addthis

Freitag, 20. Januar 2012

Management mobiler Endgeräte

Management mobiler Endgeräte
Pietro Scherer

Die Zeiten, in denen sich System- und Netzwerkadministratoren nur mit Windows als Client-OS befassen mussten, sind lange vorbei. Der Betrieb virtualisierten Desktops, die Überwachung mobiler Endgeräte oder das Management heterogener Umgebungen von iPhone über Android bis hin zu Blackberry – das sind die aktuellen Aufgabenstellungen. In meinem Online-Beitrag stelle ich die Frage, ob die Einbindung privater Geräte in das Firmennetzwerk kontrollierbar ist und zeige, wie Administratoren mobile Devices mittels 'Dynamic Workplace Management' effizient verwalten.

Viele IT-Verantwortliche stehen dem Trend zum verstärkten Einsatz mobiler Endgeräte und der zunehmenden Nutzung privat gekaufter Hardware für den Zugriff auf das Firmennetzwerk kritisch gegenüber. Derartige Entwicklungen lassen sich jedoch kaum aufhalten. Im Firmennetzwerk tummeln sich schon heute immer mehr Geräte, die von der IT möglicherweise nicht beschafft wurden und auf welche die IT-Profis keinen ein hundertprozentigen Zugriff haben. Damit aus dieser Konstellation kein Unheil entsteht, entwickeln derzeit zahlreiche Anbieter Technologien, die verschiedenen Ansprüchen genügen sollen: Sicherheit, Stabilität und Erfüllung von Compliance-Anforderungen aus der Sicht des Unternehmens und die Freiheit bei der Wahl des Geräts und die Unabhängigkeit bei der Software-Ausstattung auf der Seite des Benutzers.

All dies zusammen ist nur dann für die System- und Netzwerkadministration sinnvoll in Einklang zu bringen, sofern die eingesetzte Management-Software diesem Zoo von Endgeräten gerecht wird. Was bisher als "Client Lifecycle Management"- oder "Systems Management"-Software bezeichnet wurde, ist aus heutiger Sicht mit dem Namen "Dynamic Workplace Management" treffender definiert. Schließlich werden die wechselnden Anforderungen der Arbeitsplatz-Bereitstellung dynamisch erfüllt – unabhängig davon, ob es sich dabei nun um einen traditionellen PC-Arbeitsplatz, eine Terminalsitzung oder einem virtuellen Desktop auf einem mobilen Endgerät handelt.

Viele Geräte, dieselben Anforderungen:
Angesichts der verschiedenen neuen Endgeräte auf Plattformen wie Windows Mobile, Symbian, Apple iOS, Android oder Intels aktuell etwas schwächelndem MeeGo beschleicht den Administrator zunächst das Gefühl einer zu großen Übermacht an Gerätetypen. Kaum ein IT-Mitarbeiter im Unternehmen wird in der Lage sein alle "Smart Devices" gleichermaßen und sicher zu beherrschen. Aber trotz der vielen Unterschiede bei den Geräten selbst bleiben die Anforderungen für die eigene IT stets dieselben:  
  1. Sensible Unternehmendaten müssen eventuell auf diese Geräte übertragen werden 
  2. Unternehmendaten müssen sich beim Ausscheiden des Mitarbeiters gezielt von dessen Privatgerät entfernen lassen (Corporate Wipe).
  3. Die IT-Verantwortlichen müssen sichergehen, dass auch private Geräte, die ins  Unternehmensnetz kommen, entsprechend abgesichert sind. Hier lautet das Stichwort "Device Lock" (Gerät wird immer und ohne Ausnahme über eine PIN-Eingabe abgesichert).
  4. Eventuell muss sich das Gerät lokalisieren lassen. 
  5. Anwender müssen im Problemfall unterstützt werden können.
Eine große Herausforderung beim Management von Smart Devices besteht zunächst einmal darin, die unterschiedlichen Betriebssysteme und damit auch die Variationen innerhalb dieser Betriebssysteme zu unterstützen. Eine gute Managementlösung für mobile Geräte sollte dem System- und Netzwerkadministrator diesen Schritt abnehmen: Er muss dann nicht mehr wissen, welche Operationen er beispielsweise auf einem Android-Gerät mit der jeweiligen Betriebssystem-Version ausführen kann: Die Lösung verfügt über die entsprechenden Informationen der unterschiedlichen technischen Möglichkeiten der jeweiligen Plattform.

