Um der wachsenden Endgeräte-Vielfalt Herr zu werden, müssen Administratoren noch immer in zwei verschiedene Werkzeugkästen greifen: CLM-Lösungen (Client-Lifecycle-Management) für die stationären Windows-Rechner, MDM- oder EMM-Tools (Mobile-Device-Management, Enterprise-Mobility-Management) für die Mobilgeräte. Effizient ist das nicht – doch ein neues Konzept verspricht Abhilfe: Unified-Endpoint-Management, kurz UEM.

Das Interesse an Microsofts neuem Betriebssystem ist groß, jeder zweite IT-Entscheider im deutschsprachigen Raum plant laut einer Standbesucher-Umfrage von Matrix42 auf der CeBIT 2016 die Einführung von Windows 10. Auf IT-Administratoren kommen damit neue Herausforderungen in Sachen Endpoint-Management zu. Denn Windows 10 ist anders als alle Vorgänger: Das Betriebssystem unterstützt stationäre Windows-Rechner gleichermaßen wie mobile Endgeräte, und die neuen „Universal Apps“ laufen unterschiedslos auf beiden Gerätearten.

Praktisch für den Endanwender, schwieriger jedoch für den Administrator: Zwar werden die meisten der neuen Windows-10-Maschinen als klassische Clients genutzt; aber die Zahl derjenigen, die beispielsweise ihr neues Microsoft Surface Pro mal als Laptop, mal als Tablet verwenden, steigt kontinuierlich. Der Systemverwalter hat damit die Qual der Wahl, welches Tool-Set das richtige ist – das für CLM oder das für EMM?

Mit einer UEM-Lösung erhält der Systemverantwortliche den Überblick über mobile wie auch über stationäre Endgeräte.

Mit einer UEM-Lösung erhält der Systemverantwortliche den Überblick über mobile wie auch über stationäre Endgeräte.

Das aktuelle Beispiel führt mitten hinein ins Endpoint-Management-Dilemma. In Sachen Gerätenutzung gibt es ein Zwei-Klassen-System: herkömmliche Clients auf der einen Seite, mobile Vielfalt auf der anderen. Beide erfordern bislang verschiedene Management-Ansätze, die sich stark voneinander unterscheiden. Klassisches CLM bietet automatisierte Change- und Release-Prozesse, die im Hintergrund ablaufen und auf die effiziente Verwaltung und Sicherung großer, gleichförmiger Gerätebestände ausgerichtet sind. MDM und EMM hingegen sind primär für mobile Anwender und Geräte genutzt und setzten auf benutzerfreundlichen Self-Service, wie man es von den Consumer App Stores kennt. Die Arbeit mit diesen sehr unterschiedlichen Management-Lösungen und -Prinzipien erforderte jeweils unterschiedliche Routinen und Fähigkeiten.

Zwei-Klassen-Management ist umständlich

Diese Art der doppelten Geräteführung ist auf Dauer umständlich und ineffizient. Warum sollte man Vorgänge, die im Prinzip identisch sind, auf zwei völlig verschiedene Weisen handhaben? Nicht nur muss ein Unternehmen dazu alles doppelt vorhalten, also vor allem Wissen, Konfigurationen und Mitarbeiterzeit. Auch die neue Generation an Convertibles (Hybridgeräten) lässt sich damit nur noch unzureichend managen. Grundsätzlich kann man zwar ein Microsoft Surface Pro wie gewohnt per CLM verwalten. Bestimmte Funktionen wie die Konfiguration des Exchange Accounts, WLANs oder VPN erreicht der Administrator aber einfacher über die Mobility-Werkzeugkiste, also mittels eines MDM-Tools.

Ausweg aus der doppelten Geräteführung

Einen sehr viel effizienteren Weg aus dem Dilemma verspricht der neue Ansatz Unified-Endpoint-Management (UEM). Dabei handelt es sich idealerweise um eine konvergente Lösung, die das Beste beider Welten vereint: zum einen die Einfachheit und Schlankheit einer EMM-Software, zum anderen aber auch je nach Konfigurationsaufgabe des Arbeitsplatzes den Tiefgang einer agentenbasierten Client-Management-Lösung. Denn um hybride Gerätetypen vollumfänglich im Unternehmenskontext zu verwalten, sind sowohl EMM- als auch CLM-Funktionen erforderlich.

Die EMM-typische Funktion „Remote Wipe“ (Fernlöschung von Daten) funktioniert dank UEM für IOS- und Android-Geräte wie auch für Windows-Notebooks.  Bild: Matrix42

Die EMM-typische Funktion „Remote Wipe“ (Fernlöschung von Daten) funktioniert dank UEM für IOS- und Android-Geräte wie auch für Windows-Notebooks.
Bild: Matrix42

UEM ist dabei aber nicht einfach nur die Summe aus CLM und EMM, sondern markiert eine grundlegend neue Herangehensweise, bei der sich der Fokus vom Gerät auf den Nutzer verlagert. Denn welche Management-Technik zum Einsatz kommt, entscheidet nicht mehr das zu verwaltende Endgerät, sondern die Aufgabe, die der Administrator auf dem Gerät erledigen will. Das ist neu, denn bislang standen bei allen Lösungen – sei es CLM, MDM oder EMM – immer die Geräte im Mittelpunkt: Sämtliche Prozesse hatten ihren Ausgangspunkt an einem Device. In der Mobile- und Cloud-Ära verwenden Anwender aber immer häufiger einen Mehrgeräte-Arbeitsplatz. Deshalb muss auch das Management digitaler Arbeitsplätze geräteunabhängig und anwenderzentriert werden.

