Die rasante Entwicklung von Mobilgeräten und ihrer Betriebssysteme fordert von MDM-Herstellern (Mobile-Device-Management) und IT-Abteilungen einen hohen Grad an Flexibilität. Airwatch versucht sich an der Integration von Mobile-Device-, Mobile-Content- und Mobile-Application-Management. Auch IOS 6 und herstellerspezifische MDM-Erweiterungen für Android finden Berücksichtigung.In der diesjährigen Betrachtung der MDM-Anbieter hat Gartner Airwatch wie auch die ersten beiden Lösungen aus unserer Testserie, Mobileiron und Good for Enterprise, im „Leader“-Quadranten positioniert. In Deutschland vermarktet der Client-Management-Spezialist Matrix42 das ansonsten unveränderte Produkt als „Matrix42 MDM powered by Airwatch“. Der Anbieter unterstützte auch den Aufbau der Airwatch-Testumgebung in unserem Labor.
Eine kompetente Unterstützung bei der Installation empfahl sich insbesondere für Airwatch bis Version 6.0, da kein durchgängiges Setup-Programm existierte und viele manuelle Handgriffe insbesondere beim Aufsetzen der Datenbankstruktur unter Microsoft SQL Server erforderlich waren. Hier kamen deutlich die Wurzeln des Produkts aus dem beratungsintensiven Projektgeschäft an die Oberfläche. Mit der uns vorliegenden Version 6.1 SP1 hat sich das Entwicklungsteam aber offensichtlich diesem Bereich gewidmet und den Installationsablauf wesentlich vereinfacht.
Airwatch nennt Hardware-Sizing-Angaben der Lösung für bis zu 25.000 Endgeräte auf Basis von zwei Application-Servern für Device-Services, einem Server für die Administrationskonsole pro 50 Administratoren und einem getrennten Microsoft SQL Server. Der SQL Server muss mindestens in der Standardversion vorliegen, da Airwatchs Berichtswesen auf Microsofts Reporting-Services basiert. In unserem Testaufbau ließen sich problemlos alle Komponenten des MDM-Servers auf HP Proliant Servern in einer virtuellen Maschine unter VMware betreiben. Eine zweite VM kommt für das Secure E-Mail Gateway zum Einsatz. Als Exchange-Activesync-Proxy sichert und steuert das Gateway den Zugriff auf Microsoft Exchange, Lotus Domino (via Traveler) und Novell Groupwise. In diesem Test kombinierten wir es mit Exchange 2010 SP1.
Die US-Herkunft der Entwickler zeigt sich in der Installationsfreigabe der Server-Komponenten ausschließlich für englischsprachige Windows-Systeme, ansonsten stehen verschiedene Lokalisierungen der Benutzeroberflächen, darunter deutsch, zur Auswahl. Obwohl Airwatch Endgeräte unter Blackberry OS, Symbian OS 3/S60, Windows Mobile, Windows Phone (derzeit bis 7.5) und mit der aktuellen Version erstmals sogar Mac OS X 10.7+ unterstützt, fokussierten sich unsere praktischen Tests auf die beiden derzeit relevanten Plattformen IOS und Android.
 
Organisationsstruktur abbilden
Gilt es, größere Gerätemengen im Unternehmen zu verwalten, sind „Location Groups“ das primäre Ordnungselement für Verwaltungsaufgaben mit Airwatch, das typischerweise eine Organisationseinheit widerspiegelt. Auf Ebene einer Location Group lassen sich Systemeinstellungen, Geräte und deren Konfigurationsprofile, Compliance-Regeln, Benutzer und Administratoren festlegen. Location Groups lassen sich hierarchisch verschachteln und erben auf Wunsch Einstellungen übergeordneter Organisationseinheiten. Den Administratoren und Benutzern kann man fein justierbaren Rollen zuweisen, die auch komplexeren Rollenkonzepten genügen. Dieses flexible Modell erlaubt die Abbildung eigenständiger administrativer Verwaltungseinheiten innerhalb eines Unternehmens bis hin zur gemeinsamen Nutzung eines MDM-Systems durch mehrere Firmen.
