Mobile Device Management

Die Seite wurde gestartet, weil ich bei einem Kunden eine erste Untersuchung Anfang 2011 machen durfte und ein weiterer Kunde eine aktuelle Liste der Produkte nachgefragt hat.

Exchange 2003 mit ActiveSync kann wohl als erste Plattform von Microsoft bezeichnet werden, die zusammen mit Windows Mobile 5 und ActiveSync neben dem Mailaustausch auch einige Richtlinien für die Endgeräte bereit gestellt hat. Vorher gab es im kommerziellen Bereich eigentlich nur den Blackberry Enterprise Server mit entsprechenden Handheld, die für damalige Verhältnisse sehr gut "gemanaged" waren. Heute sieht die Welt sehr viel diversifizierter aus. Zwar hat sich Exchange als Mailplattform und vor allem auch ActiveSync als Protokoll sehr stark durchgesetzt, aber genauso vielfältig ist die Auswahl an Endgeräten geworden. Aus dummen Telefonen wurden Smartphones mit umfangreichen Funktionen. Microsoft, Blackberry/RIM, Apple, Google sind die größeren Wettbewerber, während HP (WebOS) und Symbian nachlassen.

  • MDM Policy
    Überlegungen zu Endgeräte-Richtlinien zwischen Privat, BYOD, MAM und MDM mit Firmengeräten

MDM mit Microsoft

Auf der Seite Mobile Device Manager 2008 hatte ich 2008 mal beschrieben, wie Microsoft sich die "bessere Verwaltung" von Windows Mobile Clients vorstellt, die mehr als nur ActiveSync Verbindungen machen wollen. Ein Client, der bei Windows Mobile 6.5 schon enthalten ist (aber in Windows Phone 7 nicht mehr) hat nach einer ersten Konfiguration eine permanente IPSEC-Tunnelverbindung zum Gegenstück in der DMZ der Firma aufgebaut, der seinerseits nach innen mit einem Server zur Verwaltung kommuniziert hat. Ich weiß nicht wie viele Male der Mobile Device Manager überhaupt installiert wurde, und mittlerweile ist auch klar, dass diese Funktion irgendwie in System Center Configuration Manager 2012 aufgehen wird. Zudem haben sich die Marktanteile der mobilen Clients doch durch iPhone/iPad und Android-Derivate sehr vermischt. Eine Managementlösung kann also nicht mehr nur auf eine Clientplattform setzen.

Aufgrund der schnelle Entwicklung und Veränderungen kann diese Seite nur bedingt aktuell bleiben. Ich bin für Hinweise und Korrekturen dankbar. Die Seite kann aber nicht mehr als eine neutrale Quelle für Produkte sein, aber darf nicht als Empfehlung oder Testbericht verstanden werden. Ich werde auch nicht die Produkte außerhalb eines konkreten Projekt testen können.

Fakt ist aber wohl, dass MDM von Microsoft primär in Office 365 weiter geführt wird. Sei es nun als Bestandteil von Office 365 MDM oder als eigenständiges Produkt "Intune", welches aber ebenfalls in der Cloud angeboten wird.

Aufgabenstellungen

Für Firmen ist neben Pushmail und den "Kennwortrichtlinien", die per ActiveSync mittlerweile wohl alle Endgeräte unterstützen, natürlich die weitergehende Konfiguration immer wichtiger. Das geht weit über "Remote Wipe" hinaus. Gerade wenn höhere Ansprüche an die Sicherheit gestellt wird, dann ist eine Anmeldung mittels Benutzername/Kennwort nicht mehr ausreichend. Ideal ist die Anmeldung mit Zertifikaten, welche natürlich auf das Endgerät kommen müssen. Da dazu meist Benutzerzertifikate einer privaten CA genutzt werden, muss diese StammCA auch erst mal als "Trusted" addiert werden. Entwickelt oder stellt eine Firma dann noch eine Branchenapplikation für PDAs bereit, dann muss diese Software auch verteilt, aktualisiert und inventarisiert werden. Auch für den Support wäre neben Inventardaten vielleicht auch eine Fernsteuerung von Interesse.

Für Exchange Administratoren ist natürlich eine Vorkonfiguration von ActiveSync auf dem PDA interessant, d.h. dass der Benutzer möglichst wenig eintragen muss. So könnte der Zugriffspunkt schon alleine hinterlegt werden.

Werden private Telefone zugelassen, dann wäre eine abgestufte "Wipe-Funktion" wünschenswert, z.B. wenn ein Mitarbeiter ausscheidet, dann könnte eine passende Anwendung einfach nur den Zugang zur Firma und die dazugehörigen Daten entfernen aber die privat gemachten Bilder und andere Medien auf dem Gerät belassen. Sie sehen also, dass es eine ganze Menge von Wünschen an ein Management gibt.

Technische Funktion

Die meisten MDM-Lösungen funktionieren derart, dass Sie sich als ReverseProxy zwischen das Mobilgerät und Exchange schalten. Die "ActiveSync"-Anfragen landen also nicht mehr direkt beim Exchange Server sondern werden durch die MDM-Lösung durchgeleitet, wenn das Endgerät "compliant" ist.

