Mobile Device Management auf Microsoft-Art

Microsoft bietet Unternehmen eine Softwarelösung für das Mobile Device Management (MDM) auf Basis von System Center 2012 an.

Dieser Artikel behandelt

MDM

ÄHNLICHE THEMEN

Microsoft möchte Kunden mit Software für Mobile Device Management (MDM) versorgen. Die Grundlage dafür bildet System...

Center 2012, ergänzt durch die Cloud-basierte Management-Software InTune.

Immer mehr Nutzer greifen auf Unternehmenssysteme mit Smartphones oder Tablet-Computern zu, und ein zunehmender Anteil davon läuft nicht unter Windows. Um seine Präsenz in den IT-Infrastrukturen von Unternehmen zu wahren, ist es für Microsoft deshalb entscheidend, sich eine gewisse Kontrolle über diese neuen Geräte zu sichern. In den Augen von Kritikern ist der Software-Riese hier jedoch spät gestartet. Denn es gibt bereits beliebte Konkurrenz-Angebote zur Unterstützung von Richtlinien über „Bring Yor Own Device“ (BYOD).

Auf dem Papier sieht das Microsoft-Angebot vielversprechend aus. Es ermöglicht die Verwaltung einer breiten Palette von Geräten mit den Betriebssystemen iOS, Android, Windows Mobile, Windows Phone und Windows RT. Zu den Funktionen zählen Geräte-Verschlüsselung, Daten-Sicherung, Software-Deployment und Fernlöschung.

Wenn man sich näher mit der Lösung beschäftigt, treten jedoch Lücken und Inkonsistenzen zutage. Diese sprechen dafür, dass MDM von Microsoft noch nicht wirklich ausgereift ist. Die Integration mit System Center und Active Directory ist allerdings ein erheblicher Vorteil.

Die Geschichte von Microsoft bei Mobile Device Management hat mehrere Teile. Der alte und bekannte davon besteht im weithin unterstützten Exchange ActiveSync (EAS). Von diesem wendet sich Microsoft jetzt ab.

EAS ist ein Protokoll für den Zugriff auf E-Mail, Kalender, Kontakte und Aufgaben. Seine Fähigkeit, Sicherheitsrichtlinien einzurichten, macht es auch zu einem Werkzeug für Geräte-Management – wenn ein Nutzer die Richtlinien nicht akzeptiert, kann er sich nicht verbinden. Die Richtlinien betreffen Passwörter, Geräte-Verschlüsselung und Fernlöschung. System Center Configuration Manager, also für die Verwaltung von PCs und mobilen Geräten zuständige Teil der Suite, besitzt eine Schnittstelle für EAS, die ein Geräte-Management innerhalb dieser Konsole ermöglicht.

EAS ist effektiv, aber begrenzt. Aus diesem Grund konzentriert sich Microsoft jetzt stattdessen auf Geräte-spezifische Application Programming Interfaces (APIs). „Mit InTune gehen wir über EAS hinaus. Wir haben tief reichendes Management neu eingeführt, das sich die APIs in den Geräten zunutze macht“, sagt Andrew Conway, Produktmanager für den Enterprise-Client. Damit bekommt InTune eine neue Rolle. Ursprünglich war es als vereinfachte Cloud-basierte Version von System Center für kleinere Organisationen gedacht.

Bei InTune bleiben

Es gibt einen einfachen Grund dafür, dass jetzt InTune verwendet wird statt die im Configuration Manager bereits verfügbaren Funktionen für das Management von mobilen Geräten zu erweitern: Ein Cloud-basiertes Angebot ist für den Mobil-Bereich sinnvoller.

„Ein mobiles Gerät ist viel häufiger mit dem Internet verbunden als mit einem Intranet im Unternehmen“, erklärt Conway. Mit einem InTune-Konnektor für Configuration Manager können Administratoren aber weiterhin System Center für die Verwaltung nutzen. InTune funktioniert dann wie eine Art Backend-Dienst.

Screenshot von Microsoft InTune

Wenn Sie InTune für MDM konfigurieren, können Sie zwischen Integration mit System Center oder InTune-Webmanagement wählen. Diese Einstellung lässt sich hinterher offenbar nicht mehr ändern.

Der Einsatz von nativen APIs hat auch einen Nachteil. Jedes Gerät ist anders, und für seine Unterstützung ist deshalb jeweils zusätzliche Arbeit erforderlich. Ebenfalls kommt es darauf an, welche APIs die jeweilige Mobil-Plattform bietet. Laut Microsoft liegt Android hier hinter iOS. Dadurch ist die Unterstützung für Geräte bislang eher ein Flickwerk. Der Anwendungsbereich:

  • Windows Mobile 6.5 und früher: System Center Configuration Manager
  • Windows Phone 7.5 und früher: Exchange ActiveSync
  • Windows Phone 8: InTune
  • Windows RT: InTune
  • Apple iOS: InTune
  • Android: meist Exchange ActiveSync
  • Blackberry: Exchange ActiveSync/nicht offiziell unterstützt

In den Fällen, in denen EAS die Lösung ist, können Sie den EAS-Konnektor wahlweise für InTune oder für System Center verwenden.

