Mobilgeräte und Desktops zentral verwalten

Mobile Device Management mit Baramundi

23.09.2013
Von 
Andrej Radonic ist Experte für Virtualisierung, Cloud-Technologien und Open Source Anwendungen. Der Fachbuchautor ist Vorstand der interSales AG und entwickelt für mittelständische Unternehmen anspruchsvolle E-Commerce Lösungen.
Baramundi verwaltet mit seinem Modul für Mobile Device Management (MDM) als Teil seiner Client Management Suite neben iOS- und Android-Geräten nun auch Smartphones mit Windows Phone 8.

Angesichts der rasant zunehmenden Nutzung von Smartphones und Tablets in Unternehmen erkennen IT-Abteilungen allmählich die Notwendigkeiten und Herausforderungen der neuen Client-Generation. Diese bringt eine neue Betriebssystem-Vielfalt von Apple iOS über Android, Blackberry bis Windows Phone mit sich, welche spezialisierte Werkzeuge für ein zentrales MDM unumgänglich macht.

Zwei Ansätze kristallisieren sich am Markt heraus: Auf der einen Seite Standalone-Management-Pakete wie AirWatch oder Mobileiron, auf der anderen Seite um MDM erweiterte etablierte Lösungen für netzweites Client- und System-Management.

Den zweiten Ansatz verfolgt die baramundi Software AG aus Ausgburg. Sie erweitert ihre Lösung um baramundi Mobile Devices (bMD) als modularen Bestandteil der umfassenden Verwaltungssoftware baramundi Management Suite. baramundi weitet damit das Client-Lifecycle Management von der Einführung über die Nutzung bis hin zur Löschung konsequenterweise auf Mobilgeräte aus. Mit der kürzlich veröffentlichten Version 8.9 ist neben der Unterstützung für iOS- und Android-Geräte nun auch Support für Windows Phones an Bord.

Systemübergreifende Architektur

Die vorherrschenden mobilen Betriebssysteme sind technisch sehr unterschiedlich gestrickt - dies betrifft beim zentralisierten Management vor allem die Anbindung an den jeweiligen App-Stores sowie die Kommunikation zwischen Serveranwendungen und dem Endgerät. Eine der wesentlichen Aufgaben der baramundi MDM Lösung besteht darin, eine einheitliche Sicht auf diese Systeme zu schaffen - für eine zentrale Verwaltung der Mobilsysteme unter Berücksichtigung der verschiedenen Kommunikationswege, die die unterschiedlichen Anbieter vorsehen.

Die Architektur des baramundi Systems abstrahiert von den Eigenheiten der Plattform-Anbieter.
Die Architektur des baramundi Systems abstrahiert von den Eigenheiten der Plattform-Anbieter.
Foto: Baramundi

Im Gegensatz zu normalen PCs im Unternehmens-LAN bewegen sich die mobilen Geräte auch im Mobilfunknetz oder in einem fremden WLAN hinter einer Firewall und sind daher vom Server aus nicht direkt zu erreichen. Daher findet der Verbindungsaufbau immer vom Gerät zum Server statt. So muss nur der eine Management-Server aus dem Internet erreichbar sein, nicht jedes einzelne Gerät vom Server aus. Da aber der MDM-Server alle Vorgänge steuert und daher auch den Verbindungsaufbau auslösen können muss, bieten die Plattformhersteller Apple und Google einen Notification Service in der Cloud an, worüber der bMD-Dienst die mobilen Geräte benachrichtigen kann. Daraufhin meldet sich das Gerät bei seinem zugewiesenen Management Server zurück. Windows Phones können über einen direkten Polling-Mechanismus mit dem bMD-Server in Verbindung bleiben.

Die MDM-Funktionen sind nahtlos in das baramundi Management Center integriert.
Die MDM-Funktionen sind nahtlos in das baramundi Management Center integriert.
Foto: Baramundi

Entscheidender Aspekt aus Sicht der Compliance und des Datenschutzes: bMD ist eine On-Premise-Lösung und integriert dabei die Herstellerdienste so, dass keine schützenswerten Daten für die Management-Steuerungen bei den jeweiligen Herstellersystemen landen. Sämtliche Nutzdaten finden auf direktem Weg vom Management Server (und dessen Gateway) hin zum Endgerät.

