ra2 studio - stock.adobe.com
MDM: Optionen zum automatisierten Rollout mobiler Geräte
Das Ausrollen und Konfigurieren von mobilen Geräten kann besonders größere Unternehmen herausfordern. Dieser Artikel zeigt, wie sie diesen Prozess automatisieren können.
Da die Anzahl der mobilen Geräte in Unternehmen steigt, wird ihre Anmeldung, Registrierung und Konfiguration zunehmend umständlicher, zeitaufwändiger und frustrierender. Die IT-Abteilung kann diese Herausforderung meistern, wenn sie diese Prozesse automatisiert.
Ohne Automatisierung muss die IT-Abteilung möglicherweise Geräte nicht nur manuell verfolgen und konfigurieren, sondern auch mehrere andere ressourcenintensive Aufgaben erledigen. Die IT-Abteilung kann Benutzer dazu auffordern, eine MDM-Client-Software (Mobile Device Management) herunterladen, etwa über eine Website oder das Scannen eines QR-Codes. Von dort aus müssen Benutzer eine Reihe von vorgeschriebenen Schritten befolgen, um sich mit dem MDM-Dienst zu verbinden und zu registrieren. Doch selbst dieser einfache Prozess kann die Zahl der Anrufe beim IT-Support erheblich erhöhen.
Ein automatisierter Prozess für die Anmeldung und Konfiguration macht diese manuellen Schritte überflüssig und stellt sicher, dass jedes Gerät mit den erforderlichen Richtlinien ausgestattet ist, um es ordnungsgemäß und sicher zu verwalten. In den meisten Fällen müssen Benutzer nur wenige grundlegende Schritte zur Selbstaktivierung ihrer Geräte durchführen. Das vereinfacht und beschleunigt nicht nur die Registrierung und Konfiguration, sondern reduziert auch den Verwaltungsaufwand.
Die automatisierte Registrierung basiert auf verschiedenen Services, die für mobile Geräteplattformen verfügbar sind, darunter das Apple Device Enrollment Program (DEP), Android Zero-Touch Enrollment (ZTE) und Samsung Knox Mobile Enrollment (KME) für Android-Geräte. Microsoft bietet auch einige eigene Dienste an, um die Registrierung von Windows 10-Geräten zu vereinfachen.
Apple: Device Enrollment Program (DEP)
Apple hat mit der automatisierten Registrierung durch das DEP eine Vorreiterrolle eingenommen. Das DEP optimiert die Bereitstellung von unternehmenseigenen macOS-, Apple TV- und iOS-Geräten, die direkt über Apple oder einen autorisierten Reseller erworben wurden. Da der Service die MDM-Anmeldung für umfangreiche Implementierungen automatisiert und die Zero-Touch-Bereitstellung ermöglicht, brauchen Administratoren nicht mehr auf jedes Gerät zuzugreifen.
Um Apple-Geräte auf die automatische Anmeldung und Konfiguration vorzubereiten, kann die IT-Abteilung jedes MDM-Produkt verwenden, das die DEP-Integration unterstützt. Diese Integration bieten mittlerweile alle wichtigen Hersteller, sogar Microsoft Intune. Administratoren sollten die DEP-Website von Apple verwenden, um anzugeben, welche MDM-Plattform sie für die Verwaltung der Geräte einsetzen wollen.
Der DEP-Dienst arbeitet mit der Plattform zusammen, um die Geräte zu registrieren und nutzt die in den Betriebssystemen der Geräte integrierten MDM-Funktionen. Administratoren müssen lediglich die Seriennummern oder Bestellnummern der Geräte angeben, um sie in den DEP-Bereitstellungsprozess zu integrieren.
Wenn Benutzer ihre DEP-fähigen Geräte einschalten, starten interne Mechanismen den Setup-Assistenten, der sie durch die notwendigen Schritte zur Konfiguration und Aktivierung ihrer Geräte führt. Um diesen Prozess zu beschleunigen, können Administratoren festlegen, dass Benutzer bestimmte Schritte überspringen. Das können die Anmeldung in der iCloud, die Zustimmung zu den Geschäftsbedingungen und die Einrichtung von Apple Pay sein. Nachdem der Benutzer das Gerät aktiviert und beim MDM-Dienst registriert hat, kann er mit seinen rollenspezifischen Rechten auf die erforderlichen Anwendungen und Kontoeinstellungen zugreifen.
Android: Zero-Touch Enrollment
Android hat seinen ZTE-Service eingeführt, um Android-Rollouts schneller und sicherer zu gestalten. Mit dem Service können Unternehmen vorkonfigurierte Geräte erwerben, die über die für Endbenutzer erforderlichen Verwaltungseinstellungen verfügen. Benutzer brauchen sich nur bei ihren Geräten anzumelden, um die benötigten Ressourcen zu erhalten.
Um den ZTE-Service von Android nutzen zu können, muss ein Unternehmen die Geräte bei einem zugelassenen Android-Anbieter oder -Carrier kaufen, der das ZTE-Programm unterstützt. Dazu gehören Samsung, Sony, LG Electronics, Motorola oder Huawei. Es ist nicht möglich, die Geräte in einem Elektromarkt oder anderen Geschäften zu kaufen.
