Mobilgeräte und Desktops zentral verwalten

Mobile Device Management mit Baramundi

23.09.2013
Von Andrej Radonic

Jobs übernehmen Geräte-Verwaltung

Der MDM-Administrator kann nun mit der eigentlichen Geräte-Verwaltung beginnen. Sämtliche Administrationsbefehle - für das Installieren oder Deinstallieren von Apps oder Profilen, für die Geräte-Sperrung oder -Entsperrung sowie die Inventarisierung - erfasst er dazu als sogenannte Jobs.

In diesen Jobs können Parameter der jeweiligen Aktion konfiguriert werden, so zum Beispiel eine regelmäßige Wiederholung oder welchen Compliance-Grad ein Gerät als Voraussetzung für die Ausführung des Jobs erfüllen muss.

Jobs können wahlweise vom Administrator auf Geräte zugewiesen oder dem Benutzer im Kiosk zur Verfügung gestellt werden, beispielsweise als Liste empfohlener Mobil-Anwendungen, die der Anwender bei Bedarf selbst installieren kann.

Während das Definieren und Ausführen von Jobs vom bMD im Management Center einheitlich gestaltet und geregelt ist, bieten die Geräte-Hersteller sehr unterschiedliche Steuerungsmöglichkeiten, z.B. beim Installieren und Deinstallieren von Apps:

  • Bei Apples iOS müssen App-Installationen immer vom Benutzer bestätigt werden. Das System erlaubt ausschließlich die Deinstallation von Apps, die im MDM registriert sind. Benutzer-Apps können nicht entfernt werden.

  • Android erfordert immer eine Bestätigung des Benutzers für Installation und Deinstallation.

  • Windows Phone erlaubt keine App-Deinstallation durch MDM-Systeme, jedoch können Installationen wahlweise auch ohne Benutzerinteraktion durchgeführt werden.

Verfügbare Jobs werden dem mobilen Benutzer in der baramundi App im Kiosk-Bildschirm signalisiert und können von ihm mit einem Tap ausgelöst werden, sofern eine Benutzeraktion notwendig ist.

Geräte-Inventarisierung verschafft automatisierten Überblick

Für sämtliche administrativen Aufgaben benötigt der baramundi-Systemadministrator genaue Informationen über die in den zu verwaltenden Geräten verbaute Hardware, die installierten Softwarepakete (Apps) sowie die auf den Devices vorhandenen Einstellungen.

Für diese Zwecke nutzt er die automatische Inventarisierung des MDM. Sie erfolgt getrennt für Hardware und Software als Job-Ausführung und kann in vorgegebenen Abständen automatisch wiederholt werden, um zwischenzeitliche Veränderungen zu erfassen. Die Inventarisierung kann automatisch nach einem Geräte-Enrollment erfolgen oder zu beliebigen Zeitpunkten manuell ausgelöst werden. Der Inventarisierungsprozess wird dem Geräte-Benutzer im Kiosk als Job signalisiert.

Zentrale App-Verteilung trifft auf uneinheitliche Gerätefunktionen

Bevor Applikationen an mobile Geräte verteilt werden können, müssen die Apps dem System erst einmal bekannt sein. Der Administrator hat bei iOS- und Windows-Phone-Geräten zwei Alternativen zur Verfügung: Entweder er lädt diese direkt aus den jeweiligen App-Stores über die in bMD integrierte App-Suche direkt auf den baramundi Management Server. Unternehmens-Apps, die über den App-Store nicht zur Verfügung stehen, muss er dagegen zunächst in das MDM importieren und kann sie dann wie gewohnt verteilen.

