Microsoft System Center Mobile Device Manager 2008

Nur für Enterprise Kunden
Was ich bislang vom Mobile Device Manager gesehen habe, ist die Lösung nicht für kleine und mittelständige Firmen gedacht, es sei denn der Vorteil oder Sicherheitsaspekte würden den Aufwand rechtfertigen, der für SCMDM erforderlich ist.

Gerüchteweise wird SCMDM nicht weiter entwickelt. Zugegeben ist es auch sehr eingeschränkt, sich nur auf Windows Mobile 6.0/6.5 zu beschränken und keine Lösung für Android, iPhone, Symbian etc. anbieten zu können. Das können Wettbewerber besser. Ich könnte mit vorstellen, dass die Funktion in der nächsten Version von System Center Configuration Manager aufgehen wird.

Blackberry, Nokia und andere Produkte erlauben schon lange ein effektives Management der mobilen Endgeräte von einem zentralen Ort. Entsprechende Lösungen gibt es auch schon für Windows Mobile von verschiedenen Anbietern. Mit dem System Center Mobile Device Manager bringt Microsoft nun auch einen Management Server für Windows Mobile Geräte mit.

Grundprinzip

Vielleicht haben Sie meine Seite zu einem kleinen Provisioning für PDAs auf Exchange ActiveSync mit Zertifikaten gelesen, dass hier der PDA per LDAP eine XML-Information aus dem Active Directory bezieht, um zu wissen, wie er Zertifikate bekommt. So einfach ist die Lösung mit dem Mobile Device Manager leider nicht. Warum auch immer hat Microsoft dieses Produkt ziemlich umfangreich gemacht, so dass es für kleinere Firmen nicht wirklich interessant sein dürfte.

Zuerst benötigt man eine Software auf dem Windows Mobile Device, zu dem Microsoft sagt:

The Mobile Device Manager client is provided via an Update to the Windows Mobile software. All Windows Mobile devices running a future version of Windows Mobile will have this client built-in.

Leider hat Windows Mobile 5 kein "Windows Update" und die wenigsten PDAs haben aktuell diese Software. Damit diese Software aber nun ihre Richtlinien von der Firma bekommt ist ein mehrstufiger Prozess erforderlich: (vereinfacht)

  • Admin legt eine Device Registrierung an
    Damit wird in der SQL-Datenbank des Mobile Devices Manager ein Eintrag für das Gerät gemacht. Hierbei wird auch eine Einmal-PIN generiert
  • Benutzer startet Konfiguration
    Der Benutzer gibt dazu seine Mailadresse ein und der PDA nutzt den Domainnamen der Mailadresse um den Server der Firma zu finden. Dort meldet er sich nun mit der PIN an und bezieht das Stammzertifikat der Firma. Der Server legt passend nun ein Konto im Active Directory an, auf welches auch Gruppenrichtlinien wirken.
  • IPSecTunnel
    Der PDA ist ja nun der Firma "bekannt" und hat auch ein Zertifikat, so dass er einen IPSEC-Tunnel zum Heimatserver aufbauen kann. Durch diesen Tunnel erfolgt dann die eigentliche Konfiguration des PDAs. Der Tunnel bleibt auch die ganze Zeit aktiv, so dass auch andere Anwendungen diesen sicheren Weg nutzen können. Ich hoffe nur, dass ihr WLAN/DSL-Router zuhause, der per WiFi mit ihrem PDA spricht auch einen IPSEC-VPN (NAT-Traversal) sauber bedienen kann

Schon aufgrund dieser kurzen Zusammenfassung sieht man, dass der Prozess sehr viele Komponenten enthält, die für die Funktion erforderlich sind.

Voraussetzungen

Damit sie den System Center Mobile Device Manager einsetzen können, sind einige Voraussetzungen zu erfüllen:

  • Active Directory
    Zum Glück ist diese Voraussetzung für die meisten Firmen kein Problem mehr
  • Zertifizierungsstelle
    Spätestens nun wird es Zeit für eine interne Zertifizierungsstelle, die in das Active Directory integriert sein muss. Denn die PDAs holen sich mit Hilfe des SCMDM ein Computerzertifikat, welches dann zur Authentifizierung und den IPSec Tunnel verwendet wird.
  • SQL Express oder Vollversion
    Hier legen die verschiedenen Komponenten ihre Konfiguration und die Inventardaten der Clients ab. Man kann hier mit der SQL Express Version arbeiten. Beim Einsatz mehrerer Server ist eine volle SQL-Installation ratsam.
  • WSUS3
    Auch der WSUS3-Server ist lauf Anleitung zwingend, da über diesen Weg der PDA seine Updates durch den IPSec-Tunnel bekommt. Übrigens gibt es einen Assistenten, mit dem Sie eigenen PDA-Anwendungen paketieren und auf dem WUS-Server bereitstellen können.
  • Zwei Server Minimum
    Die Funktion ist auf drei Rollen (Gateway(GW), Device Management (DM) und Enrollment (EN)) aufgeteilt. Dabei muss die Gatewayrolle auf einem eigenständigen Server installiert sein, der auch nicht Mitglied der Domäne sein darf. (Workgroup). Die beiden anderen Rollen müssen aber auf einem Mitgliedsserver installiert werden
  • Windows x64
    Soweit ich gesehen habe wird die Software nur auf Windows x64  ausgeliefert werden.

Das einzige was sie nicht zwingend brauchen ist ein Exchange Server. Die Anforderungen sind also schon etwas umfangreicher, so dass eine Installation in kleinen Firmen eher nicht vorkommen werden.. Letztlich ist es aber eine Kosten/Nutzenrechnung, ab wann sich der System Center Mobile Device Manager 2008 rechnet. Ist der Einsatz von mobilen Geräten erforderlich bzw. bringt dies einen betrieblichen Vorteil, dann wird der Server sicher auch mit wenigen mobilen Endgeräten eingesetzt.

Was bekomme ich damit ?

Der Aufwand lohnt sich daher für Firmen mit vielen Windows MObile Clients durch die Einsparung von Arbeitszeit für die Konfiguration und für Firmen mit hohem Sicherheitsanspruch. Die Komponente auf dem Client kann nämlich fast alles steuern und verhindern, was einen PDA von heute ausmacht.

  • Kennworteinstellungen verwalten
  • Blockieren von
    POP3, IMAP4, Kameras, Wireless, Infrarot, Bluetooth, Speicherkarten, Anwendungen auf dem PDA
  •  Speicherkartenverschlüsselung
  • Verbindungseinstellungen vorgeben
    VPN Einstellungen
  • ActiveSync Einstellungen steuern
    Das geht herunter bis auf die Synchronisationszeiten und das Alter der Mails, die abgeglichen werden
  • Software verteilen
    Mittels WSUS Server werden Pakete auf die PDAs durch den IPSec-Tunnel verteilt
  • Sperren von Anwendungen
    Zentral kann ganz genau gesteuert werden, welche Programm auf dem PDA gestartet bzw. installiert werden können. Man kann sogar Programme blockieren, die im ROM enthalten sind

Nur das Verteilen von ROM-Updates wird nicht gehen.. Ich bin mal gespannt, wie "sicher" diese Absicherung ist. Allerdings frage ich mich, warum das alles immer so "groß" sein muss. für den klassischen Mittelstand mit vielleicht bis zu 100 Endgeräten ist diese Lösung.

Alternativen

Wenn der System Center Mobile Device Manager für ihre Umgebung nicht passt, weil sie nur wenige PDAs haben, oder mit weniger Funktionen auskommen, dann gibt es durchaus Alternativen. teils sind dies Produkte, die sie in ihrem Netzwerk selbst installieren können oder Dienstleister, die extern ihnen die Konfiguration erleichtern.

Da all diese Programme allerdings keinen Zugriff auf das ROM des PDA haben, funktionieren Sie erst nach einer Installation eines entsprechenden Clients, der einen Hard-Reset des PDAs natürlich nicht überlebt. Der Client wird je nach Produkt entweder über ActiveSync und den DesktopPC, über eine Speicherkarte (Autorun) oder über einen Download mittels Pocket Internet Explorer installiert. Gerade der letzte Weg kann vereinfacht werden, wenn z.B. eine SMS an das Mobilgerät den Link per "Anklicken" einfach erreichbar macht.

Zwei Faktoren sind bei diesen Produkten natürlich zu berücksichtigen:

  • Erstinstallation
    Wird der Management Client über die Desktopverbindung und ActiveSync installiert, dann ist eine Installation "Over the Air" (OTA) nicht möglich.
  • Sicherheit
    Hier gilt zu beachten, wie das Gerät nach einem Hardreset wieder gesichert wird und ob der Sicherungsclient auch zuverlässig ein VPN zur Firma aufrecht erhält, wenn so genannte "Line of Business (LOB)"-Anwendungen gestartet werden.

Insofern ist der System Center Mobile Device Manager allein durch die Unterstützung im ROM des Nachfolgers von Windows Mobile 6.0 die umfassendste Lösung.

Weitere Links