In der Regel muss ein Admin erst den Benutzer in dem MDM-Server konfigurieren. Teilweise geht dies durch einen Zugriff auf das interne Verzeichnis, was aber nicht zwingend so ist. Dann installiert der Anwender die "MDM-App" auf dem Mobilgerät. Auch hier kann der MDM-Admin z.B. über eine SMS den Link senden. Diese App verbindet sich dann mit dem MDM-Server, lädt Richtlinien und weitere Produkte und erst wenn die MDM-App das Endgerät als "konform" an den MDM-Server meldet, schaltet dieser für dieses Endgerät den "MDM Reverse Proxy" für ActiveSync frei. Natürlich kann die "MDM App" auch gleich die richtigen Einstellungen im PIM-Programm vornehmen.

Damit ist auch klar, dass der Schutz nur gegeben ist, wenn der Exchange Server gar nicht mehr direkt durch das Gerät zu erreichen ist, sowohl intern als auch extern. Das lässt sich intern z.B. dadurch sicherstellen, dass über IP-Beschränkungen der Zugriff auf das Verzeichnis "/Microsoft-Server-ActiveSync" reglementiert wird, dass nur noch der MDM-Server zugreifen kann.

Produkte

Es ist gar nicht so einfach einen Marktüberblick zu bekommen, da sich verschiedene kleine und große Firmen den Begriff MDM verwenden und es sehr wohl ein unterschied ist, ob die Lösung von Telko-Providern, Hostern oder Firmen im Eigenbetrieb eingesetzt werden soll. Und wie üblich bezeichnet sich jede Firma als "Leader" aber Preise oder Evals werden erst nach einer Kontaktaufnahme bereit gestellt. Man könnte fast meinen, dass die Produkte entweder zur kompliziert wären oder sich nicht alleine verkaufen würden. Wobei nicht vergessen werden darf, dass das mobile Management teilweise Bestandteil einer allgemeinen "Client Management Suite" ist, mit der Firmen auch Desktops verwalten können. Vielleich ist das ein Grund über einen Kontakt den Interessenten weiter abklopfen zu wollen.

Ich würde mich über Infos zur Komplettierung der Liste freuen.

Produkt

Plattform

PC

iPhone

Android

WM

Symbian

RIM

Microsoft InTune

Verwaltet Mobile Geräte und Windows 10 aus der Azure Cloud als Hosted Servcice.

Microsoft Cloud

Ja

Ja

Ja

Ja

Nein

Nein

Microsoft Exchange ActiveSync Server

Nur Pushmal, Kenwortrichtlinien aber keine Konfigurationspflege. Zugangssteuerung per EAS Quarantäne

Win/ASPX/SQL

Nein

Teilweise

Teilweise

Teilweise

Teilweise

Nein

Mobile Iron
http://www.mobileiron.com/

 

 

 

 

 

 

 

Microsoft Mobile Device Manager/Configuration Manager
http://technet.microsoft.com/en-us/library/bb633175.aspx
Nur Windows 5.0-6.5 Clients

Win/ASPX/SQL

Nein

 

 

 

 

 

AirWatch
http://www.air-watch.com/

Win/ASPX/SQL
Appliance
SaaS

 

 

 

 

 

 

Sybase Afaria
http://www.sybase.de/products/mobileenterprise/afaria
http://www.sybase.com/products/mobileenterprise/afaria
http://www.networkcomputing.de/nwc/mobile-und-wireless/artikel/archive/26/article/management-von-symbian-os-v9-mit-afaria/

Win/ASPX/SyBase

 

 

 

 

 

 

equinux Tarmac
http://www.equinux.com/de/products/tarmac/index.html

MacOS
Windows

Nein

Ja

Nein

Nein

Nein

 

Ubitex (mittlerweile von Blackberry gekauft)
http://www.ubitexx.com/

Win/ASPX/SQL

Nein

 

 

 

 

 

SmithMicro DeviceManagement Suite
http://www.smithmicro.com/products/device-management-suite.aspx

 

 

 

 

OMA

OMA

 

Good CloudSymc
http://www.good.com/products/good-cloudsync.php

 

 

Nein

Nein

ja

Ja

Ja

SecureMobileMail
http://www.securemobileemail.com/

ISA/TMG/UAG Filter

 

 

 

 

 

 

auralis
http://www.auralis.de

Virtual Appliance

Nein

Ja

Ja

Ja

Nein

Nein

AppTec360
http://www.apptec360.com/

25 Device Version kostenfrei (Appliance auf Ubuntu)

SAAS Hosted oder lokale VM

Nein

Ja

Ja

Ja

Nein

 

Und wenn Sie etwas herum schauen, dann gibt es sicher noch weitere Produkte. Sie können natürlich auch einfach mal ihren aktuellen Softwarehersteller zum Thema Softwareverteilung, Clientmanagement fragen wie z.B. BMC, CA, HP, IBM Tivoli, LANDesk, Microsoft (SCMDM), ), Sparus, Symantec, Synchronize, Wandering WiFi (AirWatch), Wavelink (Avalanche)und einige andere.

Da kam es mir natürlich gerade recht, dass ein größeres Institut (Gartner) eine entsprechende Analyse veröffentlicht hat, die sich bei verschiedenen Herstellern dann auch öffentlich findet. Der Report z.B. verfügbar auf

Weitere Links