phatair 39 Geschrieben 17. Mai 2018 Melden Teilen Geschrieben 17. Mai 2018 Hallo zusammen, ich hoffe ich bin mit dem Thema MDM hier im richtigen Unterforum. Wir planen ein MDM System einzuführen, um in der Fertigung eine mobile Datenerfassung mit Android Geräten zu ermöglichen. Eingesetzt werden entweder Zebra oder PointMobile Android rugged devices. Im Moment wird das MDM System nur für diese Geräte genutzt und diese befinden sich ausschließlich im lokalen Fertigungsnetz und haben keine Verbindung ins Internet. Der MDM Server könnte also im internen LAN laufen und benötigt keinen externen Zugriff. Es ist allerdings nicht auszuschließen, dass wir in Zukunft auch Firmen Smartphones oder BYOD Geräte haben, die über das MDM System verwaltet werden sollen. Hier wäre dann natürlich ein externer Zugriff auf den MDM Server notwendig. Wir haben uns für SureMDM von 42Gears entschieden, da alle notwendigen Funktionen gegeben sind und das System nicht total überfrachtet ist, mit Funktionen die wir bei unserer Firmengröße nicht benötigen werden. Nun stellt sich für mich nur die Frage - stelle ich den MDM Server in unsere DMZ oder ins interne LAN. Im Moment wird wie gesagt kein Zugriff von Extern benötigt. Das wird sich aber mit hoher Wahrscheinlichkeit in den nächsten Monaten oder Jahren ändern. Ein Support Mitarbeiter der Firma meinte nun zu mir, dass wir ihn aus sicherheitstechnischen Gründen (da sonst alle verwalteten Geräte nach außen bekannt gegeben werden können) nicht in die DMZ stellen sollen, sondern den MDM Server im internen LAN betreiben sollen und falls ein externer Zugriff notwendig ist, die URL des Server durch die Firewall von extern zugänglich machen sollen (public facing). Das klang für mich jetzt erstmal merkwürdig, weil nach meinem Verständnis die DMZ ja genau für solch eine Situation geschaffen wird und ich eben nicht einen internen Server direkt ins Internet stellen möchte. Verstehe ich jetzt hier irgendwas komplett falsch? Wie habt ihr das gelöst? Steht bei euch der MDM Server auch in der DMZ? Danke euch schon mal. Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 17. Mai 2018 Melden Teilen Geschrieben 17. Mai 2018 Was hat das nun mit Exchange tun? Um Deine Frage zu beantworten: bei uns ist das MDM weder intern noch in der DMZ sondern in Office 365 bzw. Azure. ASR Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 17. Mai 2018 Melden Teilen Geschrieben 17. Mai 2018 Moin, MDM ist immer lokal - auch wenn die Geräte extern sind. Wir haben die MDM von Blackberry in der aktuellen Version (die haben mal einen anderen Anbieter gekauft und ihre Version mit deren Lösung unter eine Oberfläche gepackt). Damit managen wir sowohl reine interne als auch externe Geräte (bei uns Smartphones, iPhone und auch iPad, Android geht auch (nicht alle), haben wir aber nicht) DMZ gibt es übrigens nicht mehr, das heißt mittlerweile Perimeter Network. 1 Zitieren Link zu diesem Kommentar
PadawanDeluXe 75 Geschrieben 17. Mai 2018 Melden Teilen Geschrieben 17. Mai 2018 Hallo phatair, also das hier ist ein MS Forum, deswegen wird hier so schnell leider niemand etwas zu deinem Produkt sagen können. Typischerweise sollten Rechner, die direkt mit dem WAN/Internet kommunizieren nicht innerhalb des LANs angesiedelt werden. Wenn du also die Anforderung hast, dass MDM für externe Geräte aus dem WWW nötig ist, musst du dir entweder ein VPN bauen oder das System in die DMZ stellen. Aus meiner Sicht scheint das gewählte Produkt nicht das Richtige für euch zu sein, da mittelfristige Anforderungen nicht abgedeckt werden. Ihr müsst euch darüber im klaren werden, ob ihr zukünftig mobile Devices extern anbinden möchtet oder nicht. Wir nutzen BlackBerry und das seit Jahren. Es gibt