Wir setzen Airwatch (in Deutschland von Matrix 42 als "Matrix 42 Mobile Device Management" verkauft) ein und die Lösung hat sich bewährt. Derzeit sind auf dem Server 270 Geräte aktiv, davon etwa 90% iPhones 4/4s, der Rest sind iPads 2/3.
Die Serverinstallation erfolgte kostenpflichtig durch den Hersteller. Wer Apple-MDM-Knowhow inkl. APNS-Nutzung hat könnte es theoretisch selbst machen, die Lernkurve ist aber sicher steiler wenn's vom Hersteller gemacht wird. Ich hatte durch jahrelangen Betrieb der Ubisuite etwas Vorsprung, da wir aber hinsichtlich Mandantenkonzept, Administrationsrollen etc. komplexe Anforderungen haben bin ich dennoch recht froh den Tag Dienstleistung bezahlt zu haben.
Der Server hat ein ausgefeiltes Mandanten- und Rollenkonzept. Es ist möglich alles mit einem Superuser zu erledigen, wenn die IT aber aufgeteilt ist (bei uns zentraler RZ-Betrieb inkl. Erstellung von Profilen, dezentral gibt es dazu noch Administratoren die "nur" Endgeräte und User betreuen, aber keine eigene Entscheidungskompetenz über Einstellungen und Geräteeinschränkungen haben), ist es gut wenn man Admins ihre Rechte nach Mandaten und Rolle im Unternehmen zuweisen kann.
Die 270 Geräte sind über ein gutes Dutzend Mandanten verteilt, die Vor-Ort-Admins haben Rechte neue Geräte einzurichten, können Geräte fernlöschen, den Gerätestatus sehen und auch Zusatzkonfigurationen, z.B. Exchangekonfigurationen für zusätzliche Postfächer verteilen. Der Server ist für uns im RZ erfreulich administrationsarm, im Rahmen der Erstinstallation waren die wesentlichen Arbeiten:
- Erstellen der Mandanten für die Unternehmenszweige
- Einrichten der Admins und Berechtigen auf ihre Mandanten
- Erstellen der Profile für die Gerätekonfiguration
- Schulen der Admins, wobei die Weboberfläche sehr selbsterklärend ist.
Unsere Mitarbeiter dürfen selbst Apple-IDs erstellen und auch Software installieren, ein zentrales generelles Installationsverbot war nicht gewollt. Es gibt einen Unternehmens-App-Store mit etwa 10 empfohlenen Apps, Mitarbeiter können dort auch die Blacklist der unzulässigen Apps einsehen. Wir verbieten aus Compliancegründen explizit die Nutzung von Public Cloud-Diensten wie Dropbox, und die entsprechenden Apps führen zum Blacklisting des Gerätes, d.h. alle Profile und damit auch Exchangezugang, Zertifikate etc. werden automatisch vom Gerät entfernt. Unternehmenseigene Apps können ohne Apple-ID aus dem Unternehmens-App-Store auf das Gerät verteilt werden, allerdings haben wir keine eigenen Apps programmiert.
Die Installation der einzelnen Geräte ist für die Administratoren sehr einfach: Der Windowsbenutzer muss in eine Active Directory-Gruppe (darüber steuern wir die Berechtigung zur Smartphoneinstallation), und auf dem Gerät wird die Installationsseite des Servers geöffnet. Es werden Mandantennummer, Username und Anmeldepasswort des Users eingegeben. Der Server prüft die Anmeldedaten und die Gruppenzugehörigkeit, importiert die Benutzerdaten aus dem Active Directory und inventarisiert das Gerät. Auf das Gerät werden dann binnen ca. 2 Minuten die nötigen Konfigurationsdaten aufgebracht einschließlich Exchangepostfachkonfiguration, der User muss noch eine PIN vergeben und kann das Gerät mitnehmen.
Spätere Änderungen an den Profilen werden over-the-air auf alle betroffenen Geräte gebracht, die demnächst anstehende Exchangemigration ist für die iPhones daher mit ein paar Klicks erledigt.
Der Server steht in einer Firewallzone und ist von außen über einen Reverse-Proxy aufrufbar, nach innen wurden Firewallrouten zu z.b. Domänencontrollern freigeschaltet, weiterhin kann der Server zu Apple kommunizieren (Pushdienste). Firewallmäßig war's wegen der Kommunikation nach draußen und drinnen nicht ohne, mit der aktuellen Version ließe sich die Kommunikation nach innen aber durch die Installation eines Zusatzsystemes einfacher gestalten. Dafür hat man dann wieder einen weiteren Server mit etwas Betriebsaufwand.
Wer den Server nicht selbst betreiben möchte, kann die Funktion auch als SaaS bekommen, für uns ist das aus Compliancegründen nur zweite Wahl.
F.
