Test: baramundi Mobile Device Management für Android, iOS und Windows Phone

Wie andere Anbieter aus diesem Segment sieht das Augsburger Unternehmen im Mobile Device Management (MDM) eine natürliche Erweiterung des PC-Managements auf neue Gerätetypen. Beim baramundi Mobile Devices (bMD) handelt es sich daher um ein weiteres Modul der baramundi Management Suite. Die kürzlich veröffentlichte Version 8.9 unterstützt neben iOS und Android nun auch Windows Phone 8.

Angesichts der rasanten Verbreitung von Smartphones und Tablets erkennen IT-Abteilungen die Notwendigkeit, auch diese Geräte unter ihre Fittiche zu nehmen. Sie müssen ebenfalls inventarisiert und überwacht werden, sie benötigen aktuelle Software und Schutz vor unerwünschten Apps. Schlimmstenfalls werden sie sonst nicht nur zur Kosten-, sondern auch zur Sicherheitsfalle.

Neue Client-Vielfalt

Erschwert wird diese Aufgabe durch die Heterogenität der Devices. Neben Android sind auch Apple mit iOS, Microsoft mit Windows Phone sowie Blackberry mit dabei. Die Anwender sorgen also mit ihren mobilen Geräten für eine ungewohnte Betriebssystem-Vielfalt im Unternehmen und erzeugen damit auch neue Probleme.

Die mobilen Betriebssysteme sind nämlich technisch sehr unterschiedlich gestrickt. Dies betrifft beim zentralisierten Management vor allem die Anbindung an die jeweiligen App-Stores sowie die Kommunikation zwischen Server-Anwendungen und dem Endgerät.

Kontaktaufnahme über externe Netzwerke

Im Gegensatz zu normalen PCs im Unternehmens-LAN bewegen sich die mobilen Geräte auch im Mobilfunknetz oder in einem fremden WLAN hinter einer Firewall und sind dann vom Server aus nicht direkt zu erreichen. Daher findet der Verbindungsaufbau immer vom Gerät zum Server statt. Somit muss nur der Management-Server aus dem Internet erreichbar sein, aber umgekehrt nicht jedes einzelne Gerät vom Server aus.

Nachdem aber der MDM-Server alle Vorgänge steuert und deshalb auch eine Verbindung aufbauen können muss, bieten die Plattformhersteller Apple und Google einen Notification Service in der Cloud an. Über diesen benachrichtigt auch der bMD-Dienst die mobilen Geräte. Daraufhin meldet sich das Smartphone oder Tablet bei seinem zugewiesenen Management Server zurück. Windows Phones können über einen Polling-Mechanismus direkt mit dem bMD-Server in Verbindung bleiben.

Entscheidender Aspekt aus Sicht der Compliance und des Datenschutzes: baramundi Mobile Devices ist eine On-Premise Lösung und integriert dabei die Dienste von Apple und Google so, dass keine sensiblen Daten für die Management-Steuerung bei den jeweiligen Herstellern landen. Sämtliche Nutzdaten werden auf direktem Weg vom Management Server (und dessen Gateway) zum Endgerät übertragen.

Installation und Inbetriebnahme

Da der bMD-Service als Modul implementiert ist, wird neben einem Lizenzschlüssel die baramundi Management Suite als Basis benötigt. Diese setzt einen dedizierten Windows Server ab der Version 2008 sowie als Datenbank Oracle oder MS SQL Server voraus (die Express-Variante gehört zum Lieferumfang). Zudem bindet der Administrator die Suite üblicherweise an das Active Directory an, damit die dort gespeicherten Benutzer im baramundi-System verfügbar sind.

Nach der grundlegenden Installation müssen für die Inbetriebnahme des MDM-Moduls noch einige Voraussetzungen geschaffen werden. Vor allem wird für die Absicherung der Kommunikation ein SSL-Zertifikat benötigt, welches man im MDM-Modul hinterlegt sowie an den jeweiligen Port des MDM-Servers bindet. Es kann extern eingespielt oder selbst signiert werden. Der baramund- Server kann dabei die Rolle der Zertifizierungsstelle (Certificate Authority/CA) übernehmen.

Zusätzlich muss der Administrator ein Gateway einrichten, damit die Mobilgeräte aus dem Internet mit dem im Unternehmen gehosteten MDM-Service kommunizieren können. Hierfür lässt sich entweder ein baramundi-eigener Dienst auf einem dedizierten Server in der DMZ verwenden, oder man nutzt einen bereits vorhandenen Microsoft Forefront Service (TMG). Für die Kommunikation mit den Geräten sowie mit den APIs der Benachrichtigungsdienste in der Cloud sind zudem diverse Ports in der Firewall zu öffnen.

