Smartphones ins Active Directory integrieren
Arbeiten wie am Windows-Desktop
Immer mehr Unternehmensmitarbeiter nutzen ihre Business-Applikationen auch auf dem Smartphone oder Tablet-PC. Präsentation, Handhabung und Nutzungsmöglichkeiten sind auf diesen Geräten allerdings architekturbedingt anders und eingeschränkt. Lösungsansätze wie VPN-Zugriff oder Terminal-Services beheben die grundsätzlichen Probleme allein noch nicht. Eine Integration der Mobilgeräte in das Active Directory des Unternehmens kann auch unterwegs Zugriffe wie vom Windows-Desktop ermöglichen.Mobile Endgeräte wie Smartphones und Tablet-PCs unterscheiden sich schon in technischer Hinsicht deutlich von Desktop-Rechnern und Notebooks. Was allerdings im Vergleich der Gerätewelten noch viel wichtiger ist: Die Benutzer gehen mit diesen neuen Endgeräten vollständig anders um als mit den traditionellen Arbeitsgeräten. Während bei klassischen Rechnern die intensive Bearbeitung von Dokumenten im Vordergrund steht, sind Tablet-PCs und Smartphones auf das schnelle Arbeiten unterwegs ausgerichtet. Komplexität und Arbeitsintensität stehen auf der einen Seite, Einfachheit und ständige Verfügbarkeit auf der anderen. Für Unternehmen, die ihren Mitarbeitern Business-Applikationen auf solchen Endgeraten zur Verfügung stellen wollen, besitzt diese einfache Erkenntnis durchaus Relevanz: Wenn es etwa um die Integration der Mobilgeräte in das Microsoft Active Directory geht, dann sollte diese so erfolgen, dass der mobile Mitarbeiter sie am Ende auch sinnvoll nutzen kann.
Weshalb aber ist die Integration der Mobilgeräte in das Active Directory des Unternehmens überhaupt sinnvoll? Ein Beispiel ergibt sich aus der Standardanwendung E?Mail, die eigentlich auf jedem Smartphone zum Einsatz kommt. Jeder weiß aus Erfahrung, dass es eine ganze Reihe von Posteingängen gibt, die er unterwegs anders beantworten muss als im Büro - einfach weil bestimmte Dokumente und Inhalte nicht zur Verfügung stehen. Auch der E?Mail-Empfang gestaltet sich mobil schwieriger: Anstatt einen Anhang einfach direkt abzulegen, muss der Benutzer die Existenz eines anhängenden Dokuments entweder vormerken oder die E?Mail weiterleiten. Ein weiteres Beispiel: Ein Anwender sitzt mit seinem Blackberry-Smartphone im Besprechungsraum und erhält per E?Mail einen wichtigen Bericht, den er für die Sitzung benötigt. Um diesen für alle Teilnehmer auszudrucken, muss er erst zu seinem eigenen Arbeitsplatzrechner gehen und von dort aus seinen Druckjob starten. In diesen Fällen kann eine richtige Active-Directory-Integration, die Zugriff auf alle Ressourcen bietet wie vom Desktop aus, weiterhelfen. Ohne eine Integration führt die Nutzung mobiler Geräte schnell zu Medienbrüchen, erhöhtem Aufwand im Backoffice und letztendlich zu doppelter Arbeit.
Fast alle Smartphones und Tablet-PCs verfügen über die Möglichkeit, ein VPN zu nutzen. So lassen sich diese Geräte sicher mit dem Unternehmensnetzwerk verbinden. Doch was nützt dies dem Anwender am Mobilgerät? Eigentlich nicht viel, es sei denn die gesuchten Inhalte befinden sich auf einer Intranet-Seite - wie zum Beispiel Microsoft Sharepoint. Ein direktes Mappen von Laufwerken ist aber bei den mobilen Endgeräten nicht vorgesehen. Netzwerkdrucker wiederum sind über einen VPN-Tunnel zwar grundsätzlich erreichbar, aber in Ermangelung eines Drucksystems kann der Mobilanwender diesen allenfalls einen Ping senden.
Vom Web-Browser abgesehen, fehlt auf den mobilen Geräten die vollständige Infrastruktur, um von einem Netzzugriff sinnvoll zu profitieren. Und selbst wenn der Anwender Dokumente von einer Web-Seite downloaden will, fehlt teilweise - wie etwa bei Apples IOS - ein entsprechendes Dateisystem, um diese nach dem Herunterladen abzuspeichern.
Terminal-Services
Daher liegt die Idee nahe, einfach eine Terminal Session vom Mobilgerät aus aufzubauen. Dafür stehen diverse kostenpflichtige wie auch kostenlose Clients für nahezu alle Protokolle (VNC, RDP, PC-over-IP oder ICA HDX) zur Verfügung. Theoretisch lassen sich damit alle Funktionen eines klassischen Desktops abdecken. In der Praxis gehen dabei jedoch leider alle Vorteile verloren, die der Anwender eigentlich durch den Einsatz von Tablet-PCs und Smartphones nutzen wollte. Die Benutzerberfläche der Terminal Session ist Tastatur- und Maus-orientiert und nicht für die Touchscreen-Bedienung eines Smartphones geeignet. Außerdem besteht keine Integration in lokale Apps des Smartphones oder in die E?Mail-Anwendung. Vor allem setzt die Nutzung unterwegs eine recht stabile Internet-Anbindung voraus. Dies schränkt die Einsetzbarkeit stark ein. Allein die Vorstellung, während einer Zugfahrt eine Präsentation mit Smartphone oder Tablet-PC noch leicht modifizieren und sie dann beim Kunden vor Ort in einem Raum mit unbekannter Netzabdeckung präsentieren zu müssen, ist bei diesem Lösungsszenario wenig reizvoll.