Bei genauer Betrachtung geht es bei der Einbindung der kleinen Geräte aber auch um die oft zitierte letzte Meile, hier als Verbindung in das Rechenzentrum. Mail-Dienste, File-Services und oft der gesamte Desktop werden im Datacenter betrieben. Mit welchem Endgerät ein Benutzer auf diese Services zugreift, muss genaugenommen egal sein: Der Zugriff auf die Arbeitsumgebung des Anwenders geschieht über einen Remote Zugriff, beispielsweise über XenDesktop. Nur durch eine solche Konstruktion ist der Einsatz von privat angeschaffter Hardware im Unternehmensumfeld überhaupt sinnvoll möglich. Unter dem Schlagwort "BYOD" (Bring Your Own Device) kommt auf deutsche Firmen und damit deren IT-Abteilungen eine Entwicklung zu, die im englischsprachigen Raum schon deutlich weiter verbreitet ist: Mitarbeiter kommen ins Unternehmen, bringen ihre eigenen Endgeräte mit und möchten damit im Firmennetzwerk arbeiten.

Kompetenzwirrwarr beim Verwalten mobiler Clients vermeiden:
Eine sehr wichtige Frage in diesem Zusammenhang: Wer, beziehungsweise welche Abteilung, ist dafür verantwortlich, dass diese komplett neue Klasse von Client-Geräten im Unternehmensumfeld verwaltet wird? Eine Fragestellung die schon aus dem Umfeld der virtuellen Desktops bekannt ist. Da die Disziplin des Gerätemanagements für mobile Geräte noch neu ist, ist es vielfach auch nicht klar, im welchem Bereich der IT-Administration diese Aufgabe anzusiedeln ist. Aktuell sind hier noch ganz unterschiedlich Ansätze zu finden.

Es gibt Firmen, bei denen sich die ganz klassischen IT-Administratoren, die auch im Client-Bereich tätig sind, um diese Thematik kümmern. Sehr häufig werden mobile Geräte durch Mitarbeiter betreut, deren eigentlicher Tätigkeitsschwerpunkt im Bereich Sicherheit zu finden ist. Bei einer ganzen Reihe von Firmen taucht aber noch eine ganz besonders interessante Variante auf: Hier kümmern sich die Mitarbeiter, die eigentlich für die Kostenkontrolle verantwortlich sind, um die Verwaltungsaspekte der mobilen Geräte.

Software-Anbieter wie Matrix42 vertreten in diesem Fall meist eine klare Linie: Diese Aufgabe sollte von derjenigen Gruppe in der IT betreut werden, die für das Enduser Computing verantwortlich ist. Zwar haben viele Unternehmen diese Abteilung noch gar nicht geschaffen, sie wird jedoch immer notwendiger. Mobile Geräte und virtuelle Desktops erfordern eine Neuausrichtung in der IT. In der Enduser Computing-Gruppe befinden sich dann nicht nur Server- und Client-Spezialisten, sondern auch IT-Fachleute aus den Bereichen Sicherheit und mobile Geräte. Nur der Einsatz einer bereichsübergreifenden Gruppe garantiert, dass kein Aspekt des mobilen Gerätemanagements vernachlässig wird. Sie muss alle Aspekte betrachten sowie alle Geräte installieren und verwalten können.

Elemente des Mobile Device-Management:
Ein vollständiges und ausgereiftes Management für mobile Endgeräte ist faktisch die Quersumme aus dem Client Lifecycle-Management, Virtualization-Management und dem IT Service -Management unter Berücksichtigung der Spezifika der jeweils eingesetzten mobilen Plattform. Aufgrund der starken Verzahnung der verschiedenen IT-Bereiche umreißt der Ausdruck "Dynamic Workplace Management" die Thematik sehr gut. Dabei sollten die folgenden Teilbereiche in jedem Fall integriert sein:

Software-Verteilung: Hier sind Fähigkeiten zur Verwaltung und Betreuung der mobilen
Anwendungen auf den Clients gefragt. Sie müssen sowohl ausgerollt, installiert, auf
dem aktuellem Stand gehalten als auch wieder gelöscht oder sogar blockiert werden
können. 

Sicherheitsverwaltung: 
Verwaltung und Betreuung einer PKI (Public Key Infrastructure) und eines Zertifikatmanagements, das Durchsetzen von Sicherheits-richtlinien auf den Client-Geräten, sowie Verschlüsselung- und Authentifizierungs-Möglichkeiten.

Richtlinien-Verwaltung (Policy-Management): 
Die Richtlinien der Firma für mobile Geräte müssen ausgerollt, durchgesetzt und kontrolliert werden: 
Erkennen und Deaktivieren von "Jailbroken" (iOS) oder "Rooted" (Android) Geräten, und zum Beispiel Abschalten von YouTube auf mobilen Geräten. 

Inventar- und Assetverwaltung: 
Dazu gehören neben den grundlegenden Aufgaben einer Inventarverwaltung auch Tätigkeiten wie Provisionierung und Support.

Verwaltung der Dienste (Service Management): 
An dieser Stelle müssen Dienste wie die Verwaltung der Telekommuni-kationsdienste (zum Beispiel Telefon- und Mobilfunk-Verträge der Mitarbeiter) geregelt und überwacht werden. Eine Integration in den User Help Desk ist ebenfalls sinnvoll.