Apps können über die integrierte App-Store-Suche dem Managementsystem hinzugefügt werden.
Apps können über die integrierte App-Store-Suche dem Managementsystem hinzugefügt werden.
Foto: Baramundi

Im Gegensatz dazu erfordert die Verteilung von Android-Apps immer lokal verfügbare Quellen in Form von apk-Dateien. Der einfachste Weg, diese zu beschaffen, besteht darin, die gewünschten Apps auf einem Smartphone zu installieren und sie anschließend mit einem Tool wie AppSaver als apk-Dateien auf die SD-Karte zu sichern, um sie von dort aus in das bMD-Ablageverzeichnis zu kopieren.

Eine wichtige Rolle bei der App-Verteilung kommt der Software-Inventarisierung zu: Das baramundi-Managementsystem unterscheidet strikt zwischen denjenigen Apps, die es auf einem Gerät vorfindet, und den Apps, die es selbst im zentralen Repository versammelt hat: So können bei iOS nur solche Apps deinstalliert werden, die auch über den bMD installiert wurden.

Remote Konfiguration über Profile

Profile sind Sammlungen von Mobilgeräteeinstellungen, welche als Konfigurationspaket an ein Mobilgerät übertragen und eingerichtet oder von diesem gelöscht werden können. Während geräteseitig teilweise durchaus weitgehende Möglichkeiten vorgesehen sind, z.B. die Vordefinition von WLAN-Verbindungen, das Sperren von System-Apps wie Youtube und Siri, sind auch hier wieder die Möglichkeiten sowie die Art der Profilgenerierung stark vom jeweiligen System abhängig. Windows Phone bietet dabei die wenigsten Optionen. So kann etwa die Kamera bei iOS und Android deaktiviert werden, bei Windows nicht.

Profile rollt der Administrator ebenfalls über Jobs aus. Um diese zu erstellen, muss er die gewünschten Konfigurationen mit einem betriebssystemspezifischen Tool erstellen, als Datei speichern und vor der Generierung des jeweiligen Jobs importieren. Für iOS-Handys wird das iPhone-Konfigurationsprogramm von Apple benutzt. Für Android und Windows Phone stellt baramundi das baramundi Configuration Utility bereit.

Automatisierte Überwachung der Compliance

Wichtigste Aufgabe des Mobil-Administrators ist, für einen korrekten, regelkonformen Gerätestatus zu sorgen. Hierbei hilft ihm das Herzstück des baramundi MDM: das Compliance Dashboard. Es verhilft automatisiert zu einem umfassenden und aktuellen Überblick über wichtige Einstellungen, installierte Apps und ihre Versionen sowie die Einhaltung definierter Regeln, z.B. das Verbot von Jailbreaks.

Die baramundi Software ermöglicht im Compliance Dashboard einen aktuellen Überblick über die Konformität der Mobilgeräte im Unternehmen
Die baramundi Software ermöglicht im Compliance Dashboard einen aktuellen Überblick über die Konformität der Mobilgeräte im Unternehmen
Foto: Baramundi

Die gewünschten Benchmarks legt der Administrator als Regelsatz im System an. Die Einhaltung der betreffenden Regeln wird vom Server in definierbaren Abständen sowie immer dann neu geprüft, wenn sich durch neue Gerätedaten der Compliance-Zustand eines Gerätes verändert hat.

Über eine Compliance Regel lässt sich sowohl ein bestimmter Versionsstand einer App prüfen als auch deren Einhaltung durchsetzen - durch eine automatische Installation der App.
Über eine Compliance Regel lässt sich sowohl ein bestimmter Versionsstand einer App prüfen als auch deren Einhaltung durchsetzen - durch eine automatische Installation der App.
Foto: Baramundi

Als Resultat erhält er im Dashboard eine aktuelle Ansicht des momentanen Compliance-Zustandes seiner Mobil-Umgebung, mit einer Unterteilung nach dem Schweregrad von festgestellten Verstößen. Von hier aus kann er durch benutzer- oder gerätebezogenen Drilldown den Einzelheiten direkt auf den Grund gehen.

