Praxistest MDM mit Microsoft Office 365
Mobilgeräteverwaltung als Dreingabe
Microsoft hat seinem nunmehr rund fünf Jahre auf dem Markt befindlichen Cloud-Angebot Office 365 inzwischen auch Funktionen zur Verwaltung mobiler Endgeräte spendiert. LANline hat sich angesehen, wie weit ein Client-Administrator damit kommt.
Microsofts Cloud-Angebot Office 365 ist in zahlreichen Varianten erhältlich, die sich an unterschiedliche Nutzerkreise richten. Der jeweilige Funktionsumfang wird über entsprechende Abonnementpläne bestimmt, und für jeden ist etwas dabei: Neben Plänen für kleine, mittelständische und große Firmen gibt es Abopakete speziell für den Bildungssektor, für Behörden sowie für Privatpersonen. Nicht alle Office-365-Funktionen sind jedoch in allen Plänen zu finden. Beispielsweise ist die Möglichkeit, eingeladenen Personen die Teilnahme an "Skype for Business"-Besprechungen per Festnetzrufnummer zu gestatten, dem für große Unternehmen konzipierten Aboplan Enterprise-E5 vorbehalten. Im Zweifelsfall muss sich der Interessent durch die Microsoft-Website arbeiten, um herauszufinden, welches Merkmal Bestandteil welcher Pläne ist.
Dies trifft auch auf den Bereich des Mobile-Device-Managements (MDM) zu. Denn seit Mitte 2015 hat Microsoft auch Funktionen zur Verwaltung mobiler Geräte in Office 365 untergebracht. Nutzen können diese aber nur Abonnenten der Pläne aus den Kategorien Business, Enterprise, Bildungseinrichtung und Behörden.
Als Microsoft im Oktober 2014 auf der Teched-Konferenz ankündigte, die MDM-Unterstützung in Office 365 einfließen zu lassen, war die Überraschung groß. Schließlich war dafür bislang das separat zu beziehende (und extra zu bezahlende) Cloud-Angebot Intune zuständig. Zu dessen Aufgabenspektrum zählt auch heute noch die Verwaltung mobiler Geräte.
Funktionsumfang
Während MDM für Office 365 jedoch nur die Mobilbetriebssysteme Android, IOS und Windows Phone/Mobile unterstützt, erlaubt Intune auch die Verwaltung von Geräten, auf denen OS X oder Windows den Ton angeben. Der direkten Vergleich bestätigt diesen Eindruck: MDM für Office 365 enthält eine Untermenge der in Intune zu findenden Funktionen. Optional lässt sich Intune zudem in die vollwertige Verwaltungslösung System Center Configuration Manager (SCCM) integrieren, die zudem Linux/Unix-Server verwaltet.
Obwohl MDM für Office 365 also das Microsoft-Angebot mit dem kleinsten Funktionsumfang darstellt, reicht dieser für grundlegende Zwecke aus - zumindest, wenn es um Smartphones und Tablets geht. Deutlich wird dies bei der Betrachtung der Gerätesicherheitsrichtlinien, die den Dreh- und Angelpunkt für die Verwaltung der Mobilgeräte darstellen.
Gewusst wie
Die wohl größte Hürde für die Nutzung der in Office 365 enthaltenen MDM-Möglichkeiten stellt das (Nicht-)Wissen um die Existenz dieser Funktionen als kostenlose Dreingabe zum Abo dieses Microsoft-Dienstes dar. Denn angesichts des sehr mächtigen Leistungsumfangs, den der Cloud-Service mittlerweile auf die Waage bringt, ist es gar nicht so einfach, von der MDM-Fähigkeit überhaupt Kenntnis zu erlangen. Ist dieses Merkmal im georderten Office-365-Abo enthalten, muss ein Administrator die Funktion zudem einschalten, denn: Standardmäßig hat Microsoft sie deaktiviert. Dazu ist im linken Navigationsbereich des Office-365-Admin-Centers der Bereich "Verwaltung mobiler Geräte" auszuwählen (Bild 1). Nach Anklicken des dortigen Links "Fangen wir an" wird die MDM-Verwaltung beim zugehörigen Office-365-Abo eingerichtet. Der daraufhin angezeigte Hinweis, dass dieser Vorgang einige Stunden dauern kann, bewahrheitete sich im Test übrigens nicht. Vielmehr war der Vorgang bei uns bereits nach wenigen Minuten abgeschlossen.
