Test: Appsense Mobilenow
Mobile Apps im Griff
Die Begeisterungsfähigkeit von IT-Administratoren für das Thema Mobile-Device-Management (MDM) hält sich in Grenzen. Insbesondere in kleineren bis mittleren Unternehmen suchen IT-Verantwortliche nach einer Möglichkeit, wie sie diesen Service komplett einkaufen können. Appsense hat mit Mobilenow eine solche Lösung im Portfolio.Neben unternehmenseigenen Sicherheits- und Compliance-Vorgaben sowie gesetzlichen Bestimmungen muss eine IT-Abteilung heute auch Anforderungen gerecht werden, die durch BYOD (Bring Your Own Device) in immer mehr Unternehmen Einzug halten, also durch private beschaffte, aber geschäftlich genutzte Endgeräte. Auf BYOD folgt oft "BYOx" (Bring Your Own Everything"): Nicht nur das Gerät, sondern auch die Programme und die Datenhaltung können vom Anwender stammen. Für Administratoren bleibt es wichtig, dass eine Unterscheidung zwischen privaten und geschäftlichen Daten möglich ist. Zudem müssen sie die mobilen Endgeräte möglichst leicht verwalten, Fernkonfigurationsaufgaben bewerkstelligen und Geräten mit ausgehebelten Betriebssystemsperren den Zugriff verweigern können. All diese Aufgaben soll die Software Mobilenow von Appsense bewältigen können. Der Hersteller positioniert Mobilenow als SaaS-Lösung für mobile Geräte, mobile Applikationen und den gesicherten E-Mail-Zugriff für Unternehmen. Sie soll im Vergleich zu anderen gängigen Produkten keine Limitierung bezüglich der Anzahl der zu verwaltenden Apps besitzen. Client-seitig arbeitet das System ausschließlich mit Geräten auf Basis von Apple IOS oder Android zusammen. Symbian-, Blackberry- und Windows-8-Geräte bindet der Hersteller nicht an, wobei er aber über Windows Phone bereits in Marketing-Videos spricht. Der US-Anbieter wurde Ende der 1990er Jahre gegründet und hat sich im Bereich User-Virtualisierung einen Namen gemacht. Mitte 2012 näherte er sich dem Thema "Mobile" durch Übernahme des Unternehmens Rapsphere. Inbetriebnahme in Minuten Dank der 30-Tage-Testlizenz steht einer eigenen Betrachtung der Lösung nichts im Wege, einzig die Eingabe einiger Kontaktdaten und der Firmengröße ist erforderlich. Soll die Software auch IOS-Active-Sync-Mail-Accounts im Zuge der Teststellung konfigurieren, muss der Administrator dies bei der Anforderung der Teststellung zusätzlich auswählen. Bereits nach kurzer Zeit erhielten wir eine E-Mail, die uns aufforderte, die Echtheit unserer E-Mail-Adresse zu bestätigen. Eine Minute später erreichte uns die Begrüßungsnachricht mit den Login-Links für die Administrationskonsole, dem Installations-Link für Mobilgeräte sowie Hinweise auf den in Englisch gehaltenen "Quick Start Guide" und auf Video-Tutorials. Das Design der Management-Oberfläche ist wie bei der Mobilenow-App selbst modern und auf dem Stand der Zeit. Eine Menüstruktur wird auf der linken Fensterseite passend zur Auswahl im Hauptfenster durch Schaltflächen ergänzt. Für den Administrator besteht der erste Schritt darin, den Einrichtungsassistenten ablaufen zu lassen. Die Eingabe von Daten beschränkt sich weitgehend auf die Informationen zum E-Mail-Server. Ansonsten begrüßt das obligatorische Dashboard den Administrator mit einer Übersicht der Geräte, Applikationen und anderer typischer Statusinformationen. Allerdings konnten wir nach dem Start zunächst keine Einträge im Dashboard sehen. Die Online-Hilfe machte hier keine gute Figur, da sie zwar kontextsensitiv arbeitet, jedoch keinen Hinweis auf unsere