EMM-Lösung im Test

Smartphone-Management mit AppTec

Andrej Radonic ist Experte für Virtualisierung, Cloud-Technologien und Open Source Anwendungen. Der Fachbuchautor ist Vorstand der interSales AG und entwickelt für mittelständische Unternehmen anspruchsvolle E-Commerce Lösungen.
Die EMM-Lösung aus der Schweiz bringt Management und Security für die Verwaltung von Smartphones und adressiert die Sicherheitsbedürfnisse deutscher Anwender.
  • Freie Wahl zwischen On-premise- oder Cloud-Variante, wobei die Server in Deutschland und der Schweiz stehen
  • Admins haben einheitliche Sicht auf Geräte- und Systemvielfalt
  • Private wie geschäftliche Inhalte und Apps können koexistieren
Die AppTec-Appliance muss für die Inbetriebnahme in wenigen Schritten über eine Browseroberfläche konfiguriert werden.
Die AppTec-Appliance muss für die Inbetriebnahme in wenigen Schritten über eine Browseroberfläche konfiguriert werden.
Foto: AppTec/Radonic

Tablets und Smartphones sind zum festen Bestandteil der IT geworden. Damit sie für Unternehmen nicht zur Kosten- und Sicherheitsfalle werden, bedürfen sie wie Desktop-Geräte einer zentralen Inventarisierung und Überwachung, einer Versorgung mit Updates und dem Schutz vor Sicherheitslücken und Datenverlust.

Anders als ihre großen Brüder haben sie aufgrund ihrer Mobilität nicht immer Kontakt zum Unternehmensnetz, und weil zunehmend Privatgeräte für berufliche Zwecke genutzt werden (BYOD - Bring Your Own Device), gelten andere Policies für den Umgang mit den darauf befindlichen Daten. Die IT benötigt daher für das Management von Mobilgeräten speziell darauf zugeschnittene Lösungen.

AppTec mit Fokus auf den deutschen Markt

Im von US-Herstellern dominierten Markt der Enterprise-Mobility-Management-(EMM-) Lösungen behauptet sich AppTec aus Basel als einer der wenigen Anbieter, die konform zu den strengen deutschen rechtlichen Rahmenbedingungen sind. Bis zu 25 Geräte verwaltet man mit dieser Software kostenlos. AppTec360 EMM unterstützt dabei alle gängigen Versionen von iOS, Android und Windows Mobile.

Wie in dieser Softwarekategorie üblich, adressiert die EMM-Lösung die drei Hauptbereiche der Mobilgeräteverwaltung:

  • Mobile Device Management (MDM) = Inventarisierung, Konfiguration und Verwaltung mobiler Endgeräte, Gerätesicherheit, E-Mail-Zugriff, BYOD.

  • Mobile Application Management (MAM) = Verwaltung, Verteilung, Aktualisierung und Schutz von Apps auf den Endgeräten, basierend auf einem selbstdefinierten App-Store, der auch eigene Apps umfassen kann.

  • Mobile Content Management (MCM) = Absicherung der Datennutzung, z.B. durch Verschlüsselung, Überwachung der Datennutzung, gezielter Zugriff auf Unternehmensdaten von Mobilgeräten aus.

Schnelle Inbetriebnahme in der Cloud oder On-Premise

Anwender haben bei AppTec die Wahl zwischen einer On-Premise-Installation oder der Cloud-Variante mit Servern in Deutschland und der Schweiz. Funktional besteht zwischen den beiden Optionen kein Unterschied. Während die SaaS-Variante lediglich einer Registrierung bedarf, um mit der Geräteverwaltung anfangen zu können, muss der Administrator für eine private Instanz zunächst die im ova-Format gelieferte Appliance auf einem Hypervisor vom Typ VMware, Hyper-V, Virtualbox oder XenServer starten.

Nach dem Booten der VM öffnet sich der Browser-basierte Installationsassistent, mit dem die Appliance konfiguriert und in das Netzwerk integriert wird. Neben dem Upload der Lizenzdatei und eines öffentlichen SSL-Zertifikats ist dabei der Admin-User sowie ein Mailkonto zu konfigurieren, über welches das System Mails versenden kann.

