Unified Endpoint Management

Warum (und wie) man Windows-PCs wie iPhones verwalten sollte

19.10.2016
Von  und


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.


Galen Gruman ist Executive Editor in einem Team von Autoren, das für IDG weltweit Inhalte produziert.

Fußfessel alte Windows-Anwendungen

Was tun mit den ganzen alten Windows-Anwendungen, auf die das Unternehmen angewiesen ist? Sie neuzuschreiben oder durch UWP-Apps (Universelle Windows-Plattform) zu ersetzen kann sehr zeitaufwändig sein. Es gibt aber noch einen weiteren Migrationspfad von alten Win32-Anwendungen zu neuen UWP-Versionen. So arbeitet Microsoft im Rahmen des Projekts Centennial an einem Desktop-App-Konverter, mit dem man vorhandene für.NET 4.6.1 oder Win32 geschriebene Desktop-Apps für die Universelle Windows-Plattform (UWP) konvertieren kann. Der Konverter führt den Desktop-Installer in einer isolierten Windows-Umgebung aus, die sich dann mit EMM-Tools verwalten lässt.

So kann die IT Application-Management-Policies auf die containerisierten Win32-Apps anwenden, um sicherzustellen, dass Unternehmensdaten im Unternehmensumfeld verbleiben. Außerdem können Admins strengere Authentifizierungsregeln umsetzen und die Nutzung von VPNs etc. für einen zusätzlichen Schutz der Daten erzwingen.

"Der Desktop-App-Konverter ist ein Schritt in die richtige Richtung", meint auch MobileIron-Manager Rege, weil damit Win32-Anwendungen für ein einfacheres Management in UWP-Apps umgewandelt würden. Man wisse jedoch noch nicht, ob sich das Verfahren für alle Win32-Apps eignet. Auf lange Sicht sei es daher wohl die bessere Strategie, Apps zu modernisieren und nicht nur in ein neues Format zu konvertieren.

Kueh von Vmware vermutet, dass die Kosten für ein Refactoring von Legacy-Anwendungen normalerweise niedriger liegen als die für die weitere Nutzung. Für alte Apps, die sich nicht umschreiben lassen, etwa weil der Anbieter nicht mehr existiert, gebe es VDI.

Die Verwirrung um Microsoft's EMS und Intune

Vor einigen Jahren brachte Microsoft mit Intune eine eigene EMM-Lösung heraus. Sie unterstützte iOS- und Android-Devices sowie Windows Phones mit den gleichen Policies wie alle EMM-Tools. Dann entwickelte der Softwareriese Information Management APIs für Office 365 und verknüpfte sie mit Intune. Offensichtliches Ziel war es, die IT dazu zu zwingen, Intune anstelle ihrer bestehenden EMM-Lösungen zu verwenden, wenn sie Geräte sowohl mit den herkömmlichen MDM-APIs und den speziellen Information Management APIs für Microsoft Office managen wollen.

Microsoft EMS: Die einzelnen Komponenten der Enterprise Mobility Suite und ihre Aufgaben.
Microsoft EMS: Die einzelnen Komponenten der Enterprise Mobility Suite und ihre Aufgaben.
Foto: Microsoft

Mittlerweile ist Intune ein Teil von Microsofts Enterprise Management Suite (EMS), zu der außerdem Azure Active Directory Premium, Azure Rights Management und Advanced Threat Analytics gehören. Außerdem muss sich die IT nicht mehr für Intune entscheiden, um von den speziellen Office-365-APIs zu profitieren.

Diese Schnittstellen sind zwar nach wie vor nur für Microsoft Office verfügbar, Microsoft hat jedoch das Management dieser proprietären APIs von den Enrollment- und Management-Funktionen in seiner EMS entkoppelt.

Als Resultat können Unternehmen weiterhin ihren bisherigem EMM-Lieferanten für die Verwaltung von Endgeräten und Apps nutzen und die zwei EMS-Komponenten - die Azure-Konsole zusammen mit Intune - als Policy-Manager für die proprietäre Konfiguration der Office-Apps verwenden. Es ist also keine Entweder/Oder-Entscheidung zwischen einem EMM-Anbieter und konfigurierten Office-Anwendungen mehr.

Mittlerweile unterstützt Intune auch viele Policies für Mac OSX und seit kurzem auch Googles App-Management- Lösung Android for Work - ein klares Zeichen dafür, dass Microsoft damit beginnt, den Rest der EMM-Anbieterlandschaft anzuerkennen. Die einzige Koppelung, die Microsoft noch beibehält, ist für seine Richtlinien für den bedingten Zugriff auf Office 365 (Conditional Access): Hier ist Voraussetzung für die Umsetzung von Geräterichtlinien (etwa Zugang basierend auf Geolocation, IP-Adresse…), dass Benutzer ihre Geräte beim Azure Active Directory-Geräteregistrierungsdienst registrieren müssen. Microsoft lässt andere EMM- und IM-Anbieter diese Policies zur Verwaltung von Windows-PCs nutzen, aber nicht für andere Devices. Die Konsequenz: Wer den bedingten Zugriff für Windows-10-PCs und mobile Endgeräte nutzen will, braucht EMS.

Es gibt allerdings auch viele Alternativen, um den bedingten Zugriff bei iOS und Android umzusetzen - EMM-Anbieter sind dafür nicht unbedingt auf Microsoft-Technik angewiesen. Die Lösung seines Unternehmens, MobileIron Access, so Rege, nehme dazu die Authentifizierungsanfrage entgegen und bestätige dann die Berechtigung von Gerät und App, bevor sie diese an das IAM-System weiterleite. Wenn Endgerät oder App nicht vertrauenswürdig seien, erhielten sie auch keinen Zugriff auf Office 365 (oder einen anderen Cloud-Service).