Unified-Endpoint-Management (UEM)
EMM und CLM haben geheiratet
Selbst wenn das Client-Lifecycle-Management (CLM) und das Enterprise-Mobility-Management (EMM) historisch gesehen zwei verschiedene Produktgattungen sind: Ihr Zusammenfluss in einer übergreifenden Endgeräteverwaltung, Unified-Endpoint-Management (UEM) genannt, ist längst in vollem Gange. Neuen Schwung erhält diese Entwicklung durch den Umstand, dass Microsoft mit Windows 10 die Verwaltung traditioneller und mobiler Clients per MDM-APIs (Mobile-Device-Management-Schnittstellen) zusammenführt."Das Enterprise-Mobility-Management (EMM) ist immer noch ein separater Markt, aber Organisationen suchen verstärkt nach einem einzigen Anbieter und einer einzigen Management-Plattform für den Support ihrer PCs, Macs und Mobilgeräte", so das Analystenhaus Gartner in seinem "Magic Quadrant for Client Management Tools" vom Juni 2015. [1] Entsprechend nennt Gartner als Kerngebiete der Entwicklung, auf die sich sich CMT-Anbieter (Client-Management-Tool) konzentrieren: Self-Service, Patch-Management, Security und Compliance sowie Unified-Endpoint-Management. Denn die Unternehmen kämpften schließlich heute mit einer wachsenden Zahl von Smartphones, Tablets und BYOD-Gerätschaft (Bring Your Own Device). "Obwohl CMTs allmählich Basisfunktionalität bieten, um [mobile] Geräte zu verwalten, nutzen die meisten Organisationen weiterhin separate EMM-Produkte, oft von anderen Anbietern", so Gartner. Allerdings beobachte man die Anfänge einer zweiten Welle von UEM-Tools, die das Management traditioneller und mobiler Endgeräte zusammenführen - wenngleich für deren Verwaltung jeweils unterschiedliche Prozesse Anwendung fänden. Deshalb sollten Unternehmen genau beobachten, welche Strategien ihre CMT-Anbieter im Hinblick auf eine weiterreichende Konvergenz dieser Ansätze verfolgen. Vereinheitlichung dauert Die Idee, das Management von Desktops und Notebooks mit dem von smarten Mobilgeräten zusammenzuführen, ist so neu jedoch nicht: Die führenden CMT-Anbieter (ein Markt, der sich damals noch Client-Lifecycle-Management oder kurz CLM nannte) haben schon seit Jahren die Erweiterung ihres Portfolios um die Verwaltung von Mobilgeräten auf dem Radar. So ergänzte zum Beispiel Landesk bereits 2011 seine CLM-Lösung um ein Werkzeug für das Mobility-Management, und auch der deutsche Anbieter Matrix42 plädierte im gleichen Jahr für integriertes PC- und Mobile-Device-Management (MDM). Dass UEM nicht schon längst Alltag ist, dürfte dem sehr dynamischen Smart-Gadget-Markt geschuldet sein: Dort hat man vorrangig den Privatanwender ("Consumer") im Blick und legt deshalb bei den - mehr oder weniger nützlichen - Innovationen eine für den Enterprise-Markt ungewöhnlich hohe Schlagzahl vor. Zudem haben eben diese Wurzeln im Consumer-Markt dafür gesorgt, dass die MDM-Prozesse ganz anders ablaufen, als die IT dies vom klassischen CLM her kennt: Individualität und Self-Service sind gefragt, der Endanwender hat stets das letzte Wort. Beim UEM geht es deshalb heute nicht nur darum, Tools in einem gemeinsamen Interface zusammenzuführen - dies wäre ein Leichtes; vielmehr muss die IT die zentralistische Software- und Patch-Verteilung der PC-Welt mit den kontinuierlichen, Self-Service-getriebenen Softwarebezugs- und -aktualisierungsprozessen der Smart Devices unter einen Hut bringen. Dies wird dadurch erschwert, dass die schöne neue Welt der smarten bunten Dinge viel heterogener ist als das einst klar Windows-dominierte Unternehmensnetz: Apple setzt bekanntlich mit Vehemenz durch, dass alles im