baramundi Management Suite 2020 R2: Inventarisierung von Windows-Updates, iOS User Enrollment, automatische BitLocker-Entsperrung

    BitLocker verwalten mit Defense Control der bMSIm Rahmen ihres halb­jährl­ichen Release-Zyklus veröffent­licht die baramundi Software AG die Version 2020 R2 ihrer UEM-Lösung. Zu den Neuerungen zählen ein Invertory für das Patch-Management, die Unter­stützung eines neuen iOS-Verwaltungs­modus sowie die auto­matische BitLocker-Entsperrung in sicheren Netzen.

    Der Augsburger Hersteller gab schon vor einiger Zeit bekannt, dass er das Modul für das Patch-Management vollständig überarbeiten werde. In der baramundi Management Suite (bMS) 2020 R2 zeigen sich bereits die ersten Ergebnisse dieses Vorhabens.

    Inventar für Windows-Updates

    Sie bestehen in einer Inventarisierung von Updates auf Windows-Rechnern. Dieses gleicht die installierten Patches auf den Endgeräten mit der bevorzugten Update-Quelle ab, wahlweise mit Microsoft Update oder einem im Unternehmen vorhandenen WSUS.

    Das Feature versetzt den Administrator in die Lage, sich sehr schnell einen Überblick über den Patch-Status des PCs verschaffen zu können. Die Übersicht markiert alle Geräte mit fehlenden Updates durch entsprechende Symbole. Hinzu kommt, dass die bMS die Liste nach dem Schweregrad der fehlenden Patches sortiert.

    Die Übersicht über den Patch-Status sortiert die Geräte so, dass die dringlichen Fälle ganz oben erscheinen.

    Zusätzlich enthält die Übersichts­seite für jeden Endpoint nun ein Feld, das mittels Ampelfarben auf einen Blick erkennen lässt, ob hier Handlungsbedarf herrscht.

    In der Übersicht über den Status eines Geräts finden sich auch Angaben zur Aktualität der Patches.

    Einen weiteren Zugang zum Patch-Status der Geräte bietet baramundi über einen neuen Filter für dynamische Gruppen. Auf diese Weise lassen sich sehr schnell alle Rechner anzeigen, die bestimmten Kriterien beim Update-Status (nicht) genügen.

    BitLocker-Entsperrung

    Die zweite große Neuerung bei der Verwaltung von Windows-PC ist die automatische Entsperrung von BitLocker in sicheren Netzwerken. Dieses Feature ergänzt das vor einem Jahr eingeführte zentrale BitLocker-Management im Modul Defense Control.

    Die automatische Entsperrung ist vor allem dann von Nutzen, wenn das Gerät zur Wartung remote hochgefahren werden soll, aber aus Sicherheits­gründen beim Start die Eingabe einer PIN erwartet. Da aber in einer solchen Situation kein User am Rechner ist, würde etwa das Einspielen von Updates nicht gelingen.

    Das Unlock-Feature muss explizit aktiviert werden und setzt eine Vertrauensbeziehung zum bMS-Server voraus.

    Es liegt auf der Hand, dass Rechner keinesfalls ungewollt von einem beliebigen bMS-Server im Netz entsperrt werden sollen. Daher muss der der Administrator dieses Feature erst grundsätzlich freischalten und dann zusätzlich für die Maschinen, welche es nutzen sollen, eine Vertrauens­stellung mit dem bMS-Server herstellen. Das Gerät entsperrt sich somit nur, wenn es einen Server mit einem vertrauens­würdigen Zertifikat erreichen kann.

    User Enrollment für iOS-Geräte

    Apple unterstützt seit iOS 13 ein neues Verfahren zur zentralen Verwaltung seiner Geräte. Es heißt User Enrollment, weil Benutzer ihre iPhones oder iPads in diesem Fall selbst für das Management registrieren und auch wieder daraus entfernen. Typischerweise eignet sich dieses Vorgehen für solche Geräte, die dem Mitarbeiter selbst gehören.

    Aus diesem Grund wird der Anwender nicht wollen, dass der Sysadmin vollen Zugriff auf alle Bereiche des Mobil­telefons oder Tablets erhält. Tatsächlich beschränkt sich dieser Verwaltungs­modus auf Firmendaten, die in einem verschlüsselten Bereich liegen, und auf die vom Unternehmen installierten Apps. Entsprechend lassen sich bei einem Remote-Wipe nicht einfache alle Daten löschen, sondern nur die arbeits­bezogenen.

