Mobileiron, gegründet 2009, hat sich in der jungen MDM-Branche (Mobile Device Management) bereits einen Namen gemacht: Das zweite Jahr in Folge positioniert Gartner die Kalifornier bereits als „Leader“ im „Magic Quadrant“ zu MDM. Zum Auftakt unserer Testserie musste die Lösung ihr Können beweisen. Dies zeigte Möglichkeiten und Grenzen des MDM-Ansatzes.Wer bereits Dutzende oder gar Hunderte kleiner, smarter Phones oder im Trend liegender Tablets für den Geschäftseinsatz vorbereiten durfte, weiß jede Unterstützung zu schätzen. Es gilt, eine benutzerfreundliche und denoch allen Sicherheitsanforderungen genügende Konfiguration zu entwickeln, Geräte zu registrieren und mit gewünschten, je nach Benutzergruppe divergierenden Einstellungen für den Einsatz vorzubereiten.

Auch im laufenden Betrieb will ein wachsames Auge auf den umtriebigen Geräten liegen. Sind alle Geräte auf dem aktuellen Stand und richtlinienkonform? Aus der Benutzerkontrolle geratene Geräte gilt es vor unautorisierten Fremdzugriff auf Firmeninterna zu schützen. Im Fall anstehender Konfigurationsänderungen oder eines Gerätewechsels möchte jeder Support-Tätige den zeitaufwendigen direkten Kontakt mit dem Touch-Bildschirm der Kleingeräte aber möglichst vermeiden.

Steht zudem die Entscheidung, auch private Geräte an die IT-Infrastruktur des Unternehmens anzubinden und damit dem BYOD-Trend (Bring Your Own Device) zu folgen, wird das Leben des Administrators deutlich anspruchsvoller: Er muss dafür sorgen, dass der sichere IT-Betrieb nicht gefährdet wird, kann er aber die individuellen Entfaltungsmöglichkeiten des Anwenders auf seinem eigenen Gerät schwerlich unterbinden. Im beiderseitigen Interesse liegt es, Helpdesk-Kontakte auf einem Minimum zu halten und Privatgeräte aus der Ferne für den Zugriff auf Unternehmensressourcen zuverlässig flottzumachen.

Zentrales Management

Die zentrale Verwaltung von Endgeräten unter Apple IOS, Google Android, Windows Phone, Windows Mobile, Blackberry OS (bis 7.1, nur BES for Exchange), Symbian und HP Webos übernimmt die zentrale Server-Komponente Mobileiron VSP (Virtual Smartphone Platform). Das geschlossene System, das auf Centos Linux, Mysql und Tomcat baut, lässt sich als virtuelle Maschine unter VMware ESX oder als Appliance mit Hardware von Mobileiron betreiben. Ein aktueller Server mit 16 GByte RAM soll bis zu 20.000 Endgeräte verkraften können. Informationen für die Benutzerauthentifizierung wie auch bestehende Benutzergruppen bezieht VSP aus Active Directory, Lotus Domino oder anderen LDAP-Verzeichnissen. Gilt es, Client-Zertifikate für die sichere und komfortable Authentifizierung für Exchange, VPN-on-Demand und WLAN-Zugänge insbesondere für IOS-Geräte einzusetzen, lässt sich ein SCEP-Server (Simple Certificate Enrollment Protocol) wie Microsofts NDES (Network Device Enrollment Service) einbinden. Neben der Steuerung interner Verwaltungsaufgaben stellt VSP auch Web-Oberflächen zur Administration sowie das Portal Myphoneatwork für Endanwender und den unternehmensinternen App Store Appsatwork bereit.

Die Synchronisation mobiler Endgeräte mit Lotus Domino und Microsoft Exchange kontrolliert der Exchange Activesync Proxy Sentry. Als Standalone Sentry wird jeweils eine VM oder Appliance einem Lotus Traveler oder Exchange Client Access Service vorgeschaltet. Integrated Sentry soll dagegen als Windows-Dienst laut Mobileiron auch mehrere Instanzen von Exchange Client Access schützen können. Mit den Auswirkungen unterschiedlicher Implementierungen von Exchange Activesync muss auch Mobileiron kämpfen: So harmoniert der EAS-Proxy Sentry 3.2MR1 noch nicht mit dem Client Access Service von Exchange 2010 SP1 (EAS 14.1), die Nachfolgeversion 3.3 aber nicht mehr mit Lotus Traveler. Um im Test die Anbindung beider Welten beurteilen zu können, entschieden wir uns für den Einsatz der älteren Sentry-Version und verzichteten auf die aktuelle Exchange-Version.