Imperium der angebissenen Äpfel haargenau so abläuft, wie man das in Cupertino wünscht. Google wiederum hat sich durch die Offenheit seiner Plattform einen wild wuchernden Dschungel von Android-Versionen eingehandelt, von den diversen Hersteller- und Carrier-Varianten bis hin zum sicherheitsorientierten Cyanogenmod. Microsoft wiederum hat lange mit Windows Mobile und Windows Phone herumexperimentiert, bevor man endlich wieder Anschluss an das Marktgeschehen fand: mit dem bei Redaktionsschluss nach wie vor nur als Technical Preview (Insider Preview Build 10586.71) vorliegenden Windows 10 Mobile. Dieses soll aber laut Gerüchten mit Erscheinen dieser LANline-Ausgabe bereits auf dem Markt sein. Bislang hat Microsoft jedenfalls den Zusammenfluss von CLM und EMM kaum gefördert: Die Redmonder bieten grundlegende MDM-Funktionen in Office 365 (siehe Testbericht auf Seite 16) und EMM mit der SaaS-Lösung Intune, ein umfassendes System-Management erfordert aber weiterhin System Center. Auftritt Windows 10 Einen großen Schritt in Richtung UEM hat Microsoft jedoch mit der aktuellen Desktop-OS-Variante Windows 10 getan - einen dringend nötigen Schritt, ist doch mit dem Aufkommen sogenannter "Convertibles" (Notebooks, die man auch als Tablet nutzen kann) die Grenze zwischen "smarten" Mobilgeräten und PCs/Notebooks endgültig abhanden gekommen. Windows 10 bietet über einen Mobility-Layer ganz neue Optionen für die Aufnahme von Endgeräten ins Unternehmensnetz (Onboarding) sowie für Softwareverteilung, Updates und Upgrades (LANline berichtete, siehe Link). Zu diesem Zweck lässt sich Windows 10 über MDM-APIs verwalten. So kann eine MDM- oder EMM-Lösung Windows-10-PCs und - wesentlich sinnvoller - Windows-10-Notebooks genauso ansprechen wie Apple- oder Android-Devices: Per EMM kann der Administrator WLAN, VPN-Zugänge, E-Mail-Accounts und Passwortrichtlinien kontrollieren oder Apps auf die Endgeräte verteilen. Die Funktion Device Guard soll dabei sicherstellen, dass nur vertrauenswürdige Apps auf dem Endgerät laufen. Nützlich: Aus EMM-Perspektive ist es - anders als für das klassische CLM - der Normalfall, dass sich die Endgeräte nicht im Unternehmensnetz befinden; deshalb erfolgen Softwareverteilung und Updates ebenso wie die Durchsetzung von Richtlinien "over the Air" und somit standortunabhängig und in Echtzeit. Microsofts Enterprise Data Protection - also eingebautes DLP (Data Leakage Prevention) - soll hierbei dafür sorgen, dass die Unternehmensdaten geschützt bleiben, selbst wenn ein Endgerät beruflich wie auch privat genutzt wird. Der MDM-basierte Verwaltungansatz ist allerdings nur eine Option von mehreren: Windows-10-Geräte eignen sich nach wie vor für die herkömmliche agentenbasierte Client-Verwaltung - und natürlich weiterhin für die Rechteverwaltung mittels Active Directory. IT-Organisationen können damit beide Management-Ansätze parallel fahren, und sie dürften voraussichtlich auch beide nutzen - je nachdem, wo welcher Ansatz sinnvoller ist. Da Microsoft sein OS künftig deutlich häufiger aktualisieren will (Stichwort: Windows as a Service), dürfte die MDM-Methode für die zentrale Verwaltung von Notebooks und Convertibles interessant sein, sofern diese nicht hauptsächlich im Campus-(W)LAN des Unternehmens betrieben werden. Auch beruflich genutzte Privatgeräte (BYOD) sind naheliegende Kandidaten für eine Verwaltung per MDM/EMM, insbesondere wegen der Abschottung von Unternehmensdaten und der Möglichkeit, Zugänge und Daten bei Bedarf aus der Ferne zu löschen. Ebenfalls nützlich für BYOD-Szenarien: Per MDM