Praxistest ACMP Mobile Devices for Exchange
MDM light
Administratoren wünschen sich eine möglichst einfache Verwaltung mobiler Geräte - am besten direkt aus ihrer Software für die Systemverwaltung heraus. Der Anbieter Aagon hat seine Lösung ACMP jüngst um ein Modul ergänzt, das den Anspruch hat, eine simple Mobilgeräteverwaltung zu bieten und sich dabei auf die wichtigsten Funktionen zu beschränken.Geht es um die Verwaltung und Betreuung mobiler Geräte, so richten große Unternehmen oft ganz neue Abteilungen ein, die sich mit dem Management dieser Endgeräte beschäftigen. Bei kleinen und mittelständischen Betrieben sind das häufig anders aus. Hier geht es meist nicht darum, eine möglichst umfangreiche Softwareverteilung an mobile Geräte zu betreiben oder über verschiedene Techniken sicherzustellen, dass private und geschäftliche Daten nicht zusammenkommen: Der Bedarf an Mobile-Device-Management (MDM) beschränkt sich hier in der Regel auf grundlegende Aufgaben. Die wichtigsten Befehle, um die es im Zusammenhang mit mobilen Endgeräten wie Ipads, Iphones oder Android-Devices geht, sind das komplette Löschen eines Geräts und die Unterbindung des weiteren Datenaustauschs mit dem Kommunikations-Server im Unternehmen. Üblicherweise handelt es sich bei diesem Server, der den Zugriff auf Adressinformationen, E-Mail-Daten oder Kalender abwickelt, um Microsoft Exchange. Insbesondere im Zusammenspiel mit mobilen Geräten hat sich Exchange einen guten Namen gemacht, bietet die Activesync-Schnittstelle doch alles, was für einen einfachen Datenaustausch über das lokale Netz oder über die Internet-Verbindung notwendig ist. Faktisch alle derzeit am Markt verfügbaren Mobilgeräte arbeiten mit Exchange zusammen. Neben Apple-IOS- und Android-Geräten sind das Windows-CE/Mobile- und Windows-Phone-, aber auch Blackberry- oder Symbian-basierte Devices. Die im westfälischen Soest beheimatete Aagon bietet mit ACMP (Aagon Client Management Platform) eine kostenfreie Basis für die Hardwareinventarisierung von PCs, Servern und anderen Geräten in Unternehmensnetzwerken. Die Plattform wird durch verschiedene Optionen ergänzt. Dazu zählen unter anderem Softwareinventarisierung, Lizenz-Management, Softwareverteilung, Betriebssystem-Ferninstallation (OS Deployment), Fernadministration und ein Modul für den Helpdesk. Für die Verwaltung mobiler Geräte mit Provisioning, App-Deployment, Sicherstellung von Sicherheitsrichtlinien und Reporting bietet der Hersteller ein integriertes MDM. Hier handelt es sich um eine traditionelle, umfangreichere MDM-Software. Zur diesjährigen CeBIT stellte Aagon unter der Bezeichnung "Mobile Devices for Exchange" eine deutlich kleinere, abgespeckte Version für das MDM im Zusammenspiel mit Exchange-Servern vor. Diese kleine MDM-Variante beschränkt sich auf die Fähigkeiten, die Microsofts Activesync-Schnittstelle bereitstellt. Der Administrator kann auf diese Weise die Kommunikation zum mobilen Gerät per Kommando zulassen oder blockieren oder auch das gesamte Gerät per Befehl löschen. Für die einfachere Bearbeitung von Calls im Helpdesk liefert der Hersteller ein Formular mit den wichtigsten Eckdaten wie PIN, PUK oder Telefonnummer aus. Somit ist der Helpdesk nicht gezwungen, diese Informationen an anderer Stelle zu suchen. Da die Kommunikation zum Client ausschließlich über Activesync erfolgt, entfällt die Notwendigkeit einer Softwareinstallation auf dem Mobilgerät. Alle Softwarebestandteile bringt das mobile