Unified Endpoint Management

Warum (und wie) man Windows-PCs wie iPhones verwalten sollte

19.10.2016
Von  und


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.


Galen Gruman ist Executive Editor in einem Team von Autoren, das für IDG weltweit Inhalte produziert.
Die Bausteine sind allmählich komplett, um mit dem EMM-basierten Unified Endpoint Management einen einheitlichen Systems-Management-Ansatz für Windows, MacOS, iOS und Android einzuführen. Hier lesen Sie, was Unternehmen dabei beachten müssen.
Mit EMM-Tools lassen sich Windows-PCs, Macs, Android- und iOS-Geräte über eine Konsole verwalten.
Mit EMM-Tools lassen sich Windows-PCs, Macs, Android- und iOS-Geräte über eine Konsole verwalten.
Foto: ArchMan/Shutterstock.com

Die Tage von Microsofts System Center könnten gezählt sein. Mit der Einführung von Windows 10 hat Microsoft damit begonnen, einen anderen Systems-Management-Ansatz zu verfolgen - denselben, den Apple für das iPad und iPhone entwickelt hat und der später von Google für Android übernommen wurde. Organisationen, die Windows 10 im Einsatz haben, können sich diesen Ansatz zu Nutze machen und die IT alle Client-Devices - also Windows-10-Rechner, Macs, iOS- und Android-Geräte mithilfe einer Unified-Endpoint-Management-Lösung über eine Konsole verwalten lassen. Dabei kommt ein und dieselbe Policy-basierende Technik zum Einsatz. Soweit zur Theorie, die Praxis ist natürlich deutlich komplexer.

PCs sind wie iPads - und umgekehrt

Sowohl was Funktionalität und Verwendung anbelangt, ähneln Tablets heutzutage zunehmend Computer - und Computer übernehmen mehr und mehr Tablet-ähnliche Features - mit gemischtem Erfolg, wie ein Vergleichstest von InfoWorld.com zeigt. Die IT sollte sich diesen Umstand zu Nutze machen, indem sie auf zwei unterschiedliche Management-Tools - eines für Computer, eines für mobile Geräte - verzichtet. Der große Grund dafür sind Kosteneinsparungen: Die Methoden und Werkzeuge für die Verwaltung und Absicherung von iOS- und Android-Devices sind erfordern deutlich weniger Arbeitsaufwand als die Tools zum Management von traditionellen PCs.

Ojas Rege, MobileIron: EMM-Tools senken die Kosten für das Management von PCs um die Hälfte bis drei Viertel.
Ojas Rege, MobileIron: EMM-Tools senken die Kosten für das Management von PCs um die Hälfte bis drei Viertel.
Foto: MobileIron

Der Ansatz, dass mobile Endgeräte remote ausgerollt und mit Policies versehen werden, liegt weitgehend im ByoD-Trend begründet: Da hierbei die meisten Devices ursprünglich nicht von der IT bereitgestellt werden, brauchte es eine andere Management-Methode wie bei den PCs üblich. Diese Lücke füllte das (relativ) neu aufgekommene Enterprise Mobility Management (EMM).

Laut Ojas Rege, Chief Strategy Officer beim EMM-Anbieter MobileIron, senkt das neue Verwaltungs-Modell die Management-Kosten für PCs um die Hälfte bis drei Viertel, die Lizenzkosten für EMM-Tools nicht mit eingerechnet.

Tony Kueh, Vice President Research & Development bei VMware AirWatch, geht davon aus, dass Unternehmen, die EMM einsetzen, lediglich zwei bis vier Admins für den Support von 10.000 Devices benötigen. Die Verwaltung von PCs ist komplexer, vor allem, weil die Anpassung von Windows-Anwendungen zu einer größeren Unterschiedlichkeit führt, als es Apple es bei iOS zulässt. Nichtsdestotrotz erwartet Kueh, dass der EMM-Ansatz die Kosten für das Windows-Management deutlich reduziert.

