritt in Richtung einer einheitlichen Verwaltung beliebiger Endgeräte getan. Welche Anforderungen dabei an die EMM-Plattform gestellt werden, lesen Sie folgend.

Smartphones und Tablets sind in vielen Unternehmensprozessen keine bloßen PC-Add-ons für die Arbeit unterwegs, sondern die bevorzugten Endgeräte im normalen Arbeitsalltag. Somit wird die Unternehmens-IT immer mehr auch zu einer mobilen IT. Stationäre Rechner, also Desktops, sind deshalb aber kein Auslaufmodell. Vielmehr zeichnet sich in Zukunft eine Koexistenz vieler verschiedener Endgerätetypen ab, die gemeinsam verwaltet werden müssen (Unified Endpoint Management).

Mit der gemeinsamen und konsistenten Verwaltung letztlich beliebiger Endgeräte geht eine umfassende Veränderung des bisherigen Management-Konzepts einher. Das Management-Modell der vergangenen Jahrzehnte bestand darin, dass die zu verwaltenden Geräte einer Domain zugeordnet werden, die durch eine bestimmte Menge von Gruppenrichtlinien definiert ist. Durch diese Richtlinien wird festgelegt, wie sich das System für eine bestimmte Gruppe von Nutzern verhält. Die Richtlinien schreiben beispielsweise ein ausreichend starkes Kennwort vor oder beschränken den Benutzerzugriff auf bestimmte Ordner. Mit anderen Worten: Die Gruppenrichtlinien definieren, was ein Nutzer tun darf und was nicht. Um die Sicherheit eines Endgeräts zu gewährleisten, konzentriert sich die IT auf die Kontrolle des Datenflusses durch Abschottung des Netzwerks und Einsatz eines Arsenals von Sicherheitstechnologien.

Dieses traditionelle Management-Modell funktioniert, wenn alle Geräte permanent mit einem LAN verbunden sind, es ist jedoch nicht flexibel genug in einem Kontext, in dem die Endgeräte nur hin und wieder eine Verbindung mit dem Netzwerk haben.

Windows 10 beseitigt Doppelarbeit und Richtlinienkonflikte

Mit Windows 10 zieht Microsoft aus dem Paradigmenwechsel im Endgerätebereich die Konsequenzen für das Geräte-Management. Im Mittelpunkt des Neuansatzes stehen dabei Konzepte aus der Welt der mobilen IT, wie sie sich in Systemen für Enterprise Mobility Management finden. Die Architektur, die dem EMM-Konzept zugrunde liegt, ist ganz wesentlich gekennzeichnet durch einen isolierten Arbeitsspeicher und einen isolierten Speicherplatz für jede einzelne App, so dass die Daten einer App vor Aktionen der anderen Apps auf dem Gerät zuverlässig geschützt sind (Sandbox-Architektur). Dieses Modell eines geschützten Dateisystems und eines geschützten Kerns ist ganz auf Endgeräte abgestellt, die sich meist außerhalb des traditionellen Firewall-Perimeters befinden und von denen man nie so genau weiß, was ihr Eigentümer mit ihnen anstellt.

Neben der Sandbox-Architektur sind die Verwaltungsroutinen (EMM-APIs) ein weiteres wesentliches Element einer EMM-Architektur. Diese APIs definieren das EMM-System als Kernsicherheitsplattform für das jeweilige Betriebssystem. Sie sichern den Betriebssystemkern ab und bieten entsprechende Steuerungsmöglichkeiten. So stellen EMM-APIs beispielsweise sicher, dass bestimmte Aktionen auf Betriebssystemebene, etwa die Installation oder Deinstallation einer App, die Speicherung eines Zertifikats oder der Aufbau von Netzverbindungen, nur durch eine vertrauenswürdige EMM-Plattform ausgeführt werden.

Windows 10 führt die Windows-Betriebssysteme so zusammen, dass Mobilgeräte, Desktops und integrierte Produkte über einen einheitlichen Satz von solchen EMM-APIs abgesichert und verwaltet werden können. Zwar hatte Microsoft entsprechende Protokolle schon für Windows Phone 8.1 für Smartphones und Windows RT für Tablets, diese waren jedoch nicht mit den PC-Protokollen identisch, so dass Administratoren beispielsweise für ein Gerät mit Windows Phone und für einen Windows-PC die Richtlinien separat konfigurieren mussten. Das führte nicht nur zu Doppelarbeit, sondern mitunter auch zu Richtlinienkonflikten, etwa wenn für Tablets und Mobiltelefone weniger komplexe Passwörter als für PCs verlangt wurden.

Windows 10 bietet ein feinmaschiges Netz von Gerätesteuerungen

Windows 10 beseitigt dieses Problem durch eine einheitliche Benutzeroberfläche für alle Windows-Geräte. Es gelten konsistente Registrierungsanweisungen für jedes Gerät. Der Registrierungsprozess wird durch die EMM-Konsole und die Anmeldung am Active Directory oder Azure Active Directory (Azure AD) automatisiert. Wenn die IT mehrere Geräte für eine Benutzergruppe gleichzeitig bereitstellen muss, können die Geräte vorkonfiguriert werden, ohne dass der einzelne Benutzer irgendwelche Aktionen auf dem Gerät ausführen muss. Wichtige Geräteparameter wie Sicherheits- und Compliance-Status, Batteriestatus und Seriennummern sowie Adressen für die Medienzugriffskontrolle (MAC) lassen sich über die EMM-Konsole abrufen und gegebenenfalls rapportieren und anpassen.

