Im Test: Windows 10 und Mobilgeräte mit AppTec EMM verwalten

    AppTec EMMTools für das Unified Endpoint Management (UEM) ent­stammen meist der Ver­waltung von Windows-PCs und nahmen mobile Geräte erst nach­träglich hinzu. Da­gegen ging die AppTec GmbH den umge­kehrten Weg und öff­nete Enter­prise Mobile Manger (EMM) kürz­lich für die zen­trale Ver­waltung von Windows-10-Rechnern.

    Die meisten altein­gesessenen UEM-Tools haben ihr ursprüngliches Konzept für das Management von Windows 10 beibehalten und installieren auf den PCs einen Agent, den sie für gängige Aufgaben wie Inven­tarisierung, Software-Verteilung, Patch- oder Schwachstellen-Management benötigen. Für die Verwaltung der mobilen Geräte hingegen nutzen sie die MDM-Schnittstellen von iOS oder Android.

    Microsoft stellt solche Interfaces allerdings auch für Windows 10 in Form von Configuration Service Providers (CSPs) zur Verfügung. Diese bieten zwar aktuell noch nicht alle Möglichkeiten, die man über Gruppen­richtlinien erhält, aber mit jedem Release von Windows 10 kommen neue Provider hinzu.

    Die Verwaltung von Windows 10 über MDM-Schnittstellen ist ein Element von Microsofts Modern Management. Der Cloud-Service Intune setzte von Anfang an auf dieses Konzept, aber auch Dritt­hersteller wie VMware mit Workspace ONE, das auf AirWatch basiert, richten sich strategisch auf dieses Modell hin aus.

    Smartphones und Windows 10-PCs gemeinsam verwalten

    AppTec aus Basel folgt nun ebenfalls dieser Entwicklung und hat seine MDM-Lösung um die Unterstützung für Computer mit Windows 10 sowie macOS erweitert. Die Enterprise Mobile Manager (EMM) bietet daher die Möglichkeit, Devices in einer heterogenen Umgebung zentral über seine Web-basierte Management-Konsole zu verwalten.

    Neben Smartphones können mit dem AppTec-EMM auch Windows-10-Computer verwaltet werden.

    Die Schweizer decken dabei ein breites Spektrum an Funktionen ab: Inventari­sierung und Konfiguration (MDM), Verteilung von Anwendungen (MAM), Absicherung von Daten (MCM), Sicherheit (MSM), Mobile E-Mail Management (MEM) sowie Bring you own Device (BYOD).

    Einfache Geräteintegration

    Um mit dem Management von mobilen oder stationären Endgeräten beginnen zu können, müssen zunächst die Anwender mit ihren Geräten im System angemeldet werden. Der Verwalter legt User wahlweise manuell an, importiert sie im Multi-Enrollment per CSV-Datei oder indem er den EMM-Service per LDAP-Konnektor an ein Active Directory anschließt, um von dort Benutzer zu übernehmen.

    User und Endgeräte kann man einzeln oder in einer Massenoperation per CSV-Import hinzufügen.

    Die Anwender erhalten dann per E-Mail oder SMS eine Aufforderung, ihr Gerät zu registrieren.

    Anwender erhalten wahlweise per E-Mail oder SMS eine Aufforderung, ihr Gerät im Device-Management anzumelden.

    Windows 10-Nutzer geben hierzu die erhaltenen EMM-Zugangsdaten in der App Einstellungen ein, und zwar unter Auf Arbeits- oder Schulkonto zugreifen. Dadurch wird der Rechner automatisch der EMM-Geräteverwaltung zugeordnet.

    Windows-10-User müssen ihre EMM-Zugangsdaten in der Systemsteuerung eingeben, um das Gerät für das Management zu registrieren.

    Dank Unterstützung für Microsoft Autopilot können Administratoren Windows-10-PCs auf diesem Weg auch automatisiert für das zentrale Device-Management bereitstellen. Voraussetzung dafür sind eine On-Prem EMM-Instanz sowie deren Anbindung an das Azure Active Directory.