IT-Sicherheit beginnt im Kopf

Wem das Hantieren im kleinen Konsolenfenster der VM zu umständlich ist, der kann die Appliance per SSH-Kommandozeile auch für den Remote-Zugriff auf den Konfigurationsassistenten freischalten. Dafür muss man in der Datei /opt/console/application/configs/externalConfigPassword ein Passwort anlegen und kann dann Zugriff per Browser von einem entfernten Rechner erlangen über die URL http://HOSTNAME/public/config/extconfig/pwd/MEINPASSWORT.

Da der Managementserver mit den Mobilgeräten über das Internet kommunizieren muss, sind - neben 8080, 8081 und 443 - weitere Ports in der Firewall freizuschalten: Für die Apple-APN-Kommunikation müssen 5223, 2195 und 2196 geöffnet sein, für Android sind es 5228, 5229 und 5230.

Vorbereitung für das Geräte-Management

Ab diesem Punkt ist die On-Premise-Software im gleichen Zustand wie der Cloud-basierte Zugang. Über die aufgeräumte Webkonsole muss der EMM-Administrator wie bei allen MDM-Lösungen nun zunächst einige Vorkehrungen für das Management von iOS- und Android-Geräten treffen.

Für iOS muss er ein APNS-Zertifikat über den entsprechenden Apple-Service beschaffen und im EMM hinterlegen. Sollen Apple-Geräte zudem im Supervised Mode betrieben werden, was erweiterte Konfigurationsmöglichkeiten eröffnet, muss zudem ein DEP-Server im EMM definiert werden, welches eines weiteren Apple-Zertifikats bedarf.

Enrollment und Provisionierung

Das Enrollment von Geräten läuft weitgehend automatisch - entweder für ein einzelnes Gerät oder als Massenoperation
Das Enrollment von Geräten läuft weitgehend automatisch - entweder für ein einzelnes Gerät oder als Massenoperation
Foto: AppTec/Radonic

User legt der EMM-Administrator wahlweise manuell an oder er importiert sie per CSV-Datei und indem er den Server per LDAP-Konnektor an den eigenen Verzeichnisdienst anschließt. Für das Enrollment der Geräte kann er den Usern automatisiert per E-Mail oder SMS eine Installationsaufforderung zukommen lassen. Nach Login im EMM-Dienst auf dem Endgerät wird zunächst ein Zertifikat auf dem Mobile Device eingerichtet und anschließend die für die Steuerung benötigte EMM-App installiert.

Übersichtliche Gerätekonfiguration

Die so ins Management übernommenen Geräte kann der Administrator nun von seiner Konsole aus konfigurieren und steuern. Trotz der herstellerspezifischen Unterschiede zwischen den Mobilbetriebssystemen können die meisten Parameter dabei über eine einheitliche Methodik verwaltet werden, was den Administratoren die Arbeit stark vereinfacht. So können für alle Gerätetypen viele Einstellungen einheitlich vorgenommen werden, etwa für Passwort-Policies, die Nutzung der Kamera, Zugriff auf Cloud-Dienste etc.

Das Dashboard liefert einen Überblick über den Status aller Geräte, informiert über deren Compliance und listet alle noch nicht gemanagten Devices auf. Zwar sieht man hier, wie viele Mobilgeräte ein modifiziertes Betriebssystem installiert haben (Jailbreak/Root), allerdings ist keine automatische Reaktion dafür vorgesehen, wie zum Beispiel ein Sperren oder Löschen oder eine Aufforderung an den User. Diese Aktionen muss der Administrator von Hand ausführen.

Detaillierte Konfigurationsprofile werden auf Gruppenebene zugewiesen und bei Bedarf auf Untergruppen vererbt.
Detaillierte Konfigurationsprofile werden auf Gruppenebene zugewiesen und bei Bedarf auf Untergruppen vererbt.
Foto: AppTec/Radonic

Die User können die abgespeckte Selfservice-Webkonsole nutzen, um beispielsweise den Gerätestatus zu prüfen oder im Fall eines Diebstahls die Geräteortung zu veranlassen.