Als weitere Backend-Komponente kommt das von Mobileiron betriebene Application Gateway ins Spiel. Darüber laufen die gesamte Benachrichtigung von Android-Geräten über Googles Cloud to Device Messaging (C2DM), Teile der IOS-Steuerung über Apples Push Notification Service, der SMS-Versand für die Ersteinbindung der Geräte sowie die optionale Geräteortung.

Plattformfrage

Für unseren Praxistest standen gängige Geräte von Apple, Samsung und Nokia an der Startlinie. Die Verwaltungsmöglichkeiten durch Mobileiron schwanken nicht nur zwischen den mobilen Betriebssystemen, sondern sind im Fall von Android auch abhängig vom Gerätemodell. Das Management von Geräten mit Windows Phone beschränkt sich bedingt durch die fehlenden Verwaltungs-APIs seitens Microsoft auf die wenigen Möglichkeiten auf Activesync-Ebene.

Für IOS und Android bietet Mobileiron eigene Client-Apps an, die der Anwender kostenlos über Google Play oder den Apple App Store bezieht. Er benötigt für den Download ein gültiges Konto im jeweiligen App-Markt. Um das Auffinden der richtigen App zu erleichtern, versendet VSP registrierten Benutzern eine SMS mit einem Link. Dazu weist der Administrator per Web-Oberfläche zunächst LDAP-Benutzern oder -Gruppen Nutzungsrollen für VSP zu. Diese umfassen auch den Zugang zum Benutzerportal Myphoneatwork, über das der Benutzer später auch selbst sein Gerät auf einer Karte orten kann, falls dies nicht wegen Bedenken zur Privatsphäre deaktiviert ist. Nutzt der Mitarbeiter das Portal für die Selbstregistrierung seines IOS- oder Android-Geräts, entfällt für den Administrator die individuelle Erfassung einer Telefonnummer für die (optionale) SMS-Einladung. Ansonsten ist auch die Massenregistrierung von Benutzern und Geräten via CSV-Import möglich.

Für die MDM-Einbindung erfordert die Mobileiron-App die Angaben VSP-Host, Benutzer sowie Kennwort aus AD oder Domino. Damit erhält das Gerät im Gegenzug Richtlinien und Konfigurationsdaten. So kann der Administrator für IOS- und Android-Geräte die Aktivierung eines Gerätekennworts und eine Geräteverschlüsselung verlangen oder bestimmte OS-Versionen voraussetzen. Werden Voraussetzungen nicht erfüllt oder ein kompromittiertes Gerät erkannt (Jailbreak/Rooted) generiert das System auf Wunsch einen Warnhinweis und sperrt die Exchange-Synchronisation über Sentry.

Mobileirons Verwaltung von Apple-Geräten basiert vollständig auf den MDM-Mechanismen der Plattform. So verwundert es nicht, dass Restriktionsoptionen wie die Deaktivierung von In-App-Käufen, Youtube, Apple-Cloud-Backup oder Siri exakt den Funktionen des Iphone-Konfigurationsprogramms entsprechen. Apples kostenloses Tool lässt sich bei Bedarf als alternative Quelle von Konfigurationseinstellungen nutzen. Eine Besonderheit ist die Möglichkeit, das Kennwort des Benutzers aus seiner VSP-Anmeldung verschlüsselt im System zwischenspeichern zu lassen, um es für die automatische Exchange-Kontenkonfiguration bereitzustellen. Im Test funktionierte die zentral gesteuerte Konfiguration von E-Mail-, VPN- und WLAN-Zugängen ohne Benutzerinteraktion. Entzieht man einem Benutzer das Exchange-Profil, verschwinden auch alle Zugangsdaten und Firmen-E-Mails, Kalendereinträge etc. wie von Geisterhand vom Gerät. Dies ist der Verdienst von Apples Standardimplementation von Verwaltungsfunktionen in die Plattform, auf der auch alle anderen MDM-Anbieter aufsetzen. Mobileiron bedient über die Profilkonfiguration auch einige Apple-fremde VPN-Clients wie Cisco Anyconnect. Praktisch ist es, installierte Profile und Zertifikate für jedes Gerät über die Administration einzusehen zu können.

