Foto: ArchMan/Shutterstock.com
Die Tage von Microsofts System Center könnten gezählt sein. Mit der Einführung von Windows 10 hat Microsoft damit begonnen, einen anderen Systems-Management-Ansatz zu verfolgen - denselben, den Apple für das iPad und iPhone entwickelt hat und der später von Google für Android übernommen wurde. Organisationen, die Windows 10 im Einsatz haben, können sich diesen Ansatz zu Nutze machen und die IT alle Client-Devices - also Windows-10-Rechner, Macs, iOS- und Android-Geräte mithilfe einer Unified-Endpoint-Management-Lösung über eine Konsole verwalten lassen. Dabei kommt ein und dieselbe Policy-basierende Technik zum Einsatz. Soweit zur Theorie, die Praxis ist natürlich deutlich komplexer.
PCs sind wie iPads - und umgekehrt
Sowohl was Funktionalität und Verwendung anbelangt, ähneln Tablets heutzutage zunehmend Computer - und Computer übernehmen mehr und mehr Tablet-ähnliche Features - mit gemischtem Erfolg, wie ein Vergleichstest von InfoWorld.com zeigt. Die IT sollte sich diesen Umstand zu Nutze machen, indem sie auf zwei unterschiedliche Management-Tools - eines für Computer, eines für mobile Geräte - verzichtet. Der große Grund dafür sind Kosteneinsparungen: Die Methoden und Werkzeuge für die Verwaltung und Absicherung von iOS- und Android-Devices sind erfordern deutlich weniger Arbeitsaufwand als die Tools zum Management von traditionellen PCs.
Foto: MobileIron
Der Ansatz, dass mobile Endgeräte remote ausgerollt und mit Policies versehen werden, liegt weitgehend im ByoD-Trend begründet: Da hierbei die meisten Devices ursprünglich nicht von der IT bereitgestellt werden, brauchte es eine andere Management-Methode wie bei den PCs üblich. Diese Lücke füllte das (relativ) neu aufgekommene Enterprise Mobility Management (EMM).
Laut Ojas Rege, Chief Strategy Officer beim EMM-Anbieter MobileIron, senkt das neue Verwaltungs-Modell die Management-Kosten für PCs um die Hälfte bis drei Viertel, die Lizenzkosten für EMM-Tools nicht mit eingerechnet.
Tony Kueh, Vice President Research & Development bei VMware AirWatch, geht davon aus, dass Unternehmen, die EMM einsetzen, lediglich zwei bis vier Admins für den Support von 10.000 Devices benötigen. Die Verwaltung von PCs ist komplexer, vor allem, weil die Anpassung von Windows-Anwendungen zu einer größeren Unterschiedlichkeit führt, als es Apple es bei iOS zulässt. Nichtsdestotrotz erwartet Kueh, dass der EMM-Ansatz die Kosten für das Windows-Management deutlich reduziert.
Foto: VMware
Kombiniert man diese signifikanten Kosteneinsparungen mit der Konsistenz einer gemeinsamen Plattform, die die Wahrscheinlichkeit von Sicherheits- und Compliance-Lücken reduziert, und man erkennt den Reiz einer Unified-Endpoint-Management-Strategie.
Wenig überraschend hegen MobileIron und VMware hohe Erwartungen in das Management von Windows-10-Devices mit ihren traditionell eher für mobile Geräte und Macs ausgelegten EMM-Tools - genauso wie andere große EMM-Anbieter. Auch Gartner ist optimistisch, was diesen Ansatz angeht, und prognostiziert, dass in zwei Jahren 40 Prozent der IT-Abteilungen zumindest einige Windows-PCs mit EMM-Tools managen.
Derzeitige Windows-Management-Tools haben ihre Wurzeln in den 1980er Jahren. Der damalige Ansatz war, dass die IT die Geräte besitzt und Anwendungen händisch aufspielt. Im Laufe der Zeit wurde die Bereitstellung mit Hilfe von Tools wie Microsoft's System Center, MicroFocus ZenWorks, LANdesk oder Symantec IT Management Suite (früher Altiris) zwar zunehmend automatisiert, aber der grundsätzliche Ansatz des direkten Managements blieb.
Das Vorgehen lässt sich auch auf Tausende von Computern ausweiten, solange es sich dabei weitgehend um Windows-PCs handelt. Es ist aber ein arbeits- und zeitintensiver Ansatz, der die IT in den Mittelpunkt fast jeder Entscheidung stellt.