Die Anforderungen für die Aufnahme von Geräten hängen auch vom jeweiligen Gerät ab. Für Windows 8 Phone müssen Sie bei Microsoft eine Enterprise ID und von Symantec ein Zertifikat zum Signieren von Zertifikaten kaufen. In diesem Bereich wird Android 2.1 oder höher unterstützt, ebenso iOS, Windows Phone 8 und Windows RT. Interne Anwendungen können entweder direkt veröffentlicht werden oder als Links zu einem öffentlichen App-Store.

Active Directory und InTune

Der Nachteil des Microsoft-Ansatzes liegt in der Komplexität der Einrichtung der Infrastruktur. Dies macht ihn für kleinere Organisationen deutlich weniger attraktiv.

Den Kern der Management-Infrastruktur von Microsoft ist Active Directory (AD), und dies bleibt auch bei Mobil-Geräten so. Denn nach Ansicht von Microsoft soll sich das Geräte-Management an den Nutzern orientieren. Bei InTune handelt es sich um einen Cloud-Dienst, der Azure Active Directory nutzt. Wie harmoniert dies mit Active Directory in der unternehmenseigenen Infrastruktur?

Für eine reibungslose Administration liegt die Antwort darin, beide Verzeichnisse  zu synchronisieren. So bleiben AD-Konten in der Cloud synchron mit AD vor Ort sowie mit den Active Directory Federation Services (ADFS), mit dem sich Nutzer beim AD im Unternehmen authentifizieren können. Zudem ist ein Single Sign-On (SSO) beim Anmelden für InTune möglich.

Wenn Sie nur Synchronisierung ohne ADFS einsetzen, müssen Sie auf SSO und einheitliches Passwort-Management verzichten, weil Passwörter dann nicht synchronisiert werden. Wenn sowohl Verzeichnis-Synchronisierung als auch ADFS eingerichtet sind, können Sie das gesamte Verzeichnis-Management vor Ort erledigen.

Schutz von Daten

Die größte Sorge in Bezug auf mobile Sicherheit in den meisten Unternehmen bezieht sich darauf, wie Daten auf den mobilen Geräten geschützt werden. Ein Anfang dafür ist eine Geräte-Verschlüsselung. Laut Microsoft reicht die allein jedoch nicht aus, weil Daten von den Geräten auf ungeschützten Speicher kopiert werden könnten. Zwei Features von Windows Server können hier helfen.

Das erste ist Dynamic Access Control, neu bei Server 2012. Damit können Sie Dokumente manuell oder automatisch mit Tags und Keywords klassifizieren und Richtlinien darauf anwenden, etwa welche Nutzer mit welchen Geräten darauf zugreifen dürfen. Dynamic Access Control basiert auf der Auswertung von Ausdrücken, statt nur Gruppen-Mitgliedschaften zu prüfen.

Das zweite Feature ist Information Rights Management, das Dokumente verschlüsselt und Regeln zu ihrer Nutzung darauf anwendet. Es ist integriert mit Dynamic Access Control, so dass das Rechte-Management auf Dokumente, die vorgegebene Bedingungen erfüllen, automatisch angewendet werden kann.

Vorteile und Nachteile

Der Vorteil des Microsoft-Ansatzes für das Geräte-Management besteht darin, dass es sauber sowohl mit Active Directory als auch mit System Center integriert ist. Bei einer vollständigen Implementation deckt die Lösung eine Reihe von wichtigen Aspekten einschließlich Schutz von Daten, Compliance und App-Deployment ab.

Der Nachteil liegt in der Komplexität der Einrichtung der Infrastruktur. Für große Unternehmen mag sie keine übermäßige Belastung sein, für kleinere Organisationen sinkt dadurch die Attraktivität jedoch merklich. Ein weiterer Minuspunkt: Sie brauchen die neueste Version von Windows Server und System Center. Ein großer Teil der neuen Möglichkeiten kommt mit System Center 2012 Service Pack 1.

Zudem ist derzeit die Unterstützung für Android eingeschränkt, andere Systeme wie das neue BlackBerry 10 werden noch gar nicht unterstützt. Die Unterstützung für iOS ist allerdings gelungen, so dass zumindest die beliebteste Option für mobile Geräte in Unternehmen abgedeckt ist.

Detaillierte Informationen zur Einrichtung von Mobile Device Management mit System Center und InTune finden sich in den Sitzungen des Microsoft Management Summit, die Sie hier abrufen können.

Artikel wurde zuletzt im April 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Mobile-Device-Management (MDM)

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close