Fragestellung bot. Wir übergaben die Frage dem ausschließlich englischsprachigen E-Mail-Support. Dieser hielt uns mit den klassischen Ausschlussfragen auf Trab, ohne uns aber auch nur einen Lösungsansatz zu verraten. Ein in Deutschland ansässiger Appsense-Mobile-Experte mühte sich dann redlich und konnte das Problem schließlich beheben. Ansonsten erklären sich viele Funktionen in der Oberfläche glücklicherweise von selbst: Neben der Benutzerverwaltung findet der Administrator im Menü die Bereiche für Apps, Geräte, Policies, Geräteeinstellungen, Reports, Ereignishistorie und Einstellungen (Bild 1). Unter den Einstellungen ist eine optische Anpassung möglich, sodass auch das Icon der App im eigenen Firmendesign erscheinen kann. Welche Dialogtexte das Programm per E-Mail verschickt, kann der Administrator in den Templates beliebig anpassen. In der Standardauslieferung stehen diese ausschließlich in englischer Sprache bereit. Leider bietet das Programm keine Möglichkeit, eine Unterscheidung von Sprachen, im Idealfall abhängig von der Gruppenzuordnung der Benutzer oder der Lokalisierung des Geräts, einzurichten. An einigen Stellen störte uns im Test insbesondere beim Einsatz von Mozilla Firefox 23.0.1, dass einige Beschriftungen oberhalb der Tabellen ineinander ragten, was die Lesbarkeit deutlich einschränkte. AD-Synchronisation nur manuell In der aktuell vorliegenden Version hat der Anbieter ein automatischer Abgleich mit einem Active Directory als Datenquelle für die Informationen zu den Benutzern noch nicht vorgesehen. Will ein Administrator einen solchen Abgleich durchführen, muss er diesen deshalb unter "Groups" in der Administrationskonsole manuell beauftragen. Die eigene Benutzerverwaltung der Lösung ist jedoch insgesamt gut und übersichtlich gelöst: So stehen dem Verwalter Gruppen, Benutzer und vordefinierte Rollen zur Verfügung. Die Rollenkonfiguration reicht von Benutzer und zwei Administratoren (einer mit und einer ohne Rollen-Zuweisungsrecht) bis zu vier verschiedenen User-Helpdesk-Rollen, jeweils mit unterschiedlichen Vollzugriffs- oder Leserechten. Ändern kann der Administrator diese Rollen nicht. Neue Benutzer legt der Administrator mit wenigen Mausklicks an. Außer Vorname, Nachname und der E-Mail-Adresse sind keine Eingaben erforderlich. Sofern es sich um einen AD-Account handelt, muss der Administrator noch den Benutzernamen als "Alternativer Benutzername" im Schema Domäne\Benutzer eingeben. Auf Wunsch erhält der Neubenutzer die benötigten Login-Links per E-Mail und einen kleinen Anleitungstext, sofern der Administrator im Anlagedialog "Invite user now" ausgewählt hat. Einladungen kann man über die Software jederzeit ausschicken. Leider haben die Entwickler wichtige Befehle wie "Reset Password", "Invite", "Block/Unblock", "Reprovision" und "Delete" unter der Schaltfläche "More Actions" einsortiert, was wir als wenig intuitiv oder praxisgerecht empfanden. Dass sich ein Neubenutzer noch nicht angemeldet hat, erkennt der Administrator recht einfach: In der "User"-Auflistung fehlt das Okay unter "Provisioned". Zwar bietet der Benutzerdialog einen Schnellfilter, um die Ansicht einzugrenzen, jedoch bezieht sich dieser ausschließlich auf den Namen und die E-Mail-Adressen. Ein Filter nach Rollen, Status, Gruppe oder dem Zeitpunkt der letzten Änderung würde die Arbeit in der Praxis deutlich erleichtern. Hierfür bietet die Software als Hilfsmittel leider lediglich die Sortierung an. Die größte Rubrik