Integration der Cloud-Dienste von Apple und Google

Schließlich muss man noch dafür sorgen, dass man die benötigten Dienste von Apple und Google nutzen kann. Bei Apple ist eine Apple-ID erforderlich, um den Notification Service in Anspruch nehmen zu können. Dazu erstellt der Administrator im bMD eine Zertifikatsanfrage (APN CSR) und sendet diesen per Mail an baramundi. Von dort erhält er eine signierte Datei zurück, mit der er bei apple.com ein Apple-Push-Zertifikat kostenfrei erwerben kann. Dieses muss als pem-Datei in das baramundi-System importiert werden.

Für den Zugriff auf die entsprechenden Android-Funktionen benötigt man zunächst ein Google-Konto, um die erforderlichen Daten zur Benutzung der API-Konsole zu erhalten. Über dieses Konto erstellt man dann einen Google-Code-Account. Über diesen erhält man Zugriff auf die Google Cloud Messaging API. Der hier ausgegebene Schlüssel muss im baramundi MDM hinterlegt werden.

Verwaltete Geräte benötigen einen Agent

Das bMD fügt dem baramundi Management Center den neuen Knoten Mobile Devices zu. Darunter finden sich die Funktionsbereiche für Jobverwaltung, Übersicht über die Geräteumgebung und die Applikationen, sowie die Profile und die Compliance-Prüfung.

Damit Smartphones und Tablet-PCs erfasst und remote administriert werden können, benötigt bMD einen Agent auf jedem Endgerät. baramundi stellt einen solchen für alle unterstützten Plattformen in den jeweiligen App Stores kostenfrei zur Verfügung. Zum Funktionsumfang dieser App gehört auch ein Selbstbedienungs-Portal namens Kiosk.

Registrierung von Smartphones und Tablets

Damit das MDM eine Verbindung zu den Mobilgeräten herstellen kann, müssen diese zuerst im System registriert werden. Für jedes von ihnen legt der Administrator zunächst einen neuen Gerätedatensatz an, in welchem er den Gerätetyp, den Besitzer und den Besitzstatus (Firma oder privat) angibt. Zudem kann das Gerät einem Benutzer aus dem Active Directory zugeordnet werden. Bei Windows Phone ist diese Zuordnung Pflicht, da sie für die Authentifizierung im Rahmen des Enrollment benötigt wird.

Das MDM präsentiert dem Administrator anschließend einen Anmelde-Token sowie einen passenden QR-Code. Am Mobilgerät erfasst er dann in der Anmeldemaske der baramundi App den QR-Code über die Kamera und bestätigt die Geräte-Aktivierung.

Alternativ versendet das MDM-System eine Mail an den Anwender. Mit einem Klick auf den Bestätigungslink öffnet sich der Enrollment-Dialog in seiner App, wo er nur noch den Aktivieren-Button drücken muss.

Microsoft bietet in Windows Phone 8 ein alternatives Verfahren an: Anstatt zuerst die bMD App zu laden, kann der Anwender die von Microsoft mitgelieferte Unternehmens-App starten. Hier gibt er die vom MDM vorgegebenen Anmeldedaten ein. Danach wird automatisch das so genannte Unternehmens-Hub - der eigentliche baramundi Mobile Agent - geladen und installiert.

Verwaltungsaufgaben als Jobs

Sämtliche Befehle für das Installieren oder Deinstallieren von Apps oder Profilen, die Sperrung oder Entsperrung von Geräte oder die Inventarisierung erfasst der Administrator als Jobs. Dort können Parameter für die jeweilige Aktion konfiguriert werden, zum Beispiel eine regelmäßige Wiederholung oder welchen Compliance-Grad ein Gerät als Voraussetzung für die Ausführung des Jobs erfüllen muss.

Jobs können wahlweise vom Administrator an Geräte zugewiesen oder dem Benutzer im Kiosk zur Verfügung gestellt werden, etwa als Liste empfohlener Mobil-Anwendungen, die der Anwender bei Bedarf selbst installieren kann.

Inventarisierung von Hard- und Software

Für sämtliche administrativen Aufgaben benötigt der Administrator genaue Informationen über die Hardware der Geräte, die installierten Softwarepakete (Apps) sowie die auf den Devices vorhandenen Einstellungen.

