BYOD Mobile Control Lösung für Windows Phone

[Nobbyaushb 1.471]

Moin,

 

schaut euch mal die Lösung von H&D an, ist aber auch alles eine Nummer größer.

 

BYOD Device gibt es bei uns nicht, wenn jemand wichtig genug für ein Smartphone ist, kommt das aus der Firma und ist ein Windows-Phone

Das wird von uns intern eingerichtet und vor eingestellt und geht dann erst zum User.

 

Bei jedem anderen ist Active Sync am Server aus.

 

Selbst nach dem Einschalten geht jedes neue Gerät erst in Quarantäne, damit der User nicht auf die Idee kommt, sein privates Gerät mit seinem Konto zu verbinden.

 

Für den Rest reichen mir die Richtlinien, die unser eigener Exchange mitbringt.

 

;)

 

PS: Blackberry will ich auch nicht mehr, der Server ist Sch***e - die Geräte der nächsten Generation werden auch mit Android laufen, gibt es hier nicht, Punkt.

[heuchler 17]

@Pharao:
Nun, ich kenne Sophos durchaus. Aus dem UTM Bereich ebenso wie aus dem Antivirus Bereich (und gerade da stößt mir einiges übel auf).
Mag sein das Sophos als Global Player gilt, hier und da auf irgendwelchen tollen Listen auftaucht - aber die Theorie weicht nunmal auch gerne von der Praxis ab.
Der Support ist mir dabei auch ein Dorn im Augen. Schön ist es, wenn man ihn nicht benötigt. Oder wenn Probleme/Fragen (die man sich selber stellt und die sich auch Kunden stellen) zur Kundenzufriedenheit beantwortet werden und nicht ausweicht oder sich irgendwas zurecht legt.

In Bezug auf die MDM Lösung kenne ich Sophos ebenfalls und durfte damit schon "arbeiten". Es funktioniert, ja.

Im Grund spricht auch rein technisch gesehen erstmal nichts gegen die Lösung von Sophos. Aber man hat auch seine Prinzipien ;-)

Es muss günstig sein und dem Zweck dienen. Mehr nicht. Ich denke ich werde mal ein Jahr lang die SaaS Variante testen.
Wenn es reicht - wunderbar. Wenn nicht - dann auch okay. Ein Wechsel und dessen Aufwand ist bei dieser kleinen Umgebung recht überschaubar.

Grundsätzlich lehne ich nämlich die Verwendung mitgebrachter Endgeräte ab. Wenn ein Gast kommt, erhält er einen Gast-Schlüssel für's WLAN extern (proxy transparent)

Und Netzteile für Smartphones die durch irgendwelche (Leih-)Arbeiter in die Maschinensteckdosen gesteckt werden, kassiere ich mittlerweile ohne auch nur ansatzweise zu zögern ein.
Man kann sich darüber unterhalten ob man sein Handy am Arbeitsplatz aufladen darf... aber an einer Maschine und dessen Gefährdung durch defekte Netzteile oder Verheddern einer umherbaumelnder USB Strippe in dem Kettenantrieb, möchte ich nicht riskieren.

Danke euch erstmal!

Viele Grüße
Daniel

[pharao 5]

Das kann ich voll und ganz verstehen. ;)

 

Ich bin hier im Unternehmen dazu "gezwungen", das zu verwenden was da ist und habe daher auch - was MDM angeht - nicht besonders weit über den Tellerrand geschaut. Aber das was ich von Sophos verwende, finde ich wirklich in Ordnung.

Leider ist es mit dem Support ja immer so eine Sache. Einige haben Glück, andere Pech. Mir geht's jedes mal so mit Acronis...

 

 

 

Ich denke ich werde mal ein Jahr lang die SaaS Variante testen

 

Die von Sophos?

 

 

 

kassiere ich mittlerweile ohne auch nur ansatzweise zu zögern ein

 

Ganz doof gefragt und bitte nicht falsch verstehen: Darfst du das rein rechtlich?  :shock:

 

Liebe Grüße

Robert

bearbeitet 3. August 2015 von pharao

[tesso 375]

Wenn die Leute unerlaubt ihr Handy laden, erfüllt das sogar einen Straftat Tatbestand. (248c Entziehung elektrischer Energie)

So b***d es klingt, es ist so. Das ist der Paragraph mit dem in den Anfängen versucht wurde Hacker zu verurteilen.

[pharao 5]

Abgefahren. Dankeschön!!!

[heuchler 17]

Hallo zusammen,

 

ich wollte mal eine kurze Rückmeldung geben.

Teste nun seit zwei Tagen Sophos:

Einrichtung ist okay. Man benötigt sowohl die Sophos App und muss zusätzlich die Unternehmens-App auf den Windows Phones einrichten.

Die Ersteinrichtung ist auch okay.
Allerdings habe ich bis vorhin nicht rausgefunden wie man ein Gerät ohne Zuhilfenahme des SelfService Portals anlegen kann.
Jetzt MUSS ich den Weg gehen: Jeweiligen User anlegen, Konto via Mail Link freischalten lassen und Kennwort vergeben (und nennen) lassen, dann einloggen und die Serverdaten in die App eintippen.

Profile sind auch schnell angelegt: Kennwort, Beschränkungen, WiFi vordefiniert, Bluetooth... allerdings gibt es nur die Wahl entweder App Store da, oder App Store weg.
Das verhindert im späteren Verlauf auf erforderliche (!) oder empfohlene Apps.
Wenn dann alles synchronisiert wird bekommt der User die Aufforderung zum Beispiel eine Pin für den Sperrbildschirm anzulegen.

Allerdings - und das ist ein Knackpunkt mit der App-Store Sperre:
Ich sehe nirgendwo welche Apps installiert sind.

