Apple@SAP

Wie SAP über 100.000 Apple-Geräte verwaltet

07.12.2018
Von 


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Es ist längst kein Geheimnis mehr, dass Apple mit seinen Devices fest im Unternehmensumfeld angekommen ist. Weniger bekannt ist dagegen, dass der Softwarekonzern SAP mit über 100.000 Macs, iPhones, iPads und Apple TVs einen der größten Apple-Geräte-Zoos hütet. Einige Details.

Mit dem Auftauchen von iPhone und iPad ist die Verbreitung der Apple-Devices im Enterprise-Bereich kontinuierlich am Wachsen. Die Möglichkeit, durch die Bereitstellung von innovativen Cloud- und Mobility-Lösungen überall produktiv zu sein, unterstützt der Softwareriese SAP nicht nur seit 2016 über eine mit Apple geschlossene Partnerschaft bei seinen Kunden, sondern lebt sie auch im eigenen Unternehmen vor. Mit dem Effekt, dass sein Team inzwischen gut 17.500 Macs, 83.000 iOS-Geräte und 170 Apple TVs verwalte, erzählt Martin Lang, Vice President IT Services, Enterprise Mobility, bei SAP, im CW-Gespräch.

Auch bei den Geräten der Mitarbeiter steht bei SAP die Benutzerfreundlichkeit im Vordergrund.
Auch bei den Geräten der Mitarbeiter steht bei SAP die Benutzerfreundlichkeit im Vordergrund.
Foto: JAMF

Noch vor einigen Jahren sah die Welt bei SAP etwas anders aus, erinnert sich Lang. So waren 2011 noch gut 22.000 Blackberrys im Einsatz, aber nur wenige Mitarbeiter nutzten damals iPhones oder generell Apple-Geräte. Die Wende kam, als der Walldorfer Softwarekonzern noch im selben Jahr auf einen Schlag den gesamten Außendienst mit 20.000 iPads ausstattete - vermutlich der größte Deal, den Apple zu dieser Zeit an Land zog.

"Als sie die Geräte in Betrieb nahmen, erkannten die Mitarbeiter schnell, dass sie mit den Apple-Tablets viel mehr machen können als mit ihren Blackberrys", erzählt Lang - und die von ihm geleitete Abteilung Enterprise Mobility habe mit der Entwicklung von Anwendungen begonnen, speziell für das Sales-Team und für interne Prozesse, um den Nutzwert der Geräte weiter auszuweiten .

Interdisziplinäres Apple@SAP-Team

Beschäftigte sich der Bereich vorher noch mit reinem App-Development, kam 2015 das Team MDM (Mobile Device Management) mit in die Fachabteilung. Ende 2015/16 wurde dann auch der Bereich Mac@SAP übernommen, der sich mit der Verwaltung der stark wachsenden Zahl von Apple-Rechnern im Konzern beschäftigte. Damit verfügte das Unternehmen über ein spezielles interdisziplinäres Apple@SAP-Team, das sich um Geräte-Management, Sicherheit, technischen Support sowie die Entwicklung von Mac- und iOS-Anwendungen kümmert.

Martin Lang demonstriert zusammen mit einer SAP-Mitarbeiterin, wie schnell und einfach ein neues iPhone in Betrieb genommen werden kann.
Martin Lang demonstriert zusammen mit einer SAP-Mitarbeiterin, wie schnell und einfach ein neues iPhone in Betrieb genommen werden kann.
Foto: JAMF

Wurden die mobilen Endgeräte bislang über das hauseigene Mobile-Device-Management-System verwaltet, fiel im Sommer 2018 die strategische Entscheidung, auf ein neues MDM zu wechseln. In einem Proof of Concept testete das Unternehmen daraufhin drei Lösungen: Microsoft Intune, VMware Workspace ONE (besser bekannt als Airwatch) und Jamf Pro, das SAP bereits seit 2010 für die Verwaltung seiner Mac-Rechner nutzt.