Betriebssystem von Haus aus mit. Ein weiterer Vorteil: Auch kostenpflichtige Zusatzzertifikate sind beim Einsatz dieser Lösung nicht erforderlich. Installation als Service Wer Mobile Devices for Exchange (MDFE) nutzen will, benötigt einen Microsoft Exchange Server 2007 oder höher. Wir testeten die Lösung in einer Standard-Testumgebung mit Windows Server 2012 R2 als Domänencontroller und einem Microsoft Exchange 2013 Server. Die aktuelle Version ACMP 4.0.6. installierten wir auf einem Windows Server 2008 R2. Die Basisinstallation von ACMP ist dank des ausgereiften Installationsassistenten in kürzester Zeit erledigt. Die notwendige Datenbank, ein MS SQL Server, richtet der Assistent als Express-Edition bei Bedarf ein. Installation Die MDFE-Installation erfolgte per Fernwartung durch einen Aagon-Consultant, dies ist die übliche Vorgehensweise beim Kauf der Software. Die Einrichtung startet mit der Ausführung eines MSI-Installationspakets und der Anpassung einer XML-Config-Datei im Stammverzeichnis von ACMP. In diese Datei gibt der Consultant den Namen des Exchange Servers als URI-Adresse und die administrativen Zugangsdaten ein. Ist der Connector-Service einmal gestartet, wird das im Klartext eingegebene Passwort codiert gespeichert. Somit ist sichergestellt, dass das Administratorpasswort nicht offen lesbar ist. Im Anschluss müssen Consultant und Administrator auf dem Exchange-Server überprüfen, ob dieser vom ACMP-Server aus via WinRM (Windows Remote Management) erreichbar ist. Je nach Windows-Variante unterscheidet sich die Konfiguration ein wenig - aber dafür ist ja der Consultant-Einsatz gedacht. Auch in der ACMP-Oberfläche selbst muss der Aagon-Mitarbeiter noch einmal Hand anlegen und den Namen des Exchange Servers im "Client Command" hinterlegen. Bei den Client Commands handelt es sich um eine recht leicht zu erlernende, in ACMP integrierte Skriptsprache, die für eine Vielzahl von Funktionen der Management-Software zum Einsatz kommt. In unserem Test hatten wir im Vorfeld bereits verschiedene IOS-Geräte von Apple, ein aktuelles Windows Phone 8 von HTC, eine virtuelle Maschine mit Android, ein älteres Android-2.3-Mobiltelefon und ein Android-4.2-Tablet mit dem Exchange Server verknüpft. Die Verbindung von Mobilcomputer zu Exchange ist auch für den eher unbedarften IT-Nutzer kein Problem und in wenigen Minuten erledigt. Ebenso zügig ging die Installation von MDFE in unserer Testumgebung voran. Da außer Activesync keine weitere Client-Komponente für den Datenaustausch notwendig sind, fanden wir unsere Testgeräte bereits nach wenigen Augenblicken unter "Mobile Devices" in der ACMP-Oberfläche wieder. Alle von Exchange bereitgestellte Informationen, beispielsweise Modellbezeichnung, Geräte-ID oder Hersteller, konnten wir dann 1:1 in ACMP wiederfinden. Leider ist die Qualität dieser Informationen schon auf dem Exchange Server eher dürftig. Nicht einmal die Betriebssystemversionen liefert Exchange für alle Geräte korrekt. Dass es sich beispielsweise bei einem "Iphone2C1" um ein Iphone 3GS handelt, muss der Systemverwalter eben aus dem Kopf wissen. Er hat aber auch die Möglichkeit, diese Informationen als "Individual Field" in ACMP abzuspeichern. Individual Fields stellen in ACMP frei definierbare Datenfelder dar, die der Administrator mit ebenfalls frei anpassbaren Dialogfeldern bearbeiten kann. In der MDFE-Standardauslieferung umfasst das MDM-Daten-Dialogfenster die Werte PIN, PUK, Vertragslaufzeit, Provider, Telefonnummer