Der EMM-Ansatz hingegen erfordert nur wenig Admin-Arbeit, zum größten Teil deswegen, weil sich die IT in den Anfangszeiten der Enterprise Mobility (also vor EMM) weigerte, zusätzliche Ressourcen für den Support von mobilen Endgeräten abzustellen. Die Hersteller waren dadurch gezwungen, eine andere Methode zu entwickeln, um die Erwartungen der IT hinsichtlich Management und Security zu erfüllen.
Laut MobileIron-Manager Rege gibt es aber noch einen weiteren Aspekt im EMM-Ansatz, der zur Senkung der Kosten beiträgt: "Man braucht kein zusätzliches App-Sandboxing und hat auch nicht unbedingt Bedarf an Anti-Malware oder einem traditionellen Agenten-basierten DLP", weil das Sandbox-Modell von EMM keine fremden Apps und Agenten in die App-Sandboxen lässt. Sandboxing sei eine wichtige Grundlage für das mobile Sicherheitsmodell, das nun auf Computer übertragen werde, bemerkt Rege. Daneben sei DLP zwar nach wie vor eine wichtige Maßnahme, werde aber Policy-basiert und von EMM absorbiert, geschehe also nicht durch die direkte Überprüfung von Apps durch Softwareagenten.
Mit anderen Worten: Eine Menge des Security-Überbaus, der heute für die völlig ungeschützten Windows-Anwendungen benötig werde, entfalle, wenn sie nativ geschützt würden. Dies reduziere ebenfalls Support- und Betriebskosten, fügt er hinzu.
Bereits 2011 erkannte Apple, dass dieser Ansatz genauso gut bei Computern funktionieren könnte wie bei mobilen Endgeräten. Als Konsequenz wurde OS X Lion so entwickelt, dass es viele der Policy-basierten Management-Protokolle für das Self-Enrollment von iOS 7 übernahm. Damit konnte die IT auf einmal Policies setzen und über Profile verteilen, die sowohl einige Features auf Betriebssystemebene wie auch Anwender-basierte Einstellungen konfigurierten, um die Compliance sicherzustellen: Keine Compliance, kein Zugang.
Microsoft übernahm den gleichen Ansatz 2015 mit Windows 10 und erweiterte ihn 2016 in verschiedenen Updates. Nachdem die IT mittlerweile ernsthaft daran denkt, Windows 10 im großen Stil auszurollen, hat Microsoft begonnen, die Werbetrommel für den EMM-Ansatz zu schlagen.
Noch nicht alle Teile des EMM-Puzzles für Windows 10 komplett
Foto: Microsoft
Microsoft hat ein sehr überzeugendes Diagramm über das Windows-10-Management via EMM erstellt, das den Eindruck vermittelt, dass alle Teile komplett seien. Das trifft allerdings (noch) nicht ganz zu. Sicher, Grundlagen wie Passwort-Zwang oder Verschlüsselungs-Policies sind vorhanden. Self-Enrollment ist auch möglich, via Azure Active Directory (AAD) oder eine EMM-Suite von Drittanbietern. Ebenfalls unterstützt werden die wichtigen Kerntechnologien von Windows wie System-Updates, Netz-Management (etwa die Nutzung von VPN und speziellen WLANs erzwingen) und die Anbindung an Azure Active Directory.
Allerdings hat Microsoft erst vor kurzem auch die Bereitstellung von Apps vervollständigt. Dies bedeutet, dass die IT jetzt auch Win32-Apps via Windows 10 EMM mit Hilfe von.msi-Paketen bereitstellen kann - und nicht mehr nur die kaum genutzten Universal- (UWP) Apps. Und erst seit dem im August 2016 bereitgestellten Anniversary Update gibt es mit Windows Information Protection (WIP) die Möglichkeit, in Windows 10 vom Unternehmen bereitgestellte Apps getrennt von den Apps des Anwenders zu verwalten - ähnlich wie die Managed Apps in iOS oder die Container von Google for Work und Samsung Knox in Android. WIP stellt somit eine Grundvoraussetzung für die EMM-Verwaltung mit wenig Aufwand dar.
Noch nicht komplett ist die Abbildung der für das klassische Systems-Management zentralen Gruppenrichtlinien (Group Policy Objects - GPOs) in äquivalenten EMM-Policies. Ein solches Mapping würde IT-Admins beim Übergang auf EMM extrem helfen, weil sie darauf vertrauen können, dass ihre ausgereiften Policies weiter bestehen bleiben.
