Im Test: AppTec EMM installieren, Mobilgeräte registrieren und konfigurieren

    AppTec EMMTablets und Smart­phones sind heute fester Bestand­teil der IT. Damit sie für Unter­nehmen nicht zur Kosten- und Sicherheits­falle werden, bedürfen sie wie Desktop-Geräte eines zen­tralen Manage­ments. Dieser Bei­trag zeigt, wie sich diese Auf­gabe mit dem AppTec Enter­prise Mobile Manager (EMM) bewältigen lässt.

    Anders als ihre großen Brüder haben mobile Geräte nicht immer Kontakt zum Unter­nehmens­netz, und weil zunehmend Privat­geräte für berufliche Zwecke genutzt werden (BYOD), gelten andere Richtlinien für den Umgang mit den darauf befindlichen Daten. Die IT benötigt daher für das Management von Mobil­geräten speziell darauf zuge­schnittener Lösungen.

    AppTec mit Fokus auf den deutschen Markt

    Im Markt für Enterprise Mobility Management (EMM), den amerikanische Hersteller dominieren, behauptet sich die Schweizer AppTec als einer der wenigen Anbieter, der konform ist zu den strengen deutschen rechtlichen Rahmen­bedingungen. AppTec360 EMM unterstützt dabei alle gängigen Versionen von iOS, Android und Windows Mobile.

    Wie in dieser Software-Kategorie üblich, adressiert AppTec EMM die drei Hauptbereiche der Mobilgeräte­verwaltung:

    • Mobile Device Management (MDM): Inventarisierung, Konfiguration und Verwaltung mobiler Endgeräte, Gerätesicherheit, E-Mail-Zugriff, BYOD.
    • Mobile Application Management (MAM): Verwaltung, Verteilung, Aktualisierung und Schutz von Apps auf den Endgeräten, basierend auf einem selbst­definierten App-Store, der auch eigene Apps umfassen kann.
    • Mobile Content Management (MCM): Absicherung der Datennutzung, beispielsweise durch Verschlüsselung, Überwachung der Datennutzung, gezielter Zugriff auf Unternehmens­daten von Mobilgeräten aus.

    Schnelle Inbetriebnahme in der Cloud oder On-Premises

    Anwender haben bei AppTec die Wahl zwischen einer On-Premises-Installation oder der Cloud-Variante mit Servern in Deutschland und der Schweiz. Funktional besteht zwischen den beiden Optionen kein Unterschied.

    Während die SaaS-Variante lediglich einer Registrierung bedarf, um mit der Geräte­verwaltung anfangen zu können, muss der Administrator für eine private Instanz zunächst die im OVA-Format gelieferte virtuelle Appliance auf einem Hypervisor wie ESXi, Hyper-V, Virtualbox oder XenServer importieren.

    Nach dem Booten der VM öffnet sich der Browser-basierte Installations­assistent, mit dem die Appliance konfiguriert und in das Netzwerk integriert wird. Neben dem Upload der Lizenzdatei und eines öffentlichen SSL-Zertifikats ist dabei der Admin-User sowie ein Mail-Konto einzurichten, über welches das System Mails versenden kann.

    Die AppTec-Appliance muss für die Inbetriebnahme in wenigen Schritten über eine Browseroberfläche konfiguriert werden.

    Wem das Hantieren im kleinen Konsolenfenster der VM zu umständlich ist, kann die Appliance per SSH-Kommando­zeile auch für den Remote-Zugriff auf den Konfigurations­assistenten freischalten. Dafür muss man in der Datei /opt/console/application/configs/externalConfigPassword ein Passwort anlegen und kann dann per Browser Zugriff von einem entfernten Rechner erlangen, und zwar über die URL:

    http://HOSTNAME/public/config/extconfig/pwd/MEINPASSWORT

    Da der Management-Server mit den Mobilgeräten über das Internet kommunizieren muss, sind neben 8080, 8081 und 443 weitere Ports in der Firewall freizuschalten: Für die Apple APN-Kommunikation müssen 5223, 2195 und 2196 geöffnet sein, für Android sind es 5228, 5229 und 5230.

    Vorbereitung für das Geräte-Management

    Ab diesem Punkt ist die On-Premises-Software im gleichen Zustand wie die Cloud-Version. Über die aufgeräumte Web-Konsole trifft der EMM-Administrator nun wie bei allen MDM-Lösungen zunächst einige Vorkehrungen für das Management von iOS- und Android-Geräten.

    Für iOS muss er ein APNS-Zertifikat über den entsprechenden Apple-Service beschaffen und im EMM hinterlegen. Sollen Apple-Geräte zudem im Supervised Mode betrieben werden, was erweiterte Konfigurations­möglichkeiten eröffnet, dann muss zudem ein DEP-Server im EMM definiert werden, was eines weiteren Apple-Zertifikats bedarf.

