Zum Inhalt springen

Mobile Device Management (MDM) mit Android Smartphones? Besser nicht.

Ich beschäftige mich nun seit längerem mit Mobile Device Management (MDM) und will etwas davon berichten weshalb meiner Meinung nach Android im Geschäftsumfeld keine Alternative zum Apple Ökosystem ist.

Der Fuhrpark an mobilen Smartphones ist erfahrungsgemäß schon recht groß bevor man sich im Unternehmen mit MDM Systemen beschäftigt. Meistens fängt es mit den Abteilungsleitern an, die dann (weil es idR. wenige sind) Apple Geräte bekommen. Dann weitet sich der Personenkreis aber langsam aus und jemand rechnet nach, dass man nicht einfach allen Mitarbeitern iPhones geben kann. Dann verteilt man unterhalb der Abteilungsleiter günstigere Android Telefone und nach und nach wächst der Zoo an Geräten im Unternehmen, die anfangs natürlich noch gut vom Gerätebetreuer händisch verwaltet werden können aber irgendwann kommt einem der erste Ausreißer unter, der keine PIN Sperre hat, sein Smartphone als Massenspeichermedium in jeden PC steckt, schön alle Firmenkontakte zu seinem privaten Whatsappkonto synchronisiert. Das verlorene Gerät wird nicht gemeldet, sondern es wurde einfach neu angeschafft und niemand weiß welche Firmendaten auf dem verlorenen Flash Speicher lagen. Dem Mitarbeiter fällt nicht auf, das seine Mails seit Monaten nicht mehr synchronisieren, weil er die schriftliche Änderungsmitteilung vom neuen Mailkonto nicht umgesetzt hat usw.

Mobile Geräte sind dort wo die Mitarbeiter sind. Das heißt, wenn man nicht permanent schriftliche Anleitungen an die Mitarbeiter verschicken möchte, wie sie Änderungen an ihren Geräten umsetzen sollen (und wir darauf vertrauen, dass diese auch umgesetzt werden) müssen die Geräte (und die Mitarbeiter) zum Gerätebetreuer und dieser darf dann alle Mitarbeitergeräte in die Hand nehmen um beispielsweise eine neue App einzurichten oder neue Zugangsdaten für den Exchange Server einzutragen um dabei auch noch festzustellen, dass das Mitarbeitertelefon nicht einmal die geforderte PIN Sperre hat und damit alle Firmendaten offen herumliegen.

Je mehr Geschäftstelefone an Mitarbeiter überlassen werden, desto eher stellt sich sich irgendwann die Frage, wie die Verwaltung der Geräte aussehen soll. Jemand muss die Geräte einrichten, auf dem aktuellen Stand halten, die entsprechenden Richtlinien umsetzen und im Falle eines Geräteverlustes sollte keine Gefahr für das Abhandenkommen der Gerätedaten entstehen. Aber schon ab dem ersten Gerät hängt die händische Konfiguration den Unternehmensrichtlinien hinterher.

Am Markt gibt es dutzende Hersteller von Softwarelösungen, die sich im Kern aber gar nicht so groß voneinander unterscheiden, was die reine Geräteverwaltung an geht, denn sie setzen auf die Funktionen, die entweder Android oder IOS über ihre Schnittstellen bereit stellt. Darüber hinaus kann natürlich das MDM auch weitere Funktionen bereitstellen aber darauf möchte ich hier gar nicht eingehen – auch empfehle ich keine MDM Lösung.

Der Geräteverwalter hat sich nun für eine Lösung entschieden, die Android und IOS Geräte gemeinsam verwalten kann. Damit sind schon ein paar Anbieter durch das Raster gefallen, die sich auf ein Betriebsystem spezialisieren, leicht teurere Anbieter bleiben übrig.

Die Registrierung für den Apple Businessmanager ist etwas aufwändiger und zeitintensiver als die für den Google Enterprise Account. Deshalb sollte schon möglichst frühzeitig damit begonnen werden diesen zu beantragen. Anleitungen dafür gibt es viele. Am aufwändigsten ist es eine D-U-N-S zu beantragen, sofern man noch keine hat. Eine was? Ja, genau 😉

Hat man sein schönes neues MDM System an die beiden Ökosysteme angeschlossen kann es mit der ersten Geräteeinrichtung los gehen.

Und hier muss man eine Grundsatzfrage stellen: Wie soll das Gerät Konzeptuell verwendet werden?

Jetzt schlagen einem Begriffe wie BYOD, CO, COPE usw. um die Ohren.

BYOD = Bring Your Own Device.