    Das MDM/EMM-System hat bei diesem Modus auch keinen Zugriff auf Informationen, über die sich das Gerät identifizieren ließe (MAC-Adresse, Seriennummer, etc.). Daher muss der Administrator im Apple Business Manager eine Managed Apple ID erzeugen, die er dem jeweiligen iPhone oder iPad dann in der bMS zuordnet.

    Unterscheidung zwischen User Enrollment und Device Enrollment

    Für iOS kommt in der bMS 2020 R2 außerdem der Support für den zweck­bestimmten Modus neu hinzu. Er eignet sich für Geräte, die nur einer bestimmten Aufgabe dienen, beispielsweise Barcode-Scanner oder Tablets für Produktdemos. baramundi unterstützt dieses Feature für Android Enterprise seit 2020 R1.

    Verwaltung zweckbestimmter iOS-Geräte in der bMS 2020 R2

    Automatische App-Updates auf Mobilgeräten

    Das Module Mobile Devices wartet mit einer weiteren Neuerung auf, die hilft, Apps auf Smartphones und Tablets auf dem neuesten Stand zu halten. Dies ist oft schon aus Sicherheitsgründen wünschens­wert.

    Diese Funktion inventarisiert die Apps auf den Geräten und vergleicht sie mit denen im App Store. Liegt dort eine neuere Version vor, kann der Admin über einen entsprechenden Job das Update veranlassen. Auch der Update-Status von Apps lässt sich als Filter für dynamische Gruppen verwenden.

    Übersicht über den Update-Zustand der Apps auf iOS-Geräten

    Android bietet aktuell keine Möglichkeit zur gezielten Aktualisierung von Apps. Hier beschränkt sich die bMS darauf, das Update-Verhalten über Profile zu beeinflussen. So kann man etwa als Bedingung festlegen, dass Updates nur installiert werden, wenn das Gerät über ein WLAN verbunden ist oder während bestimmter Zeiträume.

    Dynamische Gruppen in Argus Cockpit

    Ebenfalls im Release 1 dieses Jahres führte baramundi die Web-Konsole Argus ein, über die Admins auch von unterwegs oder zu Hause den Status ihrer Geräte einsehen können. In der ersten Version enthielt das Dashboard nur von baramundi vorgegebene Informationen zu bMS-Diensten und anstehenden Jobs.

    Das Web-Dashboard von Argus visualisiert nun auch Daten aus dynamischen Gruppen.

    Im aktuellen Release lassen sich zusätzlich bis zu 10 dynamische Gruppen in die Übersicht integrieren. Aufgrund der für sie im aktuellen Release eingeführten Filter gilt das auch für das neue Patch-Inventar oder die App-Updates.

    Der Administrator wählt explizit die gewünschten Gruppen aus, um sie mit Argus zu synchronisieren. Er kann für sie auch eigene Anzeige­namen vergeben, damit sie sich im Cockpit einfacher identi­fizieren lassen.

    Interessant ist die Option, das Beobachten der Daten in der Web-Konsole an andere Benutzer delegieren zu können. Das Verfolgen des Systemstatus stellt keine hohen Anforderungen, so dass sie auch technisch weniger versierten Anwendern übertragen werden kann, um den Admin zu entlasten.

    Produktpflege

    Wie jedes Update bringt auch die Version 2020 R2 neben größeren neuen Features auch eine Reihe von Detail­verbesserungen. Dazu gehört etwa, dass die Zuordnung von installierten Produkten zu Lizenzen im License Management vereinfacht wurde. Dabei handelt es sich um ein Modul, das vor zwei Jahren eingeführt wurde.

    Zu den weiteren Fortschritten in der aktuellen Version gehört die Optimierung der Übertragungs­logik für baramundi Background Transfer. Downloads sollen dadurch bis zu 25 Prozent schneller sein als bisher.

    Konfiguration von Android-Apps mit Hilfe von Textdateien

    Gleich mit der Einführung des Supports für Android Enterprise unterstützte die bMS auch die Konfiguration von Apps aus dem Play Store. Einige dieser Anwendungen lassen sich aber nach wie vor nicht auf diesem Weg verwalten, sondern erwarten, dass dafür eine Konfigurations­datei auf das Endgerät übertragen wird. Deshalb erlaubt die bMS 2020 R2 nun den Transfer von textuellen Informationen für diesen Zweck.

    Verfügbarkeit

    Die baramundi Management Suite 2020 R2 ist ab November verfügbar. Eine Testversion kann über die Website des Herstellers angefordert werden.

    Keine Kommentare