Windows 10 Mobile zentral verwalten
MDM für mobile Fenster
Es geht mit Schwung in eine neue Runde. Erst vor Kurzem meldete Microsoft den Abbau von 7.800 Stellen, überwiegend im ehemaligen Nokia-Bereich. Gerüchte, Microsoft gebe Windows Phone auf, hat man in Redmond schnell dementiert, auch wenn deutlich wurde, dass das Nokia-Abenteuer nicht den notwendigen Erfolg gebracht hatte. Mit Windows 10 wagt Microsoft einen Neuanfang. Um diesen zu verdeutlichen, heißt Windows Phone neuerdings wieder Windows Mobile.
Bei den Mobile-OS-Marktanteilen hat sich in den letzten Jahren nicht wirklich viel bewegt: Windows Phone liegt weiterhin hinter IOS und Android. Dies allein führt dazu, dass man vermutlich in kaum einem Unternehmen eine reine Windows-Phone-Strategie verfolgen kann. Somit ist bei der Betrachtung des Themas MDM (Mobile-Device-Management) auch die Unterstützung anderer Plattformen zu berücksichtigten. Doch bevor man auf die Einzelheiten des Mobile-Device-Managements eingeht, ist es notwendig, dieses in seinen Kontext zu stellen.
Kontext der neuen Microsoft-Strategie
Windows 10 Mobile ist nur ein Bestandteil des umfangreichen Microsoft-Ökosystems, an den man in Redmond die Hoffnung auf künftigen Erfolg im Smartphone-Bereich knüpft. Zwar wird das neue Microsoft häufig gelobt für sein klares Bekenntnis zur Offenheit der Systeme und zur Akzeptanz, dass es noch andere Marktteilnehmer gibt, doch das alte Microsoft schimmert immer wieder durch. Dies sollte man im Hinterkopf haben, denn unverkennbar ist Microsoft bestrebt, seinen Kunden die gesamte eigene Produktpalette anzudienen.
Microsoft als einen Bestandteil einer Best-of-Breed-Strategie einzusetzen, bedarf hoher Aufmerksamkeit. Kommt beispielsweise Microsoft Office auf einem Ipad zum Einsatz, so verfügt dieses über einen an den offiziellen IOS-Schnittstellen vorbei entwickelten, direkten Dropbox-Zugriff, der bei vielen Unternehmen nicht gerade beliebt ist. Laut Microsoft lässt sich dieser nur über das Cloud-basierte Microsoft-MDM-System Intune ausschalten (tatsächlich geht es auch anders). Will man den Rollout von Geräten automatisieren, ist dazu die Einbindung der - ebenfalls Cloud-basierten - Active Directory Azure Services notwendig. Für Kunden, die zu hundert Prozent auf Microsoft und dessen Cloud-First-Strategie setzen, ist dies sicherlich kein Problem, sondern eher willkommen - für alle anderen aber kann es hier schwierig werden.
Windows 10 Mobile nutzt die Productivity Apps von Microsoft Office 365 sowie weitere Business Apps. Diese werden - passend zu Microsofts Multiplattform-Strategie - von den gleichen Entwicklern erstellt, die vormals für Windows 10 Desktop entwickelt haben. E-Mails und PIM erhält Windows 10 Mobile von Microsoft Exchange, das mit Activesync bereits ein kleines MDM liefert. Dateien kann man in Onedrive for Business oder Sharepoint speichern, Angaben zu Benutzern werden entweder lokal im Microsoft Active Directory oder in der Cloud über die Active Directory Azure Services abgelegt. Zum Management empfiehlt Microsoft Intune oder System Center, wobei Redmond deutlich macht, dass Intune schneller Updates erhalten wird als System Center.
Zum Management von IOS und Android empfiehlt sich Intune insbesondere, wenn man auf diesen Geräten Office 365 einsetzt oder Anwendungen, die per SDK mit Intune kommunizieren können. Da die Management-Funktionen von Intune für diese beiden Plattformen insgesamt jedoch recht limitiert sind, gibt es letztlich noch die Möglichkeit, Drittanbieter-MDM-Systeme wie Mobileiron, Airwatch oder Cortado Corporate Server einzusetzen. Für Unternehmen - insbesondere solche, die nicht alles in die Cloud verlagern wollen - ist diese Variante sicherlich die empfehlenswerteste. Die EMM-Hersteller (Enterprise-Mobility-Management) bieten zudem entweder über Drittanbieter-Produkte oder teils sogar integrierte Filesharing-Funktionen auf Basis des eigenen Datei-Servers an. So lässt sich auch hier der Umweg über die Cloud vermeiden. Deshalb konzentriert sich dieser Beitrag im Folgenden auf die Verwaltung von Windows 10 Mobile auf Basis von EMM-Systemen, die nicht von Microsoft stammen.