bestimmt einfachere Setups dafür läuft der Server später stabil und ohne Ausfälle durch. Du kannst auch einzelne Komponenten in die DMZ auslagern, sofern gewünscht und die Dienste entsprechend aufteilen. Wie Nobby bereits sagte: MDM ist immer lokal - auch wenn das Gerät extern ist. Die Anbindung dazwischen muss sicher sein. Hierfür solltest du das entsprechende Werkzeug suchen und einsetzen. Um es mit NilsK's Worten zu sagen: immer zuerst Anforderung definieren, dann fällt der Weg zur richtigen Lösung meist einfacher. hth Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 17. Mai 2018 Autor Melden Teilen Geschrieben 17. Mai 2018 Hallo zusammen, vielen Dank erstmal für eure Antworten. Ich habe das Exchange Forum gewählt, da hier vor ein paar Monaten schon mal jemand über ein MDM Projekt geschrieben hatte. Vielleicht verstehe ich bei dem MDM System auch grundsätzlich etwas falsch bzw. drücke mich falsch aus. Das MDM System ist ja vor allem für BYOD gedacht bzw. um Firmenhandys managen zu können. Normalerweise sind diese Geräte ja außer Haus und mit einem MDM System kann ich es z.b. orten, zurücksetzen, eine Fernwartung durchführen und Richtlinien durchsetzen. Für all diese Vorgänge benötige ich doch eine Kommunikation des Handys zum MDM Server. Somit muss der MDM Server doch von extern erreichbar sein oder verstehe ich das falsch? Ich bin davon ausgegangen das hier nicht immer ein VPN vorgeschaltet wird. Soweit ich das verstanden habe, unterscheiden sich hier die MDM Systeme auch nicht. Wir hatten AirWatch, Mobi, MobilIron usw. im Test. Wir sind bei SureMDM geblieben, da es vor allem für die Fertigung die Beste Lösung ist. Das hat im Moment auch Prio 1. Zitieren Link zu diesem Kommentar
PadawanDeluXe 75 Geschrieben 17. Mai 2018 Melden Teilen Geschrieben 17. Mai 2018 Hi phatair, na klar unterscheiden sich die Systeme auch nicht - sie kochen eben alle nur mit Wasser. ;) Die Frage ist einfach: wer bringt euch den besten Kosten/Nutzen? Langfristig gesehen sehe ich hier deine Lösung ohne VPN (ich habe mich nicht ins Produkt eingelesen - korrigiere mich bitte) klar im Hintertreffen. BlackBerry zB macht das von Haus aus - genauso wie MobileIron. Ich persönlich halte BlackBerry nach wie vor als 3rd Party MDM immer noch ganz weit vorne. Wenn du einen Deep Dive möchtest PN mir. Ansonsten: wenn du deine primäre Anforderung erfüllt siehst und es läuft alles hindert dich nichts daran in 1-2 Jahren das Thema erneut anzugehen. Das macht eh am meisten Sinn, da deine Infrastruktur sich ja auch laufend verändert. Zitieren Link zu diesem Kommentar
gelöscht 0 Geschrieben 17. Mai 2018 Melden Teilen Geschrieben 17. Mai 2018 vor 8 Stunden schrieb Nobbyaushb: MDM ist immer lokal - auch wenn die Geräte extern sind. Wir verwenden Intune - da ist nichts lokal. ASR Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 18. Mai 2018 Autor Melden Teilen Geschrieben 18. Mai 2018 Danke PadawanDeluxe - ich komme darauf vielleicht noch zurück. Für uns ist es im Moment besonders wichtig die rugged devices so einzuschränken, dass nur eine App startet und sonst nichts mit den Geräten gemacht werden kann. Das hat sureMDM am Besten hinbekommen. Alle anderen Systeme konnten das nur bei iOS oder KNOX Geräten oder wenn diese gerooted waren. Auch die Möglichkeit des remote control war bei vielen Herstellern nur bei bestimmten Voraussetzungen möglich. Ich werde den MDM Server jetzt in unserem lokalen LAN installieren. Im Moment wird ja auch nur der lokale Zugriff benötigt. Werde dann mal mit dem Support die Problematik weiter besprechen und schauen wie wir es lösen, wenn in Zukunft Geräte von extern mit dem MDM kommunizieren sollen. Danke euch! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.