Andere Erfahrungen mussten wir mit Android machen. Mobileiron arbeitet eng mit Samsung zusammen, um ausgewählte Highend-Geräte für den Unternehmensalltag zu rüsten. So installiert sich mit dem MI Client auf unseren beiden Testgeräten (Samsung Galaxy SII mit Android 4.0.3 und Galaxy Tab 10.1N mit 3.2) automatisch der Samsung Device Management Agent, auch als SAFE (Samsung Approved For Enterprise) vermarktet. Die MDM-API soll die Samsung-Geräte um die automatische Konfiguration interner PIM-Anwendungen für Exchange inklusive selektiven Löschens (Wipe) erweitern. Genau dieses attraktive Feature funktioniert aber aufgrund einer bekannten Inkompatibilität zwischen MI Client und Samsung-API nicht. So bleibt vorerst als Alternative nur der Einsatz der MDM-fähigen PIM-Anwendung Touchdown von Nitrodesk. Aber auch diese hat ihre Herausforderungen: Erhält ein Gerät seine Konfiguration, bevor Touchdown installiert ist, führt dies zu einer unvollständigen Konfiguration des internen Mail-Clients und damit zu Helpdesk-Anfragen. VSP kann die Übertragung von Konfigurationen nicht automatisiert an die Verfügbarkeit bestimmter Apps knüpfen, sondern überlässt dies dem Administrator. Eine ähnliche Situation besteht mit dem bisher einzigen verwaltbaren VPN-Client Cisco Anyconnect für Android.

Um dennoch Apps und deren Konfiguration ansatzweise zu bewältigen, übermitteln die beiden MI Clients in konfigurierbaren Intervallen die persönlichen App-Sammlungen an eine zentral auf VSP gepflegte Inventardatenbank. Diese würde sich dafür eignen, um zunächst zu prüfen, ob Touchdown oder Anyconnect bereits vorliegt, um diese dann mit darauf aufbauenden Konfigurationsdaten zu verknüpfen. Leider haben die Entwickler dies bisher nicht genutzt: Das System zeigt zwar in einer Liste, auf welchen Endgeräten eine App installiert ist, administrative Aktionen lassen sich darauf aber nicht aufbauen. Überhaupt sind die Möglichkeiten zur Suche im Datenbestand und zur Geräteselektion nur sehr schwach ausgeprägt. So hilft selbst „Advanced Search“ nicht, bestimmte Gerätemodelle („Alle Samsung GT-I9100“) oder eine konkrete IMEI-Nummer im Bestand zu finden. Immerhin kann der Administrator die App-Inventur nutzen, um neu auftauchende Apps als „gut“ oder „böse“zu klassifizieren. Bei der Bewertung hilft im Fall Android auch die der App eingeräumten Rechte auf dem Gerät: Ein Spiel, das kostenpflichtige SMS versenden oder Kontaktdaten auslesen darf, sollte stutzig machen.

App-Wildwuchs bändigen

„Böse“ Apps auf definierbaren Gerätegruppen bilden ein mögliches Ausschlusskriterium von der Exchange-Synchronisation über Sentry. Ein administratives Fernlöschen unabhängig installierter Apps ist unter Android und IOS nicht vorgesehen. Unter IOS lassen sich „App-verschmutzte“ Geräte aber zumindest unter Quarantäne setzen, was dem Entfernen sämtlicher profilverwalteter Konfigurationen und installierter Apps aus dem internen App Store bedeuten kann. Um dem Anwender gleich unternehmenskonforme Apps näher zu bringen, bietet sich der auf VSP bereitgestellte App Store Appsatwork an, der sich leicht über die Mobileiron App auf den Endgeräten erreichen lässt. Hier kann man Verweise auf Apps im öffentlichen Store-Angebot von Apple und Google mit firmenspezifischen Nutzungshinweisen hinterlegen wie auch firmeninterne Angebote verwalten. Letztere beziehen die Endgeräte auch direkt über VSP ohne Umweg über Google oder Apple. IOS-Apps, die Benutzer über Appsatwork beziehen, werden als „Managed Apps“ in Apples MDM-Mechanismus integriert. So kann man sie im Quarantänefall oder bei der Herausnahme eines Geräts aus dem MDM automatisch vom Gerät löschen.