Dabei erschien jedoch zunächst die Meldung, dass ein APN-Zertifikat (Apple Push Notification) für IOS-Geräte noch nicht verfügbar sei. Kurz darauf verschwand die Meldung, das auf ein Problem hindeutende rote X blieb jedoch. Des Rätsels Lösung versteckte sich in dem nach Anklicken des Links "Einstellungen verwalten" angezeigten Fenster (Bild 2). Dieses klärt darüber auf, dass für IOS-Geräte einmalig ein Zertifikat zu erzeugen ist, das mit einem Apple-ID-Account verbunden sein muss. Entscheidet sich der Administrator dafür, geleitet ihn ein Assistent durch das Herunterladen, Generieren und Hochladen der zur Ipad- und Iphone-Verwaltung erforderlichen Zertifikatdateien. Weitere Einstellungen in diesem Fenster erlauben die Aktivierung der Mehrfaktor-Authentifizierung (was allerdings ein zusätzliches Abonnement von Microsoft Azure voraussetzt) oder den direkten Wechsel zur Geräteverwaltung im Compliance-Center. Dort muss der Administrator nun eine Gerätesicherheitsrichtlinie erstellen, deren Einstellungen auf die Mobilgeräte der Office-365-Benutzer anzuwenden ist.
Gerätesicherheitsrichtlinien
Dazu erscheint ein Fenster, das auf der ersten Seite zahlreiche Anforderungen birgt (Bild 3). Diese müssen erfüllt sein, bevor die Software das Gerät des Benutzers als richtlinienkonform ansieht. Die hier aufgeführten Konfigurationsoptionen umfassen vor allem zahlreiche Vorgaben zur Kennwortbeschaffenheit. Des Weiteren ist einstellbar, ob die auf einem Android-Gerät abgelegten Daten verschlüsselt gespeichert werden müssen und ob an IOS-Benutzer ein E-Mail-Profil zu senden ist. Abschließend gibt der Administrator an, ob der Benutzer ein Gerät nur dann zusammen mit Office 365 verwenden darf, falls es mit diesen Vorgaben konform ist.
Die auf der nächsten Seite dieses Fensters aufgeführten Optionen (Bild 4) hingegen werden zwar ebenfalls an das Gerät übertragen, bei der Feststellung von dessen Richtlinienkonformität aber nicht berücksichtigt. Hier finden sich Einstellungen, die nicht zur Standardkost zählen und von der Blockierung der Cloud-Sicherung über eine Zugriffssperre auf den App-Store bis hin zur Blockierung von Bluetooth-Verbindungen reichen.
Das Konstrukt der Gerätesicherheitsrichtlinien bei MDM für Office 365 sieht vor, dass diese auf Sicherheitsgruppen anzuwenden sind. Daher ist der Administrator gut beraten, im Vorfeld über den Bereich "Gruppe" des Office 365-Admin-Centers eine Sicherheitsgruppe zu erstellen, der die gewünschten MDM-Benutzer zuzuordnen sind. Dabei muss der Systemverwalter keineswegs alle Benutzer angeben, für die das Unternehmen ein Office-365-Abo abgeschlossen hat: Vielmehr lassen sich, etwa für die Pilotphase, gezielt einzelne Anwender zu Mitgliedern dieser Sicherheitsgruppe ernennen, denen die MDM-Funktionalität zuteilwerden soll.