Tony Kueh, VMware AirWatch: Mit EMM reichen zwei bis vier Admins für die Verwaltung von 10.000 Devices.
Tony Kueh, VMware AirWatch: Mit EMM reichen zwei bis vier Admins für die Verwaltung von 10.000 Devices.
Foto: VMware

Kombiniert man diese signifikanten Kosteneinsparungen mit der Konsistenz einer gemeinsamen Plattform, die die Wahrscheinlichkeit von Sicherheits- und Compliance-Lücken reduziert, und man erkennt den Reiz einer Unified-Endpoint-Management-Strategie.

Wenig überraschend hegen MobileIron und VMware hohe Erwartungen in das Management von Windows-10-Devices mit ihren traditionell eher für mobile Geräte und Macs ausgelegten EMM-Tools - genauso wie andere große EMM-Anbieter. Auch Gartner ist optimistisch, was diesen Ansatz angeht, und prognostiziert, dass in zwei Jahren 40 Prozent der IT-Abteilungen zumindest einige Windows-PCs mit EMM-Tools managen.

Derzeitige Windows-Management-Tools haben ihre Wurzeln in den 1980er Jahren. Der damalige Ansatz war, dass die IT die Geräte besitzt und Anwendungen händisch aufspielt. Im Laufe der Zeit wurde die Bereitstellung mit Hilfe von Tools wie Microsoft's System Center, MicroFocus ZenWorks, LANdesk oder Symantec IT Management Suite (früher Altiris) zwar zunehmend automatisiert, aber der grundsätzliche Ansatz des direkten Managements blieb.

Das Vorgehen lässt sich auch auf Tausende von Computern ausweiten, solange es sich dabei weitgehend um Windows-PCs handelt. Es ist aber ein arbeits- und zeitintensiver Ansatz, der die IT in den Mittelpunkt fast jeder Entscheidung stellt.

Der EMM-Ansatz hingegen erfordert nur wenig Admin-Arbeit, zum größten Teil deswegen, weil sich die IT in den Anfangszeiten der Enterprise Mobility (also vor EMM) weigerte, zusätzliche Ressourcen für den Support von mobilen Endgeräten abzustellen. Die Hersteller waren dadurch gezwungen, eine andere Methode zu entwickeln, um die Erwartungen der IT hinsichtlich Management und Security zu erfüllen.

Laut MobileIron-Manager Rege gibt es aber noch einen weiteren Aspekt im EMM-Ansatz, der zur Senkung der Kosten beiträgt: "Man braucht kein zusätzliches App-Sandboxing und hat auch nicht unbedingt Bedarf an Anti-Malware oder einem traditionellen Agenten-basierten DLP", weil das Sandbox-Modell von EMM keine fremden Apps und Agenten in die App-Sandboxen lässt. Sandboxing sei eine wichtige Grundlage für das mobile Sicherheitsmodell, das nun auf Computer übertragen werde, bemerkt Rege. Daneben sei DLP zwar nach wie vor eine wichtige Maßnahme, werde aber Policy-basiert und von EMM absorbiert, geschehe also nicht durch die direkte Überprüfung von Apps durch Softwareagenten.

Mit anderen Worten: Eine Menge des Security-Überbaus, der heute für die völlig ungeschützten Windows-Anwendungen benötig werde, entfalle, wenn sie nativ geschützt würden. Dies reduziere ebenfalls Support- und Betriebskosten, fügt er hinzu.

Bereits 2011 erkannte Apple, dass dieser Ansatz genauso gut bei Computern funktionieren könnte wie bei mobilen Endgeräten. Als Konsequenz wurde OS X Lion so entwickelt, dass es viele der Policy-basierten Management-Protokolle für das Self-Enrollment von iOS 7 übernahm. Damit konnte die IT auf einmal Policies setzen und über Profile verteilen, die sowohl einige Features auf Betriebssystemebene wie auch Anwender-basierte Einstellungen konfigurierten, um die Compliance sicherzustellen: Keine Compliance, kein Zugang.

Microsoft übernahm den gleichen Ansatz 2015 mit Windows 10 und erweiterte ihn 2016 in verschiedenen Updates. Nachdem die IT mittlerweile ernsthaft daran denkt, Windows 10 im großen Stil auszurollen, hat Microsoft begonnen, die Werbetrommel für den EMM-Ansatz zu schlagen.