Software-Lizenzen und Endgeräte richtig managen

Microsoft Intune im Vergleich mit UEM-Systemen

28.11.2019
Von 


Werner Theis ist CEO und CTO der 1988 von seiner Frau Karin und ihm in Metzingen gegründeten SYSTAG GmbH. 1995 wurden die ersten Enterprise Mobility Projekte (Anbindung von Endgeräten und App-Entwicklung) umgesetzt, seit 2004 beschäftigt sich das Systemhaus exklusiv mit der Fragestellung sicherer mobiler Umgebungen. Heute gehört die SYSTAG zu den fünf führenden Enterprise-Mobility-IT-Dienstleistern im deutschsprachigen Raum. Ihre Kombination von App und Backend-Entwicklung mit ihr Rolle als VAR zweier führender UEM Systeme macht sie einzigartig. Zudem engagiert sich die SYSTAG GmbH seit einigen Jahren aktiv in der Förderung von Frauen in der IT. Die Hälfte ihrer Mitarbeiter und die Mehrzahl ihres Führungsteam sind weiblich.
Nicht jede Software von Microsoft lässt sich mit Intune verwalten. Und dann ist Schluss mit der „kostenlosen“ Zwangsbeglückung.
  • Die "richtigen" Intune-Lizenzen
  • Android-Geräte managen
  • Was der Gartner-Report aussagt
  • UEM/EMM vs. Intune
  • Multifaktor-Authentifizierung
  • Use Cases als Basis des Vergleichs
Der monetäre Vergleich zwischen Intune und anderen UEM-Systemen fällt oft nicht ganz leicht.
Der monetäre Vergleich zwischen Intune und anderen UEM-Systemen fällt oft nicht ganz leicht.
Foto: zendograph - shutterstock.com

Microsoft und sein Channel fahren gerade durch die Lande und erklären allen Kunden, die ein Enterprise-Agreement haben, dass sie sich den Einsatz eines anderen Systems für das Betreiben ihrer sicheren Umgebung sowie für die Anbindung und für den Betrieb ihrer Smartphones und Tablets sparen könnten, denn sie hätten Intune ja bereits bezahlt.

Nun stimmt das meist nicht so ganz, denn in den gerade im Mittelstand weit verbreiteten Lizenztypen "Office365 E3" und "Office365 E5" sind die Intune-CALs (Client Access Licenses) gar nicht enthalten. Wer sie haben will, darf mit sechs Dollar je User und Monat recht tief in die Tasche greifen. Da bekommt man bei den technologieführenden Wettbewerbern aus dem UEM/EMM-Markt (Unified Endpoint und Enterprise Mobility Management) Äquivalentes und zugleich technisch Gehaltvolleres (inklusive mobilem VPN) zu geringeren Kosten.

Wenn man also Intune inkludiert haben will, muss man schon die teureren Lizenzen "Microsoft365 E3" oder auch "Microsoft365 E5" erwerben. Aber selbst dann fehlt für den sicheren Betrieb noch eine ganze Menge, etwa die VPN-Verschlüsselung, was wieder Zusatzkosten auslöst. Auch das verschweigen Microsoft-Partner häufig.

Dabei glauben sie alle, den vollen Durchblick in Sachen Enterprise Mobility zu haben, weil sie sich mit diesem Thema bereits seit Jahrzehnten intensiv beschäftigen. Mit diesem Background nehmen sie an, ein Smartphone sicher zu managen, kann kein großes Problem sein.

Aufgrund der fehlenden Kenntnisse verschweigen viele Vertriebspartner der Redmonder, dass man eine sichere Verbindung ins Unternehmens-Netzwerk bei Microsoft vergebens sucht. Andere MDM-Lösungen (Mobile Device Management) bieten hier zum Beispiel VPN-Zugängen oder mittels Containern gesicherte Verbindungen in Unternehmens-LAN an.

Außerdem setzt Intune als MDM-System Informationen in der Cloud voraus. Das alles löst eine ganze Latte von Security-Fragen aus, deren Auflösung wieder einen Griff in den Geldbeutel auslöst. Billig geht also anders. Aber das weiß der Kunde meist erst hinterher.

