Smartphones kostenfrei managen mit AppTec [Computerwoche]

„AppTec360 EMM“ ist eine Enterprise-Mobility-Management-Lösung made in Switzerland, die den strengen deutschen rechtlichen Rahmenbedingungen genügt und – zumindest für kleinere Installationen – kostenlos ist. Wir haben sie uns näher angesehen.

 

  • Freie Wahl zwischen On-premise- oder Cloud-Variante, wobei die Server in Deutschland und der Schweiz stehen

 

  • Admins haben einheitliche Sicht auf Geräte- und Systemvielfalt

 

  • Private wie geschäftliche Inhalte und Apps können koexistieren

 

Damit Tablets und Smartphones für Unternehmen nicht zu einer Kosten- und Sicherheitsfalle werden, bedürfen sie wie Desktop-Geräte einer zentralen Inventarisierung und Überwachung, einer Versorgung mit Updates und dem Schutz vor Sicherheitslücken und Datenverlust. Mobile Endgeräte stehen naturgemäß nicht immer Kontakt zum Unternehmensnetz, und weil zunehmend Privatgeräte für berufliche Zwecke genutzt werden (BYOD – Bring Your Own Device), gelten andere Policies für den Umgang mit den darauf befindlichen Daten. Die IT benötigt daher für das Management von Mobilgeräten speziell darauf zugeschnittener Lösungen.

 

AppTec mit Fokus auf den deutschen Markt

 

Im von US-Herstellern dominierten Markt der Enterprise-Mobility-Management-(EMM-) Lösungen behauptet sich AppTec aus Basel als einer der wenigen Anbieter, die konform zu den strengen deutschen rechtlichen Rahmenbedingungen sind. Bis zu 25 Geräte verwaltet man mit dieser Software kostenlos. AppTec360 EMM unterstützt dabei alle gängigen Versionen von iOS, Android und Windows Mobile.

 

Wie in dieser Softwarekategorie üblich, adressiert die EMM-Lösung die drei Hauptbereiche der Mobilgeräteverwaltung:

 

  • Mobile Device Management (MDM) = Inventarisierung, Konfiguration und Verwaltung mobiler Endgeräte, Gerätesicherheit, E-Mail-Zugriff, BYOD.

 

  • Mobile Application Management (MAM) = Verwaltung, Verteilung, Aktualisierung und Schutz von Apps auf den Endgeräten, basierend auf einem selbstdefinierten App-Store, der auch eigene Apps umfassen kann.

 

  • Mobile Content Management (MCM) = Absicherung der Datennutzung, z.B. durch Verschlüsselung, Überwachung der Datennutzung, gezielter Zugriff auf Unternehmensdaten von Mobilgeräten aus.

 

Schnelle Inbetriebnahme in der Cloud oder On-Premise

 

Anwender haben bei AppTec die Wahl zwischen einer On-Premise-Installation oder der Cloud-Variante mit Servern in Deutschland und der Schweiz. Funktional besteht zwischen den beiden Optionen kein Unterschied. Während die SaaS-Variante lediglich einer Registrierung bedarf, um mit der Geräteverwaltung anfangen zu können, muss der Administrator für eine private Instanz zunächst die im ova-Format gelieferte Appliance auf einem Hypervisor vom Typ VMware, Hyper-V, Virtualbox oder XenServer starten.

 

Nach dem Booten der VM öffnet sich der Browser-basierte Installationsassistent, mit dem die Appliance konfiguriert und in das Netzwerk integriert wird. Neben dem Upload der Lizenzdatei und eines öffentlichen SSL-Zertifikats ist dabei der Admin-User sowie ein Mailkonto zu konfigurieren, über welches das System Mails versenden kann.

 

Wem das Hantieren im kleinen Konsolenfenster der VM zu umständlich ist, der kann die Appliance per SSH-Kommandozeile auch für den Remote-Zugriff auf den Konfigurationsassistenten freischalten. Dafür muss man in der Datei /opt/console/application/configs/externalConfigPassword ein Passwort anlegen und kann dann Zugriff per Browser von einem entfernten Rechner erlangen über die URL https://HOSTNAME/public/config/extconfig/pwd/MEINPASSWORT.

 

Da der Managementserver mit den Mobilgeräten über das Internet kommunizieren muss, sind – neben 8080, 8081 und 443 – weitere Ports in der Firewall freizuschalten: Für die Apple-APN-Kommunikation müssen 5223, 2195 und 2196 geöffnet sein, für Android sind es 5228, 5229 und 5230.

