Shao-Lee 11 Geschrieben 24. Oktober 2012 Melden Teilen Geschrieben 24. Oktober 2012 Hallo zusammen, ich setze meine Fragestellung mal hier ins "OffTopic", da ich mich erstmal vorsichtig an das Thema "Mobile Endgeräte" auf Basis iOS / Android herantasten muss und mir zugegebenermaßen die Erfahrung fehlt :-( Um mal kurz die Situation zu schildern: Wir setzen gegenwärtig ein homogenes Windows 2003-Netzwerk ein, mit einem BlackBerry Enterprise Server und Exchange 2003. Bis dato bin ich als Admin von der Lösung auch vollends überzeugt, da sich die BlackBerrys via BES an den Exchange anbinden lassen, Wartung und Betriebsaufwand ist angenehm minimal. Der Punkt ist, dass die bei uns eingesetzte BlackBerry-Lösung in der Geschäftsleitung keine Akzeptanz mehr findet. Das hängt im wesentlichen an den Endgeräten und dem dahinterliegenden Ökosystem. Aus meiner (systemintegrativen und sicherheitstechnischen) Sicht als Admin natürlich seeeeeeeeeeehr bedauerlich - aber ich bin jetzt aufgefordert, bis Jahresende ein Konzept für eine Neuausrichtung aufzubauen. Mit diesem Thread geht es mir darum, einmal ein paar grundsätzliche Aspekte anzusprechen, die bei diesem Thema berücksichtigt werden müssen. Zur Infrastruktur: Mir ist bewusst, dass eine Veränderung unserer BES-Lösung eine Reverse-Proxy-Netzöffnung benötigt sowie ggf. ein Domäne-/Exchange-Upgrade mit sich bringt (zur unterstützung der neuen mobilen Geräte). Die Exchange-Anbindung sollte das kleinste Problem sein. ABER: Geräteverwaltung "iOS": Wenn ihr iOS-Systeme bei Euch angebunden habt - wie ist die Geräteverwaltung bei Euch gelöst? Benötige ich für jedes iOS-Gerät einen eigenen iTunes-Benutzer? :confused: iTunes am Arbeitsplatz installieren, um Bilder vom Gerät ins Netz zu importieren - da sträuben sich mir die Nackenhaare (zumal iTunes & Terminalserver überhaupt nicht zusammenpasst) :confused: Geräteverwaltung "Android": Die Installation von Apps ist auch hier an ein Google-Konto gebunden. D.h.: für jedes Android-Gerät müssen Google-User angelegt werden, die ggf. von mir verwaltet werden müssen? Die Anbindung von Android-Geräte zum Datenaustausch könnte über USB problemlos auch auf einem Terminalserver-Client genutzt werden (Zugriff auf Verzeichnisebenen). Wenn die BES-Geräte verloren gingen, liesen die sich mit einem Mausklick remote löschen. Nutzt jemand von Euch eine Software mit der man in ähnlicher Form iOS/Android-Geräte verwalten/ablöschen kann? Wenn jemand von Euch zu den 3 Punkten das eine oder andere Stichwort einwerfen kann, wäre ich sehr dankbar! Vielen Dank und viele Grüße, Shao Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 24. Oktober 2012 Melden Teilen Geschrieben 24. Oktober 2012 wen man das ganz genau machen will, dann gibts spezielle Lösungen dazu, zB Mobile Iron. Was auch im kommen ist sind Virtualisierungen auf dem Device, also man hat auf Knofpdruck seien Fimenumgebung mit genauen Spielregeln oder eben seine Privatumgebung ohne Einschränkungen. Ich persönlich halte von all dem nichts, die Entwicklung auf den mobile Devices ist rasend schnell, da kommt die Managementseite defakto nicht mit, außerdem wollen die User nicht gegängelt werden. Und im Fall von MobileIron-Apple ist das ganze Zusammenspiel sowieso nur ein Gefrickel. Daher haben wir zB ein lasches BYoD Konzept, mit den mobiles kann man zB ins WLAN wie mit dem PC auch, geht über Userauthentifizierung. Zertifikate werden keine verwendet, da wäre der rollout auf die mobiles auch ein Horror. Klar wollen anfangs alle am Tablet alles machen können das sie auch am Dekstop/Laptop machen, am Ende des Tages rufen die Leute dann aber eh nur Mails ab und syncen ihren Kalender. Sharepoint, Fileshare, Nagios,VPN...für das alles gibts meistens dezidierte Apps, aber so richtig benutzen kann man sie eh nicht, zu unkomfortabel, zu wenig Funktionen und per Touch einfach nicht sinnvoll zu benutzen. Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 24. Oktober 2012 Melden Teilen Geschrieben 24. Oktober 2012 Hallo Shao, ;) hm, hätteste mal beim vorvor- oder vorletztem Boardtreffen am Niederrhein dabei sein müssen. Da war das Thema. Hab mir da leider nicht viel gemerkt, nur das es spannend und interessant war. Der vortragende und wissende Member ist grad im Urlaub. Ich denke mal, er meldet sich, sobald er kann. ;) Zitieren Link zu diesem Kommentar
tcpip 12 Geschrieben 24. Oktober 2012 Melden Teilen Geschrieben 24. Oktober 2012 Hi, schau Dir mal Absolute Manage MDM an. Das wird Dir alle Fragen zu dem Thema beantworten. Absolute Software | Absolute Manage MDM Aber zum Therma Terminalserver und iTunes kann Dir so schon sagen das das nicht funktionieren wird. ;) Gruß tcpip Zitieren Link zu diesem Kommentar
MrCocktail 194 Geschrieben 24. Oktober 2012 Melden Teilen Geschrieben 24. Oktober 2012 *lacht* @Esta: ich bin im Urlaub, nicht aus der Welt, und jetzt ist draussen dunkel... @TO: Du hast in meinen Augen 3 Varianten und musst dabei einen Tot sterben... Sicher ==> Blackberry, du musst die User überzeugen möglichst sicher ==> du nutzt eine wirklich gute MDM Software (Mobile Iron, Good...) und verbietest alles, aber wirklich alles.... dann kannst du bei einem iOS Gerät einigermassen sicher sein, dass die Daten möglichst gut geschützt sind. Ich hatte bisher noch keine Zeit mich mit iOS 6 und den Lücken auseinanderzusetzen, aber sie sind dar. (du verbietest sebstverständlich die Installation von Apps) alles andere ==> du lässt dir von der GF unterschreiben, dass jeder MA dafür Sorge trägt, dass keine APPS usw auf die Firmendaten zugreifen dürfen, jede Installation der APPs darauf geprüft wird, usw... Das gleiche lässt du dir von jedem MA unterschreiben und dennoch sind deine Daten irgendwann in der Cloud.... Meine Momentan am meisten (und weiterhin organisatorisch) verbotenen APPS: - Whatsapp (ohne Zugriff auf Kontakt nicht nutzbar) - Facebook (fragt immer wieder ab, ob er auf die Daten zugreifen darf) - Twitter - iCloud.... und der letzte Statusreport hat dennoch 2 Abmahnung nach sich gezogen. Mein Tipp: Überzeuge die Leute vom Blackberry für die Business Kommunikation und über eine Ultra Card (Multi Card bei T, bei den anderen weiss ich gerade nicht) ein iPhone zum auf den Tisch legen mit. Und so schlecht sind die aktuellen Endgeräte doch gar nicht? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 24. Oktober 2012 Melden Teilen Geschrieben 24. Oktober 2012 the war is over...das ist ein Kampf gegen Windmühlen ;) Blackberry findet nun mal bei den Usern keine Akzeptanz mehr (also wenn mein Chef irgendwo mit so nem Kastl auftaucht würde er ausgelacht werden) und ein Smartphone ohne WhatsApp ? Könnte sich meine Firma gleich behalten. In den Managerhinrgespinsten am besten noch in Kombi mit Byod,natürlich in der Form das der User das Device kauft und nachher nichts damit anfangen kann wenn es in der Firma verwendet wird. Bei den iPhone ist der Managementkram ohnehin großteils Augenauswischerei, denn da rennt alles über die Cloud von Apple und nur die bestimmen letztendlich was man die Software machen kann und was nicht. Wenn Apple morgen einfällt sie krempeln alles um, tja dann wars das eben. Wobei ich dazu sagen muss das ich bei einem Mobile Provider arbeite, also wenn hier nicht schon die Putzfrau das neueste, hippste Phone hat, dann stimmt was nicht :) Daher: Die Leut sollen jedes Phone/Tablet nutzen das sie eben haben wollen und via ActiveSync mit dem Exchange reden, fertig. 99% der User werden ausreichend bedient sein. Zitieren Link zu diesem Kommentar