VMware/Airwatchund Jamf waren am Ende in der engeren Auswahl, erklärt der SAP-Manager. Die Entscheidung Apple-Devices bei SAP mit Jamf zu managen fiel, da sie mit der Lösung seit acht Jahren gute Erfahrungen gemacht hatten. "Airwatch hat einen ähnlichen Funktionsumfang, doch hätte die Einführung länger gedauert, weil wir mehr Wissen hätten aufgebauen müssen", so der Mobility-Spezialist.

Benutzerfreundlichkeit im Fokus

Letztendlich sei die Wahl auch auf Jamf gefallen, weil der Hersteller einen starken Fokus auf die Benutzerfreundlichkeit lege - ein Thema, das Lang zufolge auch dem SAP-CIO Thomas Saueressig sehr am Herzen liege. Darüber hinaus profitiert SAP von der Integration von Jamf mit Microsoft EMS (Enterprise Security + Mobility). Die Lösung ermöglicht es dem Softwarekonzern, mit Hilfe der Funktion Conditional Access sicherzustellen, dass nur vertrauenswürdige Benutzer von konformen Geräten und mit genehmigten Anwendungen auf Unternehmensdaten zugreifen.

Wie Lang erklärt, sei man hier auf der Mac-Suite schon weit, bei iOS allerdings noch nicht. SAP habe aber beste Voraussetzungen, da der Konzern viel mit Zertifikaten arbeite und anstatt einzelner VPNs den SAP Cloud Connector für den Zugriff auf Unternehmensdaten auf der SAP Cloud Platform nutze.

Und dank der Verknüpfung des Apple Business Managers (ehemals VPP und DEP) mit Jamf Pro laufe auch die Bereitstellung eines neuen iOS-Devices und die Verteilung von Apps entsprechend einfach ab und ohne dass die IT-Abteilung noch Hand an dem iOS-Gerät anlegen muss (Zero Touch Deployment): Der Nutzer schaltet das System an, gibt sein Passwort ein, der Rest geht automatisch.

Für das Management der rund 7.000 Android-Devices, überwiegend Smartphones, wurde Airwatch, eine VMware Lösung, eingeführt und ist seit Oktober 2018 live. Wie Lang einräumt, lässt sich der Support von Android in seinem Unternehmen wirtschaftlich eigentlich kaum rechtfertigen, da hier fast so viele Ressourcen verbraucht würden, wie bei den 87.000 iOS-Devices. Die Android-Community sei jedoch ziemlich stabil und auch sehr passioniert, viele Anwender bräuchten Android zudem für ihre Arbeit (App Entwicklung).

Die große, aber langsam rückläufige Zahl von 85.000 Windows-Devices wird bei SAP nach wie vor klassisch mit Microsoft SCCM verwaltet. Intune werde evaluiert, da SAP auch ein großer Office-365- und Azure-Kunde ist, erläutert Lang.

TCO von Apple-Geräten vermutlich niedriger

Der IT-Mann geht davon aus, dass die bei SAP genutzten 17.500 Macs erst der Anfang sind. Der Anschaffungspreis sei etwas happig, aber was den total cost of ownership (TCO) betrifft, kommen Apple-Geräte in Form von Macs billiger, da sie über drei vier Jahre hinweg gesehen weniger Support benötigen. "Aktuell ist das eher noch ein Bauchgefühl", so Lang, SAP wolle dazu aber Fakten sammeln.

Neben den harten Fakten spielten auch die weichen Faktoren eine Rolle, denn "wenn neue Mitarbeiter heute zu SAP kommen, wollen sie oft einen Mac. Und wenn sie das tun, können sie damit auch alles machen, was für sie aus geschäftlicher Sicht wichtig ist", erklärt Lang. "Wegen der hohen Erwartungshaltung der Mitarbeiter glaube ich nicht, dass wir eine andere Wahl haben, als diese Flexibilität anzubieten."

Choose your own device

Die Auswahl und Bestellung der mobilen Devices und Desktops - bei SAP in Deutschland sind das aus rechtlichen Gründen alles Firmengeräte, im Ausland oft auch COPE- und ByoD-Devices- erfolgt über einen Katalog der Tochterfirma Ariba. Da SAP die Funktion Knox Mobile Enrollment zur Einrichtung der Geräte nutzte, war hier im Android-Bereich die Auswahl vor dem Wechsel auf Workspace ONE/Airwatch auf einige Samsung-Modelle beschränkt, berichtet Lang.