 

Vorbereitung für das Geräte-Management

 

Ab diesem Punkt ist die On-Premise-Software im gleichen Zustand wie der Cloud-basierte Zugang. Über die aufgeräumte Webkonsole muss der EMM-Administrator wie bei allen MDM-Lösungen nun zunächst einige Vorkehrungen für das Management von iOS- und Android-Geräten treffen. Für iOS muss er ein APNS-Zertifikat über den entsprechenden Apple-Service beschaffen und im EMM hinterlegen. Sollen Apple-Geräte zudem im Supervised Mode betrieben werden, was erweiterte Konfigurationsmöglichkeiten eröffnet, muss zudem ein DEP-Server im EMM definiert werden, welches eines weiteren Apple-Zertifikats bedarf.

 

Enrollment und Provisionierung

 

User legt der EMM-Administrator wahlweise manuell an oder er importiert sie per CSV-Datei und indem er den Server per LDAP-Konnektor an den eigenen Verzeichnisdienst anschließt. Für das Enrollment der Geräte kann er den Usern automatisiert per E-Mail oder SMS eine Installationsaufforderung zukommen lassen. Nach Login im EMM-Dienst auf dem Endgerät wird zunächst ein Zertifikat auf dem Mobile Device eingerichtet und anschließend die für die Steuerung benötigte EMM-App installiert.

 

Übersichtliche Gerätekonfiguration

 

Die so ins Management übernommenen Geräte kann der Administrator nun von seiner Konsole aus konfigurieren und steuern. Trotz der herstellerspezifischen Unterschiede zwischen den Mobilbetriebssystemen können die meisten Parameter dabei über eine einheitliche Methodik verwaltet werden, was den Administratoren die Arbeit stark vereinfacht. So können für alle Gerätetypen viele Einstellungen einheitlich vorgenommen werden, etwa für Passwort-Policies, die Nutzung der Kamera, Zugriff auf Cloud-Dienste etc.

 

Das Dashboard liefert einen Überblick über den Status aller Geräte, informiert über deren Compliance und listet alle noch nicht gemanagten Devices auf. Zwar sieht man hier, wie viele Mobilgeräte ein modifiziertes Betriebssystem installiert haben (Jailbreak/Root), allerdings ist keine automatische Reaktion dafür vorgesehen, wie zum Beispiel ein Sperren oder Löschen oder eine Aufforderung an den User. Diese Aktionen muss der Administrator von Hand ausführen.

 

Die User können die abgespeckte Selfservice-Webkonsole nutzen, um beispielsweise den Gerätestatus zu prüfen oder im Fall eines Diebstahls die Geräteortung zu veranlassen.

 

Dual Persona unterstützt BYOD-Szenarien

 

Neben der Unterteilung der User und Geräte nach individuell definierbaren Gruppen und Konfigurationsprofilen ist dabei die Unterscheidung nach Besitzstatus ein entscheidender Parameter: Je Gerät muss beim Enrollment angegeben werden, ob es dem Unternehmen oder dem Benutzer gehört. Im letzteren letzteren Fall greift das Dual-Persona-Prinzip: Auf den mit AppTec verwalteten Geräten können private wie geschäftliche Inhalte und Apps koexistieren. Dabei werden diese sicher voneinander separiert, so dass das Unternehmen seine Sicherheitspolicies durchsetzen kann, während der Zugriff auf private Daten ausgeschlossen und die Privatsphäre des Anwenders gewahrt wird.

 

Container für Separierung geschäftlicher und privater Daten

 

Damit Apps, die geschäftliche Daten verwalten beziehungsweise austauschen, nicht über private Apps ausgelesen oder kompromittiert werden, können Administratoren über die EMM-Konsole sogenannte Container auf den Geräten installieren, die eine virtuelle Trennung zwischen privater und geschäftlicher Welt schaffen.

 

Ist Android im Einsatz, kann dafür nach entsprechender Vorkonfiguration in der AppTec-Konsole Android for Work verwendet werden. Dieser Container verschlüsselt die in den Apps verwalteten Daten sowie deren Verbindungen. Der Administrator hat dabei nur auf die via EMM installierten Apps und darin befindlichen Daten Zugriff, während die privaten Apps außen vor bleiben. Der Android-Verwalter kann aus der AppTec-Software heraus zudem die Samsung-Knox-Securityfeatures etwa für Verschlüsselung, Secure Boot und VPN einrichten und konfigurieren.