So lässt sich pro Lokation auch ein Active Directory oder anderes LDAP-Verzeichnis als Quelle von Benutzerkonten definieren. Registrierte Benutzer melden sich mit Angabe einer „Group ID“ an ihrer Lokation an, um Zugriff auf ein umfangreiches Self-Service-Portal zu erhalten oder über den MDM-Agenten ein neues Gerät zu registrieren. Neue Geräte übernehmen bei der Registrierung automatisch alle Einstellungen, die der Lokation zugewiesen sind, beispielsweise automatisch zu installierende Apps. Auf IOS-Geräten muss der Anwender – wie von Apple vorgegeben – jede Push-Installation einer App zunächst einzeln bestätigen.
Wie üblich lassen sich IOS-Geräte mittels Airwatch-MDM-Agenten aus dem Itunes App Store wie auch konform zu Apples MDM-Modell agentenlos über den Safari-Browser registrieren. Der Einsatz des optionalen Airwatch-Agenten für Iphones und Ipads erlaubt neben der Übertragung von Informationen zum Standort und Datennutzung, die in Deutschland meist ungewünscht ist, vor allem eine Jailbreak-Erkennung und den Zugriff auf technische Support-Informationen sowie auf zentral gepflegte Kontaktdaten für die Hotline. Über den Agenten lassen sich auch Nachrichten via Apple Push Notification Service (APNS) empfangen, was Support-Mitarbeiter gern zum Test nutzen.
Liebe zum Detail zeigt sich in der Option, nach der MDM-Registrierung eine spezifische URL anzusteuern, um neue Benutzer mit Einstiegsinformationen aus dem Intranet zu versorgen. Wer auf firmeneigenen Geräten den Zugriff auf den App Store unterbinden will, sollte sich frühzeitig Gedanken über einen Prozess zum Update des MDM-Agenten machen, denn Airwatch bietet die App wie die meisten MDM-Anbieter nicht zur Distribution über den firmeninternen App Catalog an. Ein löbliche Ausnahme ist hier beispielsweise SAP mit seiner MDM-Lösung Afaria.
Auf der Android-Seite führt zur Geräteregistrierung kein Weg am Airwatch-Agenten aus Google Play vorbei. Mit der getesteten Version führt Airwatch einen neuen MDM-Agenten ein, der ein Service-Modul für Enterprise-Geräte von Samsung, HTC und Lenovo vom MDM-Server nachinstalliert, um herstellerspezifische MDM-Erweiterungen nutzen zu können. So lässt sich zum Beispiel ein Exchange-Konto auf einem Samsung Galaxy S3 durch die Ansteuerung von Samsungs spezifischer SAFE-API für deren E-Mail-App provisionieren. Airwatch erlaubt es, in Konfigurationsprofilen anzugeben, ob E-Mail-Konfigurationsdaten an einen (unterstützten) nativen E-Mail-Client oder Nitrodesk Touchdown, eine eigenständige PIM-App, zu richten sind. Das kostenpflichtige Touchdown ist das Mittel der Wahl für alle Android-Geräte ohne unterstützte Enterprise-Erweiterung, etwa der günstigen Nexus-Serie. Airwatch hilft damit zumindest ein wenig, die Fragmentierung des Android-Markts zu überwinden, die den Unternehmenseinsatz erschwert.
Im Vergleich zu IOS bietet der Android-Agent für Anwender ein wesentlich umfangreicheres Informationsangebot. Es sind letztlich alle Daten einsehbar, die auch an die zentrale Verwaltung übermittelt werden. Praktisch ist der Bereich „Selbstbedienung“, der die gezielte Anwendung bereitgestellter Konfigurationsprofile erlaubt. Vorsichtig sollte man dagegen das erweiterte Funktionsmenü öffnen, denn der Menüpunkt „Enterprise Wipe“ auf Daumenhöhe lässt bei Berührung ohne weitere Nachfrage alle Konfigurationsdaten aus MDM-Hand inklusive PIM-Daten wieder verschwinden. Nach versehentlicher Betätigung bleibt nur noch die Neuregistrierung des Geräts.