MrCocktail 194 Geschrieben 24. Oktober 2012 Melden Teilen Geschrieben 24. Oktober 2012 @Otaku19: Naja, wir müssen bestimmte Dinge zertifiziert nachweisen, und dass können wir bisher nur mit RIM. Also ist es bei uns noch einfach: Entweder du nimmst einen BB oder du nimmst ein Nokia 6021.... alles andere gibt es momentan nicht mehr. Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 24. Oktober 2012 Autor Melden Teilen Geschrieben 24. Oktober 2012 Verdammt - warum überrascht mich die Diskussion nicht... Danke Euch für die bisherigen Beiträge! Ich will jetzt hier keinen Glaubenskrieg vom Zaun brechen, aber auch bei uns in der Führungsebene ist der BlackBerry zwischenzeitlich ein belächeltes Werkzeug - auch wenn die Geräte für den Alltagsgebrauch absolut geeignet sind. Bei den Android- & iOS-Geräten sprechen wir von guten Consumer-Produkten, und da haperts halt an der Integration in Business-Netze - zumindest kann ich mir nicht vorstellen, dass die Managementumgebungen an den hier laufenden BES ran kommt (ich fass' das Ding max. 2x pro Halbjahr an). Wenn man ein iPhone zur Nutzung abgibt, will das Ding genutzt werden - und dazu gehören nunmal Apps... @Otaku: werden bei Euch die Apps ausnahmslos vom Geschäft bezahlt? Haben die User dann ihr eigene iTunes-Konten? Für mich stellen sich im Moment 2 Lösungsansätze da: 1.) Firmeneigene Handy's/Tablets 1.1) Aktivierung und Inbetriebnahme über die IT-Abteilung 1.2) Einbindung des Gerätes in ein Managementsystem & Anbindung ans Netzwerk (Exchange) 1.3) Abgabe an GF / Mitarbeiter mit Restriktionen zur Nutzung 1.4) Verbindungsentgelte / laufende Kosten für Apps übernimmt Firma 2.) "BYOD"-Konzept Handy's/Tablets 2.1) GF / Mitarbeiter nutzt eigenes Gerät in eigener Verantwortung; für jegl. Nutzung offen 2.2) Anbindung der privaten Geräte beschränkt sich rein auf den Exchange-Account (Konnektierung durch die EDV) ( 2.3) ggf. Zuschuss od. Übernahme bei Verbindungsentgelte ) 2.4) App-Käufe bleibt Privatangelegenheit Kann man die Nutzungskonzepte mal so grob zusammenfassen? Danke Euch - viele Grüße, Shao Zitieren Link zu diesem Kommentar
Esta 114 Geschrieben 25. Oktober 2012 Melden Teilen Geschrieben 25. Oktober 2012 Off-Topic:@MrCocktail, hab doch geschrieben "sobald du kannst". ;) Aber als ich im Juni 3 Wochen da war, war ich konsquent auch wirkliche 3 Wochen OFF-line. :cool: :D Zitieren Link zu diesem Kommentar
Userle 145 Geschrieben 25. Oktober 2012 Melden Teilen Geschrieben 25. Oktober 2012 Nun wenn Du als Admin überzeugt bist von RIM solltest Du auch sehr hartnäckig für den Verbleib dieser Lösung kämpfen. Hilfe kannst Du von RIM selbst erhalten. Sprech mal mit ein paar der RIM Onkels dazu. Wenn Du keine direkten RIM Kontakte hast, PN me und ich gebe Dir da gerne etwas weiter. Ich denke RIM wird ab 2013 mit der neuen Modellgeneration und BB OS 10 wieder stärker werden. Was auch immer Du tust, so weise in schriftlicher Form auf die Sicherheitsbedenken anderer Lösungen im Vergleich zu RIM hin. Dann kannst Du in jedem Fall besser schlafen auch wenn es mit iPhone und Co. mal zu einem Desaster kommt. Greetings Ralf Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 26. Oktober 2012 Melden Teilen Geschrieben 26. Oktober 2012 @Otaku: werden bei Euch die Apps ausnahmslos vom Geschäft bezahlt? Haben die User dann ihr eigene iTunes-Konten? alle Handys und Tablets sind Privateigentum, die Firma kommt für keinerlei Apps auf Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 27. Oktober 2012 Melden Teilen Geschrieben 27. Oktober 2012 Für mich stellen sich im Moment 2 Lösungsansätze da: 1.) Firmeneigene Handy's/Tablets 1.1) Aktivierung und Inbetriebnahme über die IT-Abteilung 1.2) Einbindung des Gerätes in ein Managementsystem & Anbindung