Mobilgeräte liegen im Trend, stationäre Computer dagegen wie Blei in den Regalen. Gefragt sind daher Unternehmenslösungen zur Verwaltung der Smartphone- und Tablet-Flotte. Die LANline-Tester haben einen Blick auf VMwares EMM-Lösung (Enterprise-Mobility-Management) Airwatch geworfen.

Die Einrichtung besteht für den Administrator aus vielen Schritten.

Die Einrichtung besteht für den Administrator aus vielen Schritten.

Wer sich näher mit dem Thema EMM beschäftigt, stolpert schnell über das Unternehmen Airwatch. Bereits beim Besuch der Website des Herstellers, der zu den Pionieren des Technikzweigs zählt, wird klar, dass Airwatch ein umfangreiches EMM-Angebot in seinem Portfolio führt.

Variantenreich

Das Flaggschiff-Produkt heißt genauso wie der Hersteller. Angeboten wird dieses in farblich unterschiedlich gekennzeichneten Management-Suiten. So umfasst die grüne Einstiegsedition lediglich grundlegende Funktionen für das Mobile-Device-Management (MDM) sowie für das Mobile-Content- und -Application-Management (MCM, MAM) – doch schon diese kleinste Airwatch-Edition wartet mit einem mächtigen Funktionsumfang auf. Die orangen, blauen und gelben Management-Suiten zielen darauf ab, mit zusätzlichen Beigaben wie E-Mail-Gateway, Web-Browser inklusive Intranet-Proxy und Funktionen zur Verwaltung von Telefoniemerkmalen wie SMS und Datennutzung zu punkten.

Erhältlich sind diese Farbvarianten in zwei Geschmacksrichtungen. Wer möchte, kann die Produkte lokal installieren und somit alles vor Ort im eigenen Rechenzentrum vorhalten. Ebenso liefert Airwatch das Ganze aus der Cloud, was eine schnelle Nutzung gegen Zahlung eines monatlichen Obolus erlaubt. Damit sind die denkbaren Spielarten noch lange nicht ausgereizt. Bei der Tarifierung etwa lässt Airwatch dem Käufer die Wahl zwischen geräte- oder benutzerbasierter Lizenzierung, wobei die letztere Variante dem Benutzer die Verwendung von bis zu drei mobilen Geräten gestattet.

Benutzer von Android-Geräten müssen die Installation von Apps aus unbekannten Quellen zulassen – ein potenzielles Sicherheitsrisiko, über das Airwatch den Anwender leider nicht aufklärt.

Benutzer von Android-Geräten müssen die Installation von Apps aus unbekannten Quellen zulassen – ein potenzielles Sicherheitsrisiko, über das Airwatch den Anwender leider nicht aufklärt.

Die allerdings gilt nur, wenn Airwatch tatsächlich vom Hersteller selbst geliefert wird. Alternativ ist es nämlich möglich, die MDM-Services des Herstellers von Telekom-Anbietern wie O2 und Vodafone zu beziehen, die ihrerseits Geschäftskundenangebote auf Basis der Airwatch-Technik geschnürt haben.

Zur Einrichtung setzt Airwatch auf ein Assistentenkonzept, um die ersten Gehversuche einfach zu gestalten und dem Administrator das zwingende Durchlesen ausführlicher Erläuterungen zu ersparen. Als Erstes ist auszuwählen, ob auch mit IOS laufende Apple-Geräte verwaltet werden sollen, da diese zwecks Zertifikateinbindung weitere Vorbereitungen benötigen. Als Nächstes ist ein Konto für den Benutzer zu erstellen, über dessen Konto die Registrierung des ersten Mobilgeräts erfolgen soll.

Per E-Mail erhält der Benutzer dann die zur Registrierung seines Geräts erforderlichen Instruktionen. Diese Nachricht enthält eine URL-Adresse zum Besuch einer Website, von der aus der Benutzer direkt zum App Store des jeweiligen Betriebssystemanbieters weitergeleitet wird, um sich dort den zur Registrierung verwendeten Airwatch-MDM-Agenten herunterzuladen. Allerdings muss der Benutzer dafür bereits über ein Konto bei Apple (Iphone, Ipad) oder Google (Android-Smartphone oder -Tablet) verfügen, andernfalls bleibt ihm der Zugang zum offiziellen App Store des Betriebssystemanbieters verwehrt.