Angesichts der engen Zusammenarbeit mit Samsung erschließt sich nicht, warum ein Galaxy S3 in der Geräteübersicht der Verwaltungsoberfläche lapidar als Modell „samsung m0“ erscheint, obwohl ein S2 zumindest als „samsung GT-I9100“ erkannt wird. Selbst wenn die Airwatch-eigene Modellbezeichnung bekannt ist, wird ein gezieltes Filtern umfangreicher Gerätelisten nach Modell nicht unterstützt. Hier bleibt Raum für wünschenswerte Verbesserungen.
Ansonsten ist an der modern und funktionell gestalteten Web-Administrationsoberfläche nur wenig auszusetzen. In allen Listenansichten lassen sich die eingeblendeten Spalten auswählen, Zeilen auf Inhalte filtern und im CSV-Format exportieren. Die jeweilige Administrationsaufgabe entscheidet, ob sich die Sicht auf ein spezifisches Gerät oder den Benutzer und all seine Geräte richtet. Wer den Überblick über große Bestände behalten muss, weiß diese Möglichkeiten zu schätzen.
Airwatch 6.1 SP1 unterstützt bereits alle Profiloptionen, die jüngst mit IOS 6 eingeführt wurden. Im Test ließen sich beispielsweise Ipads über den Apple Configurator 1.2.1 zunächst mit einem „Supervision Profile“ versehen („Betreute Geräte“) und dann normal „Over the Air“ in die MDM-Verwaltung aufnehmen. Damit kann die IT beispielsweise erstmals die Nutzung von Imessage, Game Center und Ibookstore auf Firmengeräten unter IOS 6 blockieren. Kombiniert man die neue IOS-Restriktion App Lock mit den MDM-gesteuerten Airwatch Secure Browser, ergibt sich ein „Intranet-Tablet“, das man Besuchern bedenkenlos in die Hand geben kann.
Dem Administrator verbleibt die anspruchsvolle Aufgabe, sich mit den vielfältigen Konfigurationsmöglichkeiten der verschiedenen IOS- und Android-Versionen (inklusive der Herstellererweiterungen) vertraut zu machen und entsprechende Entscheidungen für den Unternehmenseinsatz zu treffen. Die Airwatch-Verwaltungsoberfläche gibt hier zumindest Aufschluss, welche Option unter welchen Plattformbedingungen greifen sollte.
Mit aktuellen Smartphones und Tablets im Unternehmen entsteht schnell der Bedarf, Dokumente sicher und gezielt für mobile Benutzer bereitzustellen. Mit dem optionalen Modul Secure Content Locker integriert Airwatch die Dokumentenbereitstellung unmittelbar in die MDM-Verwaltung. Über die Web-Oberfläche lassen sich Dateien wie Bilder, Videos, PDF-, Office- und Iworks-Dokumente direkt für Geräte einer Lokation heraufladen und einer Inhaltskategorie zuordnen.
 
Inhalte bereitstellen
Für jedes einzelne Dokument lässt sich unter anderem die zulässige Benutzergruppe, möglicher Download (Offline-Nutzung) bei Bedarf oder per Push sowie der Gerätebesitzstand (Firmengerät oder privat) festlegen. Für IOS-Geräte kann der Administrator zudem die Weiterleitung per E-Mail und an Drittanwendungen beschränken.
Alternativ bindet das System auch Sharepoint-Dokumentenbibliotheken und File-Server-Freigaben als Repository ein. Hier lässt sich die Nutzung aber nicht auf Dokumenten-, sondern nur auf Repository-Ebene einschränken. Über die Verwaltungsoberfläche erhält der Administrator Auskunft, von welchen Geräten ein Dokument zugänglich ist, wann es zuletzt aufgerufen wurde und ob ein Download stattfand. Es lässt sich aus der Ferne auch wieder von einem Gerät löschen. Verstößt ein Anwender gegen Compliance-Regeln oder wird ein Gerät wieder aus der Verwaltung herausgenommen, verschwinden auf Wunsch alle Inhalte zusammen mit den übrigen Firmendaten vom Gerät.