Zusatzlösungen in Azure

Nun hat Microsoft die höherwertigeren Lizenzen, die meist größere und sehr große Kunden in Anspruch nehmen, sehr häufig mit einem "Private Azure Tenant" veredelt, und das kostet richtig Geld. Zwar ist das "nackte" Intune" bereits bezahlt, was aber nicht daran liegt, dass die Kunden gefragt worden wären, ob sie es denn haben wollen.

Richtig ist vielmehr, dass Microsoft den Kunden in diesem Falle gar keine Wahl lässt, sich zu entscheiden. Es handelt sich vielmehr um eine Zwangsbeglückung, die dadurch unterlegt wird, dass der sichere Zugriff auf die mobilen Office-Apps nur funktioniert, wenn Gerät und User im Intune angelegt werden. So kann man Wahlfreiheit und Kundenautonomie auch verstehen.

Kunden, die sich für den Intune-Weg entscheiden, werden zudem schnell feststellen, dass das Versprechen der Kostenlosigkeit sich rasch in Luft auflöst, wenn es Fragen zur der Geräte- und Datensicherheit zu klären gilt. Dann werden auf einmal zusätzliche Lizenzen rund um die AIP (Azure Information Protection) fällig, deren Preise die für alle anderen klassischen UEM-Systeme mehrfach in den Schatten stellen.

Wer Licht ins Lizenzdunkel bringen will, dem sei empfohlen hier nachzuschauen und sich im Zweifel von jemandem, der die Sache unabhängig betrachtet, beraten zu lassen. Sind die Verträge erstmal unterschrieben und die Daten migriert, ist das Aufwachen in der Regel ziemlich teuer.

Über den Wert der Gartner-Reports im Allgemeinen und des UEM-Reports im Speziellen

Nun ist es so, dass der neue Gartner UEM-Quadrant aus dem Jahr 2019 Microsoft zu den Marktführern (Leader) zählt, also dort positioniert, wo die wirklichen Technologiechampions sich nach der Lesart vieler CIOs befinden müssen, um als Lieferant akzeptiert zu werden.

Intune-Architektur - Schaubild von Microsoft
Intune-Architektur - Schaubild von Microsoft
Foto: Microsoft

Ebenfalls lesenswert: Datenschutz in Microsoft Office 365 lückenhaft

Tatsache ist, dass es dem Microsoft-Konzern im Rahmen seiner Cloud-Initiative gelungen ist, viele seiner großen Kunden mit Hilfe der oben ausgeführten Argumente zu überzeugen, Intune einzusetzen. Das wird im Bericht reflektiert, bedeutet aber nicht, dass die Lösung tatsächlich technologisch führend ist.

Nach wie vor weist Intune beim Management von Zertifikaten große Schwächen auf. Ebenso reicht der sichere Betrieb von Android-basierten Endgeräten nicht an den Möglichkeiten der anderen technologieführenden Produkte heran. Außerdem sind Intune und Multifaktorauthentifizierung (MFA) wie Feuer und Wasser, was den Betrieb, die Implementierung und das Roll-out der Endgeräte angeht.

Allein um letzteres Problem aufzufangen, war bei einigen größeren internationalen Intune-Kunden eine Personalbereitstellung von bis zu drei zusätzlichen FTE (Full-time Equivalent) nötig, was dazu geführt hat, dass allein durch zusätzlichen Personalausgaben die kompletten TCO des bisherigen UEM Systems mehrfach überschritten wurde.

Nun ist in der Tat zu erwarten, dass die Schwächen beim Management der Android-Geräte in der kommenden Zeit nach und nach von Microsoft ausgebügelt werden. Das liegt schon deshalb auf der Hand, weil die Surface-Fraktion bei Microsoft Surface-Formfaktoren mit Android vorgestellt hat. Denn der Redmonder Konzern hat klar formuliert, dass Android im Bereich der kleineren Formfaktoren Windows 10 ergänzen wird.

Lesetipp: InApp-Security ist kein Hype sondern Realität