Sobald die Firma den Auftrag erteilt hat, kann der Reseller ein ZTE-Konto für sie einrichten. Das Konto ermöglicht den Administratoren der Firma den Zugriff auf das ZTE-Portal, in dem die IT-Abteilung die Konfigurationsrichtlinien der Geräte definieren muss.
Administratoren können über das Portal auch die MDM-Plattform angeben, die die Geräte verwalten soll. Mehrere MDM-Anbieter haben ZTE in ihre Produkte integriert, darunter VMware, BlackBerry, MobileIron und Soti.
Der Android-Reseller richtet die mobilen Geräte vor dem Versand an den Kunden mit Hilfe der Konfigurationseinstellungen aus dem ZTE-Portal ein. Dabei vergibt er für jedes Gerät eine eindeutige ID, mit der sich der Mitarbeiter zum ersten Mal am Gerät anmelden muss. Damit löst er den selbstständigen Bereitstellungsprozess aus, der das Gerät automatisch beim dafür vorgesehenen MDM-Dienst registriert.
Samsung: Knox Mobile Enrollment
Samsung war der erste Android-Anbieter, der sich ernsthaft mit der Automatisierung der Registrierung beschäftigte. Der Samsung KME-Service ermöglicht es, Tausende von Geräten gleichzeitig zu registrieren, ohne dass die IT-Abteilung sie dazu in die Hand nehmen muss.
Ein Unternehmen kann jedes MDM-System verwenden, das die KME-Bereitstellung unterstützt, solange sich der MDM-Server mit dem KME-Server verbinden kann. Der KME-Service ist flexibel genug und unterstützt mehrere MDM-Plattformen sowie mehrere Registrierungskonfigurationen gleichzeitig. Administratoren sollten auch den KME-Server verwenden, um ein Profil für jede eingesetzte MDM-Plattform zu erstellen.
Um den KME-Service nutzen zu können, muss das Unternehmen die Geräte von einem autorisierten Reseller oder Distributor beziehen. Zusammen mit den Geräten stellt der Verkäufer dem Kunden die Seriennummern der Geräte und die International Mobile Equipment Identity-Nummern (IMEI) zur Verfügung. Ein Administrator kann jede dieser Nummern auf den KME-Server hochladen, um ein Gerät für die KME-Provisionierung zu registrieren.
Wenn ein Benutzer ein Gerät zum ersten Mal einschaltet, startet der KME-Setup-Assistent einen MDM-Agenten und konfiguriert ihn so, dass er das Gerät beim MDM-Dienst anmeldet.
Microsoft: Azure AD und Windows AutoPilot
Obwohl die Zahl der mobilen Windows-10-Geräte im Unternehmen auf einem historischen Tiefstand ist, verwenden Unternehmen weiterhin PCs und Notebooks mit Windows 10. Und Microsoft setzt weiterhin auf moderne Produkte für das Management mobiler Geräte, mit denen sich das Ausrollen und die Verwaltung von Equipment optimieren lassen.
Eine Option bildet Azure Active Directory (AD) Join, ein Azure AD-Dienst, der Administratoren die automatische Registrierung und Verwaltung von unternehmenseigenen Windows-10-Geräten über ein MDM-System ermöglicht, einschließlich Intune.
Azure AD Join authentifiziert den Benutzer sowie das Gerät und stellt dem MDM-Dienst dann die für die automatische Registrierung des Geräts erforderlichen Informationen für die Identifizierung des Nutzers zur Verfügung. Dieser Prozess vereinfacht die Registrierung sowohl für Administratoren als auch für Endbenutzer. Um Azure AD Join für die automatische Registrierung nutzen zu können, benötigen Unternehmen eine Lizenz für Azure AD Premium.
Ab Windows 10, Version 1709, können Unternehmen auch Einstellungen für Gruppenrichtlinien verwenden, um Windows-Geräte für die automatische Anmeldung bei einem MDM-Produkt zu konfigurieren. Hier gibt es allerdings einige Einschränkungen. Beispielsweise müssen die Geräte bereits im AD registriert sein, und der MDM-Dienst muss bei Azure AD registriert sein. Zusätzlich müssen Benutzer über Azure AD Premium lizenziert werden.
Microsoft hat außerdem den Service Windows AutoPilot eingeführt, eine Reihe von Technologien zur Vorkonfiguration und automatischen Bereitstellung neuer Windows 10-Geräte. Wenn Benutzer ihre Geräte zum ersten Mal einschalten, brauchen sie sich nur mit einem Netzwerk zu verbinden und ihre Zugangsdaten zu überprüfen. Die AutoPilot-Funktionen kümmern sich um alles andere, einschließlich der Anmeldung beim bevorzugten MDM-Dienst. Administratoren können den Service dann nutzen, um Richtlinien, Profile, Anwendungen und andere Komponenten zu verwalten.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!