Hallo 3dc,

hat jemand von euch sowohl beim Betrieb als auch in der Entwicklung Erfahrung mit MDM/EMM?

Es geht darum, dass Smartphones mit einer Business App ausgeliefert werden sollen. Die Kontrolle soll beim Admin liegen .
In erster Linie soll nur die eine App laufen.

Falls das nicht geht, dann sollte zumindest auf allen geprüft werden welche Apps laufen bzw. auch Restrictionen eingesetzt werden.

Die Smartphones sind nicht für den privaten Gebrauch gedacht. Es wird aber auch niemand gefeuert, wenn er sich damit irgendwelche Youtube Videos oder ein paar Spiele spielt. Falls eine komplette Sperrung nicht geht.

Ich habe jetzt einiges gelesen über Google for Work und irgendwelchen Tools. Mich interessiert eigentlich, ob jemand Erfahrung hat was einfach umzusetzen ist. Die App ist schon aufwendig genug.

Danke

ist eine überprüfung der ausgeführten apps datenschutzrechtlich überhaupt erlaubt. das grenz ja schon fast an emails mitlesen.

ist eine überprüfung der ausgeführten apps datenschutzrechtlich überhaupt erlaubt. das grenz ja schon fast an emails mitlesen.

Ja ist es. Wenn das Gerät als Firmengerät herausgegeben wird inkl. Mitteilung, dass sämtliche Daten erhoben werden, kontrolliert etc etc. Dann ja. Eine private Nutzung wird ja nicht erlaubt.

Deswegen auch der Hinweis von mir, dass es Firmenhandys sind.

Niemand so etwas im Einsatz?

Habe ich früher mal betreut

https://www.mobileiron.com/de

Da kannst du solche sachen einbauen, Beispielsweise rootet jemand sein Iphone => fliegt sofort aus dem MDM und alle Geschäftsdaten werden gelöscht.
Kannst auch soweit einstellen das es komplett gelöscht wird :P


Achtung Artikel von 2013, da kann sich einiges getan haben
http://www.computerwoche.de/a/mdm-systeme-zwischen-lob-und-tadel,2536778

ist eine überprüfung der ausgeführten apps datenschutzrechtlich überhaupt erlaubt. das grenz ja schon fast an emails mitlesen.

EMails ist ein ganz schweres Thema, da der Nutzer nicht bestimmen kann, was er dort gesendet bekommt. Auf einem dienstlichen eMail Anschluss können deshalb immer auch persönliche private Daten vermutet werden, die auch ein geflissentlicher Nutzer gar nicht in letzter Konsequenz verhindern kann.

Aber ein CMDB mit der Softwarebasis der Geräte ist da ein weit geringeres Schutzniveau , würde ich einfach mal behaupten. Gerade, wenn der Nutzer entsprechend verpflichtet und damit bösgläubig wurde.

@Topic
EMM Lösungen gibt es viele.
Microsoft hat z.B. das Cloud basierende Intune, es kommt tatsächlich ohne etwas im Selbsthosting aus.
Das gebräuchlichste, eben Mobiliron wurde schon genannt.
Der BES von Blackberry ist auch schon seit vielen Versionen Multiplattform tauglich und es gibt viele, viele mehr.

Eine entscheidende Frage ist immer, welche Zielplattform will man bedienen, da es dort zwischen den Systemen große Unterschiede gibt und auch ein Android ist z.B. nicht gleich ein Android, z.B. Samsung Knox ist durchaus gebräuchlich aber letztendlich eine proprietäre Erweiterung. Dann gibt es auch noch Effekte, dass selbst gleiche Geräte sich nicht zwangsläufig gleich verhalten müssen, oder die selben Möglichkeiten bieten, sondern es kann durchaus sehr wichtig sein über welchen Weg die Geräte überhaupt in das Management gehoben und auch nur beschafft wurden.
So gibt es bei iOS z.B. die Variante, dass mit einer Apple ID des Benutzers gearbeitet wird, auch auch die ohne Apple ID, wichtig ist ob die iOS Geräte vom Händler im Device Enrollment Program (DEP) bei Apple angemeldet wurden und diese entsprechend darüber ausgerollt wurden. Alternativ können die Geräte über eine MacOS Software individuell ausgerollt werden, oder die Geräte sind gar nicht speziell ausgerollt wurden und werden quasi nur wie ein BYOD Gerät eingebracht.

Jeder kocht dort seine eigene Suppe und diese ist schlicht sehr intransparent, bzw. sehr an Prozesse des Herstellers mitunter gebunden, auch wenn man ein MDM eines Drittanbieters nutzt.

Super Danke,

ich guck mir das Mobiliron mal an.

p.s.: Das mit den Emails ist gar nicht sooooo schwer. Nach GoBD sind Firmen verpflichtet geschäftliche Dokumente zu archivieren.
Wenn ich also also im Mitarbeitervertrag klar niederschreibe, dass die IT inkl. der Mail ausschließlich für geschäftliche Zwecke zu verwenden ist, dann werden einfach alle Daten gespeichert und ausgewertet.