Bislang wird nur ein Teil der GPOs abgebildet, dies muss jedoch nicht unbedingt schlecht sein. Als Apple mit seinen iOS-Policies startete, beklagten zwar viele IT-Admins diese als nicht ausreichend, weil es deutlich weniger als die 450 Richtlinien von Blackberry waren. Im Laufe der Zeit hat sich allerdings gezeigt, dass die meisten davon nicht benötigt werden. Selbst Blackberry hat sich nicht die Mühe gemacht, in seiner Mobile-Management-Suite alle 450 Blackberry-Policies auf Android-Geräte zu übertragen. Nichtsdestotrotz darf man nicht von einem nahtlosen Übergang von Gruppenrichtlinien zu EMM-Policies ausgehen.
Dies bedeutet jedoch nicht, dass man weiter auf Gruppenrichtlinien setzen sollte. GPOs sind ziemlich umfangreich und benötigen eine abgesicherte Verbindung - schwer umzusetzen, wenn die Anwender vom Flughafen zum Starbucks, nach Hause und in Mobilfunknetzen unterwegs seien, bemerkt Tomas Vetrovsky, Senior Director Windows Product Management bei MobileIron. Es sei besser, EMM-Policies zu nutzen, wo es geht und GPOs dort einzusetzen, wo EMM-Policies nicht greifen.
Die Verschlüsselung in den Griff bekommen
Über Jahre hinweg haben wir den Rat gehört, dass man PCs verschlüsseln sollte - als Schutzmaßnahme bei Verlust oder Diebstahl. Dennoch halten sich nur wenige Organisationen daran, vor allem, weil es sehr kompliziert einzurichten ist - und noch schwerer zu managen. Wie soll man etwa die Inhalte einer verschlüsselten Festplatte oder eines verschlüsselten Backups wiederherstellen? Man braucht die Encryption-Keys.
In iOS, dem Modell für EMM, funktioniert dies anders: Verschlüsselung ist einfach da, man braucht sie nur übernehmen. Die Schlüssel sind an das Gerät gebunden, daher reicht es nicht aus, den Schlüssel zu haben, wenn die Daten verschoben wurden. Zum Schutz von sensiblen Daten ist das großartig, allerdings kommt auch die IT ohne die Hilfe des Anwenders nicht an die Daten auf dem Gerät. Neuere Android-Geräte haben einen ähnlichen Mechanismus.
Mit EMM-Lösungen ist das anders: Werden die Daten von einem EMM-Server bereitgestellt, braucht man nicht einmal das Gerät: Besitzer der Daten ist der Server, nicht der Anwender und die Daten sind im Backend erreichbar, sei es Sharepoint, OneDrive, Dropbox etc.. Ähnlich sei auch Verschlüsselung auf Windows-10-PCs machbar, erklärt MobileIron-Manager Vetrovsky: Im modernen App-Modell befinden sich die Daten zwar auf dem Device, werden aber zusätzlich mit einem Backend-Service, der von der IT verwaltet wird, synchronisiert.
"Befinden sich die Master-Daten woanders, muss man nicht den PC des Nutzers verschlüsseln", so Vetrovsky, "es reicht schon sicherzustellen, dass niemand anders über das Gerät auf die Daten zugreifen kann und das können EMM-Policies."
Microsoft's Endpoint Data Protection in Verbindung mit Windows 10 Anniversary Update (oder neuer) bringt noch größere Verschlüsselungs-Raffinesse: Man kann damit Firmendaten automatisch auf dem Endgerät verschlüsseln lassen und die Schlüssel werden für die IT verwaltet. Auf diese Weise erhält man zusätzliche Sicherheit für die lokale Kopie der Daten über die normale Festplattenverschlüsselung hinaus, mit gespeichertem Schlüssel und Verwaltung.
Die meisten Enterprise-Anwendungen sind jedoch alles andere als modern und speichern ihre Daten eher lokal als in von der IT verwalteten Speicherdiensten. Ist ein Windows-10-PC verschlüsselt und die IT hat den Schlüssel nicht, kommt sie auch nicht an die lokalen Daten. Aktuell gibt es kein Tool für die IT, um die Bitlocker-Keys automatisch über die Systeme der Anwender zu speichern und zu managen, um so an die Informationen heranzukommen. Bis es ein solches Werkzeug gibt, müssen die Anwender daher ihre Encryption-Keys selbst der IT bereitstellen.