Fazit: je nach Plattform ein durchwachsenes Ergebnis

Mobileiron gibt dem Administrator einen Werkzeugkasten zum Bändigen des mobilen Kleintierzoos in die Hand. Insbesondere die MDM-Optionen, die Apple dem Iphone und Ipad unter IOS 5 mitgibt, deckt die Lösung vollständig ab. Die Mobileiron-Komponenten ließen sich leicht in unsere Testumgebung integrieren und Endgeräte schnell einbinden. Beeindruckend war, wie leicht insbesondere IOS-Geräte mit Richtlinien, Exchange-, WLAN- und VPN-Konfigurationen inklusive Benutzerkennwort aus dem AD zu versorgen sind. Mit Sentry erhält der Administrator einen detaillierten Kontrollansatz zu mobilen Aktivitäten.

Reicht dies für ein „sorgenfreies“ Administratorleben auch in Zeiten von BYOD? Auf Basis der durchmischten Erfahrungen mit Android-Geräten trotz deren ausdrücklicher Enterprise-Klassifizierung und der weitgehend abwesenden Verwaltungsmöglichkeiten für Windows Phone kann man derzeit allenfalls zu einem „Bring Your Own Apple Device“ raten. Hier haben zwar vor allem Google mit seinen Hardwarepartnern und Microsoft Hausaufgaben zu erledigen, doch könnte auch Mobileiron noch deutlich mehr aus dem Potenzial machen. Insbesondere die Android-Unterstützung im getesteten VSP 4.5.3 lässt sich auf Basis der unzuverlässig ausgeführten Verwaltungsfunktionen und Gerätezustandsrückmeldungen allenfalls als „experimentell“ bezeichnen.

Den Administrator könnte der MDM-Anbieter deutlich besser an die Hand nehmen: Leicht entstehen Fehler im Dschungel der Einstellungsmöglichkeiten, die einerseits trotz gleicher Auswirkung für Android und IOS an unterschiedlichen Stellen zu finden, andererseits trotz OS-spezifischer Bedeutung in einem Dialogfenster zusammengefasst sind. Eine zusammenfassende Übersicht aller Geräte und deren Exchange-Zugriff pro Benutzer sucht man vergebens. Die breite OS-Unterstützung von Mobileiron ist zwar begrüßenswert, doch haben Symbian, Windows Mobile 6.x und Webos heute oft schon keine Bedeutung mehr und belasten die Administrationsoberfläche unnötig. Unser Testaufbau liefert keine Erkenntnis darüber, wie weit sich die zentrale Komponente VSP skalieren lässt. Wer viele Endgeräte zu verwalten hat, wünscht sich aber auf jeden Fall mächtigere Such- und Berichtsfähigkeiten. Daran ändert auch das optionale Modul Atlas in der Version 1.1 mit seinen einfachen Dashboard-Ansichten nichts.

Verkauf und Support von Mobileiron erfolgt ausschließlich über autorisierte Partner. Der Listenpreis für eine Softwarelizenz beträgt 86 Dollar pro Gerät plus 20 Prozent für die jährliche Software-Assurance bei einer Mindestabnahme für 100 Geräte. Über Mobileiron-Partner kann man auch Touchdown-Lizenzen für Android-Geräte erwerben werden (für 12,99 Dollar plus 20 Prozent Maintenance pro Gerät).

Info: Mobileiron Germany, Austria, SwitzerlandTel.: 089/12503644-0Web: www.mobileiron.de

Der Autor auf LANline.de: pmeuser

VSP stellt einen eigenen unternehmensspezifischen App Store bereit.

Verstöße gegen Sicherheitsrichtlinien lassen sich im Detail anzeigen. Benutzer werden über die Mobileiron-App und per E-Mail aufgefordert, Abhilfe zu leisten.

Das Zusammenspiel der Komponenten im MDM-Testaufbau. Bild: Peter Meuser

LANline.