Unter IOS steht die erforderliche App Airwatch Content Locker für Iphones und Ipads über den Itunes App Store zur Verfügung. Zur Nutzung muss sich der Anwender nochmals getrennt mit Lokation, Benutzername und Kennwort anmelden. Zusammen mit der eigenen Datenverschlüsselung und Jailbreak-Erkennung bildet die App einen sicheren Container für Geschäftsdokumente. Unter Android lässt sich die App zum Testzeitpunkt nur auf ausgewählten Tablets mit zudem reduziertem Funktionsumfang über Google Play installieren. Zu den auserwählten Geräten zählt das Samsung Galaxy Tab 10.1N, nicht aber ein Nexus 7. Android-Tablets bleibt sowohl der Zugriff auf firmeninterne Repositories als auch ein App-interner Viewer verwehrt. Damit ist der Nutzwert hier noch relativ gering, da sich die Verbreitung firmeninterner Dokumente kaum kontrollieren lässt.
Die Apps Airwatch Content Locker und Airwatch Secure Browser sind Beispiele für die MAM-Möglichkeiten (Mobile-Application-Management) der Lösung. Sie nutzen das Airwatch SDK, das Anwendungsentwickler auch in eigene Enterprise Apps integrieren können. Mit dem Framework erhält der Entwickler Standardfunktionen zur Benutzerauthentifizierung, Jailbreak-Erkennung (mit Benachrichtigung der Geräteverwaltung) und Nutzungsauswertung (etwa per Secure Browser aufgerufene URLs).
Über den integrierten App Catalog, Airwatchs Enterprise App Store, stehen den Anwendern eine individuelle Auswahl an firmeninternen Apps sowie ausgewählte Apps aus Apple Itunes und Google Play zur Installation bereit. Beim App Catalog würde man sich allerdings eine bessere Integration in die Geräteverwaltung wünschen: Er unterscheidet nicht, ob eine App bereits auf dem Gerät installiert ist oder nicht, und bietet daher grundsätzlich die Installation an.
Matrix42 berechnet für 100 MDM-Benutzer unter Airwatch 4.320 Euro mit einem Jahr Wartung. Hinzu kommen 1.530 Euro für Remote Installation und Activation. Das optionale Module Secure Content Locker schlägt für 100 Benutzer mit weiteren 4.320 Euro zu Buche. Lizenzen von Windows Server und SQL Server sind entsprechend einzuplanen.
 
Fazit
Im Labortest empfiehlt sich Airwatch als Lösung nach „klassischem“ MDM-Ansatz insbesondere für Unternehmen mit Microsoft-Backend, die firmeneigene Mobilgeräte auch in einer komplexeren Organisationsstruktur verwalten müssen. In der aktuellen Version 6.1 SP1 hinterlässt Airwatch mit rundem Funktionsangebot auf der Höhe der Zeit einen sehr positiven Eindruck. Es gefallen insbesondere das flexible Verwaltungskonzept, das auch größeren, komplexen Umgebungen mit delegierter Administration gerecht wird, die vollständige Unterstützung der neuen Möglichkeiten von IOS 6 sowie die integrierten Ansätze zum Content- und Application-Management über das Airwatch-eigene SDK.
Die Entwickler geben sich redlich Mühe, auch Android-Geräte mit Unterstützung herstellerspezifischer Enterprise-Erweiterungen im Geschäftsumfeld hoffähig zu machen, doch hinken viele Möglichkeiten weiterhin der Apple-Plattform hinterher. Die Lösung eignet sich nur bedingt zum Einsatz im BYOD-Umfeld, da eine Trennung privater von geschäftlichen Daten aus Datenschutzsicht ohne Zusatzprodukte wie Touchdown und Good for Enterprise nicht konsequent realisierbar ist. Eine Einbindung von Geräten unter Windows Phone 8 ist noch für dieses Jahr angekündigt.
Info: Matrix42
Tel.: 06102 816-0
Web: www.matrix42.de
Web: www.air-watch.com
Der Autor auf LANline.de: pmeuser

Die Web Console von Airwatch 6.1 SP1 präsentiert sich modern und funktionell.

LANline.