Unified Endpoint Management

Warum (und wie) man Windows-PCs wie iPhones verwalten sollte

07.11.2016
Von  und Galen Gruman


Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.

Noch nicht alle Teile des EMM-Puzzles für Windows 10 komplett

MDM/EMM in Windows 10
MDM/EMM in Windows 10
Foto: Microsoft

Microsoft hat ein sehr überzeugendes Diagramm über das Windows-10-Management via EMM erstellt, das den Eindruck vermittelt, dass alle Teile komplett seien. Das trifft allerdings (noch) nicht ganz zu. Sicher, Grundlagen wie Passwort-Zwang oder Verschlüsselungs-Policies sind vorhanden. Self-Enrollment ist auch möglich, via Azure Active Directory (AAD) oder eine EMM-Suite von Drittanbietern. Ebenfalls unterstützt werden die wichtigen Kerntechnologien von Windows wie System-Updates, Netz-Management (etwa die Nutzung von VPN und speziellen WLANs erzwingen) und die Anbindung an Azure Active Directory.

Allerdings hat Microsoft erst vor kurzem auch die Bereitstellung von Apps vervollständigt. Dies bedeutet, dass die IT jetzt auch Win32-Apps via Windows 10 EMM mit Hilfe von.msi-Paketen bereitstellen kann - und nicht mehr nur die kaum genutzten Universal- (UWP) Apps. Und erst seit dem im August 2016 bereitgestellten Anniversary Update gibt es mit Windows Information Protection (WIP) die Möglichkeit, in Windows 10 vom Unternehmen bereitgestellte Apps getrennt von den Apps des Anwenders zu verwalten - ähnlich wie die Managed Apps in iOS oder die Container von Google for Work und Samsung Knox in Android. WIP stellt somit eine Grundvoraussetzung für die EMM-Verwaltung mit wenig Aufwand dar.

Noch nicht komplett ist die Abbildung der für das klassische Systems-Management zentralen Gruppenrichtlinien (Group Policy Objects - GPOs) in äquivalenten EMM-Policies. Ein solches Mapping würde IT-Admins beim Übergang auf EMM extrem helfen, weil sie darauf vertrauen können, dass ihre ausgereiften Policies weiter bestehen bleiben.

Bislang wird nur ein Teil der GPOs abgebildet, dies muss jedoch nicht unbedingt schlecht sein. Als Apple mit seinen iOS-Policies startete, beklagten zwar viele IT-Admins diese als nicht ausreichend, weil es deutlich weniger als die 450 Richtlinien von Blackberry waren. Im Laufe der Zeit hat sich allerdings gezeigt, dass die meisten davon nicht benötigt werden. Selbst Blackberry hat sich nicht die Mühe gemacht, in seiner Mobile-Management-Suite alle 450 Blackberry-Policies auf Android-Geräte zu übertragen. Nichtsdestotrotz darf man nicht von einem nahtlosen Übergang von Gruppenrichtlinien zu EMM-Policies ausgehen.

Dies bedeutet jedoch nicht, dass man weiter auf Gruppenrichtlinien setzen sollte. GPOs sind ziemlich umfangreich und benötigen eine abgesicherte Verbindung - schwer umzusetzen, wenn die Anwender vom Flughafen zum Starbucks, nach Hause und in Mobilfunknetzen unterwegs seien, bemerkt Tomas Vetrovsky, Senior Director Windows Product Management bei MobileIron. Es sei besser, EMM-Policies zu nutzen, wo es geht und GPOs dort einzusetzen, wo EMM-Policies nicht greifen.

Die Verschlüsselung in den Griff bekommen

Über Jahre hinweg haben wir den Rat gehört, dass man PCs verschlüsseln sollte - als Schutzmaßnahme bei Verlust oder Diebstahl. Dennoch halten sich nur wenige Organisationen daran, vor allem, weil es sehr kompliziert einzurichten ist - und noch schwerer zu managen. Wie soll man etwa die Inhalte einer verschlüsselten Festplatte oder eines verschlüsselten Backups wiederherstellen? Man braucht die Encryption-Keys.

In iOS, dem Modell für EMM, funktioniert dies anders: Verschlüsselung ist einfach da, man braucht sie nur übernehmen. Die Schlüssel sind an das Gerät gebunden, daher reicht es nicht aus, den Schlüssel zu haben, wenn die Daten verschoben wurden. Zum Schutz von sensiblen Daten ist das großartig, allerdings kommt auch die IT ohne die Hilfe des Anwenders nicht an die Daten auf dem Gerät. Neuere Android-Geräte haben einen ähnlichen Mechanismus.

Mit EMM-Lösungen ist das anders: Werden die Daten von einem EMM-Server bereitgestellt, braucht man nicht einmal das Gerät: Besitzer der Daten ist der Server, nicht der Anwender und die Daten sind im Backend erreichbar, sei es Sharepoint, OneDrive, Dropbox etc.. Ähnlich sei auch Verschlüsselung auf Windows-10-PCs machbar, erklärt MobileIron-Manager Vetrovsky: Im modernen App-Modell befinden sich die Daten zwar auf dem Device, werden aber zusätzlich mit einem Backend-Service, der von der IT verwaltet wird, synchronisiert.

"Befinden sich die Master-Daten woanders, muss man nicht den PC des Nutzers verschlüsseln", so Vetrovsky, "es reicht schon sicherzustellen, dass niemand anders über das Gerät auf die Daten zugreifen kann und das können EMM-Policies."

Microsoft's Endpoint Data Protection in Verbindung mit Windows 10 Anniversary Update (oder neuer) bringt noch größere Verschlüsselungs-Raffinesse: Man kann damit Firmendaten automatisch auf dem Endgerät verschlüsseln lassen und die Schlüssel werden für die IT verwaltet. Auf diese Weise erhält man zusätzliche Sicherheit für die lokale Kopie der Daten über die normale Festplattenverschlüsselung hinaus, mit gespeichertem Schlüssel und Verwaltung.

Die meisten Enterprise-Anwendungen sind jedoch alles andere als modern und speichern ihre Daten eher lokal als in von der IT verwalteten Speicherdiensten. Ist ein Windows-10-PC verschlüsselt und die IT hat den Schlüssel nicht, kommt sie auch nicht an die lokalen Daten. Aktuell gibt es kein Tool für die IT, um die Bitlocker-Keys automatisch über die Systeme der Anwender zu speichern und zu managen, um so an die Informationen heranzukommen. Bis es ein solches Werkzeug gibt, müssen die Anwender daher ihre Encryption-Keys selbst der IT bereitstellen.

Zu beachten ist außerdem, dass Windows 10 es der IT aktuell noch nicht erlaubt, die Geräte-Verschlüsselung remote vial EMM-Policies zu aktivieren - ein Manko, das auch MacOS und Android aufweisen. Allerdings kann der Admin mit Hilfe einer EMM-Lösung erkennen, ob ein Gerät verschlüsselt ist und nichtverschlüsselten Devices den Zugriff auf Unternehmens-Ressourcen verweigern.

Zur Startseite