Der Mitarbeiter stellt seiner Firma sein privates Gerät zur geschäftlichen Nutzung zur Verfügung und räumt der Firma auf seinem Smartphone einen Arbeitsbereich ein, wo firmeneigene Apps und Dokumente aus der Ferne installiert werden können. Welches Gerät das ist liegt aber nicht im Ermessen der Firma und wie der Mitarbeiter sein Gerät schützt ebenfalls nicht. Das Gerät geht ohne PIN verloren? Pech! Die Wahrscheinlichkeit, dass der Gerätebetreuer aber auch mal selbst Hand an einem privaten Gerät anlegen muss um manuelle Konfigurationen durchzuführen ist hoch und es gibt nichts unangenehmeres als sein Smartphone aus der Hand zu geben oder an einem fremden Gerät arbeiten zu müssen. BYOD als Unternehmenskonzept ist mehr als fragwürdig.

CO = Company Owned

Die „klasischer Arbeitgeber“ Variante ein Gerät zu verwalten. Die Firma bezahlt das Gerät, die Firma bestimmt über die Geräterichtlinien. Hier muss sich der Geräteverwalter am wenigsten Gedanken darüber machen was mit dem Gerät passiert. Das Gerät kann aus der Ferne gesperrt werden, geortet werden, es können nur freigegebene Apps (durch den Geräteverwalter oder durch den Mitarbeiter) installiert werden. Der feuchte Traum für jeden Kontrollfreak aber sobald die Frage aufkommt, warum der Mitarbeiter jetzt zwei Smartphones hat, ein privates und ein geschäftliches und ob man nicht doch Candy Crush auf dem Geschäftsgerät installieren kann heißt es: ¯\_(ツ)_/¯

Auf 100 Deutsche kommen 134 Mobiltelefone. Nachhaltigkeit? Fehlanzeige!

COPE = Corporate owned, personally enabled

Die „moderne Arbeitgeber“ Variante. Die Firma bezahlt das Gerät, der Firma gehört das Gerät, die Firma verwaltet das Gerät, der Mitarbeiter darf aber in einem eigenen Bereich selber Apps installieren wie er lustig ist, wenn er mag. Es ist quasi die umgekehrte Variante vom BYOD. Wem das ausreicht, der braucht privat kein zweites Gerät haben. Die Welt ist auf einmal wieder bunt und Bäume wachsen überall. Aber… aktuell kann Android das nicht ¯\_(ツ)_/¯ Das wird erst noch nachgeliefert und es dauert vermutlich auch noch bis die MDM Systeme damit umgehen können und wie gut die Funktion im ersten Wurf wird weiß auch noch keiner.

Und bei IOS?

Im Supervised Mode eines IOS Gerätes gehört das Smartphone der Firma und steht auch unter deren Verwaltung im Apple Business Manager. Wenn es die Geschäftsrichtlinie erlaubt kann der Mitarbeiter eine eigene AppleID hinzufügen und darüber Apps beziehen und diese auch nutzen. Die Trennung zwischen geschäftlichen und privaten Apps ist fließend.

Wie taucht der Mitarbeiter gegenüber Apple oder Google auf?

Wir kennen es aus dem privaten Bereich. Wir haben eine AppleID oder einen Google Account und damit werden Apps aus dem Appstore geladen. Aber wie schaut das im Geschäftsumfeld aus?

Das erfreuliche ist bei beiden Varianten, dass der Mitarbeiter gegenüber Apple oder Google anonym bleibt. Bei Android legt das MDM System für jedes Gerät gegenüber Google einen anonymen Account an, der als Unteraccount vom Google Enterprise Account fungiert.

Bei Apple hingegen ist keine separate AppleID notwendig. Das Smartphone ist dem MDM System zugewiesen, das MDM System hängt hinter einem Apple Business Manager Account und in diesem passiert die Lizenzierung der entsprechenden Apps.

Apps? Wie läuft das mit dem Apps? Gute Frage!

Privat kaufen wir Apps auf unseren Google Account oder die AppleID. Wir hinterlegen eine Kreditkarte oder kaufen uns vorab Guthaben. Und im Geschäftsumfeld?

Bei Apple kauft man im Apple Business Manager Lizenzen für Apps. So z.B. bezahlt man für 50 Lizenzen 0€, wenn es sich um eine kostenlose App handelt oder man kauft z.B. von Guthabenkarten 50 Lizenzen einer kostenpflichtigen App für Betrag X.

Die Lizenzen sind „free Floating“ und können dynamisch über das MDM auf die gewünschten Geräte übertragen werden. Ein Mitarbeiter benötigt die App nicht mehr? Dann deinstallieren wir die App vom einen Gerät und weisen sie jemand anderem wieder zu.