    Enrollment und Provisionierung

    Der EMM-Administrator legt User wahlweise manuell an, importiert sie aus einer CSV-Datei oder indem er den Server per LDAP-Konnektor an den eigenen Verzeichnis­dienst anschließt.

    AppTec EMM verfügt über eine User-Verwaltung, über welche Anwendern auch administrative Rollen zugewiesen werden können.

    Für das Enrollment der Geräte kann er den Benutzern automatisiert per E-Mail oder SMS eine Installations­aufforderung zukommen lassen. Nach dem Login im EMM-Dienst auf dem Endgerät wird zunächst ein Zertifikat auf dem Mobile Device eingerichtet und anschließend die für die Steuerung benötigte EMM-App installiert.

    Das Enrollment von Geräten läuft weitgehend automatisch - entweder für ein einzelnes Gerät oder als Massenoperation.

    Übersichtliche Gerätekonfiguration

    Die so ins Management übernommenen Geräte kann der Administrator nun von seiner Konsole aus konfigurieren und steuern. Trotz der hersteller­spezifischen Unterschiede zwischen den Mobilbetriebs­systemen können die meisten Parameter dabei über eine einheitliche Methodik verwaltet werden, was den Administratoren die Arbeit stark vereinfacht.

    Die EMM-Konsole informiert über sämtliche Parameter der verwalteten Mobilgeräte.

    So lassen sich für alle Gerätetypen beispielsweise die Passwort­richtlinien, die Nutzung der Kamera, der Zugriff auf Cloud-Dienste einheitlich konfigurieren.

    Die Einstellungen können detailliert konfiguriert werden, entweder gerätespezifisch oder auf Basis eines Gruppenprofils.

    Das Dashboard liefert einen Überblick über den Status aller Geräte, informiert über deren Compliance und listet alle noch nicht eingetragenen Devices auf.

    Zwar sieht man hier, wie viele Mobilgeräte ein modifiziertes Betriebs­system installiert haben (Jailbreak/Root), dafür ist allerdings keine automatische Reaktion vorgesehen, wie etwa ein Sperren, Löschen oder eine Aufforderung an den User. Diese Aktionen muss der Administrator von Hand veranlassen.

    Die Benutzer können die abgespeckte Self-Service-Web-Konsole nutzen, um beispielsweise den Gerätestatus zu prüfen oder im Fall eines Diebstahls die Geräteortung zu veranlassen.

    Über das Self-Service-Portal können Benutzer zum Beispiel verlorene Geräte orten.

    Dual Persona unterstützt BYOD-Szenarien

    Neben der Unterteilung der User und Geräte nach individuell definierbaren Gruppen und entsprechend definierten Konfigurations­profilen ist dabei die Unterscheidung nach Besitzstatus ein entscheidender Parameter: Für jedes Gerät muss beim Enrollment angegeben werden, ob es dem Unternehmen oder dem Benutzer gehört.

    Im letzteren Fall greift das Dual Persona Prinzip: Auf den mit AppTec verwalteten Geräten können private wie geschäftliche Inhalte und Apps koexistieren. Dabei werden diese sicher voneinander separiert, so dass das Unternehmen seine Sicherheits­richtlinien durchsetzen kann, während der Zugriff auf private Daten ausgeschlossen und die Privatsphäre des Anwenders gewahrt wird.

    Preise und Verfügbarkeit

    Besonders interessant für kleinere Umgebungen ist die Möglichkeit, bis zu 25 Geräte zeitlich unbegrenzt mit der kostenlosen Version der Software zu verwalten. Sie bietet den gesamten Funktionsumfang und kann vno der Website des Herstellers heruntergeladen werden.

    Wer mehr Geräte administrieren will, zahlt für die On-Premises-Variante 0,99 € je Gerät und Monat. Die Nutzung der Addons Universal Gateway, ContentBox und SecurePIM kostet extra.

    Das Geräte-Management in der Cloud kostet 0,49 € je Gerät und Monat bei einer Mindestlaufzeit von 24 Monaten.

    Fazit

    Die AppTec360 EMM Software überzeugt durch einen großen Leistungsumfang bei gleichzeitig schneller Inbetriebnahme und einfacher Bedienung über die Web-Konsole.

    Für deutsche Unternehmen wichtig sind dabei die betriebsrats­konforme Auslegung des Managements und der Cloud-Betrieb auf Servern in der Schweiz und Deutschland. Die Tatsache, dass der Hersteller Same-Day Support bei OS-Updates verspricht, zeigt den hohen Sicherheits­anspruch der Schweizer.

    Keine Kommentare