Cortado Corporate Server im Test
MDM trifft mobiles Büro
Viele Administratoren stehen vor der Herausforderung, mobile Geräte in den IT-Betrieb zu integrieren. Dazu setzen sie oft auf eine MDM-Lösung (Mobile-Device-Management). LANline hat den Cortado Corporate Server ins Testlabor geholt und untersucht, ob er das Versprechen halten kann, dem Administrator MDM-Funktionalität und den Nutzern ein mobiles Büro zu bieten.Aus Sicht der IT-Mannschaft waren die inzwischen faktisch vom Markt verschwundenen Geräte auf Basis von Windows Mobile ideal, ließen sich sich doch problemlos zentral verwalten. Leider haben es die Systemverwalter beim Einsatz der modernen Apple-IOS- und Android-Systeme nicht so einfach, da diese weitaus komplizierter zu administrieren sind: Bei diesen Geräten steht der Benutzer im Mittelpunkt, der dann auch entscheiden kann, welche Anwendungen er nutzt oder welche Daten er wie verarbeitet. Aber auch die professionellen Anwender solcher mobilen Systeme kämpfen mit Problemen: Sie können nur schwer Dokumente aus dem Unternehmen auf den Handhelds sichten oder gar bearbeiten - und dies nicht nur wegen des deutlich kleineren Displays. So tun sich Außendienstmitarbeiter auch schwer damit, unterwegs die aktuellen Preislisten und Angebote einzusehen, Anhänge vom Home-Verzeichnis per E-Mail zu versenden oder auf Intranet-Ressourcen zuzugreifen. Dafür benötigen sie allzu oft einen VPN-Zugang, der aber auf den kleinen Mobilgeräten nicht immer funktioniert. Diese Problematik will das in Berlin ansässige Unternehmen Cortado mit einer Kombination aus mobilen Arbeitsplatz - dem so genannten "Workplace" - und MDM im Produkt "Corporate Server" lösen. Cortado bietet die Software in der Version 6.1 aktuell für den Windows-Server 2008 R2 an und unterstützt auf Client-Seite Apple IOS, Android, Blackberry und die traditionellen Desktop-Betriebssysteme für Windows und Mac. Erste Begegnung Die Installation der Server-Software verlief in unserem Test dank einer guten Installationsroutine schnell und reibungslos: Das Installationsprogramm richtete alle benötigten Komponenten wie Open Office, MS-Access 2010 Runtime, ADAM (Active-Directory-Anwendungsmodus - ein LDAP-Verzeichnisdienst von Microsoft, der als Benutzer- und nicht als Systemdienst ausgeführt wird), IIS 7, Nova-PDF-Generator, eine MS-SQL-Express-2008-Instanz und die Dotnet-4.0-Umgebung ohne Eingriff des Administrators selbstständig ein. Während der Installation musste das System allerdings einige Neustarts durchführen. Die Systemanforderungen der Software sind hingegen sehr speziell: Man kann sie ausschließlich auf einem englischsprachigen Windows Server 2008 R2 SP1 installieren, wobei auf diesem System ein Internet Explorer in der veralteten Version 8 Voraussetzung ist. Wer bereits eine jüngere Variante des Microsoft-Browsers installiert hat - was allein aus Sicherheitsgründen geboten ist - muss diese für die Installation des Cortado Servers wieder entfernen. Für das Zusammenspiel mit dem Protokoll MAPI/Activesync wird laut der Produkt- dokumentation ausschließlich Microsoft Exchange in der Version 2007 unterstützt. Den Administratoren, die mit dieser Lösung IOS-Systeme verwalten wollen, empfiehlt der Hersteller, auf dem Windows-Server zusätzlich die Enterprise-Edition von Windows für den Dienst NDES (Network Device Enrollment Service) mit dem Protokoll SCEP (Simple Certificate Enrollment Protocoll) zu installieren. Wir haben für unseren Testaufbau auf Android-Mobilgeräte gesetzt, die bei der Verbindung Microsofts Activesync verwenden. Die gesamte Installation, die je nach Leistung des Servers mehr als eine Stunde dauern kann, erfordert ein gesondertes Benutzerkonto, den so genannten "Cortado-Service-Account". Dieses Konto ist in der Domäne, die ebenfalls zwingend für den Betrieb des Servers erforderlich ist, lediglich ein Standardbenutzer. Auf dem Cortado-Server selbst gehört das Konto zur Gruppe der lokalen Administratoren. Der Cortado Corporate Server führt alle Aktionen stellvertretend für einen