Vorsicht bei MDM-Tools und vielen unterschiedlichen Endgeräten
Wer mit seiner MDM-Lösung viele unterschiedliche Geräte verwalten will stößt schnell auf Probleme. Wir geben Tipps zum Umgang mit der Gerätevielfalt.
Das Mobile Device Management (MDM) für einen heterogenen Endgeräte-Park gleicht der Aufsicht über eine zweite Klasse. Die Schüler lassen sich in zwei große Gruppen unterteilen: Mädchen und Jungen. Die mobilen Geräte in den meisten Unternehmen lassen sich ebenfalls in zwei Gruppen einteilen: Android und iOS. Jedes mobile Endgerät ist nun genau wie Kinder ein bisschen einzigartig und reagiert auf Regeln und Policies ein klein wenig anders.
Mobile Device Management ist eine effektive Möglichkeit für Administratoren, mobile Endgeräte wie Smartphones und Tablets in Firmen-Netzen unter Kontrolle zu halten, allerdings gibt es da auch einige Fallstricke, die man im Auge behalten sollte. Auf dem Markt gibt es viele verschiedene MDM-Tools und jedes einzelne davon hat seine individuellen Stärken und Schwächen, die aus den verschiedenen mobilen Betriebssystemen, deren unterschiedlichen Versionen sowie den jeweiligen Konfigurationsmöglichkeiten resultieren und sich daher nicht immer ausmerzen lassen.
Geben Sie ruhig den Geräten die Schuld an den MDM-Schwierigkeiten
Die Mehrzahl der in Unternehmen eingesetzten Geräte laufen heutzutage entweder mit Android oder iOS, weniger weit verbreitet sind Geräte von Blackberry oder mit Microsofts mobilen Betriebssystemen Windows Phone und Windows 8. Das größte Problem beim Durchsetzen der Policies auf all diesen Geräten ist nun, dass jede Plattform, jedes Betriebssystem und sogar jede unterschiedliche Betriebssystem-Version unterschiedliche Konfigurationsmöglichkeiten bietet.
Sie müssen beispielsweise wissen und akzeptieren, dass iOS-Geräte in der Regel keine MDM-kontrollierte Verschlüsselung unterstützen. Verschiedene Android-Versionen wiederum behandeln die App-Restriktionen unterschiedlich. Wenn Sie etwa die Nutzung von Google Play auf Android-Geräten unterbinden wollen, dann müssen Sie dies je nach Android-Version anders implementieren. Unter Android 4.0 Ice Cream Sandwich erscheint Google Play dann immer noch in der App-Übersicht, auch wenn der Zugriff darauf nicht erlaubt ist. Unter Android 4.1 – 4.3 Jelly Bean dürfte Google Play dagegen gar nicht erst sichtbar sein.
Zusätzlich müssen sich Administratoren aber auch mit den von Mobilfunkanbietern modifizierten Android-Geräten, mit Jailbreak-iPhones, gerooteten Android-Smartphones und so genannten Custom ROMs herumplagen. All diese Variablen machen Ihnen beim Mobile Device Management das Leben schwer und so können Sie nicht mit Sicherheit sagen, welche Policies auf welchen Geräten wirklich wirksam sind.
Machen Sie sich mit den unterschiedlichen Geräten vertraut
Wahrscheinlich gibt es bereits Smartphones, Tablets und Notebooks, die Sie in Ihre MDM-Lösung integrieren möchten. Bevor Sie sich also für einen der vielen Anbieter entscheiden, sollten Sie im ersten Schritt zunächst evaluieren, welche Geräte Sie überhaupt verwalten möchten. Smartphones sind eine Sache, aber sobald es auch um Tablets und Notebooks geht, gibt es schon weitaus mehr Einschränkungen. So können einige MDM-Tools zum Beispiel zwar Windows-Notebooks verwalten, aber keine Macs. Andere wiederum können auf einem Tablet nicht zwischen Windows 8 Pro mit x86-Architektur und Windows RT mit ARM-Architektur unterscheiden.
Wenn Sie gedacht haben, Sie könnten eine MDM-Lösung implementieren, die Policies ausrollen und sich dann aufgrund der vermeintlich installierten Kontrolle gemütlich zurück lehnen, dann haben Sie sich gründlich getäuscht.