Dieses Vorgehen ist im Government normal und wird daher auch von den Datenschützern der Ländern abgenommen.

Lieber den Hass von ein paar Mitarbeitern, statt des Finanzamtes ;D :D

Mal meine 2 Cent zum Thema.

Grundsätzlich: Alle MDM-Systeme setzen, logischerweise, auf den Schnittstellen auf die von den Herstellern der Betriebssysteme jeweils bereit gestellt werden. An diese Schnittstellen docken die dann an und setzen ihre Funktionen drauf. Ergo: Was es an Schnittstellen nicht gibt kann auch kein noch so tolles MDM dieser Welt dazu erfinden.
Generell kann man als Faustregel festhalten, dass Apple immer noch die besten Schnittstellen bereit stellt. Das Management von iPhones ist deutlich besser und feiner steuerbar als das von Android oder Windowsphones. Blackberry lass ich mal mangels Masse außen vor.

Es gab bis vor zwei, drei Jahren mindestens 50 Softwareprodukte am Markt, das hat sich durch Übernahmen und Pleiten sehr reduziert. Es lohnt aber dennoch auf die Details zu achten. "Good" wurde vor ein paar Monaten von Blackberry übernommen weil die noch ein besonderes Schmankerl hatten. Die können auf den Geräten einen virtuellen Container erzeugen, in dem die Unternehmens-Apps laufen. Das ist besonders in byod-Szenarien interessant. Und nachdem Blackberry auf Android umsteigt, brauchen sie einen sicheren Container für Unternehmens-Anwendungen um in etwa auf das alte Sicherheitsniveau zu kommen. Android selbst bietet ja kein hartes Sandboxing wie etwa iOS.

Wie macht mans jetzt konkret?
1. Ich würde mir erstens überlegen wieviele Geräte ich jetzt und wieviele ich langfristig managen will/muss. Allein daran kann sich der Markt schon arg ausdünnen. Mein letztes Mobil-Iron-Projekt liegt ein paar Jahre zurück, aber damals starteten die Lizenzen erst bei 50 Geräten. Für kleinere Kunden oft nicht nachvollziehbar. Andere Anbieter fangen bei Stückzahl 1 an.

2. Was für Geräte hab ich? "Früher" konnten nicht alle Systeme mit allen Geräten. Das hat sich stark gewandelt, aber in aller Regel wird nicht in der IT entschieden ob nun Apple, Android oder WindowsPhone eingeführt wird. Fürs Management sind das aber im Backend durchaus Unterschiede.

3. Was muss ich konfigurieren. In ihrer Architektur sehen fast alle Systeme externe Push-Dienste im Internet vor. Dementsprechend muss ich auch meine FirewallSysteme dorthin öffnen. Hab ich mit gröberen Sicherheitssystemen zu tun, muss vielleicht mit Zertifikaten arbeiten, kann es schnell dazu kommen das ich eine PKI brauche. (Alles reale Praxiserfahrungen.) Damit muss das MDM umgehen können.

4. Die MDM-Systeme kommen oft/meist als virtueller Managementserver, bzw. als virtuelle Applliance für vmware und Co. Die muss ich auch langfristig betreiben.

Noch ein letzter Tipp. MDM-Funktionen finden sich oft auch in anderen Software-Paketen, die man ohnehin im Unternehmen hat. Manchmal tun es solche Zusatzpakete auch. Vorteil: Man muss sich nicht in eine neue Oberfläche einarbeiten und preiswerter ists in aller Regel auch. Nachteil: Mit den großen Spezialisten können die nicht mithalten. Ein Beispiel wäre baramundi, die bringen ein recht gutes MDM mit, kostet ca. 25€ pro verwaltetem Gerät.

Und ein allerletzter Tipp: MDM kann man auch virtuell aus verschiedenen Quellen bekommen. Vodafone bietet das etwa seinen Business-Kunden an (und setzt intern auch auf MobileIron). Der Vorteil hier: kein eigener Server und man zahlt nur für die eigenen Geräte. Nachteil: lohnt nur bei kleinen Umgebungen oder wenn man eine Cloud-Strategie fährt. Und man muss damit leben können, das theoretisch Externe drauf kucken können.

Was mir noch einfällt und schon in freier Wildbahn gesehen habe

Was eigenes von Samsung

https://www.samsungknox.com/de/products/knox-workspace

Gibts schon ne kleine Ewigkeit, aber funktioniert das nicht ausschließlich mit Samsung-Geräten?

Android selbst bietet ja kein hartes Sandboxing wie etwa iOS.

Wenn man ignoriert, dass SELinux existiert, dann ja.

Spaßfakt: Die Sandboxing-Mechanismen von OS X und FreeBSD hatten SELinux als Vorbild. Insofern ist es schon seltsam zu sagen, dass Android kein „hartes“ Sandboxing hat, wenn das von iOS konzeptionell auf SELinux basiert, was wiederum aus Linux stammt und von Android benutzt wird.