Was ist Mobile Device Management (MDM)?

Mobile Device Management Software (MDM) wird vorrangig im Unternehmenskontext eingesetzt. Mithilfe eines MDMs können mobile Geräte wie Smartphones und Tablets auf einer Plattform verwaltet werden. Zusätzlich ermöglicht es ein MDM, umfassende Sicherheitsrichtlinien auf den Geräten zu installieren. Im nachfolgenden Artikel stellen wir Grundlagen und Vorteile vor und erklären, wie ein MDM in einem Unternehmen eingeführt werden kann und welche Einsatzgebiete und Funktionen es bietet.

 

MDM im Unternehmen nutzen: Wie kann ich Geräte einrichten?

Mobile Device Management Systeme sind hauptsächlich für Android und Apple Geräte verfügbar, teilweise werden jedoch auch Windows-Computer damit verwaltet. Für die Einrichtung von Apple- und Android-Geräten mit einem MDM können verschiedene Modelle genutzt werden.

MDM für Android

Bring Your Own Device (BYOD)

  • Das Gerät gehört dem Mitarbeitenden und der MDM-Client wird nachträglich darauf installiert.
  • Das Gerät muss dafür nicht zurückgesetzt werden.
  • Auf dem Gerät werden zwei Profile angelegt: Eines für die Arbeit und ein Privates.
  • Der IT-Admin hat mit Hilfe des MDMs nur Zugriff auf das Arbeitsprofil.
  • Der Mitarbeitende kann das MDM jederzeit vom Gerät löschen.

Zum Tutorial gelangen Sie hier: BYOD Einrichtung auf einem privaten Gerät

Company Owned – Work Profile (CO-WP)

  • Das Unternehmen stellt das Gerät zur Arbeit zur Verfügung, es darf jedoch auch privat genutzt werden.
  • Um eine saubere Datentrennung vorzunehmen, muss das Gerät zunächst zurückgesetzt werden und dann als CO-WP eingerichtet werden, wenn es vorher z.B. ein Device Owner Gerät war.
  • Die Benutzer*in kann private E-Mail Adressen, Kontaktlisten usw. hinzufügen.
  • Das MDM kann von der User*in nicht entfernt werden.
  • Per MDM können Einschränkungen nur auf dem Arbeitsprofil vorgenommen werden.

Zum Tutorial gelangen Sie hier: CO-WP Einrichtung

Device Owner (Gerätebesitzer)

  • Das Gerät gehört vollumfänglich dem Unternehmen und wird nur zur Arbeit eingesetzt.
  • Das MDM hat den vollen Zugriff auf Systemeinstellungen, Accounts uvm.
  • Mit dem MDM kann zum Beispiel verhindert werden, dass die Benutzer*in das Gerät zurücksetzt oder andere Systemeinstellungen vornimmt.
  • Device Owner-Geräte können auch in den KIOSK Modus versetzt werden.

Hier gelangen Sie zum Tutorial: Device Owner Registrierung im MDM

Info: Möchten Sie den Betriebsmodus des Gerätes wechseln, muss es grundsätzlich immer erst auf Werkseinstellungen zurückgesetzt werden. Anders ist ein Wechsel zwischen BYOD, CO-WP und Device Owner Betrieb nicht möglich.

 

MDM für Apple-Geräte

Unverwaltete Geräte-Installation (BYOD)

  • Die Benutzer*in kann die MDM Client App über den App-Store installieren.
  • Das Profil wird heruntergeladen und das Gerät so mit dem MDM verbunden.
  • Das Gerät erscheint nicht im ABM und das MDM kann vom User jederzeit vom Gerät entfernt werden. Geeignet für z.B. Bestandsgeräte, während Migration zu einem MDM.
  • Der User muss einer App-Installation über das MDM erst zustimmen und kann auch eigene Apps installieren.