Benutzeraufgaben

Die eigentliche Registrierung des mit der Airwatch-MDM-Agenten-App ausgestatteten Mobilgeräts erfolgt ebenfalls in einem mehrstufigen Assistentenverfahren. Zur Initiierung dieses Prozesses – wahlweise mittels über die Tastatur einzutippenden Server-Details oder per Einscannen eines QR-Codes – muss der Benutzer lediglich Name und Kennwort seines Airwatch-Kontos eintragen. Nach dieser Authentifizierung erfolgt im zweiten Schritt die Absicherung (die deutsche Übersetzung spricht hier leider etwas missverständlich von „sichern“) des Geräts durch Anwendung der Unternehmensrichtlinien. In dieser Phase stößt das einfache Assistentenprinzip jedoch an technische Grenzen: Unser mit Android 6 arbeitendes Testgerät beispielsweise, ein Samsung Galaxy S6 Edge+, zeigte auf mehreren Bildschirmseiten eine ganze Reihe von Berechtigungen an, die für den Zugriff auf das Gerät erforderlich sind und dessen Erteilung der Gerätebenutzer zustimmen muss. Unbedarfte Administratoren sind mit der qualifizierten Bewertung dieses Vorgangs überfordert.

Auf jedem verwalteten Mobilgerät (hier mit Android) ist ein Airwatch-Agent aufzuspielen.

Auf jedem verwalteten Mobilgerät (hier mit Android) ist ein Airwatch-Agent aufzuspielen.

Das trifft auch auf eine andere durchzuführende Aktion zu: Auf einem Android-Gerät muss der Benutzer die Installation von Apps aus unbekannten Quellen zulassen. Selbst wenn dies technisch erforderlich ist, so hätte Airwatch gut daran getan, hier erläuternde Hinweise anzuzeigen – schließlich ist es genau dieser Schritt, den Security-Experten als Android-Sicherheitsrisiko einstufen. Selbst wenn ein Administrator damit noch umzugehen weiß, so sind Durchschnittsanwender – für die in BYOD-Szenarien (Bring Your Own Device) dasselbe Registrierungsverfahren anzuwenden ist – dadurch schnell irritiert. Als Alternative kann der Administrator daher unternehmenseigene Geräte in Airwatch registrieren und diese seinen Benutzern vorkonfiguriert aushändigen.

Für den Administrator ist die Konfiguration mit der initialen Einrichtung noch längst nicht abgeschlossen. Ein Blick in die Web-Konsole offenbart, dass noch ein enormes Arbeitspensum vor ihm liegt – abhängig von der gebuchten Airwatch-Edition und der gewünschten Funktionalität.

Deutlich wird dies an Funktionen wie Smartgroups, die die Verteilung von Anwendungen und Einstellungen auf bestimmte Plattformen, Betriebssysteme oder Benutzergruppen limitieren. Über Geräterestriktionen lassen sich Kameras in Mobilgeräten sowie die Möglichkeit zur Erstellung von Screenshots gezielt deaktivieren. Konformitätsrichtlinien wiederum gestatten die Festlegung, was im Falle des Wechsels der SIM-Karte oder bei Überschreiten eines bestimmten Übertragungsvolumens im Roaming-Betrieb geschehen soll. Für BYOD-Szenarien gedacht sind Merkmale wie ein White- oder Blacklisting erlaubter und verbotener Gerätearten sowie die Unterstützung von Containern auf Android und IOS.

Umfangreich

Analog zum Funktionsumfang fällt die Dokumentation – die dem Administrator allerdings erst nach einer Registrierung beim Ressourcen-Web-Portal my.air-watch.com zur Verfügung steht – recht üppig aus: Alleine das MDM-Handbuch bringt es auf rund 180 Seiten. Zahlreiche weitere Anleitungen widmen sich nicht nur grundsätzlichen Themen wie BYOD oder Datenschutz, sondern beschäftigen sich auch mit gerätespezifischen Angelegenheiten für die unterstützten Plattformen. Unter anderem findet der interessierte Leser dort eine Beschreibung zur schnellen Registrierung einer größeren Anzahl von Android-Smartphones und -Tablets, die die Samsung-Sicherheitstechnik Knox unterstützen, in der MDM-Verwaltung von Airwatch.

Eingeschränkte Verwaltungsmöglichkeiten stehen dem Administrator unterwegs zur Verfügung.

Eingeschränkte Verwaltungsmöglichkeiten stehen dem Administrator unterwegs zur Verfügung.

Für ungeübte Administratoren kann die große Funktionsfülle jedoch schnell zuviel des Guten werden. Der Bereich „Erste Schritte“ in der Web-Konsole etwa listet zwar eine Reihe von Aktionen auf, die zwar für die Grundkonfiguration sinnvoll sind, hinter denen sich häufig aber keine Assistenten verbergen. Stattdessen findet sich der Administrator dann in den Tiefen der weitläu-figen Airwatch-Konfigurationseinstellungen wieder, um dort die jeweilige Option einzurichten.