bietet die Abteilung "Device Policies" (50 Einstellmöglichkeiten) und "App Policies" (mehr als 30 Einstellungsmöglichkeiten) mit Regeln zu Passwortlänge, Black- und Whitelisting, Definition einer Mindest- und Maximalversion des Betriebssystems, Aktionen bei Entdecken eines Jailbreaks unter IOS, Verhalten der Zwischenablage, Verschlüsselung oder der Erlaubnis, zwischen Applikationen Daten als Datei auszutauschen. Die Anpassung der Richtlinien läuft ähnlich der Bearbeitung von Firewall-Regeln ab: Der Administrator kopiert eine vorhandene Regel, benennt diese um und verändert sie nach seinen eigenen Vorstellungen. Was uns gut gefiel: Die Appsense-Entwickler haben den Dialog zur Zuordnung der Policy zu einer Benutzergruppe sehr praxisnah visualisiert. Die Software hebt hervor, wie sich die Einstellungen tatsächlich unterscheiden. Self-Service-Anmeldung Jeder Benutzer muss sich weitgehend selbstständig an Mobilenow anmelden. Das sollte auch dem typischen Anwendungsfall in der Praxis entsprechen, sofern die Nutzer über UMTS/3G oder WLAN auf das Internet zugreifen können. Nachdem der Administrator festgelegt hat, wer eine Einladung erhalten soll, verschickt die Software die Einladungs-E-Mails angepasst für den jeweiligen Empfänger. Dessen erste Aufgabe besteht darin, sich ein halbwegs komplexes Passwort einfallen zu lassen. Es folgt der Hinweis, dass eine App heruntergeladen wird. IOS künfigt hier ein neues Profil an, dessen Installation der Benutzer einige Male zustimmen muss. Android-Benutzer müssen zunächst in die Einstellungen ihres mobilen Geräts wechseln, um dort die Option zur Installation aus "Unbekannte Quellen" zu aktivieren. Wir halten diese Methode grundsätzlich für ein Sicherheitsrisiko, obwohl sie leider von sehr vielen MDM-Lösungen genutzt wird. Eine der wichtigsten Sicherheitsregeln für mobile Geräte bleibt der Hinweis, Apps nur aus dem offiziellen oder dem unternehmenseigenen App-Store zu installieren. Zu leicht vergessen die Nutzer, diese Sicherheitslücke wieder zu schließen. Hier sollten Anbieter ihre Apps über den offiziellen Google Play Store anbieten. Einige Augenblicke später findet der Benutzer die Mobilenow-App auf dem seinem Gerät. Je nach definiertem Regelwerk hat die Lösung bereits die Konfiguration des Mobilgeräts angepasst. Typischerweise wird nun die Eingabe eines Passworts verlangt und der Zugriff auf einige Funktionen wie die Kamera eingeschränkt. Ein Fingerdruck auf die App und eine weitere Anmeldung ist nun für den Zugang zur "Arbeitshälfte" des Geräts erforderlich. Den Benutzer begrüßt dann die Sammlung der für ihn vorgehaltenen Applikationen. Unter IOS installieren sich die einem Profil zugeordneten Programme mit der Zeit weitgehend von allein oder werden dem Benutzer vorgeschlagen. Unter Android muss der Benutzer dies durch ein Antippen selbst erledigen. App-Isolation per Wrapping Mobilenow etabliert eine feine Trennlinie zwischen herkömmlichen Applikationen, die der Benutzer direkt herunterlädt, und Business-Apps, die Mobilenow hinzugefügt. Auf den ersten Blick nimmt der Benutzer die Trennung kaum wahr. Auf dem Desktop des Mobilgeräts zeigt das Betriebssystem beide Programmtypen ganz normal an, jedoch gibt es bei den Apps wie in unserem Test bei Mobileview oder Dolphin for Ipad am unteren Icon-Rand ein kleines Logo, das auf die Appsense-Software hinweist. Diese Business-Apps stellt der Administrator mittels Wrapping bereit: Sie starten in einer Art Sandbox, die keinen