Ein Gerät, das aus Unternehmenssicht mobil ist, muss vor Fremdzugriffen geschützt sein (MDM). Hierbei ist jedoch nicht mehr nur das Auslesen des Gerätes selbst (an den USB-Port anschließen und Dateien kopieren), sondern auch der Zugriff von Zusatzdiensten, die im Betriebssystem vorhanden sind oder die durch Applikationen hinzugefügt werden, zu beachten. Durch ein Mobile Application Management (MAM) können Konfigurationsrichtlinien auf Applikationsebene gesetzt werden.

Kernmaßnahmen zum mobilen Zugang zur eigenen Systemumgebung stellen z.B. eine Multi-Faktor-Authentifizierung und ein Conditional Access dar. Letzteres basiert darauf, dass lediglich Geräte und Applikationen Zugang zu Unternehmenssystemen erhalten, die als compliant, also richtlinienkonform und korrekt konfiguriert, erkannt werden.

Intune aus Microsofts Enterprise Mobility + Security wird häufig als reine Mobile Device Management Lösung angesehen. Eine, im Vergleich zugegeben noch junge, Funktion ist das Modul zum Mobile Application Management. Dies erlangt mit dem App-Trend eine immer größere Bedeutung und darf jetzt bereits nicht mehr außer Acht gelassen werden.

 

Vokabeln: Programme vs. Apps

App, kurz für Application, würde in der Übersetzung schlichtweg dem deutschen Wort Programme oder Applikation entsprechen. Höre ich Programme, denke ich häufig an den alten Menüpfad aus Windows XP: Start -> Programme -> Zubehör -> Spiele -> Minesweeper. Warum ist das Wort App nun so ein Hype, wo es doch eigentlich die selbe Bedeutung hat?

Das Wort App schwappte bei der Einführung des iPhones in unseren Sprachgebrauch über und gibt uns die Möglichkeit klarer zu unterscheiden. Das besondere an diesen Apps: Applikationen die nach Vorgaben in Punkto Design, Bedienung und Funktionsumfang entwickelt werden müssen, um es in den App-Store zu schaffen. Hinzu kommt ein Sandbox-System, dass den Zugriff dieser Apps auf den dafür vorgesehenen Rahmen reduziert. Programme – oder auch Legacy Apps – folgen lediglich soweit irgendwelche Vorgaben und Sicherheitsbestimmungen, wie es der Entwickler für nötig hält und die Anwendung lauffähig macht. Zentral konfiguriert werden Programme auf unterschiedliche Weise: z.B. das Anpassen irgendwelcher .ini-Dateien im Filesystem oder das Rumpfuschen in der Windows Registry mit irgendwelchen GPOs. Dabei ist viel Trial and Error Arbeit gefragt – denn die Applikationen geben, wenn sie auf mehrere Clients ausgerollt werden, keine Rückmeldung, ob sie korrekt konfiguriert wurden – hier meldet sich höchstens mal der Endnutzer, weil etwas nicht geht.

Ähnlich wie den für MDMs gesetzten Open Mobile Alliance URI Standard bildet sich beim MAM ein einheitliches Management.

 

MAM als Ergänzung zum MDM

Gehen wir davon aus, dass das Betriebssystem bereits gemanaget ist. Nun kommen Unternehmensapplikationen zum Einsatz, die Schnittstellen zu diversen Drittsystemen bieten. Dies entzieht sich der Betriebssystemverwaltung des MDM.

Abbildung: Speicherkonto hinzufügen

Als Ergänzung zum MDM werden z.B. folgende Vorgaben gesetzt:

 

Nur wenn die Prüfung der Anforderungen erfolgreich ist, kann die App auf Unternehmensdaten zugreifen.


Abbildung: Wartemodus Zugriffsüberprüfung

MAM-WE: Mobile Application Management Without Enrollment

Im Folgenden wird die Verwaltung von Applikationen betrachtet, die auf freien – und damit dritten zugänglichen – Geräten betrieben werden. Diese Konfiguration kann auch ein vorhandenes MDM ergänzen. Generell wird davon ausgegangen, dass der Endnutzer die Anwendungen selbst installiert und dann versucht diese mit dem Unternehmenssystem zu verbinden.

Anstatt zu einem kompletten Enrollment aufzufordern wird hier lediglich die Anwendung verwaltet – gegenüber den vorherigen Anforderungen ist hier noch das setzen einer separaten PIN oder der Fingerabdruck des Besitzers von Nöten, um die App zu öffnen. Der Speicher der Anwendung wird zudem von den Betriebssystemeinstellungen unabhängig in einem eigenen Container verschlüsselt und soweit möglich aus dem Backup, z.B. via iCloud, ausgeschlossen. Alle vom Systembackup erfassten Daten sind jedoch verschlüsselt und somit unbrauchbar.

 

Abbildung: Abfrage Fingerabdruck/PIN

Nicht nur Microsoft: Fremdapplikationen mit Intune-MAM

Intune besitzt eine Softwareverteilung, mit der sich nicht nur Microsoft-Apps ausrollen lassen. Auch Drittanbieter-Apps oder Eigenentwicklungen können hierüber verteilt und, sofern vom Tool unterstützt, vorkonfiguriert werden.

Abbildung: Konfigurationseinstellungen

Fazit

Gerade das MAM-WE stellt ein großartiges Konzept für Unternehmensgeräte mit Privatnutzung oder BYOD dar.
Sie haben Interesse an den hier aufgezeigten Konzepten? Nehmen Sie gerne Kontakt zu uns auf!