Hier können Sie unser Tutorial anschauen: BYOD für Apple-Geräte

Apple DEP/ADE Installation (Supervised)

  • Wird ein Apple-Gerät als DEP Gerät eingerichtet, gehört es der Organisation.
  • Wird das Gerät zurückgesetzt, wird das MDM-Profil nicht entfernt, sondern erneut installiert, sobald eine Internetverbindung vorhanden ist.
  • Im MDM kann festgelegt werden, dass das Profil nicht gelöscht werden darf.
  • Der Endbenutzer kann ebenfalls das MDM-Profil nicht löschen.
  • Verwaltete Apps können im Hintergrund über das MDM installiert werden.
  • Die Installation privater (unverwalteter) Apps kann über Richtlinien gesteuert werden.

Hier können Sie unser Tutorial anschauen: Apple DEP Geräte mit MDM ausstatten

Supervised Only Modus

  • Das Gerät ist ein DEP Gerät ohne festgesetztes Profil.
  • Wird das Gerät zurückgesetzt, wird es zu BYOD.
  • Der Endnutzer kann dann das MDM Profil entfernen.
  • Das Gerät erscheint auch im Apple Business Manager.
  • Verwaltete Apps können im Hintergrund über das MDM installiert werden.
  • Die Installation privater (unverwalteter) Apps kann über Richtlinien gesteuert werden.
  • Hinweis: Dieser Zustand tritt nur ein, wenn die Geräte nachträglich zu DEP-Geräten umgewandelt wurden. Nach 30 Tagen wird das Gerät automatisch zu einem DEP-Gerät.

Schauen Sie sich das Tutorial hier an: Umwandlung eines iPhones zum DEP-Gerät

 

Einsatzgebiete von Mobile Device Management Software

MDMs können je nach Schwerpunkt des Unternehmens verschiedene Funktionen erfüllen. Der Einsatz eines MDMs richtet sich nach der Größe des Unternehmens, der Anzahl der vorhandenen Geräte und den erforderlichen Sicherheitsmaßnahmen. Für bestimmte Unternehmen, z.B. aus dem öffentlichen Sektor, gibt es hierbei strikte Vorgaben, die mithilfe eines MDMs umgesetzt werden müssen.

 

MDM zur Verwaltung der mobilen Geräte

Jedes Mobile Device Management System sollte die Möglichkeit bereitstellen, schnell und übersichtlich alle registrierten und somit im Unternehmen zugelassenen Geräte zu erfassen. Es sollte eine Übersicht aller Betriebssysteme und deren Versionen geben, sowie die Möglichkeit, Geräte eindeutig einem Mitarbeitenden zuzuordnen. Dies verhindert sogenannte “Schatten-IT” und somit unbefugten Zugriff auf das Unternehmensnetzwerk, welches eine Bedrohung für die Sicherheit sein kann.

Mithilfe des MDMs können Betriebssysteme zudem aktualisiert werden, was die Sicherheit ebenfalls erhöht und die weiterführende Funktionalität gewährleistet. Durch die Geräte- und Benutzerübersicht kann erfasst werden, wenn Geräte nicht mehr richtig funktionieren und ggf. per Remote Support eingegriffen werden.

 

MDM zur Umsetzung von Sicherheitsrichtlinien

Viele Unternehmen, gerade im Pflegebereich oder im öffentlichen Dienst, müssen sich besonders streng an Datenschutz- und Sicherheitsrichtlinien halten. Nicht nur sollen so Daten der Patient*innen und Klient*innen geschützt werden, sondern es muss auch verhindert werden, dass die Organisationen Opfer von Cyber Security-Attacken werden.

Mithilfe eines MDMs können die von Android oder Apple bereitgestellten Schnittstellen genutzt werden, um umfangreiche Sicherheitsrichtlinien auf den Geräten zu implementieren. So können z.B. bestimmte Apps oder Websites geblockt werden, WLAN-Konfigurationen können vorgegeben werden, das Zurücksetzen der Geräte durch den Benutzer kann verhindert werden und viel mehr. Es geht dabei vor allem darum, zu verhindern, dass durch Benutzerfehler Bedrohungen für das gesamte Unternehmen entstehen.