Für diese Zwecke nutzt er die automatische Inventarisierung des MDM. Sie erfolgt über separate Jobs für Hardware und Software und kann in vorgegebenen Abständen zeitgesteuert wiederholt werden, um mögliche Veränderungen zu erfassen. Die Inventarisierung kann auch automatisch nach der Registrierung von Geräten erfolgen oder zu beliebigen Zeitpunkten manuell ausgelöst werden. Der Inventarisierungs­prozess wird dem Geräte-Benutzer im Kiosk als Job signalisiert.

Installieren und Entfernen von Apps

Während das Definieren und Ausführen von Jobs vom bMD im Management Center einheitlich gestaltet und geregelt ist, bieten die Geräte-Hersteller sehr unterschiedliche Steuerungsmöglichkeiten, wie beispielsweise beim Installieren und Deinstallieren von Apps:

• Bei Apples iOS müssen App-Installationen immer vom Benutzer bestätigt werden. baramundi erlaubt das zentrale Deinstallieren von Apps, die im MDM registriert sind. Benutzer-Apps lassen sich auf diesem Weg nicht entfernen.
• Android fordert immer eine Bestätigung des Benutzers für Installation und Deinstallation.
• Windows Phone erlaubt keine App-Deinstallation durch MDM-Systeme, jedoch können Installationen wahlweise auch ohne Benutzer­interaktion durchgeführt werden.

Anstehende Jobs werden dem mobilen Anwender in der baramundi App über den Kiosk signalisiert und können von ihm mit einem Tap ausgelöst werden, sofern eine Benutzeraktion notwendig ist.

Bevor Applikationen an mobile Geräte verteilt werden können, müssen die Apps dem System erst einmal bekannt sein. Der Administrator hat bei iOS und Windows Phone zwei Optionen: Entweder er lädt diese direkt aus den jeweiligen App Stores über die in bMD integrierte App-Suche direkt auf den baramundi Management Server. Oder er importiert firmeneigene Apps, die man nicht über den App Store beziehen kann, in das MDM und verteilt sie dann wie gewohnt.

Im Gegensatz dazu erfordert die Verteilung von Android-Apps immer lokal verfügbare Quellen in Form von apk-Dateien. Der einfachste Weg, diese zu beschaffen, besteht darin, die gewünschten Apps auf einem Smartphone zu installieren und sie anschließend mit einem Tool wie AppSaver als apk-Dateien auf die SD-Karte zu sichern, um sie von dort aus in das bMD-Ablageverzeichnis zu kopieren.

Remote-Konfiguration der Geräteprofile

Profile bündeln eine Reihe von Einstellungen, die als Konfigurationspaket an ein Mobilgerät übertragen oder von diesem gelöscht werden können. Während geräteseitig teilweise durchaus weitgehende Möglichkeiten existieren, zum Beispiel die Definition von WLAN-Verbindungen, das Sperren von Apps wie Youtube und Siri, unterscheiden sich die Plattformen doch erheblich voneinander. Windows Phone bietet dabei die wenigsten Optionen. So kann die Kamera bei iOS und Android deaktiviert werden, bei Windows nicht.

Profile rollt der Administrator ebenfalls über Jobs aus. Die gewünschten Konfigurationen muss er mit einem betriebs­system­spezifischen Tool erstellen, als Datei speichern und vor der Generierung des jeweiligen Jobs importieren. Für iOS-Handys wird das iPhone-Konfigurationsprogramm von Apple benutzt. Für Android und Windows Phone stellt baramundi das baramundi Configuration Utility bereit.

Überwachung der Compliance

Wichtigste Aufgabe des Administrators ist, für einen korrekten und regelkonformen Gerätestatus zu sorgen. Die gewünschten Benchmarks legt der Administrator als Regelsatz im System an. Die Einhaltung der betreffenden Policies wird vom Server in definierbaren Abständen sowie immer dann geprüft, wenn sich durch neue Gerätedaten der Compliance-Zustand eines Gerätes verändert hat.

Dashboard zeigt Abweichungen vom Soll-Zustand

Ein eigenes Compliance-Dashboard bietet dann einen umfassenden und aktuellen Überblick über wichtige Einstellungen, installierte Apps und ihre Versionen sowie die Einhaltung definierter Regeln, etwa das Verbot von Jailbreaks. Von hier aus kann der Systemverwalter durch benutzer- oder gerätebezogenen Drilldown den Einzelheiten direkt auf den Grund gehen.

In Ergänzung zur Dashboard-Ansicht stehen über die in der baramundi Management Suite standardmäßig installierte Reporting-Engine verschiedene Berichte zur Verfügung, um einen umfassenden Überblick über den Geräte- und Compliance-Status zu erhalten.