Zu beachten ist außerdem, dass Windows 10 es der IT aktuell noch nicht erlaubt, die Geräte-Verschlüsselung remote vial EMM-Policies zu aktivieren - ein Manko, das auch MacOS und Android aufweisen. Allerdings kann der Admin mit Hilfe einer EMM-Lösung erkennen, ob ein Gerät verschlüsselt ist und nichtverschlüsselten Devices den Zugriff auf Unternehmens-Ressourcen verweigern.
Fußfessel alte Windows-Anwendungen
Was tun mit den ganzen alten Windows-Anwendungen, auf die das Unternehmen angewiesen ist? Sie neuzuschreiben oder durch UWP-Apps (Universelle Windows-Plattform) zu ersetzen kann sehr zeitaufwändig sein. Es gibt aber noch einen weiteren Migrationspfad von alten Win32-Anwendungen zu neuen UWP-Versionen. So arbeitet Microsoft im Rahmen des Projekts Centennial an einem Desktop-App-Konverter, mit dem man vorhandene für.NET 4.6.1 oder Win32 geschriebene Desktop-Apps für die Universelle Windows-Plattform (UWP) konvertieren kann. Der Konverter führt den Desktop-Installer in einer isolierten Windows-Umgebung aus, die sich dann mit EMM-Tools verwalten lässt.
So kann die IT Application-Management-Policies auf die containerisierten Win32-Apps anwenden, um sicherzustellen, dass Unternehmensdaten im Unternehmensumfeld verbleiben. Außerdem können Admins strengere Authentifizierungsregeln umsetzen und die Nutzung von VPNs etc. für einen zusätzlichen Schutz der Daten erzwingen.
"Der Desktop-App-Konverter ist ein Schritt in die richtige Richtung", meint auch MobileIron-Manager Rege, weil damit Win32-Anwendungen für ein einfacheres Management in UWP-Apps umgewandelt würden. Man wisse jedoch noch nicht, ob sich das Verfahren für alle Win32-Apps eignet. Auf lange Sicht sei es daher wohl die bessere Strategie, Apps zu modernisieren und nicht nur in ein neues Format zu konvertieren.
Kueh von Vmware vermutet, dass die Kosten für ein Refactoring von Legacy-Anwendungen normalerweise niedriger liegen als die für die weitere Nutzung. Für alte Apps, die sich nicht umschreiben lassen, etwa weil der Anbieter nicht mehr existiert, gebe es VDI.
Die Verwirrung um Microsoft's EMS und Intune
Vor einigen Jahren brachte Microsoft mit Intune eine eigene EMM-Lösung heraus. Sie unterstützte iOS- und Android-Devices sowie Windows Phones mit den gleichen Policies wie alle EMM-Tools. Dann entwickelte der Softwareriese Information Management APIs für Office 365 und verknüpfte sie mit Intune. Offensichtliches Ziel war es, die IT dazu zu zwingen, Intune anstelle ihrer bestehenden EMM-Lösungen zu verwenden, wenn sie Geräte sowohl mit den herkömmlichen MDM-APIs und den speziellen Information Management APIs für Microsoft Office managen wollen.
Foto: Microsoft
Mittlerweile ist Intune ein Teil von Microsofts Enterprise Management Suite (EMS), zu der außerdem Azure Active Directory Premium, Azure Rights Management und Advanced Threat Analytics gehören. Außerdem muss sich die IT nicht mehr für Intune entscheiden, um von den speziellen Office-365-APIs zu profitieren.
Diese Schnittstellen sind zwar nach wie vor nur für Microsoft Office verfügbar, Microsoft hat jedoch das Management dieser proprietären APIs von den Enrollment- und Management-Funktionen in seiner EMS entkoppelt.
Als Resultat können Unternehmen weiterhin ihren bisherigem EMM-Lieferanten für die Verwaltung von Endgeräten und Apps nutzen und die zwei EMS-Komponenten - die Azure-Konsole zusammen mit Intune - als Policy-Manager für die proprietäre Konfiguration der Office-Apps verwenden. Es ist also keine Entweder/Oder-Entscheidung zwischen einem EMM-Anbieter und konfigurierten Office-Anwendungen mehr.
