Enterprise-Mobility-Management
Was EMM leistet
EMM (Enterprise-Mobility-Management) bündelt Funktionen aus den Bereichen Mobile-Device-Management (MDM), Mobile-Application-Management (MAM), Mobile-Content-Management (MCM) und Collaboration sowie Mobile-Identity-Management (MIM) inklusive Absicherung des Fernzugriffs auf das Unternehmensnetz per Verschlüsselung. Es folgt eine Übersicht über die wichtigsten technischen Funktionen aus den einzelnen EMM-Bereichen.
Als zentraler EMM-Baustein dient MDM der zentralen herstellerübergreifenden Verwaltung mobiler Endgeräte. Die Mobile-Device-Anbieter führen ununterbrochen neue Geräte ein, und Updates für die Mobile-Betriebssysteme erscheinen fast alle zwei Wochen. Deshalb sollte eine EMM-Lösung herstelleragnostisch sein und alle gängigen Gerätearten und Betriebssysteme vom ersten Tag an unterstützen. Für Service-Provider und große Organisationen basiert sie idealerweise auf einer mandantenfähigen Architektur.
MDM
Einige Unternehmen wollen keinen Zugriff für alle Gerätetypen und Betriebssysteme erlauben, sondern bieten Mitarbeitern stattdessen eine Liste zugelassener Geräte, die die IT-Organisation als sicher erachtet. Hier muss eine EMM-Lösung es ermöglichen, den Zugriff auf Unternehmensinhalte basierend auf Gerätetyp, Betriebssystem oder Betriebssystemversion einzuschränken und außerdem die Anzahl der Geräte, die ein einzelner Benutzer registrieren kann, zu limitieren. Dadurch können Unternehmen Grenzen setzen und ihr Netzwerk vor überbordender Gerätevielfalt schützen.
Eine agentenbasierte Registrierung für Administratoren und Endanwender erfordert eine Authentifizierung, nach der die entsprechenden Einschränkungen, Apps und Inhalte automatisch auf die Geräte gepusht werden. Es sollten sich Profile basierend auf Betriebssystem oder Geräteeigentumsform (Firmengerät, Privatgerät/BYOD) zuweisen und einer Organisationsgruppe, Benutzergruppe oder einem einzelnen Anwender zuteilen lassen. Diese beinhalten Passwörter, Einschränkungen, WLAN, VPN, E-Mail, Apps und Zertifikate. Moderne MDM-Lösungen erlauben mehrere Versionen der Nutzungsbestimmungen und verweigern den Zugriff, wenn Mitarbeiter diese beispielsweise nach Aktualisierungen nicht akzeptieren.
Administratoren können von Echtzeit-Dashboards aus eine übergeordnete, grafische Ansicht ihres Gerätebestands, Nutzerinformationen und eine umfassende Liste der angemeldeten Geräte erhalten und Details dazu einsehen. Eine smarte Funktion ist ein auf Unternehmensbedürfnisse anpassbares, zentrales Portal, das so konfigurierbar ist, dass es nur die für den jeweiligen Suchvorgang wichtigen Daten anzeigt. Mit gezielten gerätebezogenen Befehlen können Administratoren Auskünfte anfordern und größere Aktionen durchführen.
Beinhalten können solche Befehle Geräteabfragen, Passwortlöschungen, Gerätesperrung, -lokalisierung und -synchronisierung, Roaming-Einstellungen, Remote-Ansichten und das Löschen (Wipe) der Unternehmensdaten oder des gesamten Geräts. Protokollfunktionen sind sinnvoll, wenn Administratoren ergebnisorientierte Statistiken über Geräte- und Applikationsnutzung zum Beispiel für eine Kostenaufstellung brauchen. Auch die Anbindung an Drittanbieter wie der Export von Daten an BI-Lösungen (Business Intelligence) ist nützlich. Damit lassen sich Snapshots der wichtigsten Daten weitergeben oder exportieren.
MAM
Mobile-App-Management befasst sich mit den Herausforderungen von Erwerb, Verteilung, Sicherung und Kontrolle der Mobilgeräte-Apps sowie mit der Verwaltung interner, öffentlicher und gekaufter Apps auf unternehmens- und mitarbeitereigenen sowie gemeinsam genutzten Geräten von einer zentralen Konsole aus. Nahezu alle MAM-Lösungen sind inzwischen mit öffentlichen App Stores wie dem Apple App Store, Microsoft Store oder Google Play Store integriert, um den Zugriff auf öffentliche Apps im eigenen App-Katalog zu ermöglichen.
Zur besseren Kostenkontrolle sollten sich Kontrollbestimmungen aufsetzen und Apps im unternehmenseigenen App-Katalog als "erstattbar" oder "nicht erstattbar" aufführen lassen. Kooperiert der MAM-Anbieter mit Diensten wie beispielsweise Apples Volume Purchase Program (VPP), können Unternehmen Apps, Ibooks und kundenspezifische B2B-Apps in großen Mengen günstiger kaufen und Lizenzen einfacher verwalten. Für Organisationen, die eigene interne ("Custom"-) Apps erstellen, bieten MAM-Lösungen auch Software Development Kits und App Wrapping an.