Compliance-Informationen für Endbenutzer

Nicht nur der Administrator ist am Compliance-Zustand aller verwalteten Endgeräte interessiert, sondern auch die Endanwender sollten sich ein Bild von der Regelkonformität des eigenen Geräts machen können. So zeigt der baramundi Agent dem Benutzer im Kiosk alle Regelverstöße wie beispielsweise unerlaubte Firmware-Manipulationen oder unerwünschte Apps an.

Das Wissen über vom MDM festgestellte Regelverstöße erlaubt es dem Endanwender, selbstständig für die notwendigen Korrekturen zu sorgen und damit den vorgeschriebenen Regel-Zustand wieder herzustellen.

Automatische Reaktion auf Regelverstöße

Die Reaktion auf eine Regelverletzung kann entweder interaktiv durch den Administrator oder vollautomatisch erfolgen, sobald eine solche vom System ermittelt wird. Dies ist umso wichtiger, da es je nach Gerätetyp schwierig oder teilweise unmöglich ist, Regelverstöße von vorneherein zu verhindern.

Über die Compliance-Prüfung können solche Abweichungen vom Soll-Zustand schnell erfasst und Gegenmaßnahmen ergriffen werden. Hat das MDM zum Beispiel ein Jailbreak erkannt, dann führt es die hinterlegten Gegenmaßnahmen automatisch aus. So kann es etwa das Exchange-Profil entfernen oder den Geräteinhalt mit einem Remote Wipe löschen.

Blacklisting von Apps über Regeln

baramundi erlaubt es, bei der Regeldefinition auch nach erwünschten und unerwünschten Apps zu unterscheiden. Die betreffende Policy kann dann sinnvollerweise mit einer passenden Gegenmaßnahme verknüpft werden. Dieses Feature hilft dem Administrator, Apps (teilautomatisiert) zu verteilen. Beispiel: Eine App muss einen Mindest-Versionsstand aufweisen. Ist dies nicht der Fall, wird der User automatisch im Kiosk zur Installation dieser Version aufgefordert. Ein automatisierter Abgleich mit aktuellen Versionsständen in den App-Stores erfolgt allerdings nicht.

Über diesen Mechanismus können Unternehmen indirekt auch ein Blacklisting von Apps durchsetzen, indem sie Anwendungen abhängig von diversen Bedingungen wie Version, System, Hersteller, Kategorie und Besitzstatus (Firma versus Privat) blockieren. Der Benutzer wird dann jeweils zur Deinstallation aufgefordert und ein entsprechender Hinweis in der Auswertung angelegt.

Der Kiosk kann außerdem dafür genutzt werden, dem Endbenutzer eine Auswahl derjenigen Apps zur Verfügung zu stellen, die auf der Whitelist des Unternehmens stehen und damit den eigenen Richtlinien genügen.

Fazit

Der von baramundi formulierte Anspruch, eine kompakte System-Management Lösung zu realisieren, die das Mobile Device Management nahtlos integriert, ist weitgehend umgesetzt. Systemadministratoren finden eine umfassende Lösung vor, die durch die Unterstützung von Android, iOS und Windows Phone einen Großteil der marktgängigen Mobilgeräte auf einheitliche Weise zu verwalten kann. Hier schlägt sich die Erfahrung mit zentralisiertem Client-Management auch bei mobilen Geräten nieder.

baramundi hat nach eigenem Bekunden nicht den Ehrgeiz, jeden Feature-Vergleich gegen Wettbewerber zu gewinnen. So fehlen einige Funktionen, die man anderweitig vorfindet wie beispielsweise Policies für den externen Mobilzugriff auf das Unternehmensnetz. Bei der baramundi App für iOS fällt negativ auf, dass die Standort-Bestimmung aktiviert sein muss, was laut Hersteller jedoch ab iOS 7 nicht mehr der Fall sein wird.

Die Probleme und Schwächen von MDM liegen derzeit vornehmlich in den Mobil-Betriebssystemen selbst begründet. Hier fehlen neben einer weitergehenden Management-Unterstützung in den jeweiligen APIs auch Standards, um MDM-Systemen das Leben leichter zu machen und für mehr Durchgängigkeit, Sicherheit und Compliance sorgen.

Aufgrund des Modul-Charakters dürfte die Lösung vor allem für baramundi-Bestandskunden interessant sein sowie für Unternehmen, die auf der Suche nach einer umfassenden Client-Management-Software sind.

Lizenzen und Preise

baramundi Mobile Devices kann als Modul der baramundi Management Suite erworben werden. Der Lizenzpreis für das Paket bemisst sich nach den gewählten Modulen sowie der Anzahl der verwalteten Clients (PC, Server, Mobilgeräte). Den Preis nennt der Hersteller auf Anfrage.