    Multi-Device-Management unter einem Dach

    Die ins Management übernommenen Geräte kann der Administrator von seiner Konsole aus einsehen, konfigurieren und steuern. Trotz der Unterschiede zwischen den Betriebs­systemen lassen sich die meisten Parameter über eine identische Methodik verwalten.

    Viele Einstellungen kann man für alle Gerätetypen einheitlich mittels Geräteprofilen ändern, etwa Passwortregeln oder den Zugriff auf Cloud-Dienste. Die Konsole erlaubt dabei eine hierarchische Strukturierung der Geräte und damit eine Vererbung zugeordneter Profile.

    Das Asset Management liefert mittels Dashboard und Reports detaillierte Informationen zur Hard- und Software-Ausstattung sowie dem Konfigurations­zustand der Geräte. Über diese kann der Admin beispielsweise den Compliance-Status der Geräte kontrollieren oder die App-Ausstattung überprüfen.

    Die Installation von Updates lässt sich für einzelne PCs oder über Gerätegruppen hinweg konfigurieren, zum Beispiel, ob diese automatisch eingespielt werden sollen.

    Management von Windows-Anwendungen

    Der integrierte Enterprise App Manager hilft bei der Verwaltung der benötigten Anwendungen. Das EMM inventarisiert zunächst alle auf den Windows-10-PCs vorhandenen Programme und erlaubt auch ein fern­gesteuertes Deinstallieren.

    Das EMM inventarisiert automatisch die auf Windows-10-PCs installierten Anwendungen.

    Eine eigene Software-Sammlung kann per EMM definiert und auf bestimmte Rechner ausgerollt werden. Hierzu muss der Verwalter Inhouse-Anwendungen in das EMM hochladen und dem Gerät oder Profil zuweisen.

    Aus der Web-Konsole können Administratoren unerwünschte Windows-Anwendungen löschen und deren Installation verbieten.

    Der Enterprise App Manager unterstützt außerdem die gezielte Beschränkung der in Windows 10 enthaltenen Anwendungen wie etwa OneDrive sowie das Blacklisting ausgewählter Apps aus dem Windows Store.

    Umfassendes Security-Management

    Zentrale Aufgabe der AppTec-Software ist es, die IT dabei zu unterstützen, alle Geräte und die darauf gespeicherten Daten gegen unbefugten Zugriff zu schützen sowie unzulässige Aktionen der User zu unterbinden.

    Für diesen Zweck bietet die Software über alle Gerätetypen hinweg eine Vielzahl an sicherheits­bezogenen Einstellungen wie die Definition von Passwort­richtlinien, die Nutzung von Kameras, die Verwendung von Cortana oder von Microsoft-Accounts.

    Verloren gegangene Endgeräte können gesperrt oder per Remote Wipe aus der Ferne gelöscht werden, so dass keine vertraulichen Daten in die Hände Unbefugter gelangen. Windows 10-PCs lassen sich per GPS lokalisieren. Diese Funktion kann man beispielsweise abhängig von den Vorgaben des Betriebsrates nur durch Eingabe zweier Passworte aktivieren.

    Wird ein Gerät ausgemustert oder muss es ein Mitarbeiter zurückgeben, dann wird das System per Knopfdruck auf die Werks­ein­stellungen zurück­gesetzt und der Vorgang in einem Protokoll festgehalten.

    Im Windows Security Center haben Administratoren die Möglichkeit, sämtliche von Microsoft vorge­sehenen Sicherheits­einstellungen und Komponenten wie die Firewall und die Antiviren-Software Windows Defender remote zu steuern.

    Administratoren können zahlreiche Einstellungen von Windows 10 bis hin zur Konfiguration von Sicherheitsparametern vornehmen.

    Auch die Laufwerks­verschlüsselung mit Bitlocker kann auf Windows 10 Enterprise und Professional Systemen aktiviert und konfiguriert werden.