und einen Bemerkungstext. Möchte der Administrator weitere Daten einspeichern, beispielsweise ein mit dem Besitzer des Geräts vereinbartes Passwort, so ist eine derartige Anpassung jederzeit möglich. Integration in den Helpdesk Die üblichen Szenarien für den MDM-Einsatz sehen wie folgt aus: Der Gerätebesitzer ruft beim Support an und meldet sein Mobilgerät als verloren und möchte es sperren lassen. In einem anderen Fall hat der Besitzer die PIN dreimal falsch eingegeben und muss nun den PUK eingeben, um sein Gerät freizuschalten. Oder aber das Mobilgerät wurde gestohlen und der Support muss es augenblicklich löschen. Sofern noch nicht geschehen, muss der Support-Mitarbeiter zunächst die Kontaktdaten prüfen und dem Anrufer ein Gerät zuweisen. Gab es im Vorfeld bereits Calls für diese Person, so ist die Historie der Anfragen in der Software ersichtlich und höchstwahrscheinlich das Gerät bereits dem Anrufer zugeordnet. Insgesamt ist die Zuordnung mit wenigen Mausklicks erledigt. Das Informationsfenster mit den "Individual Fields" lässt sich, nach der Zuordnung, mit einem Klick öffnen und die drei Befehle, die der Administrator über MDFE ausschicken kann, sind schnell erklärt. Drei Kommandos Der Administrator muss in der Menüleiste "Client Commands" auswählen, in der Rubrik "Exchange" das Kommando "ACMP Mobile Devices for Exchange" selektieren und auf "Ausführen" klicken. Wer den Befehl häufiger braucht, wird sich darüber freuen, dass er bereits standardmäßig unter den "Quick Commands" einsortiert ist. Danach erscheint nach wenigen Augenblicken ein Dialogfenster mit den drei Befehlen "Allow Device", "Block Device" und "Wipe Device" (also Gerät erlauben, blockieren und löschen). Im Test arbeiteten die Kommandos ohne Auffälligkeiten. Natürlich beinhaltet der Wipe-Befehl die anschließende Blockierung des Geräts. Sollte die Person auf die Idee kommen, sich nach dem kompletten Löschen des Geräts - hier sind alle Daten und nicht nur die Exchange-Daten betroffen - wieder anzumelden, so bleibt das mobile Geräte einfach gesperrt. Die Statusübersicht von ACMP protokolliert die ausgesandten Kommandos mit Zeitstempel und speichert das Ergebnis. Interessanterweise erwartet Exchange auch von einem zum Wipe markierten Endgerät eine Erfolgsrückmeldung - was sich die Entwickler in Redmond dabei nur gedacht haben?! Wer wissen will, was genau das Client-Command eigentlich macht, kann sich die Befehlsfolge für das "Konsolenskript" im Quelltext anschauen und bei Bedarf anpassen. Fazit Aagos Mobile Devices for Exchange stellt gerade für kleine und mittlere Unternehmen eine sinnvolle Erweiterung der Lösung ACMP dar. Wer auf die vielen MDM-Funktionen verzichten will, aber trotzdem notfalls schnell die Kommunikation zu einem mobilen Gerät unterbinden möchte, kann dies mithilfe dieser Software recht einfach realisieren. Der Preis liegt in Abhängigkeit zur Endgeräte-Gesamtzahl zwischen 4,01 Euro und 6,50 Euro pro Gerät. Zusätzlich fallen ein bis zwei Stunden als Einrichtungsdienstleistung an. In der kommenden Version 4.0.7. will Aagon die Unterstützung für Blackberry- und Symbian-OS-Geräte hinzufügen. Aktuell arbeitet die Erweiterung - wie wir dank unserer Testgeräte verifizieren konnten - mit Geräten unter Apple IOS, Android und Windows Phone/Mobile problemlos zusammen. Thomas Bär auf LANline.de: BÄR Frank-Michael Schlede auf LANline.de: Frank-Michael Schlede Info: Aagon Tel.: 02921/789200
Lesen Sie mehr zum Thema