Sobald Sie sich für ein MDM-Tool entschieden haben sollten Sie sich einige Test-Geräte organisieren und darauf die Standard-Policies Ihrer neuen MDM-Plattform für jeden einzelnen Geräte-Typ untersuchen. Aus meiner Erfahrung sind die Standard-Policies in der Regel sehr zahm und prüfen lediglich dann und wann das Software-Inventar auf dem Gerät. Modifizieren Sie die Standard-Regeln aber nicht sofort, auch wenn das verlockend ist. Fügen Sie zunächst Geräte hinzu und entfernen Sie diese wieder und führen Sie so lange einfache Administrations-Aufgaben durch, bis Sie mit dem System vertraut sind. Viele Administratoren gehen gleich aufs Ganze und schlittern dabei in scheinbar unvorhersehbare Verhaltens-Muster, was letztlich nur Frust erzeugt. Wenn einige Policies beispielsweise auf manchen Geräten funktionieren, auf anderen aber nicht, dann sieht das möglicherweise zunächst nach einem Fehler Ihrer Mobile-Device-Management-Lösung aus. Es könnte aber auch einfach eine Wissenslücke hinsichtlich Ihres MDM-Tools und den damit verwalteten unterschiedlichen Geräten sein.
Erweitern Sie Ihr Wissen über Mobile Device Management
Nachdem Sie Ihr MDM-System im Einsatz haben sollten Sie ruhig noch ein wenig mit den „Spaß“-Funktionen des Tools herumspielen. Dazu gehören zum Beispiel Geolokation, selektives Löschen von Daten oder Remote-Sperren. All diese Aufgaben dürften ohne Probleme auf Ihre unterschiedlichen mobilen Endgeräte übertragen werden, was zunächst den Anschein erweckt, dass sich alle Policies auf diese Weise ausrollen lassen. Das ist aber nicht der Fall.
In den meisten Fällen funktioniert ein MDM-Agent nach dem „Heartbeat-Modell“. Er meldet sich bei der Management-Plattform und sagt: „Ich bin da! Gibt es neue Policies?“. Eine neu erstellte Policy wird also möglicherweisen nicht sofort auf die unterschiedlichen Endgeräte übertragen, weil die MDM-Lösung auf eine Meldung der Endgeräte wartet. Damit scheint es so, als würden einige Geräte Policies schneller annehmen als andere.
Eine der schwersten Aufgaben bei der Einführung eines MDM-Tools ist aber das Installieren der nötigen Tools auf den Anwender-Geräten. Dafür gibt es zwei Gründe. Die meisten MDM-Tools versenden eine SMS oder E-Mail (oder beides) an den Anwender, die eine Anleitung zur Installation der MDM-App aus dem jeweiligen Store enthält. Möglicherweise verschickt Ihr MDM-Tool auch eine Nachricht mit einer Firmen-Nummer und Zugangs-Daten, die der Anwender für den Einsatz des MDM-Tools eingeben müssen. Dieser Prozess verwirrt Anwender möglicherweise und sofern Ihre IT-Abteilung den MDM-Agent nicht auf jedem einzelnen Gerät installieren möchte, sollten Sie klare und verständliche Anweisungen und Anleitungen versenden.
Das zweite Problem besteht darin, dass die Warn-Hinweise der jeweiligen MDM-Tools den Anwender abschrecken könnten. Im Grunde genommen steht da: „Diese App benötigt die Rechte, Ihr Geräte zu überwachen und Daten zu vernichten, sollte dies von der IT-Abteilung so gewünscht sein.“ Ich würde Ihnen gerne sagen, dass diese Mitteilung technisch verklausuliert verschickt wird und die meisten Anwender die Nachricht einfach ignorieren werden. Aber ganz im Gegenteil ist sie absolut verständlich und einige Anwender sind damit sicherlich nicht einverstanden, also sollten Sie Ihre Nutzer bezüglich dieser Warnung sensibilisieren und aufklären. Die Anwender müssen verstehen, warum die IT-Abteilung diese Rechte braucht, und warum das MDM-Tool sonst nicht effizient funktionieren kann.
In der Schule sind die Lehrer die besten, die Regeln, individuelle Aufmerksamkeit und Toleranz für Dinge, die sich nicht ändern lassen, gut ausbalancieren. Wenn Sie bei Mobile Device Management mit vielen unterschiedlichen Geräten genauso an die Sache herangehen, ist das der Weg zum Erfolg.