Es empfiehlt sich das Anlegen von White- und Blacklists, das Sperren bösartiger Applikationen sowie Funktionen zur Benutzerauthentifizierung, Datenverschlüsselung, Datensicherung und Compliance-Anpassungen. Manche Anbieter ermöglichen außerdem Reputationsanalysen für interne und öffentliche Apps. Damit kann die IT Apps untersuchen, Risikoprofile zuordnen und automatische, Compliance-orientierte Sperren verhängen. Wenn eine App abstürzt, wird dies im Crash-Protokoll geloggt und automatisch an den App-Entwickler zur Diagnose gesendet.
MCM und Collaboration
Viele Mitarbeiter nutzen kostenlose Filesharing-Dienste, um auf sensible Unternehmensdokumente zuzugreifen, was Unternehmensdaten in Gefahr bringt. Funktionen für das Mobile-Content-Management ermöglichen hier den sicheren mobilen Zugriff auf Inhalte und sensible Daten, die üblicherweise in einem geschützten Unternehmens-Container lagern.
Endanwender werden mit AD/LDAP, Kerberos, Token- oder zertifikatsbasierten Methoden authentifiziert, bevor sie Zugriff auf einen sicheren Container erhalten. Alle Daten und Inhalte, die auf mobile Geräte gelangen, müssen sowohl im Transit als auch im Ruhezustand verschlüsselt sein (zum Beispiel mit AES 256-Bit). Zugriffskontrolllisten lassen sich verwenden, um Daten auf Unternehmens-, Organisations- und Benutzerebene zu verteilen, sodass der Nutzer nur auf für ihn relevante und aktuelle Daten Zugriff hat. Berechtigungen sollten für Austausch, Offline-Anzeige, Drittanbieter-App-Zugang, E-Mail und Drucken auf Dokumentbasis konfigurierbar sein.
DLP
Zum Schutz vor Datenverlusten (Data Loss Prevention, DLP) sollte die Software Einschränkungen und Richtlinien laufend überprüfen. Restriktionen für Offline-Anzeige, Ausschneiden, Copy und Paste, Drucken, Weiterleiten und "Öffnen in" (Open-in) können das Öffnen und Verarbeiten von Inhalten in Drittanbieter-Apps verhindern. Geofencing bietet Schutz, indem es Daten von einem Gerät entfernt, wenn dieses einen bestimmten Bereich verlässt. Für vollständiges DLP lassen sich im Container angeklickte Weblinks so lenken, dass sie nur im unternehmenseigenen oder MAM-Anbieter-Browser und E-Mail-Anhänge nur in sicheren Containern zu öffnen sind.
Auch das Mobile-E-Mail-Management (MEM) spielt im Rahmen von MCM eine Rolle, da es Sicherheit für geschäftliche E-Mail-Infrastrukturen bietet. Sensible E-Mails sollten sich verschlüsseln, Geräte- und Benutzeridentitäten zentral verwalten lassen. Man sollte darauf achten, dass die EMM-Software sowohl geräteeigene E-Mail-Clients, Enterprise-Services und Cloud-gestützte Clients unterstützt.
Identity-Management
Während sich die drei bisher erläuterten Bereiche technisch an der Verwaltung von Geräten, Applikationen und Daten orientieren, stehen beim Mobile-Identity-Management die Benutzer im Zentrum der Aufmerksamkeit. Für die IT-Abteilungen bedeutet dies neue Anforderungen bezüglich Sicherheit, Management und Vernetzung: Identity- und Device-Management müssen zusammengeführt werden. Generell haben Unternehmen die Wahl zwischen einer reinen lokalen IDM-Lösung und Identity as a Service (IDaaS) als Cloud-Lösung. Entscheidend ist sicherlich, welches Konzept ins Gesamtkonstrukt der IT und der EMM-Strategie passt, die IT sollte hier aber auf Skalierbarkeit achten.
Das Identitäts-Management ermöglicht den sicheren Zugang zu Web-, Mobile- und Windows-Anwendungen, geregelten Zugang und Compliance mit Verzeichnisdienstintegration, Identity Federation und Analyse des Benutzerverhaltens. In Verbindung mit MDM lässt sich per Smartphone eine Zwei-Faktor-Authentifizierung mit Single Sign-on für Unternehmensanwendungen realisieren. Ein weiterer wichtiger Punkt: Ist ein Workspace-Portal in das MIM-Werkzeug integriert, dann kann der Zugriff auf die Enterprise-Apps von einem beliebigen Gerät aus erfolgen.
Lesen Sie mehr zum Thema