Eindrücke

Airwatch liefert eine MDM-Lösung mit beachtlichem Funktionsumfang ab, die die heutzutage relevanten MDM-Belange abdeckt und kaum Wünsche offen lässt. Unternehmen, die sich für die Airwatch-Lösung zur Verwaltung ihrer Mobilgeräteflotte interessieren, sollten sich in jedem Fall des enormen Feature-Reichtums bewusst sein. Denn wollen Administratoren die Vielzahl der gebotenen Merkmale beherrschen, benötigen sie schlichtweg Zeit, um sich angemessen in die Materie einzuarbeiten. Wer dafür keine Ressourcen bereitstellen möchte, ist möglicherweise mit einer einfachen MDM-Funktionalität bedient sein, wie sie Airwatch Express oder kostenlos in Office 365 enthalten ist (siehe LANline 3/2016, Seite 16).

Sprachbarrieren jedenfalls sollte es nicht geben, denn die Airwatch-Verwaltungsoberfläche steht nicht nur in Englisch, sondern auch in anderen Sprachen zur Verfügung. Bei der Übersetzung ins Deutsche hapert es jedoch ab und an – wie neben dem oben genannten Beispiel auch der Terminus „robustes Windows“ zeigt, hinter dem sich mit Windows CE arbeitende Embedded-Devices verbergen. Stabilitätsprobleme bei Airwatch, die Gartner in seinem im Juni 2015 veröffentlichten „Magic Quadrant for Enterprise Mobility Management Suites“ anspricht, verzeichneten wir im Test nicht. Stattdessen erhielten wir während des Testzeitraums regelmäßig Ankündigungen über bevorstehende Wartungsarbeiten oder die Einspielung neuer Feature Packs.

Hersteller(un)abhängigkeit?

Ein anderer Aspekt des Airwatch-Angebots aber hinterlässt bei uns Stirnrunzeln. Konstant springt dem Betrachter der Zusatz „by VMware“ oder die Bezeichnung „VMware Airwatch“ entgegen. Der Grund dafür liegt auf der Hand: Im Februar 2014 hat der Virtualisierungsspezialist das Unternehmen Airwatch übernommen, und die neue Eigentümerschaft soll dadurch offensichtlich zum Ausdruck kommen. Nachdem VMware im Januar 2016 das Entwicklerteam für seine Workstation-Produkte Workstation und Fusion komplett gefeuert hat, will sich der einstige Virtualisierungsprimus nun scheinbar ganz auf Rechenzentrums- und Cloud-Lösungen konzentrieren – wie sich eben auch am Rebranding bei Airwatch zeigt. Marketing-Veteranen würden zwar zu Stringenz bei Schreibweisen raten, doch der springende Punkt bei diesem Unterfangen ist ein anderer: Wie sehr wird Airwatch künftig zwingend an VMware-Produkte wie das Identity-Management gekoppelt sein? Zumindest aus heutiger Sicht bietet Airwatch ein gewisses Maß an Offenheit, wenngleich das VMware-Rebranding dieses überlagert. So arbeitet die Lösung sowohl mit Google Android for Work als auch mit Microsoft Office 365 und Samsung Knox zusammen, indem es die APIs des jeweiligen Angebots für MDM-Zwecke nutzt.

Auf unsere Nachfrage hin versicherte der Hersteller zwar, dass seine Produkte losgelöst von VMware laufen würden. Ob das der neue VMware-Eigentümer Dell längerfristig genauso sieht, wird sich noch erweisen müssen. Für Unternehmen und Administratoren jedenfalls, die VMware aus technischen oder politischen Gründen hinter sich gelassen haben und beispielsweise zu Microsoft Hyper-V gewechselt sind, dürfte der Aspekt einer möglichen „Zwangsbindung“ an andere VMware-Tools entscheidend für den Kauf einer anderen MDM-Lösung sein.

In seinem im Juni 2016 veröffentlichten Bericht „Magic Quadrant for Enterprise Mobility Management Suites“ bringt das Analystenhaus Gartner des Weiteren die Sorge zum Ausdruck, dass die Airwatch-Lösung unter der neuen Eigentümerschaft möglicherweise nicht mehr die Aufmerksamkeit wie noch zu VMware-Zeiten erfährt. Die Antwort kann auch in diesem Fall nur die Zukunft liefern.

Eric Tierling ist Master of Information Systems Security Management der Universität Luxemburg und unter anderem spezialisiert auf Microsoft-IT-Infrastrukturen sowie Information Security und Data Privacy.