Zentraler Management-Server

Da der bMD-Service als Modul ausgeprägt ist, wird neben einem Lizenzschlüssel eine Komplettinstallation der baramundi Management Suite als Basis benötigt. Diese setzt einen dedizierten Windows Server (2008, 2008 R2, 2012, 2012 R2) sowie eine Oracle oder MS SQL Datenbank (wird bei Bedarf in einer Express-Variante mitgeliefert) voraus. Zudem stellt der Administrator üblicherweise eine Anbindung an das Active Directory her, damit die Benutzerdaten im baramundi-System verfügbar sind.

Sind diese Voraussetzungen geschaffen, müssen für die Inbetriebnahme des MDM-Moduls einige Basis-Setups durchgeführt werden. Vor allem wird für die Absicherung der Kommunikation ein SSL-Zertifikat benötigt (kann extern eingespielt oder selbst signiert werden), welches im MDM Modul hinterlegt sowie an den jeweiligen Port des MDM-Servers gebunden wird. Der baramundi-Server kann dabei die Rolle der Zertifizierungsstelle (Certificate Authority/CA) übernehmen.

Zudem muss ein Gateway eingerichtet werden, damit die Mobilgeräte aus dem Internet mit dem Unternehmens-internen Service kommunizieren können. Hierfür kommt entweder ein baramundi-eigener Dienst auf einem dedizierten Server in der DMZ zum Einsatz, oder der Administrator verwendet einen bereits vorhandenen Microsoft Forefront Service (TMG). Für die Kommunikation mit den Geräten sowie den APIs der Hersteller-Benachrichtigungsdienste sind zudem diverse Ports zu öffnen.

Client Management für Smartphones

Das bMD fügt dem baramundi Management Center den neuen Knoten Mobile Devices zu. Darunter finden sich die bereitgestellten Funktionsbereiche für Jobverwaltung, Übersicht über die Geräteumgebung und die Applikationen, sowie die Profile und die Compliance-Prüfung.

Damit Smartphones und Tablet-PCs verwaltungsmäßig erfasst und remote administriert werden können, wird ein Agent auf jedem Endgerät benötigt. baramundi stellt hierfür in den jeweiligen AppStores den baramundi Mobile Agent (bMA) kostenfrei zur Verfügung. Diese App stellt dem Anwender ein Selbstbedienungs-Portal namens Kiosk zur Verfügung und signalisiert ihm seinen individuellen Compliance-Status.

Erfassung mobiler Geräte

Ein neues Mobilgerät kann mit wenigen Handgriffen im baramundi-System angemeldet werden
Ein neues Mobilgerät kann mit wenigen Handgriffen im baramundi-System angemeldet werden
Foto: Baramundi

Damit das MDM eine Verbindung zu den Mobilgeräten herstellen kann, müssen diese im ersten Schritt im System registriert werden. Je Device legt der Administrator hierzu zunächst einen neuen Gerätedatensatz an, in welchem er den Gerätetyp, den Besitzer und den Besitzstatus (Firma oder Privat) angibt. Zudem kann das Gerät einem Benutzer aus dem Active Directory zugeordnet werden. Bei Windows Phone ist diese Zuordnung Pflicht, da sie für die Authentifizierung im Rahmen des Enrollment benötigt wird.

Das MDM präsentiert dem Administrator anschließend einen Anmelde-Token sowie einen passenden QR-Code. Am Mobilgerät erfasst er dann in der Anmeldemaske der baramundi App den QR-Code über die Kamera und bestätigt die Geräte-Aktivierung.

Alternativ versendet das MDM-System eine Mail an den Anwender; mit einem Klick auf den Bestätigungslink öffnet sich der Enrollment-Dialog in seiner App, wo er zum Abschließen der Anmeldung nur noch den Aktivieren-Button drücken muss.

Anmeldevorgang am baramundi Server auf einem Windows Phone 8
Anmeldevorgang am baramundi Server auf einem Windows Phone 8
Foto: Baramundi

Microsoft bietet in Windows Phone 8 ein alternatives Verfahren an: Statt zuerst die bMD App zu laden, kann der Phone-Anwender die seitens Microsoft integrierte Unternehmens-App starten. Von hier aus gibt er die vom MDM vorgegebenen Anmeldedaten an. Danach wird automatisch das sogenannte "Unternehmens-Hub" - der eigentliche baramundi Mobile Agent - geladen und installiert.

Der Enrollment-Prozess installiert ein Konfigurationsprofil auf dem Endgerät, welches unter anderem die Verbindungsparameter und das Sicherheitszertifikat enthält.