Virtual-Desktop-Prozesse
Einen anderen Ansatz verfolgt zum Beispiel Cortado mit den Virtual-Desktop-Prozessen. Die Idee besteht darin, dem mobilen Nutzer die gleichen Rechte einzuräumen wie im Active Directory und ihm die Unternehmensressourcen in einer Form zugänglich zu machen, dass er sie bestmöglich auf einem Smartphone oder Tablet-PC nutzen kann. Dazu stellt die Lösung einzelne Clients für die Betriebssysteme Google Android, Apple IOS und Blackberry zur Verfügung. Auf der anderen Seite arbeitet entweder ein Cloud Service auf der Basis eines Online Storages oder ein zentraler "Corporate"-Server, der im Unternehmen die Integration in das Active Directory übernimmt.
Da die Mobilgeräte selbst für viele Funktionen nicht über geeignete Technik verfügen, nutzt die Lösung einfach die Server-Ressourcen. Wenn beispielsweise das mobile Gerät selbst nicht in der Lage ist, die Laufwerke zu mappen, dann kann der Mobil-Client den Server nach der Liste der Verzeichnisse beziehungsweise Dateien fragen. Für den Anwender ist das Ergebnis letztlich das gleiche wie beim Mappen. Die Kommunikation zwischen Client und Server kann dabei rein über HTTPS erfolgen, eine Tunnelung über ein VPN ist möglich, aber nicht notwendig. Der Server wiederum handelt vollständig in Vertretung des Benutzers und auch in dem jeweiligen Benutzerkontext. Das heißt, alle für den User im Active Directory definierten Rechte bleiben bestehen. Somit ist ein Durchsuchen der Netzwerkverzeichnisse und der Zugriff auf die Dateien einfach und schnell realisierbar.
Bleiben noch die Laufwerksbezeichnungen, die der Benutzer gewohnt ist und die beim klassischen Windows-Login-Prozess den Verzeichnisfreigaben im Netz zugeordnet werden. Auch diesen Prozess gibt es auf den mobilen Geräten nicht. Diese Aufgabe kann ein Tool auf dem Corporate-Server übernehmen, das die gruppenweise Zuordnung von Laufwerksbuchstaben ermöglicht. Die Dokumente lassen sich dann wie gewohnt selektieren, betrachten oder herunterladen. Für eine gute Performance beim Datenaustausch zwischen Client und Server sorgen Kompressionsverfahren.
Integration in Smartphone-Apps
Ein weiterer wichtiger Punkt bei diesem Lösungsansatz: Der Client auf dem Mobilgerät agiert quasi als Dokumenten-Hub, das heißt, er ist von jeder lokalen App aus aufrufbar und kann auch selbst jede lokale App aufrufen. So lässt sich beispielsweise ein E?Mail-Anhang direkt im Active Directory ablegen, oder ein Dokument aus dem Active Directory direkt in Quick Office auf dem Android-Gerät beziehungsweise in Keynote auf dem Ipad bearbeiten.
Eine weitere Funktion bietet der virtuelle Desktop-Prozess "Drucken" - denn auch über ein Drucksystem verfügen die Mobilgeräte in der Regel nicht. Hier ermöglicht ein solcher Lösungsansatz zwei Verfahren: erstens die Ausgabe auf Druckern, die über die lokalen Geräteschnittstellen wie Bluetooth oder WLAN adressierbar sind und zweitens auf Netzwerkdruckern, auf denen der Anwender berechtigt ist, gemäß seiner Active-Directory-Eintragungen zu drucken. Über ein Tool kann der Administrator dem Anwender die gewünschten Netzwerkdrucker fest zuordnen. Alternativ steht es dem Mobilbenutzer frei, im Active Directory nach vorhandenen Druckern suchen. Dateikonvertierung (etwa zur Unterstützung der Formate PDF oder ZIP), Faxversand und die üblichen Datei- beziehungsweise Verzeichnis-Management-Funktionen sollten das Funktionsspektrum einer solchen Lösung abrunden.
Sicherheitsanforderungen bei lokalen Speicherungen
Der Vorteil der Nutzung lokaler Anwendungen auf dem Mobilgerät ist - wie auch bei Notebooks - mit dem erhöhtem Risiko behaftet, dass lokal gespeicherte Daten bei Diebstahl des Geräts Unbefugten in die Hände fallen. Mit Windows 7 führte Microsoft den so genannten Bitlocker ein, der eine vollständige Verschlüsselung von Dateien auf einem Notebook ermöglicht. Doch leider kommt diese Funktion viel zu selten zum Einsatz. Apple wiederum hat mit IOS 4.0 eine vollständige Sicherheitsarchitektur veröffentlicht, von der bislang aber ebenfalls nur wenig Gebrauch gemacht wird. Lediglich die Apple-eigene E?Mail-Anwendung setzt dieses Feature ein. Somit klafft auch noch bei IOS 4.3 im Allgemeinen eine riesige Sicherheitslücke, wie das Fraunhofer Institut kürzlich feststellte. Eine seltene Ausnahme stellt beispielsweise die Lösung von Cortado dar, die Dokumente vollständig gemäß der Apple-Sicherheitsarchitektur verschlüsselt. Der Zugriff Dritter ohne den "Pass Code", der ab IOS 4.0 auch länger als früher und alphanumerisch sein darf, ist somit nicht möglich.
Blackberry wiederum bietet schon seit geraumer Zeit eine hohe Verschlüsselung auf Betriebssystemsebene. Bei Android ist ein vollständiges Dateisystem vorhanden, und es gibt die ersten Apps, die eine Verschlüsselung ermöglichen - allerdings besteht noch ein gewisser Nachholbedarf.
Lesen Sie mehr zum Thema