mobilen Anwender in dessen Benutzerkontext durch. Aus diesem Grund aktiviert bereits das Installationsprogramm die Gruppenrichtlinie "Log On As A Batch Job" für alle Domänenbenutzer. Sind in der Produktivumgebung mehrere Domänen verfügbar, so muss der Administrator diese Anpassung in allen Domänen manuell durchführen. Der Service-Account benötigt eine Exchange-Mailbox für MAPI und der "Network-Service-Account" muss den Vollzugriff auf dieses Postfach besitzen. Konfiguration Nach der Installation öffnet sich der Konfigurationsassistent automatisch auf dem Desktop des Cortado-Servers. Nun muss der Administrator die Verbindungseinstellungen für den internen und externen Zugriff, die Verwendung von SSL-Zertifikaten, die E-Mail-Weiterleitung zwischen E-Mail-Server und Cortado-Server, die Position der Benutzerverzeichnisse sowie die Datenbankparameter festlegen. Glücklicherweise legt die Software für eine Testinstallation die Zertifikate bei Bedarf selbst an. Die Beschreibung der Konfiguration der E-Mail-Einstellung haben wir als etwas verwirrend empfunden, während die Hilfe im PDF-Format sonst sehr gut gelungen und informativ ist. So erhielten wir bei der Überprüfung der Passwörter für den Zugriff auf Microsoft Exchange 2007 immer wieder die Fehlermeldung, dass ein Login für den Cortado-Service nicht möglich sei, da der Server die Versionsanfrage nicht verstünde. Obwohl wir dann eine recht zeitaufwändige Aktualisierung der Exchange-Installation durchgeführt und speziell andere Konten angelegt haben, blieb es auch nach vielen Versuchen bei diesem Fehlverhalten. Ebenso unverständlich und umständlich erschien es uns später bei der Einrichtung der Clients, dass wir nicht die direkte Exchange-Verbindung nutzen konnten, sondern auf den Cortado-Server verweisen mussten, der dann die Nachrichten im Auftrag des Nutzers weiterleitet. Nach der Grundkonfiguration geht es per Web-Browser weiter: Die modern gehaltene Management-Konsole begrüßt den Administrator mit dem obligatorischen Dashboard. Neben den sechs Dashboard-Feldern zum Status, zu den "Top 5" der installierten Applikationen, der Roaming-Übersicht sowie der OS- und Herstelleransicht stehen ihm dann im Menü zwei Schaltflächen im Menü zur Verfügung: "Logout" und "Control Panel". Über das Control-Panel legt der Administrator fest, welche Benutzer zugelassen sind, und kann Applikationen, Zertifikate, Richtlinien und Profile definieren. In einem ersten Schritt wird ein Systemverwalter dann die Benutzer per Mausklick aus dem Active Directory auswählen. Für größere Umgebungen stellt das Programm sinnvollerweise auch den Import als CSV-Datei zur Verfügung. Um nicht jedes Mal von vorn beginnen zu müssen, bietet die Oberfläche dem Administrator auch die Möglichkeit, die Einstellungen von einem Benutzer auf einen anderen zu übertragen. Der IT-Mitarbeiter kann nun jedem Benutzer Netzlaufwerke von verschiedenen Datei-Servern und Drucker zuordnen. Die Zuordnung eines Druckers erfordert jedoch, dass der benötigte Druckertreiber auf dem Cortado-Server installiert ist. Bekannte Druckertreiber lädt die Software bei Bedarf selbstständig nach. Das von uns im Test genutzte Multifunktionsgerät von Brother arbeitete jedoch erst nach manuellem Einspielen des Treibers. Leider warnt das Dialogfenster nicht bei fehlenden Treibern, sodass wir erst darauf aufmerksam wurden, als der Druck vom Client aus misslang. Die Zuordnung von Profilen zu einem Benutzer funktioniert nur, wenn der Administrator diese zuvor im Control Panel definiert hat. Wir vermissten während dieser Testphase vor allen Dingen einen Konfigurationsassistenten, der den IT-Profi in einer sinnvollen Reihenfolge durch die verschiedenen Masken steuert. Installationsaufwand auf Client-Seite Je nach Mobilbetriebssystem stellt der Cortado-Server unterschiedliche Funktionen bereit. Hier ist Apples IOS deutlich leistungsfähiger und bietet knapp 30 Berechtigungen wie "Allow Itunes Store", "Allow Siri" oder "Allow Bookstore Erotica". Die Activesync-Policies für Android