ans Netzwerk (Exchange) 1.3) Abgabe an GF / Mitarbeiter mit Restriktionen zur Nutzung 1.4) Verbindungsentgelte / laufende Kosten für Apps übernimmt Firma 2.) "BYOD"-Konzept Handy's/Tablets 2.1) GF / Mitarbeiter nutzt eigenes Gerät in eigener Verantwortung; für jegl. Nutzung offen 2.2) Anbindung der privaten Geräte beschränkt sich rein auf den Exchange-Account (Konnektierung durch die EDV) ( 2.3) ggf. Zuschuss od. Übernahme bei Verbindungsentgelte ) 2.4) App-Käufe bleibt Privatangelegenheit Ich sehe bei fast allen Kunden eine Mischung aus den beiden Konzepten. 1.) Firmeneigene Handy's/Tablets 1.1) Aktivierung und Inbetriebnahme über die IT-Abteilung (iTunes Account auf Firmen-Email des MA) 1.2) Einbindung des Gerätes in ein Managementsystem & Anbindung ans Netzwerk (Exchange) 1.3) Abgabe an GF / Mitarbeiter mit Restriktionen zur Nutzung (kurze Schriftliche Form, regelmässige Prüfung) 1.4) App-Käufe bleibt Privatangelegenheit Wir haben ein bißchen mit Blackberry Fusion für uns intern rumgespielt, aber im Endeffekt ist die Entwicklung so schnell am Markt, das MDM Lösungen kaum nachkommen... Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 29. Oktober 2012 Autor Melden Teilen Geschrieben 29. Oktober 2012 Hallo zusammen! Nochmals herzlichen Dank für Eure konstruktiven Feedbacks! Ich habe diese und kommende Woche noch zwei Termine mit externen Dienstleistern, wo ich das Thema ebenfalls anbringen werde. Wenn man das Thema Mobile Devices auf die Kernfunktionen reduziert, dann sprechen wir vom Telefonieren (geht mit BlackBerry sehr gut), Exchange und Internet. Ich könnte mir also vorstellen, beim Thema "Telefonieren" für die BlackBerry-Lösung zu argumentieren, wobei eine zusätzliche Ausstattung mit einem iOS-Device - dem iPad - erfolgen könnte. Im November würde ich mich mit der Konzeption befassen. @Ralf: ich werde in diesem Zusammenhang zurückkommen auf Dein Angebot (Argumentation für BB) - vielen Dank nochmals. Eine Idee gibt es noch. Wenn ich meinen Chef überzeugen kann, auf unnötigen "SchnickSchnack" zu verzichten, wäre ggf. auch ein Windows 8 Tablett interessant - und zwar für die Exchange-Anbindung & Internet. Den erhofften "Oha?"-Effekt hätte ich zumindest dann sicher in der Tasche und bei den Themen "Sicherheit" & "Anbindung" ein Windows-Device, dass sich hoffentlich flach in die Infrastruktur einbetten lässt (Muss ich noch überprüfen) :-) Ich halte Euch auf dem Laufenden! Grüßle, Shao Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 29. Oktober 2012 Melden Teilen Geschrieben 29. Oktober 2012 Mail und Internet bedarf keiner MDM Lösung,meiner Meinung nach. Ich kenne Firmen die zB extra für mobile Devices eine eigene SSID machen, mit einfacherer Authentifizierung als das WLAN für Notebook User, aber dafür auch mit mehr Einschränkungen, Zugriff zum owa ist natürlich erlaubt, der wird ja im Normalfall auch aus dem Internet gestattet, wäre sinnfrei wenn das die Mobiles im WLAN nicht dürften. Internetzugang gibts auch, aber eben keinen Zugang zu den anderen Office PCs oder Servern, auch eine Trennung der WLAN User untereinander ist möglich (muss eben der AP/der Controller können), haben aber viele nicht aktiviert...wir auch nicht :) Ein captive Portal empfiehlt sich hier aber nicht unbedingt, das wäre auf mobiles unpraktisch und wird oft nicht ordentlich angezeigt. Zitieren Link zu diesem Kommentar
Shao-Lee 11 Geschrieben 20. November 2012 Autor Melden Teilen Geschrieben 20. November 2012 Das Thema wird noch von mir bearbeitet - ist aber grad nicht Prio 1. Themenverknüpfung: http://www.mcseboard.de/windows-forum-security-47/mobile-devices-management-software-188304.html Ich halte Euch auf dem Laufenden. Grüßle, Shao Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.