    Bitlocker kann für die Verschlüsselung der Laufwerke von Windows-10-PCs aktiviert und konfiguriert werden.

    Sichere Verbindungen zentral bereitstellen

    Im Connection-Management lassen sich Voreinstellungen und Einschränkungen für WLAN, VPN und Bluetooth definieren.

    Das optionale AppTec Universal Gateway enthält einen eigenen VPN-Server und bringt VPN-Clients für die diversen Gerätetypen mit. Die EMM-Lösung kann damit das VPN-Setup für sämtliche Mobilgeräte sowie für Computer mit Windows 10 vollständig automatisieren.

    Die Anbindung an Exchange und andere Mail-Server wird über die PIM-Verwaltung definiert. Für den Austausch mit Exchange kommt dabei Active Sync zum Einsatz.

    Für den Remote-Support von Anwendern ist TeamViewer integriert. Der EMM-Administrator muss nur einmalig sein TeamViewer-Konto hinterlegen und dann die TeamViewer Quicksupport-App auf den Endgeräten ausrollen.

    Daten sicher zwischen Geräten synchronisieren

    Die AppTec-Komponente ContentBox dient dazu, das Mitnehmen von Daten sowie deren Austausch unter Mitarbeitern möglichst sicher zu gestalten. Diese Dropbox-Alternative sieht einen Cloud-Speicher Dokumente aller Art vor, auf die Anwender über eine eigene App oder über das Web-Interface von EMM zugreifen.

    Der Administrator kann die Cloud-Ablage über die EMM-Konsole konfigurieren, mit Zugriffsrechten versehen und Pflichtdaten für die Anwender darin hinterlegen. ContentBox unterstützt mehrere Storage-Optionen wie Amazon S3, Sharepoint, (S)FTP, ownCloud, WebDAV und Windows-Laufwerke.

    Preise und Verfügbarkeit

    AppTec-Anwender haben die Wahl zwischen einer On-Premise-Instanz oder einer Cloud-Variante mit Servern in Deutschland und der Schweiz.

    Während die SaaS-Nutzung lediglich einer Registrierung bedarf, um mit der Geräte­verwaltung zu starten, muss für eine private Instanz zunächst die im OVF-Format gelieferte Virtual Appliance auf einem unterstützten Hypervisor (VMware ESXi, Hyper-V, VirtualBox oder Citrix XenServer) in Betrieb genommen und konfiguriert werden.

    Besonders interessant für kleinere Unternehmen ist die kostenfreie Lizenz für bis zu 25 Geräte. Sie bietet den gesamten Funktions­umfang, ist zeitlich unbegrenzt und kann von der Website des Herstellers heruntergeladen werden.

    Wer mehr Geräte administrieren möchte, zahlt für die On-Premise-Variante 0,99 € je Gerät und Monat. Die Nutzung von Add-ons wie Universal Gateway, ContentBox und Custom Launcher kostet extra.

    Das Geräte-Management in der Cloud kostet zusätzlich 0,49 € je Gerät und Monat bei einer Mindestlaufzeit von 24 Monaten.

    Fazit

    Die EMM-Software von AppTec360 überzeugt durch einen großen Leistungsumfang bei schneller Inbetrieb­nahme und einfacher Bedienung über die Web-Konsole. Die Management-Lösung ist zudem relativ preis­günstig.

    Gerade für KMUs dürfte die Unterstützung für Geräte aller Art, von Smartphones bis hin zu Macs und Windows-10-PCs, nützlich sein. Das einheitliche Management für die verschiedenen Clients erleichtert die Aufgabe, durchgängig für Sicherheit und Compliance zu sorgen sowie Anwender mit den gewünschten OS-Konfigurationen und Anwendungen auszustatten.

    AppTec sieht sich dabei ausdrücklich (noch) nicht als Konkurrent zu etablierten Client-Management-Lösungen. So ist beispiels­weise weder ein Packaging für Applikationen vorgesehen noch das OS-Deployment.

    Keine Kommentare