Windows-MDM jenseits von Intune
Grundsätzlich ist Microsoft recht neu im MDM-Segment, und so griff der Konzern für die Kommunikation zwischen Client und Server auf den ehemals von Nokia etablierten Standard OMA (Open Mobile Alliance) zurück. Über dieses Protokoll ließen sich schon vor geraumer Zeit die legendären Handys der Serien 40 und 60 managen. Das OMA-Protokoll dient letztlich dem Austausch von Konfigurationsdaten und Profilen ähnlich dem Apple-Push-Protokoll, über das die Verwaltung der IOS-Geräte erfolgt. Somit kann die IT die klassischen Konfigurationen wie WLAN-Profile etc. verteilen.
Für den erstmaligen Kontakt des Windows-10-Mobile-Geräts ist es notwendig, dass der Anwender sich über sein Gerät in den MDM-Server einloggt. Wer dies vermeiden möchte, muss auf die Active Directory Azure Services zurückgreifen. Bei den Policies hat Microsoft ganze Arbeit geleistet, es bleibt kein Wunsch offen. Nahezu alle Hardwarefunktionen lassen sich steuern, und für die Apps lassen sich Funktionen wie Copy and Paste unterbinden. Ebenso bemerkenswert ist der Reifegrad der Profile. Natürlich lässt sich ein Exchange Account vollständig definieren, aber auch die Breite der unterstützten WLAN-Umgebungen und vor allem auch der Detaillierungsgrad der möglichen VPN-Konfigurationen wird professionellen Ansprüchen gerecht. Da sich über die VPN-Profile ein Per-App-VPN realisieren lässt, kann man auch bei Windows 10 Mobile den Dropbox-Zugriff von Office sperren - ganz ohne Intune.
Neuer Umgang mit Daten
All dies war übrigens auch schon bei Windows Phone 8.1 möglich, neu bei Windows 10 Mobile ist der Umgang der Apps mit den Daten. Wie erwähnt verfügt Microsoft natürlich über eine tiefe Integration in Microsoft Office, auf Windows 10 Mobile wie auch auf IOS und Android. Diese lässt sich über ein SDK - von App Wrapping nimmt Microsoft Abstand - auch in selbsterstellte Apps integrieren. Microsoft hofft, dass durch Windows 10 Desktop motiviert weitere Business Apps folgen werden.
Wenn diese Anwendungen auf Daten zugreifen, soll die sogenannte Enterprise Data Protection (EDP) greifen. Bestimmt bei Apple die Sandbox das Modell (also die Existenz von Daten und Anwendung in einer abgeschlossenen verwaltbaren Einheit), strebt Microsoft den geteilten Datenspeicher an und verwaltet diesen. Während im Sandbox-Modell eine App den Zugriff erlaubt oder verbietet, führt Microsoft noch einen interessanten Zwischenweg ein, der arbeitsrechtlich zu Diskussionen führen wird: Dabei wird nicht der Zugriff unterbunden, sondern lediglich der Benutzer darauf hingewiesen, dass er eigentlich nicht zugreifen darf, und es protokolliert wird, wenn er es dennoch tut.
Mobility-Management für alle Gerätetypen
Microsoft hat mit Windows 10 das Management auf Basis von MDM-Systemen auch vollständig auf dem Desktop eingeführt. So kann man künftig nicht nur das Smartphone aus der Ferne löschen, sondern auch den Laptop und sogar den Desktop-Rechner auf dem Schreibtisch.
Das Management von Geräten hat ein neues Niveau erreicht, denn auch Android for Work und IOS 9 haben ihren Reifegrad noch einmal deutlich verbessert. Alle Plattformen lassen sich übergreifend mit einem EMM-System managen. Die Zeit ist jetzt reif, generell die Geräte-Management-Strategie zu überdenken. Die aktuellen Marktzahlen legen es dabei nahe, auf ein unabhängiges Enterprise-Mobility-Management-System zu setzen.
Lesen Sie mehr zum Thema