Bei Android gibt es den Managed Google Play Store. Dieser hängt am Google Enterprise Account und das MDM System gibt Apps aus dem Google Managed Google Play Store frei. Damit ist sie im MDM System zur Zuweisung in unendlicher Häufigkeit bereit.

Und was ist mit kostenpflichtigen Apps? Warte…

Man müsste ja meinen, dass ein florierender Google Playstore, den Millionen von Privatleuten nutzen auch für Unternehmen zugänglich ist und dass man da schön mit der Firmenkreditkarte einkaufen kann.

Nope, das kann man nicht (mehr). Der Managed Google Play Store hat den Support für gekaufte Apps eingestellt. Wer also gerne 5€ für eine App ausgeben will, die den CalDAV Kalender mit dem Android Kalender synchronisieren soll, dann geht das nicht.

Ja, aber?

Don´t blame Google, blame the Developer. Die Enwickler sind dazu angehalten ein eigenes Lizenzierungsmodell zu entwickeln. Mit einer 0€ App im Appstore, der man dann hinterher Lizenzschlüssel einspielen soll,

Excuse me please?

¯\_(ツ)_/¯

Prüft also, ob Eure kostenpflichtigen Apps, die Ihr im Unternehmensumfeld benötigt auch ein solches Lizenzmodell anbieten. Kleinere Entwickler werden den Aufwand für ein solches Modell einfach nicht gestemmt bekommen. Welche Apps ihr benötigt steht am Anfang der Einführung aber noch nicht fest. Die Anforderungen dafür kommen ja erst im laufenden Betrieb.

Die Useability im laufenden Betrieb

Die Anzahl der Einstellungsmöglichkeiten unterscheiden sich massiv von Android zu IOS. Weil das MDM nur die Kernfunktionen von Android steuern kann habt ihr keinen Einfluss darauf, ob der Sprachassistent von Eurem XYZ-Android Smartphone den Geschäftsführern bei der Besprechung lauschen soll oder nicht.

Android und IOS parallel zu verwalten bedeutet auch immer einen erhöhten Konfigurationsaufwand. Ihr müsst die Regeln, die Ihr haben wollt für beide Ökosysteme eigens definieren. An und für sich nicht schlimm. Was aber am einen System problemlos möglich ist z.B. (IMAP/SMTP Server für E-Mail-Konten für IOS zu hinterlegen) ist bei Android nicht möglich und fordert hier einen anderen Weg. Eine extra App, die über eine sog. Managed Configuration mit den entsprechenden Einstellungen gefüttert werden muss. Konfigurationsaufwand 1/5 vs. 4/5.

Änderungen, die Ihr an Gerätekonfigurationen macht werden von dem MDM System über die jeweiligen Pushserver an die Endgeräte weitergeleitet und was hier bei IOS quasi sofort passiert ist bei Android immer ein Glücksspiel oder erweist sich als Geduldsprobe.

Wenn ich mehreren Geräten neue Apps oder Konfigurationsprofile zuweise, dann habe ich es nicht in der Hand wann die Änderungen auf den Geräten landen. Ob hier das Energiemanagement der Geräte reinspuckt oder Google Lastverteilung vornimmt weiß ich nicht, aber wenn ich einen Mitarbeiter am Telefon supporte, dann will ich, dass meine Änderungen sofort passieren und nicht „im laufe der nächsten Stunde“. Teilweise laufen meine Änderungen im MDM sogar auf Fehler wenn sie nicht innerhalb einer gewissen Zeit umgesetzt werden und ich muss nacharbeiten. Sparks no Joy.

Fazit

Moderne Nutzungskonzepte in einem MDM (auch auf Seiten von IOS und Android) zu implementieren, die eine flexible Nutzung zwischen Arbeitgeber und Arbeitnehmer ermöglichen ist bestimmt nicht einfach. Die Anforderungen der Firmen und Nutzer sind hier viel weiter als das was aktuell von IOS und Android an Funktionalität bereit gestellt wird. MDM ist leider auch keine Sache wo man ein One-Fits-All Konzept für jede Firma überstülpen kann. Wenn hier Interesse besteht kann ich gerne noch tiefer auf einzelne Themen eingehen, was z.B. auch mit IOS nicht 100%ig läuft und wo hier die Schuhe drücken. Lasst gerne einen Kommentar da.

Gefällt dir der Beitrag?

Schreibe dich in den Newsletter ein und bekomme in unregelmäßigen Abständen zusammenfassende Newsletter mit den neuesten Beiträgen. Ich halte es minimalistisch. Versprochen.
Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*