Datentransfer mit anderen Programmen zulässt. Konsequenterweise gilt das sowohl für die verschlüsselte Datenspeicherung der Apps selbst als auch für das Unterbinden der Zwischenablage. Manche Third-Party-E-Mail-Apps arbeiten ebenfalls als gesicherte App, andere darf man gemäß ihrer EULA aber nicht modifizieren - auch nicht durch Sandboxing oder Wrapping. Bei derartigen Programmen verschlüsselt Mobilenow die E-Mail-Anhänge, um so einen unerwünschten Querzugriff zu verhindern. Dies soll sicherstellen, dass bei der Entfernung eines E-Mail-Accounts durch den Administrator keine Geschäftsdateianhänge in lesbarer Form auf dem Gerät zurückbleiben. Die Lösung trennt über dieses Sandboxing regelgesteuert die Privat- von den Unternehmensdaten. Leider kam es während der Teststellung im Zusammenhang mit einem eher kostengünstigen Android-System zu Abstürzen bei den Business-Apps: Was wir auch unternahmen, auf einem Dual 10+ von Touchlet stürzten alle "Wrapped Apps" konsequent ab. Dies ist besonders aus einem Grund tückisch: Da BYOD dem Anwender den Einsatz eines beliebigen Endgeräts erlauben soll, ist es unpraktisch, wenn die Management-Software nicht mit allen Android-Devices zusammenarbeiten kann. Apple-Geräte funktionierten im Test hingegen stets einwandfrei. Was kann ein Administrator nun mit den von ihm verwalteten Geräten unternehmen? Die klassischen Befehle wie Gerätesperre, Löschen des Geräts oder Passwortänderung funktionierten in unseren Tests einwandfrei. Keine Probleme gab es mit den Policies, da der Hersteller glücklicherweise die jeweils unterstütze Plattform gleich mit angibt. Zwar existiert auch ein kleiner Nachrichtendienst, mit dem sich der Administrator gezielt an einen Benutzer wenden kann, doch die logische Fortführung diesen Gedankens vermissten wir: einen regelmäßigen Hinweis an den Finder eines verlorenen Geräts. Die Lokalisierung der Systeme mit einer Kartendarstellung arbeitete bei mit Apple-System einwandfrei, einige Androiden lieferten im Test jedoch keine Daten, was aber nachweislich nicht an den Einstellungen der Geräte lag. Die Software ermittelt zudem die komplette Hard- und Softwareausstattung und gibt diese pro Gerät in einer Auflistung aus. Leider bietet sie dem Administrator aber keine Möglichkeit, nach den Einträgen zu suchen oder eine Auswertung anzulegen, die beispielsweise alle Geräte mit einer bestimmten App auflistet. Gut für IOS, Verbesserungspotenzial bei Android Das Provisioning von Appsense Mobilenow, das ohne weitere Tätigkeiten des Administrators abläuft, hat generell überzeugt. Die Möglichkeiten, welche die Betriebssysteme IOS und Android derzeit bieten, hat Appsense adäquat genutzt. Trotzdem gibt noch Verbesserungsmöglichkeiten: Für die Verwaltung größerer Gerätebestände fehlten uns einige nützliche Funktionen, und während die Software im Test sehr gut mit Apple-Geräten zusammenarbeitete, hatten wir im Zusammenspiel mit Android-Systemen einige Probleme. Solange diese Probleme nicht auftreten, ist die Lösung für 54,74 Euro pro Benutzer oder 38,08 Euro pro Gerät für ein Jahr mit Gold-Support nicht unbedingt teuer. In der Lizenzvariante "Benutzer" kann dieser dann eine unbegrenzte Anzahl von Geräte verwenden - das ist BYOD-freundlich. Staffelpreise beginnen erst bei 250 Benutzern oder Geräten.
Der Autor auf LANline.de: BÄR?????????????
Der Autor auf LANline.de: Frank-Michael Schlede?????????????
Info: AppsenseTel.: 089/559997-0Web: www.appsense.de
Lesen Sie mehr zum Thema