beschränken sich auf die Genehmigung von Bluetooth, Kamera, SD-Storage, des Downloads von Anhängen und auf die Verwendung von WLAN. Besonders praktisch ist dabei die Einstellung "Require manual sync when roaming", mit der ein Administrator das Datenvolumen im Roaming-Betrieb deutlich reduzieren kann. Er kann über das Profil zudem definieren, wie komplex ein Passwort sein muss, ob es überhaupt erforderlich ist und ob das Gerät generell verschlüsselt werden muss (Bild 2). Auch die WLAN-Settings mit Verschlüsselung, SID und Passphrase kann er hier definieren und zuordnen. Andere MDM-Lösungen, die wir bereits in unserem Testlabor betrachtet haben, bauen die Verbindung zwischen Mobilgerät und Server mit dem Download einer App und der Zuordnung über die Anmeldung auf. Bei Cortado ist dieser Vorgang etwas komplexer. Um ein Android-System mit dem MDM und dem Workplace zu verbinden, sind mehrere Schritte notwendig: Zunächst muss der Administrator dazu über die Standarddialoge des Betriebssystems ein Exchange-Mail-Konto anlegen, das als Ziel den Cortado-Server beinhaltet. In diesem Zusammenhang muss der Anwender die Erlaubnis für die Remote-Steuerung sowie für einen Geräteadministrator geben und wird eventuell aufgefordert, ein Passwort einzurichten. Per Web-Browser mussten wir anschließend auf die via SSL verschlüsselte Webseite des Cortado-Servers wechseln. Unser Login wurde dabei über die gewohnten AD-Credentials abgewickelt. Ein Wizard unterstützt den Nutzer sowohl beim Download des Zertifikats und der Konfigurationsdatei sowie beim Verweis auf die Cortado-Explorer-App. Leider gelang es uns bei beiden Testgeräten nicht, sofort dafür zu sorgen, dass die Cortado-App die Konfigurationsdatei für das Gerät automatisch lud - dies führten wir dann auf der Anwenderseite manuell durch. Nach diesen Schritten sieht der Administrator das Gerät in der Management-Konsole und der Benutzer kann über die Cortado-App auf Laufwerke, Dateien und Drucker zugreifen, was im Testbetrieb auch von unseren Nexus-Android-Tablet aus funktionierte. Arbeitsplatz für unterwegs Der so genannte Workplace des Cortado Explorers unterscheidet drei Bereiche: "Lokale Dateien" befinden sich dabei auf dem Mobilgerät selbst, so beispielsweise auf der SD-Karte. Unter "Mein Laufwerk" greift der Benutzer über die App auf die zugeordneten Datei-Server und das "Geschützte Laufwerk" zu. Dieses geschützte Laufwerk befindet sich zwar auch auf dem Mobilgerät, lässt sich aber nur über die App öffnen. Die Steuerung der Benutzerrechte im Cortado Explorer kann der Administrator über die Konsole sehr genau festlegen. Über das Menü kann der Benutzer Dateien zwischen den Bereichen hin und her kopieren, per E-Mail verschicken oder einzelne Dateien betrachten. Hierfür verwandelt der Cortado-Server die Dokumente im Hintergrund zu "Vorschau"-Dateien. Somit ist eine Darstellung auch dann möglich, wenn die erforderliche App gar nicht installiert ist. Für die Bearbeitung der Dateien benötigt der Benutzer jedoch wieder eine entsprechende App. In unserer Teststellung funktionierte zunächst aber auch die Vorschau auf den mobilen Geräten nicht: Es erschien nach rund einer Minute der Hinweis, dass die Vorschau nicht erstellt werden könne. Der Support von Cortado konnte den Fehler dann aber recht schnell finden: Offenkundig sorgte ein Java-Update dafür, dass das für die Vorschau genutzte Open Office einen "unsichtbaren Fehlerdialog" generierte, der dann auch die Darstellung verhinderte. Erst eine manuelle Installation von JRE 6.6 behob auch in unserer Teststellung das Problem und die Dokumente wurden korrekt präsentiert. Wenige Direktbefehle Der Administrator kann eine Gerätelokalisierung, sofern sie aktiviert wurde, ebenso wie den Befehl zur Wiederherstellung der Werkseinstellung direkt an das mobile Gerät ausgeben. Mit "Wipe Partial" kann er zudem nur die Cortado-App vom Endgerät entfernen und somit den Zugriff auf die Netzwerk-Ressourcen und auf das "Geschützte Laufwerk" unterbinden. Sofern die Anwender keine Unternehmensdaten