Mittlerweile unterstützt Intune auch viele Policies für Mac OSX und seit kurzem auch Googles App-Management- Lösung Android for Work - ein klares Zeichen dafür, dass Microsoft damit beginnt, den Rest der EMM-Anbieterlandschaft anzuerkennen. Die einzige Koppelung, die Microsoft noch beibehält, ist für seine Richtlinien für den bedingten Zugriff auf Office 365 (Conditional Access): Hier ist Voraussetzung für die Umsetzung von Geräterichtlinien (etwa Zugang basierend auf Geolocation, IP-Adresse…), dass Benutzer ihre Geräte beim Azure Active Directory-Geräteregistrierungsdienst registrieren müssen. Microsoft lässt andere EMM- und IM-Anbieter diese Policies zur Verwaltung von Windows-PCs nutzen, aber nicht für andere Devices. Die Konsequenz: Wer den bedingten Zugriff für Windows-10-PCs und mobile Endgeräte nutzen will, braucht EMS.
Es gibt allerdings auch viele Alternativen, um den bedingten Zugriff bei iOS und Android umzusetzen - EMM-Anbieter sind dafür nicht unbedingt auf Microsoft-Technik angewiesen. Die Lösung seines Unternehmens, MobileIron Access, so Rege, nehme dazu die Authentifizierungsanfrage entgegen und bestätige dann die Berechtigung von Gerät und App, bevor sie diese an das IAM-System weiterleite. Wenn Endgerät oder App nicht vertrauenswürdig seien, erhielten sie auch keinen Zugriff auf Office 365 (oder einen anderen Cloud-Service).
Und was ist mit Macs?
Obwohl Apple den EMM-Ansatz für Macs bereits vier Jahre vor Microsoft mit Windows 10 einführte, hört man nur wenig über die Verwaltung von Macs mit EMM-Tools. Der Grund dafür liegt vor allem darin, dass Unternehmen Macs nicht so wie PCs verwalten, auch wenn sie das tun sollten. Macs sind üblicherweise ein Ärgernis für die IT, welche daher ihre Beteiligung mit ihnen zurückfährt. Dabei hilft es nicht unbedingt, dass Apples EMM-Policies für MacOS eine Untermenge von dem darstellt, was für iOS verfügbar ist. Unternehmen, die Macs wie echte PCs behandeln, nutzen in der Regel Apple-erfahrene Tools zur Verwaltung, nicht Windows-zentrierte Lösungen.
Foto: Apple
Nichtsdestotrotz werden Macs zunehmend in Unternehmen genutzt und das nicht nur in traditionellen Bereichen wie Design und Softwareentwicklung. Dabei ist es sehr wahrscheinlich, dass sie auch in Unternehmen eingeführt werden, die auf Unified Device Management wechseln. Die Ironie ist, dass MacOS nicht in allen Punkte so geeignet für EMM ist wie Windows 10. Vergleicht man die unterstützten MDM-Policies, liegt mal MacOS vorne, mal Windows 10. Aber ein Vergleich der Protokolle ist nicht alles. Trotz bestehender Stärken beim Schutz der Anwendungen vor Malware, zum Beispiel der von Windows 10 übernommene Gatekeeper-Ansatz, hinkt MacOS derzeit Windows 10 (und iOS) in punkto Sicherheit des Dateisystems und Schlüssel-Management hinterher. Und selbst wenn die Policies gleich sind, müssen sie dabei nicht automatisch gleich effektiv sein. So ist etwa der hauseigene Schutz der Daten in Windows 10 stärker als in MacOS. Und aus welchen Gründen auch immer hat Apple schneller das Dateisystem von iOS verbessert als das von MacOS. Microsoft wiederum musste sich wegen der anhaltenden Gefährdung durch Malware in den Dateisystemen früherer Windows-Versionen bei Windows 10 stärker auf damit verbundene Sicherheitsprobleme konzentrieren.
Ohne Windows 10 kein Unified Device Management
Obwohl das EMM-Ökosystem rund um Windows 10 zunehmend Gestalt annimmt, gibt es noch einen Störfaktor: Unternehmen denken bislang kaum daran, auf Windows 10 umzusteigen. So sind viele Firmen gerade erst dabei, ihre Windows-7-Rollouts abzuschließen. Was bleibt dann zu managen? Letztendlich wird Windows 10 benötigt, damit EMM die Norm für die Verwaltung von PCs wird.
Laut Rege sind die zunehmend populären Hybrid-Geräte wie das Microsoft Surface Pro logischerweise der beste Start, um Windows-10-PCs via EMM zu verwalten. Ein anderer Anwendungsfall seien die zuhause genutzten PCs von Mitarbeitern, weil diese häufig schon mit Windows 10 laufen. Man sollte jedoch beachten, dass die verfügbaren Management-Policies je nach Windows-10-Version variieren, wobei Windows 10 Home am wenigsten unterstützt wird. Realistisch gesehen, sollten sie zumindest mit Windows 10 Pro laufen.