 

MDM zur Arbeitserleichterung

Neben der übersichtlichen Darstellung aller Geräte auf einer Plattform gibt es noch weitere MDM-Funktionen, die eine große Zeitersparnis für IT-Admins bedeuten. So können z.B. Apps auf allen Geräten automatisch installiert werden, es können Kontaktlisten auf die Geräte gesendet werden, die Einrichtung der Geräte kann automatisch erfolgen, sobald eine Internetverbindung vorhanden ist u.v.m. Auch für die Mitarbeitenden bedeutet dies, dass sie sich selbst keine Gedanken mehr darüber machen müssen, ob das Gerät ordnungsgemäß funktioniert und alles richtig eingerichtet ist – eine enorme Erleichterung!

Zudem weisen Mobile Device Management Systeme für unterschiedliche Gerätetypen verschiedene anwendbare Funktionen auf. Besonders groß sind die Unterschiede naturgemäß zwischen Android- und Apple-Geräten. Der Vorteil von Apple-Geräten ist jedoch, dass diese immer ein einheitliches Betriebssystem aufweisen. Man kann also sicher sein, dass eine MDM-Funktion auch funktioniert, wie angegeben.

Bei Android-Geräten hingegen ist die Übernahme von MDM-Funktionen abhängig vom individuellen Betriebssystem der vielen Anbieter, da Android-Anbieter die Benutzeroberflächen jeweils modifizieren. Auch unterstützen nicht alle Android-Geräte das Betriebssystem „Android Enterprise“, was aber benötigt wird, um Geräte im Gerätebesitzer-Modus mit dem MDM zu verbinden.

 

Richtlinienvergabe und Benutzergruppen im MDM

Zu den wichtigsten Funktionen des MDMs gehört die Vergabe von Richtlinien. Als Richtlinie werden die vornehmbaren Einstellungen in Bezug auf Vorgaben (z.B. erlaubte W-LAN Verbindungen), Einschränkungen (z.B. Bluetooth nicht erlaubt) und Befugnisse (z.B. zweites E-Mail-Konto darf hinzugefügt werden) bezeichnet. Diese können auf individueller Ebene an die Benutzer*innen verteilt oder Gruppen zugewiesen werden.

Zwar erfolgt die Registrierung der Benutzer*innen einzeln, jedoch können (und sollten) sie zur besseren Übersichtlichkeit in Gruppen zusammengefasst werden. Diesen Benutzergruppen können nun individuelle Richtlinien zugewiesen werden. Auch die Installation von Apps erfolgt über die Gruppen.

 

Konfiguration des Play Store und App Store

Im Unternehmenskontext gibt es oft bestimmte Apps, welche von den Mitarbeitenden verwendet werden sollen. Der Google Play Store kann so konfiguriert werden, dass nur diese Apps überhaupt installiert werden können. So wird verhindert, dass Apps, die nichts mit der Arbeit zu tun haben, auf den Geräten landen. Auch Apple-Geräte können diesbezüglich eingeschränkt werden.

Bei DEP-Geräten müssen die Apps zunächst über Apple VPP gekauft und anschließend über das MDM verteilt werden. Andere Apps können nicht herunterladen werden. Aufgrund der vielfältigen Einsatzgebiete und des großen Funktionsumfangs, stellt ein MDM eine wichtige Ergänzung des Unternehmens-IT dar. Ein MDM dient nicht nur der Verwaltung von mobilen Geräten, sondern insbesondere auch zu deren Absicherung. Dadurch trägt es zum Schutz der wichtigen Unternehmensdaten bei.

Kontaktieren Sie uns für eine umfangreiche, kostenfreie Beratung zum Thema Mobile Device Management (MDM)!

Kontakt
Linkedin Youtube Instagram

Copyright: © 2020 IOTIQ

Kontakt