kann ein Administrator die Windows-10-Edition wechseln, also zum Beispiel die Home-Edition eines Privatgeräts durch die Enterprise-Edition ersetzen - und dies wieder rückgängig machen, sobald der Mitarbeiter das Unternehmen verlässt. Die Ansprache der MDM-APIs kann dabei mittels einer EMM-Lösung wie Intune oder einer der zahlreichen EMM-Werkzeuge am Markt erfolgen, aber mittels WMI Bridge auch über agentenbasiert arbeitende CLM-Lösungen. Somit könnte künftig eine EMM-Lösung ebenso wie eine CLM-Suite ein Windows-Notebook im Falle eines Diebstahls aus der Ferne sperren und die Unternehmensdaten löschen (Remote Lock, Remote Wipe), wie man dies von Smartphones kennt. Dies wäre dann die dritte Ausbaustufe des Gartner-Szenarios: ein einheitlicher (aber kontextabhängiger) Prozess für die Verwaltung beliebiger Endgeräte mittels eines zentralen Management-Tools, ergänzt um IAM-Funktionalität (Identity- und Access-Management). [2] Markt in Bewegung Erwartungsgemäß hat Windows 10 für einige Dynamik am Client-Management-Markt gesorgt: Die bekannten Größen des (vormaligen) Client-Lifecycle-Managements - abgesehen von Microsoft selbst also Anbieter wie Baramundi, CA, Dell, Heat, IBM, Landesk, Matrix42, Novell oder Symantec - reklamieren gerne eine "einheitliche" Client-Verwaltung für sich. Dabei arbeiten sie mal mehr, mal weniger eifrig an der "Phase 3" des UEM. CAs umfassende Lösung mit dem generischen Namen Unified Endpoint Management glänzt durch sehr breite Plattformunterstützung: von IOS und Android (inklusive Samsung Knox und Safe) über Blackberry-Geräte bis hin zu Windows-Servern und -Clients (ab XP) sowie Mac OS X und diversen Linux- und Unix-Varianten. Ergänzend gibt es von CA auch noch Werkzeuge für das Mobile-Application-, Mobile-Content- und Mobile-E-Mail-Management (MAM, MCM, MEM). Suite für CLM und MDM Die aktuelle Landesk Management Suite 2016 bietet laut Hersteller nun ebenfalls eine ganzheitliche Endgeräteverwaltung und damit neben CLM- auch umfassende MDM-Funktionen. Ein Unternehmen könne damit Geräte, Pakete und Workflows für PCs, Macs, Linux, Chromebooks und neuerdings eben auch für IOS- und Android-Geräte über eine zentrale Benutzeroberfläche und einen zentralen Server verwalten. Auch könne man Management-Workflows so optimieren, dass für jede Plattform automatisch die entsprechende Software bereitsteht. Dabei stellten die UEM-Funktionen sicher, dass jedes Gerät die passenden Änderungen und Apps erhält. Für Unternehmen mit stärkerem Sicherheitsfokus offeriert Landesk seine Mobile Security Suite als Add-on zur UEM-Plattform. Der Frankfurter Anbieter Matrix42 wiederum betont, CLM und EMM nach der Akquisition des australischen EMM-Spezialisten Silverback in einer gemeinsamen Verwaltungsoberfläche zusammengeführt zu haben. Dies erlaube nach Abschluss der Geräterregistrierung (optional per Self-Service) die automatische und plattformspezifische Durchführung von CLM- und EMM-Aufgaben sowie eine individuelle Verwaltung von hybriden stationären und mobilen Endgeräten. Zu den Besonderheiten der Matrix42-Lösung zählen das Management geschäftlicher und privater Identitäten sowie eine Lizenzierung pro Benutzer, also unabhängig von der Art und Zahl der verwendeten Endgeräte, was die Software BYOD-freundlich macht. Auch beim Augsburger Softwarehaus Baramundi, ursprünglich ebenfalls ein reiner CLM-Anbieter, hat man die Zeichen der Zeit erkannt und der Baramundi Management Suite (BMS) längst ein in Eigenentwicklung erstelltes Modul für das Mobility-Management eingegliedert. Mit der BMS 2015 R2, so