Eine moderne Software zum Mobile Device Management (MDM) muss zudem den klassischen Fall des liegengelassenen Mobiltelefons effektiv lösen können: MDM-Programme lokalisieren das Gerät auf einer Karte, sperren die Tastatur oder lösen einen dauerhaften Klingelton aus. Führen all diese Schritte nicht zur gewünschten Rückführung des Geräts zum Besitzer, so werden die Daten auf dem Gerät gezielt gelöscht.

Softwareverteilung am Beispiel iPad:
Wie im Optimalfall das Zusammenspiel der verschiedenen Komponenten aussieht, ist in einem rund zehnminütiges YouTube-Video [1] zu erleben, das erstmals auf der Synergy 2011 vorgestellt wurde. In diesem Clip bestellt ein Mitarbeiter eines Unternehmens über seinen virtuellen Desktop im Webshop-System die Unterstützung für sein privates Apple iPad und den Zugriff auf seinen virtuellen Desktop. Nach einem Genehmigungsvorgang durch den Vorgesetzten, bei dem die Kosten der Anforderung wie in einem Online-Shop aufsummiert dargestellt werden, erhält der Anwender eine E-Mail mit einem Download-Link der gewünschten Softwarekomponenten.

Da es sich aber bei Apples iOS eigentlich um ein Consumer-Gerät handelt, sind die Management-Möglichkeiten im Vergleich zu Blackberry oder Windows Mobile weniger ausgeprägt. So war die Verteilung von Apps ohne Anwender-Interaktion technisch, bis zur Vorstellung von iOS 5.01, in der Vergangenheit nicht ohne weiteres möglich. Um das Problem der Software-Bereitstellung auf iOS-Geräten trotzdem zu lösen, bekamen Apple-Anwender über die Mobile Device Management Lösung in der Regel einen Corporate App Store – vergleichbar mit dem AppStore von Apple – zur Verfügung gestellt, über den der Anwender Apps "einkaufen" kann, die von der Unternehmens-IT bereitgestellt werden. Seit Version 5.01 von iOS berücksichtigt Apple offenkundig die Wünsche der professionellen IT und erlaubt ein Software-Push auf die Geräte.

Nach dem Download der Software beginnt diese das iPad für die Zusammenarbeit im Unternehmensumfeld anzupassen. Das Mailprogramm wird auf Wunsch des Anwenders mit dem Firmen-E-Mailaccount verbunden, die Eingabe eines Passwort-Schutzes wird möglicherweise durch die Software erzwungen und als neue Applikationen findet sich der Remote Desktop Client für den virtuellen Desktop des Anwenders auf dem Tablet-Rechner. Einen Mausklick später ist der Benutzer mit eben dem Desktop verbunden, über den er zuvor die Bestellung aufgegeben hatte. Die Integration geht je nach Konfiguration durch den Administrator so weit, dass sich das Gerät in einer Landkarten-Ansicht lokalisiert darstellen lässt.

Virtualisierung kommt auch auf mobilen Endgeräten:
Augenscheinlich wiederholt sich am Markt der mobilen Endgeräte vieles, was sich vor etwas mehr als einer Dekade am traditionellen PC-Markt tat: Aus den vielen unverwalteten und unkontrollierten PCs im Unternehmen wurden Managed Clients. Es folgte die Phase der Virtualisierung von Servern, PCs und Desktops – und auch dies wird sich höchstwahrscheinlich auf den mobilen Kleingeräten wiederfinden. Denn der Hypervisor für Smart Devices erlaubt die komplette Teilung des privat und geschäftlich genutzten Bereichs auf einer einzigen Maschine. Wird beispielsweise ein Android-System mit zwei Images ausgestattet, so kann der Benutzer, je nach Kontext, zwischen diesen beiden Images wechseln und keine der Einstellung hat unerwünschte Auswirkungen auf den jeweils anderen Nutzungsbereich.

Die Virtualisierung findet hierbei nicht, wie bei den großen Techniken, direkt auf der Hardware statt, es wird primär eine Typ-II Virtualisierung, wie bei Virtual Box oder VMware Workstation umgesetzt werden können. Die Leistungsdaten der Smart Devices erlauben zunehmen den Betrieb von virtuellen Maschinen auf einem Gerät. Eine andere technologische Variante die sich anbietet, ist das Sandboxing von Firmen-Applikationen auf dem Smart Device.

Mobile Computer sind bereits in den Unternehmen angekommen und die IT wird sich mit dem Thema näher befassen müssen, nicht erst wenn Windows 8 auch auf ARM-Prozessoren läuft und iPad-ähnliche Tabletts fest mit Windows betrieben werden. Eine Silo-Betrachtung von Client-Management, Desktop Virtualisierung und Mobile Devices ist weder zielführend noch zeitgemäß. Eine ganzheitliche Betrachtung aller Arbeitsplätze ist indes empfehlenswert.

Keine Kommentare:

Kommentar posten