auf die SD-Karte des Android-Geräts gespeichert haben, wäre auf diese Art auch ein gezieltes Löschen möglich - sofern sich alle Anwender daran halten, die Daten auf ihren Geräten eben nur dort abzulegen. Im Vergleich zu einigen Marktbegleitern bietet die Software jedoch nur wenige Direktbefehle: So steht beispielsweise der Befehl "Lock Screen" nur für IOS zur Verfügung. Ebenso haben wir die Möglichkeit vermisst, auf mobilen Geräten einen Signalton auszugeben, um so ein verlorenes Gerät wiederzufinden. In der Übersichten und Reports zeigt die Software zumindest an, welche Programme überhaupt installiert sind, ob ein Gerät per Roaming zugreift oder wie viel Speicher zur Verfügung steht. Leider sind die Inventardaten nicht ganz stimmig: Beim von uns eingesetzten Nexus-7-Gerät von Google wurde kein Unterschied zwischen SD- und Device-Memory angezeigt - wobei diese Anzeige grundsätzlich falsch war, da dieses Gerät keinen SD-Slot enthält. Auch dass dieses System über eine Quad-CPU verfügt, ist als Information sicherlich spannender als die generische Angabe "armeabi-v7a". Hier wünschen sich Administratoren präzisere Daten, um die vielen unterschiedlichen Mobilgeräte besser verwalten und betreuen zu können. Apps auf das Gerät bringen Push-Befehle für Apps stehen weder für IOS noch für Android zur Verfügung - das sind die Limitierungen der mobilen Betriebssysteme, mit denen jede MDM-Lösung zu kämpfen hat. Cortado löst die Bereitstellung von Applikationen derart, dass sich ein Benutzer mit dem Browser im "Self Service Portal" einloggen muss. Dort findet er eine Auflistung der ihm zugeordneten Applikationen. Ob der Anwender ein Programm jedoch tatsächlich nutzt oder nicht, wertet die Lösung leider nicht aus - diese Information kann für Administratoren aber durchaus wichtig sein. Beim Versuch, eigene Anwendungen wie Evernote direkt als APK-Datei einzubinden, erhielten wir auf dem Server die Fehlermeldung, dass wir die dazugehörige .CCLX- oder .ALX-Datei nicht zur Verfügung hätten. Im Handbuch fanden wir dann auch den dazu passenden Hinweis: Wir hätten dazu von Hand eine XML-Datei erstellen und diese gemeinsam mit der APK in ein ZIP-Archiv ablegen müssen. An dieser Stelle würden wir etwas mehr Anwenderfreundlichkeit erwarten - andere Lösungen schaffen es auch, derartige Vorgänge zu automatisieren. Preislich liegt die Lösung bei rund 950 Euro für den Server und knapp fünf Euro pro Monat und Anwender. Als Alternative bietet der Hersteller für 115,43 Euro pro Anwender eine zeitlich unlimitierte Lizenz an. Wie viele Geräte ein Anwender nutzt, ist bei beiden Lizenzvarianten unerheblich. Fazit: Ganz gut, aber?! Insgesamt hat Cortado bei diesem Produkt die richtigen Funktionen zusammengefasst: Hat der Administrator erst einmal alles eingerichtet und aufeinander abgestimmt, so kann die IT ihren Anwendern ein handliches und funktionelles mobiles Büro zur Verfügung stellen. Neben der Steuerung über die Web-Oberfläche bietet der Hersteller zudem eine Automatisierung mittels Powershell an, was dem Administrator vielfältige Möglichkeiten bietet. Es zeigte sich bei diesem Test aber wieder einmal, dass Aussagen der Hersteller, alles sei doch ganz einfach, in der Realität nicht immer stimmen. Die sehr exakten Systemvoraussetzungen lösen zudem die Sorge aus, dass die Aktualisierung auf jüngere Softwarekomponenten schwierig sein dürfte. Uns störte dabei vor allen Dingen die unbedingte Festlegung auf die englische Version des Windows-Servers wie auch die Verwendung nachweislich unsicherer Systemkomponenten wie den Internet Explorer 8 - von dessen Einsatz Microsoft inzwischen abrät. Unser Vorschlag wäre, alle Komponenten in einer virtuellen Maschine zu bündeln und dies als "Virtual Appliance" anzubieten - das würde viele Probleme bei der Installation und Inbetriebnahmen deutlich verringern.
Der Autor auf LANline.de: BÄR?????????????
Der Autor auf LANline.de: Frank-Michael Schlede?????????????
Info: CortadoTel.: 030/394931-0Web: www.cortado.com/eude
Lesen Sie mehr zum Thema