Jetzt gäbe es mit Android Enterprise mehr Wahlmöglichkeit, etwa Googles Pixel-Smartphones, diverse Nokia- oder Blackberry-Geräte mit Tastatur. Außerdem verfügt jede große SAP-Niederlassung mit mehr als 1.000 Mitarbeitern über ein sogenanntes Mobile Solutions Center, indem Devices vor dem Bestellen angefasst und ausprobiert werden können ("Try before you buy"), diese seien vergleichbar mit einem Apple Store, berichtet Lang.

Try before you buy: Im IT Link Center von SAP in Walldorf stehen Geräte aller Art zum Anschauen und Ausprobieren bereit.
Try before you buy: Im IT Link Center von SAP in Walldorf stehen Geräte aller Art zum Anschauen und Ausprobieren bereit.
Foto: SAP

Für die Bestückung der Geräte hat SAP mit Jamf Self Service einen nativen AppStore eingerichtet. Über diesen erhalten SAP-Mitarbeiter sofortigen Zugriff auf Ressourcen, Inhalte und vertrauenswürdige Anwendungen - selbständig ohne Hilfe durch die IT und mit einem Klick auf ihrem Mac oder iOS-Gerät. Wie der Mobility-Spezialist erzählt, arbeitet SAP im Unterschied zu klassischen Kunden viel mit nativen Inhouse-Apps - etwa 60 Stück - plus Microsoft Office, VPN sowie Anwendungen für das Personal- und Reisemanagement (Success Factors bzw. Concur).

iOS first - auch bei der App-Entwicklung

Apropos Apps: Als die App-Entwicklung 2011/12 bei SAP intensiviert wurde, war das Unternehmen noch breit aufgestellt mit Blackberry, Android, iOS und Windows Mobile. Da sich der Fokus inzwischen deutlich in Richtung iPhones verschoben hat, wird nun zunächst für iOS entwickelt, dann für Android. Dabei gebe es eine magische Grenze, berichtet Lang: Erst, wenn eine App für mehr als 1.000 Mitarbeiter vorgesehen sei, dann gebe es sie auch für Android. Generell sei die Nutzung der Hauptfaktor, als Feedback für den Erfolg einer Anwendung werde deshalb intensiv gemessen, wie oft eine App genutzt wird.

In der Self Service App bekommen SAP-Mitarbeiter die verfügbaren Apps angezeigt.
In der Self Service App bekommen SAP-Mitarbeiter die verfügbaren Apps angezeigt.
Foto: SAP

Jamfs Self Service liefere dazu allerdings nur die Download-Zahlen für eine App, aber der Zugriff auf SAP Cloud Platform könne getrackt werden, fügt der Mobility-Spezialist hinzu. Das Ganze passiere aber sehr sensibel, um nicht mit dem Betriebsrat in Konflikt zu geraten (Stichwort Leistungskontrolle), werde aber z.B. auf die Länder heruntergebrochen.

Um die sichere Entwicklung von Apps - auch in einzelnen Business-Units - voranzutreiben, hat SAP außerdem den App Playground im Betrieb. Dieser verfügt über verschiedene Kategorien und sorgt für eine schnelle Verteilung von API-Files. Gleichzeitig wüssten alle, dass es sich nur um Test-Anwendungen handle, die nicht offiziell abgesegnet seien, etwa, weil noch keine Security-Features integriert worden seien.

Während SAP über rund 70 intern entwickelte iOS-Anwendungen verfügt, ist die Anzahl der Mac-Anwendungen deutlich geringer. Das soll sich aber Lang zufolge ändern. "Wir sind gespannt, was im nächsten Jahr hinsichtlich der Nutzung von iOS-Apps auf einem Mac passieren wird", sagt der SAP-Mann und verweist auf Apples Marzipan-Projekt, das die Portierung von iOS-Apps auf den Mac im Jahr 2019 wesentlich erleichtern dürfte. "Wir haben eine Menge iPad-Apps, die einfach hervorragend auf einem Mac laufen würden."