Die Reaktion auf Regelverstöße kann entweder interaktiv durch den Administrator oder vollautomatisch erfolgen, sobald eine Regelverletzung vom System ermittelt wird. Dies ist umso wichtiger, da es je nach Gerätetyp und den darauf zugelassenen oder vorhandenen Funktionen schwierig oder teilweise unmöglich ist, Regelverstöße von vorneherein zu verhindern. Über die Compliance-Prüfung können solche Verstöße zeitnah automatisiert erfasst und Gegenmaßnahmen in Gang gebracht werden. Wurde zum Beispiel ein Jailbreak erkannt, führt das MDM die hinterlegten Gegenmaßnahmen automatisch aus: wahlweise wird das Exchange-Profil entfernt oder alternativ der Geräteinhalt mit einem Remote Wipe gelöscht.

Über den Regel-Typ Versionsprüfung kann automatisiert die Einhaltung vorgegebener App-Versionen überwacht und ...
Über den Regel-Typ Versionsprüfung kann automatisiert die Einhaltung vorgegebener App-Versionen überwacht und ...
Foto: Baramundi

baramundi erlaubt es, bei der Compliance-Regeldefinition nach erwünschten und unerwünschten Apps zu unterscheiden. Die betreffende Regel kann dann sinnvollerweise mit einer passenden Gegenmaßnahme verknüpft werden. Mit diesem Mechanismus ist der Administrator in der Lage, die (teilautomatisierte) Verteilung von Apps zu organisieren. Beispiel: Eine App muss einen Mindest-Versionsstand aufweisen. Ist dies nicht der Fall, wird der User automatisch im Kiosk zur Installation dieser Version aufgefordert. Ein automatisierter Abgleich mit aktuellen Versionsständen in den App-Stores führt bMD allerdings nicht durch.

Über diesen Mechanismus können Unternehmen ebenso ein (indirektes) Blacklisting von Apps mit differenzierten Regeln vornehmen, nämlich anhand diverser Bedingungen wie Version, System, Hersteller, Kategorie und Besitzstatus (Firma versus Privat). Der Anwender wird dann jeweils zur Deinstallation aufgefordert und ein entsprechender Hinweis in der Auswertung angelegt.

In Ergänzung zur Dashboard-Ansicht stehen über die in der baramundi Management Suite standardmäßig installierte Reporting-Engine verschiedene Reports zur Verfügung, um einen umfassenden Überblick über den Geräte- und Compliance-Status zu erhalten.

bMD Reports liefern detaillierte Übersichten über die Mobilgeräte-Umgebung
bMD Reports liefern detaillierte Übersichten über die Mobilgeräte-Umgebung
Foto: Baramundi

Kiosk bindet User in Compliance-Durchsetzung ein

Nicht nur der Administrator ist am Compliance-Zustand aller verwalteten Endgeräte interessiert, idealerweise sollten sich auch die Endanwender ein Bild über die Compliance des eigenen Geräts machen können. So zeigt der baramundi-Agent dem Benutzer im App-Kiosk alle Regelverstöße an, wie beispielsweise unerlaubte Firmware-Manipulationen oder unerwünschte Apps. Das Wissen über vom MDM festgestellte Regelverstöße erlaubt es dem Endanwender, selbstständig für die notwendigen Korrekturen zu sorgen und damit den vorgeschriebenen Regelzustand wieder herzustellen.

Die Kiosk-Funktion ermöglicht geräteübergreifend den Anwendern einen Überblick über Gerätestatus und verfügbare Apps.
Die Kiosk-Funktion ermöglicht geräteübergreifend den Anwendern einen Überblick über Gerätestatus und verfügbare Apps.
Foto: Baramundi

Der Kiosk kann außerdem dafür genutzt werden, dem Endbenutzer eine Auswahl derjenigen Apps zur Verfügung zu stellen, die auf der Whitelist des Unternehmens stehen und damit den eigenen Richtlinien genügen.

Zur Startseite