Baramundi, biete man eine erweiterte Unterstützung von IOS 9, die Verteilung von Client-Zertifikaten für Android und Kompatibilität zu Windows 10 Mobile (genauer: bislang dessen Beta-Build). Des Weiteren gibt es mit Management Center nun eine App für den Client-Administrator. UEM per Toolset UEM auf die Fahnen geschrieben hat man sich auch bei Dell. Das Client-Management-Portfolio umfasst allerdings nach wie vor mehrere Lösungen: die CLM-Appliance Kace, die es auch als SaaS-Lösung gibt, zudem die auf höhere Sicherheit abzielende Desktop Authority Management Suite sowie Dell Mobile Management für die EMM-Belange inklusive MAM, Self-Service-Portal und Echtzeit-Reporting. IBM setzt für die Endgeräteverwaltung auf seine Lösung Bigfix. Als ursprünglich reines Patch-Management-Werkzeug legt das Tool einen entsprechend starken Fokus auf die Endgerätesicherheit und somit auf Aspekte wie Patching, Endpoint Monitoring und Incident Response - für klassische Windows-Clients. Auch EMM kann man von IBM beziehen, und zwar in Form der SaaS-Lösung Fiberlink Maas360, die auch MDM für Windows-10- und Mac-OS-X-Geräte unterstützt. Bigfix und Maas360 sind allerdings separate Produkte. Ähnlich sieht es bei Heat Software aus: Das "Unified Endpoint Management" des Anbieters besteht aus den beiden Lösungen namens Client Management und Enter-prise Mobility Management, die jeweils die CLM- und EMM-Aufgaben übernehmen. Zum Funktionsumfang zählen auch Patch- und Software-Asset-Management. An durch EMM unterstützten Plattformen nennt die Heat-Website IOS, Android und Windows Phone. Bei Novell, mit Zenworks ein weiterer vertrauter Player im CLM-Markt, sind die UEM-Bausteine CLM und EMM ebenfalls noch separate Bereiche, doch hat auch Novell sich klar zu einer UEM-Roadmap bekannt. Diese soll neben den heute üblichen Enterprise-Clients laut dem Novell-Blog auch die künftigen Endpunkte im Internet of Things berücksichtigen. Erweiterter Einzugsbereich Auf der EMM-Anbieterseite freut man sich ebenfalls über die Entwicklung, steigt doch nun die Zahl der Geräte dramatisch, die man potenziell mit der eigenen Software verwalten kann. So zeigte sich VMware auf der letzten VMworld ganz begeistert vom langjährigen Widersacher Microsoft, hatte man doch mit Airwatch rechtzeitig eine der führenden EMM-Lösungen akquiriert (siehe Link). Mit Workspace One hat VMware jüngst eine UEM-Plattform vorgestellt, die die Verwaltung der Geräte, Applikationen und Identitäten zusammenführt und somit UEM mit IAM verbindet. Sie bietet laut VMware Self-Service-Zugriff mit "One-Touch Single Sign-on": Nach der Authentifizierung erhalte ein Mitarbeiter sofort Zugriff auf einen personalisierten Enterprise App Store. Die Plattform umfasse APIs für IOS, Android und Windows 10, zudem sichere Office-Applikationen, Integrationen mit Web-Apps sowie Funktionen für Datensicherheit, Endgeräte-Compliance und MAM. Sie soll im März auf den Markt kommen. Wettbewerber Citrix - mit Xendesktop Vorreiter zentraler Windows-Desktop-Bereitstellung, zugleich mit Xenmobile ebenfalls ein Top-EMM-Anbieter - hat jüngst mit Xenmobile 10.3 ein MDM für Windows und Mac OS X vorgestellt. Damit, so Citrix, biete man nun über eine einheitliche Active-Directory-basierte Plattform ein zentrales "Unified-Workspace-Management" von PCs und Macs bis hin zu Apple IOS und Android einschließlich Android for Work und Samsung Knox. Per Citrix Receiver lassen sich zudem praktisch beliebige Clients in die Virtual-Workspace-Umgebung mit einbinden.
Der Autor auf LANline.de: wgreiner
Lesen Sie mehr zum Thema