 

Mit SecurePIM unterstützt die AppTec-Software eine Drittanbieter-Lösung auf iOS- und Android-Geräten, die einen verschlüsselten Messaging-Container für E-Mail, Kalender und Kontakte auf BYOD-Geräte installiert. Neben der Verschlüsselung aller Daten und beispielsweise der gesamten Mail-Kommunikation bringt die App auch einen eigenen „sicheren“ Browser mit, der ebenfalls über die EMM-Konsole aktiviert und vorkonfiguriert werden kann. So kann die IT hier URL-Listen hinterlegen und Internet-Links blacklisten. Die App arbeitet mit Microsoft Exchange 2007, 2010 und 2013 zusammen. Der Datenabgleich erfolgt in diesem Fall über ActiveSync. Auch Lotus Notes in Verbindung mit Domino Traveler werden unterstützt.

 

Damit SecurePIM genutzt werden kann, muss in der AppTec-Konsole lediglich eine gültige Lizenz importiert werden. Im Falle von Windows 10 Mobile Geräten berücksichtigt die Software direkt die im Mobil-Betriebssystem integrierte Enterprise-Data-Protection-(EDP-)Technik, mit der ohne zusätzliche Apps auf dem Endgerät Unternehmensdaten verschlüsselt und von privaten Daten und Apps separiert werden.

 

Im Falle eines Geräteverlusts kann das Gerät gesperrt oder auch gleich gelöscht werden. Bei BYOD-Geräten kann dabei wahlweise nur der geschäftliche Content entfernt werden. Bei Verlust oder Diebstahl steht eine Ortungsfunktion zur Verfügung, die je nach Vorgaben beispielsweise des Betriebsrats nur durch Eingabe zweier Passworte aktiviert werden kann.

 

Verwaltung von Apps

 

Der in die AppTec-Software integrierte Enterprise App Manager hilft bei der Verwaltung der für die Unternehmensumgebung benötigten Apps. So kann eine eigene App-Sammlung einfach definiert und per Push auf Geräten ausgerollt werden. Das MDM sorgt dabei auch für die automatische Aktualisierung der Apps auf den Endgeräten.

 

Sofern die jeweiligen Apps dies zulassen, können sie bereits in der EMM-Software vorkonfiguriert werden, so dass Anwender diese sofort nutzen können. Über Black- und Whitelisting kann der Administrator detailliert vorgeben, welche Apps überhaupt auf einem Gerät zugelassen sind. Eigenentwickelte Apps lassen sich im Menüpunkt Inhouse-Apps hochladen und den Geräten zuordnen.

 

Sichere Dropbox-Alternative

 

Um das Mitnehmen von Daten sowie deren Austausch unter Kollegen möglichst sicher zu gestalten, kann die AppTec-Komponente ContentBox verwendet werden. Diese Dropbox-Alternative sieht einen Cloud-Speicherbereich für Daten und Dokumente aller Art vor, auf die Anwender über eine eigene App oder über die EMM-Webkonsole zugreifen.

Der Administrator kann den Cloud-Speicher über die EMM-Konsole konfigurieren, mit Zugriffsrechten versehen und beispielsweise Pflichtdaten für die Anwender darin hinterlegen. ContentBox unterstützt dabei unterschiedliche Storageszenarien, so kann Amazon S3 angebunden werden, aber auch Sharepoint, (S)FTP, ownCloud, WebDAV undWindows-Laufwerke sind als Speicher möglich.

 

Preise und Verfügbarkeit

 

Besonders interessant für kleinere Unternehmen oder Umgebungen ist die Möglichkeit zur zeitlich unbegrenzten kostenfreien Verwaltung von bis zu 25 Geräten. Wer mehr Geräte administrieren muss, zahlt für die On-Premise-Variante 0,99 Euro je Gerät und Monat. Die Nutzung der Add-ons Universal Gateway, ContentBox und SecurePIM kostet extra. Das Gerätemanagement in der Cloud schlägt mit zusätzlich 0,49 Euro je Gerät und Monat bei einer Mindestlaufzeit von 24 Monaten zu Buche.

 

Fazit

 

Die AppTec360 EMM Software überzeugt durch einen großen Leistungsumfang bei gleichzeitig schneller Inbetriebnahme und einfacher Bedienung über die Webkonsole. Für deutsche Unternehmen wichtig ist die betriebsratskonforme Auslegung des Managements und der Cloud-Betrieb auf Servern in Deutschland und der Schweiz.

 

Der Einsatz einer sicherheitsgeprüften und zugelassenen Containertechnologie unterstreicht den Fokus auf Unterstützung im Bereich Sicherheit. Die Tatsache, dass der Hersteller Same-Day Support bei OS-Updates verspricht, zeigt den hohen Sicherheitsanspruch der Schweizer. (hv)

 

Quelle: https://www.computerwoche.de/a/smartphones-kostenfrei-managen-mit-apptec,3331870