Simple Anwendung
Hat der Administrator die Funktionen zur Verwaltung von Mobilgeräten in Microsofts Cloud-Angebot konfiguriert, ist der Benutzer an der Reihe. Sobald er auf seinem Gerät mit einer von MDM für Office 365 unterstützten Anwendung auf Daten zugreift, klinkt sich die Cloud-basierte Verwaltung ein. In Frage kommende Anwendungen dürfen wahlweise eingebaute oder aus dem jeweiligen App Store stammende E-Mail-Clients sein, die das Exchange-Activesync-Verfahren beherrschen. Ebenfalls unterstützt werden Microsofts Onedrive-App zum Sharepoint-Zugriff auf Onedrive for Business oder Microsofts Office-Apps wie Word und Excel.
Abhängig vom Betriebssystem des verwendeten Geräts respektive der aufgerufenen App erhält der Benutzer daraufhin mehrere Hinweise. Diese zielen im Wesentlich darauf ab, dass der Benutzer Microsofts Intune-Unternehmensportal-App aus dem App Store herunterlädt und öffnet, damit sich die Konfigurationseinstellungen (entsprechend der vom Administrator erstellten Sicherheitsrichtlinie) auf das Gerät anwenden lassen. Das war schon alles, mehr braucht der Anwender nicht zu tun. Im Office-365-Admin-Portal erscheint dann das MDM-verwaltete Gerät, das der Administrator über die Cloud nun vollständig (Reset auf Werkseinstellungen) oder selektiv (Firmendaten werden gelöscht, private Daten bleiben erhalten) zurücksetzen kann.
Was simpel klingt, ist es auch. Sprich: Viel falsch machen können Administrator und Benutzer nicht. Weicht aber ein Benutzer vom oben skizzierten Pfad der MDM-Verwaltung von Office 365 ab und verwendet andere Apps wie Google Docs zur Dokumentenbearbeitung, greifen die Mechanismen des Microsoft-Cloud-Dienstes zur selektiven Zurücksetzung allerdings nicht. Der Administrator hat dann beispielsweise keine Möglichkeit mehr, nur damit bearbeitete Unternehmensinformationen vom Gerät zu löschen.
Fazit
Kritik, dass hier unter dem Strich mehr drin gewesen wäre, erscheint auf den ersten Blick berechtigt. Auf den zweiten Blick aber gilt es, sich vor Augen zu halten, dass diese Funktionalität als Beigabe zum Office-365-Angebot ohne Aufpreis zur Verfügung steht. Wer mehr möchte, für den hält Microsoft mit Intune eine MDM-Variante mit deutlich größerem Funktionsumfang bereit.
Störender ist vielmehr, dass sich zu Microsofts Eingrenzung auf wenige unterstützte Apps die eingeschränkte Gerätekompatibilität einiger dieser Apps hinzugesellt, zumindest auf der Android-Plattform. Beispielsweise ließ sich keine der "Microsoft Office Mobile"-Apps (Word, Excel, Powerpoint) auf unserem Testgerät, einem Samsung Galaxy S6 Edge Plus mit Android 5.1.1, aufrufen. Auf diese Weise werden manche Anwender je nach genutztem Gerät praktisch gezwungen, für bestimmte Szenarien wie in diesem Fall die Bearbeitung von Office-Dokumenten auf andere Apps auszuweichen, die nicht Office-365-MDM-fähig sind. Unter Umständen geben diese zusätzlichen Limitationen den Ausschlag für ein Unternehmen, von vornherein auf eine andere, nicht aus Redmond stammende Lösung zur Verwaltung mobiler Geräte zu setzen - was kaum im Sinne von Microsofts "Mobile First"-Strategie sein dürfte.
Der Autor auf LANline.de: Eric Tierling
Info: MicrosoftTel.: 01806/672330Web: www.microsoft.de
Lesen Sie mehr zum Thema