Hier erlaubt eine UEM-Lösung, alle Management-Prozesse für jedes Gerät über eine einzige Konsole zu verwalten – was eine enorme Arbeitserleichterung darstellt. Der Administrator hat jetzt nicht allein eine einheitliche Verwaltungsoberfläche; in der Lösung sind auch schon Automatismen hinterlegt, die ihm viele technische Entscheidungen abnehmen – und damit auch die Notwendigkeit, jede Gerätespezifikation im Detail zu kennen. Der gesamte Management-Zyklus der Geräte – unabhängig davon ob mobil oder traditionell, ob Windows, IOS oder Android-Welt – lässt sich dadurch wesentlich effizienter gestalten.

Unter diesen Voraussetzungen stellt auch Windows 10 keine besondere Herausforderung mehr dar. Denn es ist nun irrelevant, ob „nur“ Apps über den Microsoft Store installiert oder eigene Unternehmensanwendungen mit komplexen Windows-Registry-Operationen auf dem Endgerät automatisiert werden sollen. Ein cleveres UEM-System verwendet dynamisch entweder die vom Betriebssystem bereitgestellten MDM-APIs oder installiert einen Management-Agenten auf dem Endgerät, um die notwendigen Konfigurationsaufgaben zu erledigen.

Eine ausgereifte UEM-Lösung vereint somit in sich die besten Tugenden aus der MDM/EMM- und der CLM-Welt. Praktische Eigenschaften wie zum Beispiel das Enrollment oder Onboarding per Self-Service kann die IT damit auch auf Notebooks und Desktops ausweiten. In der Zwei-Klassen-Gerätewelt war dies den mobilen Geräten vorbehalten. Auch das App-Store-Prinzip für den einfachen Bezug von Programmen ist im Rahmen einer UEM-Lösung ebenso für die festangebundenen Geräte möglich.

Anschluss an das Asset-Management

Auch das klassische CLM bringt unverzichtbare Eigenschaften in das neue Konzept ein. Massen-Roll-outs wie Patch-Verteilung oder Software-Updates für Betriebssysteme, Office-Programme oder andere Anwendungen lassen sich schlecht über die vorhandenen MDM-APIs abwickeln. Für derlei Aufgaben sind die klassischen CLM-Prozesse und gegebenenfalls eine Softwarepaketierung besser geeignet – Eigenschaften, die es in der MDM-Welt so nicht gibt.

Geräte-Management einheitlich und umfassend verstanden bedeutet auch eine nahtlose Integration in die Bereiche Asset- und Lizenz-Management sowie in den Service-Desk. Von diesem ganzheitlichen Blick auf die Geräte profitiert die Produktivität in vielerlei Hinsicht. Man stelle sich einen mobilen Mitarbeiter vor, dem im Ausland sein Notebook gestohlen wird. Um Datensicherheit und Mitarbeiterproduktivität wiederherzustellen, sind verschiedene Aktionen nötig, die bislang Zugriff auf unterschiedliche Management-Layer erforderten: Remote Lock/Remote Wipe (klassisch via MDM), die Ermittlung der Mobilfunkkonditionen (klassisch via Asset-Datenbank) oder der persönlichen Geräteausstattung (klassisch per CLM). Sind alle Informationen und Prozesse in einer Konsole zusammengeführt, kann der Service-Desk einen Mitarbeiter schneller wieder voll einsatzfähig machen. Beispielsweise könnte dieser sich selbst ein neues Notebook vor Ort kaufen und dann per sicherem Remote-Zugriff seinen persönlichen Arbeitsplatz wiederherstellen.

Angesichts dieser umfassenden Sicht auf die Arbeitsplatzausstattung im Rahmen von UEM scheint es auch zweifelhaft, ob die Lizenzierung der am Markt erhältlichen EMM- und CLM-Lösungen pro Gerät noch plausibel ist. Mit zunehmender Integration wird der eigentliche Bezugspunkt der Lösung mehr und mehr der Nutzer selbst statt des Endgeräts. Einfacher und logischer scheint daher ein nutzerbasiertes Lizenzmodell: Eine Lizenz pro Benutzer deckt eine unbegrenzte Anzahl Geräte ab. Mit einem Angebot wie diesem ist ein Unternehmen für den Multi-Geräte-Arbeitsplatz bestens vorbereitet und auch bezüglich der Kosten auf der sicheren Seite, sollte die Endgerätevielfalt bei den Anwendern weiter zunehmen.

Zeichen stehen auf UEM

UEM überbrückt also die Kluft zwischen traditionellem PC und Mobilgerät, ohne dass der Administrator auf wichtige Funktionen verzichten muss. Der wesentliche Unterschied zu früher ist jedoch, dass er sämtliche Management-Prozesse viel einfacher und intuitiver von einer einzigen Konsole aus steuern kann. Er muss die speziellen Ausprägungen der unterschiedlichen Gerätetypen und Betriebssysteme nicht mehr kennen. Dies reduziert die Komplexität beträchtlich, was angesichts der wachsenden Geräte- und App-Vielfalt dringend notwendig ist.

Oliver Bendig ist CTP bei Matrix42 ().