Um also wirklich sicher zu gehen und sollte der User tatsächlich mal eine benötigen, muss man ihm temporär ein Profil verpassen dass den Store zulässt, und hinterher wieder sperren.

Das mit der Geräteeinrichtung ist auch noch so ein Haken finde ich.

Hmpf.. Jetzt wollte ich gerade auf meinem Handy die Exchangeeinrichtung testen, habe mein Handy gelöscht und meinen User neu angelegt - und kann nun mein Handy nicht mehr anlegen mit dem Hinweis auf den Support :D
Da haben wir es wieder...

 

Edit: was zahlt man denn so für die anderen Lösungen für 5-10 Devices?
Sophos ist jetzt in der Startphase für 5 Devices mit 360€ für SaaS echt günstig.

bearbeitet 21. August 2015 von heuchler

[Daniel -MSFT- 129]

Windows Intune solo für fünf User (nicht Geräte!) = 306 EUR Listenpreis

http://www.microsoft.com/de-de/server-cloud/products/microsoft-intune/Purchasing.aspx

 

Oder für geringfügig mehr als EMS-Suite inkl. Azure Active Directory Premium für MFA und SSO und Azure RMS für den Schutz von Inhalten von Dateien.

bearbeitet 22. August 2015 von Daniel -MSFT-

[heuchler 17]

Das geht tatsächlich preislich.
Herrje... jetzt wollte ich mir das angepriesene Video anschauen und was sieht man?
Ein Video im "Southpark" Stil, das als "Informativ" gelten soll.
Es ist doch nicht zu viel verlangt ein Video des echten Produktes einzubringen? :-/ Das machen jetzt gefühlt alle Unternehmen so.. 
 

Ich habe mal ein Testkonto angelegt.
Teilweise führen die Verlinkungen zu den Infos ins Leere (Dieses Thema ist nicht mehr verfügbar - zum Beispiel bei "Gerät registrieren").
Jetzt habe ich eine Richtlinie angelegt - weiß aber nicht wie und wo ich ein Gerät einem Testuser zuweisen kann bzw wie ich ein gerät registrieren kann.
Vielleicht denke ich auch zu kompliziert.

Ich weiß ja nicht... :suspect:

 

Vielleicht kannst Du mir eine Frage beantworten:

Kann man auch nicht gepushte Apps in der Oberfläche sehen?
Sozusagen eine Inventarisierung aller auf einem Windows Phone befindlichen Apps?
Das fehlt mir bei Sophos.

Und zweite Frage:
Gibt es eine Whitelist für Apps.
Store allgemein sperren - die Apps die auf einer Liste stehen können aber runtergeladen werden?

Wenn's das nicht gibt, dann kann ich mir den Aufwand auch sparen.

Viele Grüße und Danke euch

Daniel

[Daniel -MSFT- 129]

Ich bin nicht mehr so ganz auf dem letzten Stand bei Intune, aber zum Thema White-/Blacklisting schau mal in http://blogs.technet.com/b/tune_in_to_windows_intune/archive/2014/06/04/black-or-whitelist-applications-on-windows-phone-8-1-with-windows-intune.aspx

 

Die Config Manager Client Management-Lizenz ist in Intune mit enthalten.

[pharao 5]

Allerdings - und das ist ein Knackpunkt mit der App-Store Sperre:

Ich sehe nirgendwo welche Apps installiert sind.

 

Hey heuchler,

 

war im Urlaub, daher jetzt verspätete Antwort:

Installierte Apps siehst du, wenn du auf "Geräte" klickst und dann den dritten Reiter "Installierte Apps" anklickst. Dort siehst du, welche App es ist, welche Version, wie groß die App und die dazugehörigen Daten sind.

 

Ich gebe dir Recht. Die Anmeldung ist nicht gerade attraktiv.

Ich gehe so vor:

 

Auf dem iPhone

App Store starten -> Sophos Mobile Control herunterladen und installieren.

 

In der SMC

"Geräte" -> "Aktionen" -> "Gerät einrichten"

 

Dann die Sophos Mobiel Control App auf dem iPhone starten, QR Code scannen wählen und dann den QR Code aus der Mail scannen.

 

Das ging in der Vorversion deutlich entspannter. Da hat man eine SMS mit der Benachrichtigung bekommen, dass die Verwaltung jetzt eingerichtet werden kann und mit einem Klick auf den darin enthaltenen Link war man dann fertig.... Aber warum einfach, wenn's auch komplizierter geht?

 

 

Liebe Grüße

Robert

[heuchler 17]

Hey ihr :)

Dir nochmal lieben Dank @pharao.
Allerdings ging ich jetzt von einem regulären Application-Store aus, nicht von dem Apple App-Store. Und ich hoffe wirklich innig dass sich Apple diesen allgemeinen Begriff noch nicht via copyright geschützt hat ;-)

Beim iPhone kann ich es sehen, das weiß ich.

Mir geht es hier ganz speziell um WIndows-Phones (ab 8.1) da diese im Unternehmen auftauchen. Der Rest ist mir relativ egal.
Und das geht nicht, leider. Somit hat man nicht "mal schnell" die Übersicht über verwendete Apps die die User heruntergeladen haben.
Und eine Applications über den Server bereitzustellen scheint auch nicht richtig zu funktionieren.

Hier wäre interessant was intune in Verbindung mit Windows Phones kann:

Apps bereitstellen und auf das Handy pushen?
App Übersicht pro Handy anzeigen lassen?

Mal gucken - heute ist der Sophos Test leider abgelaufen, der für intune auch. b***d wenn man andere Dinge zu tun hat ;-)

Viele Grüße
Daniel