Windows 10 bietet mehr als 100 neue Möglichkeiten für eine feinmaschige Gerätesteuerung ‑ zusätzlich zu jenen Kontrollelementen, die bereits in Windows Phone 8.1 und Windows 8.1 für Laptops und PCs verfügbar waren. So können alle Windows-Apps automatisch verwaltet werden; verlorene oder gestohlene Geräte lassen sich auffinden beziehungsweise teilweise oder komplett aus der Ferne löschen; oder sie können außer Betrieb genommen werden, wenn der betreffende Eigentümer das Unternehmen verlassen hat.

Zum Schutz von Unternehmens-Apps und Unternehmensdaten etabliert Microsoft mit dem Windows 10 Anniversary Update die Funktion Enterprise Data Protection (EDP). Hierdurch kann die IT genau festlegen, was Unternehmensdaten sind, kann Apps als unternehmenseigene definieren und festlegen, welche Daten mit wem geteilt werden dürfen. Die Funktion EDP ist Teil des Betriebssystems und kann über die EMM-Konsole eines Unternehmens verwaltet werden.

Es gibt einen einheitlichen App Store für alle Windows-Anwendungen (auch für hauseigene Anwendungen und Anwendungen von Drittanbietern). Die IT-Administratoren können dabei nicht nur Apps aus diesem Store im Hintergrund verteilen und installieren (oder deinstallieren), sondern auch hauseigene Apps und Win-32-Anwendungen über EMM-APIs – genauso wie mobile Apps.

VPN, Zertifikatsverwaltung und Azure AD

Über die VPN-Plattform (Virtual Private Network) von Windows 10 implementieren unabhängige VPN-Lösungsanbieter ihr VPN. Die VPN-Client-App läuft in dem gleichen sicheren App-Container wie jede andere App aus dem Windows Store. Damit kann die IT auch eine Liste sicherer Anwendungen erstellen, die auf einem Gerät mit Windows 10 Zugriff auf das VPN haben.

Zur erstmaligen Gerätebereitstellung und Registrierung lässt sich das Simple Certificate Enrollment Protocol (SCEP) anstatt der üblichen Anmeldeinformationen mit Benutzername und Passwort verwenden. Der EMM-Server sendet dabei eine Anfrage an das Gerät, auf deren Basis ein Zertifikat beim SCEP-Server angefordert wird. Alternativ ist aber auch die Verwendung einer eigenen Zertifizierungsstelle möglich, so dass ein Zertifikat direkt über das EMM-System eingerichtet werden kann.

Die EMM-Plattform für Windows 10 spielt auch eine zentrale Rolle bei der Überwachung und Meldung des Gerätestatus an das Azure Active Directory, das dann je nach den vorhandenen Informationen den Kontozugriff erlaubt oder verweigert. Durch die EMM-Integration in Azure Active Directory kann der Zugriff auf die Cloud-Dienste des Unternehmens gesperrt werden, beispielsweise zu Office 365, wenn ein Gerät die Compliance-Anforderungen nicht mehr erfüllt. Neben dem neuen Azure AD unterstützt Windows 10 auch weiterhin den traditionellen Verzeichnisdienst Active Directory.

Die wichtigsten Anforderungen an die EMM-Plattform

Im Zusammenspiel mit einer EMM-Plattform eröffnen sich für Unternehmen mit Windows 10 große Möglichkeiten für ein vereinheitlichtes Geräte- und Sicherheits-Management. Um die Möglichkeiten optimal nutzen zu können, ist allerdings ein ausgereiftes, multiplattformfähiges EMM-System notwendig. Rudimentäre EMM-Plattformen mögen zwar sehr preisgünstig oder gar (scheinbar) kostenlos sein, kommen aber unter Umständen im Betrieb dadurch teuer zu stehen, dass das Management der mobilen Apps kaum automatisiert ist, keine vernünftigen Anschlussmöglichkeiten an öffentliche App-Stores vorhanden sind oder dass sie schnell an ihre Skalierungsgrenze kommen.

„Mit einer EMM-Plattform eröffnen sich für Unternehmen mit Windows 10 Möglichkeiten für ein vereinheitlichtes Geräte- und Sicherheits-Management.“

Stratos Komotoglou, MobileIron

Andere Fallstricke bei scheinbar preisgünstigen Lösungen sind Mängel im Zusammenspiel der EMM-Plattform mit einem Netzwerkzugriffskontrollsystem (NAC) oder auch das Fehlen diverser Integrationsmöglichkeiten, sei es in ein Asset-Management-System wie ServiceNow, in App-Reputations-Systeme oder auch in Unternehmens-Reporting-Systeme wie Splunk.

Nicht zuletzt sollte bei der Wahl des EMM-Systems darauf geachtet werden, dass dieses mit einem auf Standards beruhenden Framework zur App-Konfigurierung kompatibel ist, so dass das gesamte App-Spektrum am Markt ausgeschöpft werden kann. Mit der AppConfig Community ist hier mittlerweile ein großer Kreis von App-neutralen und EMM-neutralen App-Anbietern entstanden, der allgemein anerkannte Methoden zur App-Entwicklung für die Entwicklergemeinde bereitstellt. Denn nur wenn lästiger und unnötiger Aufwand für Software Developer Kits (SDKs) und proprietäre Methoden entfallen, bringt eine EMM-Plattform im Zusammenspiel mit einem auf Endgerätekonvergenz ausgerichteten Betriebssystem wie Windows 10 die erhofften Produktivitätsvorteile.

Über den Autor:
Stratos Komotoglou ist Senior Manager, EMEA Product- & Field Marketing, beim Mobile-Enterprise-Security-Anbieter MobileIron. Weitere Informationen über Windows 10 und dessen Bedeutung für Unternehmen finden Sie bei MobileIron hier.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Mobile-Device-Management (MDM)

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close