Mobile Geräte werden immer wichtiger und enthalten immer mehr sensible Daten. Dementsprechend sollten sie fest in die Sicherheitsinfrastruktur einer Firma eingebunden werden. Lösungen gibt es dafür bereits zahlreiche auf dem Markt, Firmen wie RIM haben unter anderem darauf einen ganzen Weltmarkt errichtet. Mit dem Wortungetüm Systems Center Mobile Device Manager 2008 will nun auch Microsoft selbst in die Verwaltung von mobilen Geräten einsteigen (wir berichteten).
Das Besondere daran: Der SCMDM integriert mobile Geräte wie PDAs und Smartphones direkt in das Active Directory. Administratoren müssen also nicht umlernen, sondern können wie gewohnt ihre Nutzer verwalten.
In diesem Artikel wollen wir einen ersten Blick auf die Funktionsweise und die Fähigkeiten des SCMDM werfen.
Was kann der SCMDM?
Die Features des Systems Center Mobile Device Manager können sich durchaus sehen lassen: Für Handys und PDAs gibt es kein eigenes Schema, sie sehen aus und verhalten sich wie normale Workstations oder Server. Der Administrator kann Gruppenrichtlinien erlassen, Features wie die Kamera deaktiveren oder Einstellungen und Updates verteilen.
Der Ablauf
Bilder sind deutlich aussagekräftiger als der reine Text, daher begleiten wir die Funktionen des SCMDM mit einer Reihe an Screenshots und Fotos. Wie bereits erwähnt klinkt sich der SCMDM nach der Installation direkt in das Active Directory der Firma ein.
Für den korrekten Ablauf muss das Endgerät „richtig“ im Internet sein. Da der SCMDM eine VPN-Verbindung zwischen Endgerät und Server aufbaut, müssen außerdem diverse Ports freigegeben sein; laut Microsoft benötigt die Software die Ports 500, 4500 und 4901.
Account vorbereiten und Gerät einbinden
Bevor sich ein neues Gerät in die Umgebungsstruktur eingliedern lässt, muss einiges an Vorbereitung erledigt werden. Notwendige Informationen sind beispielsweise die E-Mail-Adresse, das Passwort für den Enrollment-Prozess oder die Nutzerdaten ganz allgemein. Dabei hilft der sogenannte „Pre-Enrollment Wizard“. Der Assistent führt in fünf Schritten durch die Vorbereitung.
Hat der Assistent seine Arbeit erledigt, wechselt die Arbeit vom Server auf das Gerät über. In Windows Mobile 6.1 gibt es dafür in den Einstellungen einen neuen Punkt namens „Domain Enroll“. Klickt der Nutzer auf den Button, startet der Prozess auf dem Endgerät.
Dazu ist zunächst die Eingabe der E-Mail-Adresse notwendig. Das Smartphone verbindet sich im Anschluss mit dem jeweiligen Server und sucht die Enrollment-Einstellungen auf dem Server. Werden diese gefunden, fragt das Smartphone das zuvor vergebene Enrollment-Passwort ab. Ist dies richtig eingegeben, wird das Gerät in die Domäne aufgenommen und eingebunden.
War das Einbinden erfolgreich, verlangt Windows Mobile einen Neustart. Anschließend greifen bereits die ersten Maßnahmen. So baut das Device etwa einen VPN-Tunnel zum Server auf und signalisiert im Home-Bildschirm mit einem Logo, dass die Verbindung aktiv ist.
Policies ausrollen
Eine der ersten Sicherheitsmaßnahmen ist, das Gerät mit einem Passwort zu schützen. Ist diese Richtlinie aktiv, wird der Benutzer nach dem ersten Neustart gezwungen, ein neues Passwort zu vergeben.
Ansonsten liefert Microsoft bereits eine Reihe von Policies mit. Mit dabei ist beispielsweise die Möglichkeit, die integrierte Kamera zu deaktivieren – auch zeitgesteuert.
Nahezu jede Funktion kann der Administrator erlauben oder deaktivieren, die Smartphones lassen sich also in gewisser Weise „abhärten“.
Daneben kann der Administrator aber auch wie bei Desktop-Systemen Konfigurationen auf die Geräte bringen. Das beginnt beim Einrichten von E-Mail-Konten und geht bis hin zu speziellen Bluetooth-Einstellungen. So ist es beispielsweise möglich, die Pairing-Codes von Freisprecheinrichtungen bereits von Beginn an in dem Gerät zu verankern. Dazu kommt hier eine weitere Besonderheit von Windows Mobile 6.1. Denn laut Microsoft testet das Betriebssystem bei einem Bluetooth-Pairing-Vorgang die bekanntesten Standard-Pairing-Codes, um automatisch eine Verbindung mit der Gegenstelle herzustellen.
Sind die mitgelieferten Richtlinien nicht ausreichend, können Admins auch eigene Policies schreiben. Praktisches Beispiel: Zwar wird eine Richtlinie mitgeliefert, die Speicherkarten zwingend verschlüsselt, will man externen Speicher aber komplett verbieten, ist das nur per Handarbeit zu erreichen.
Verteilen von Software
Weitere Anwendungsbereiche für den Systems Center Mobile Device Manager sind das Deployment und die Wartung von Software. Die mobilen Geräte lassen sich über das System remote und „over the air“ mit neuen Programmen bestücken. Ebenso ist es möglich, Updates oder Upgrades flächendeckend auszurollen.
Wie meistens bei Microsoft läuft auch die Software-Verteilung über einen Assistenten. Der Software-Wizard legt dabei die Voraussetzungen für einzelne Pakete fest. So macht es beispielsweise keinen Sinn, eine Touchscreen-gesteuerte Anwendung auf einem normalen Windows-Mobile-Telefon zu installieren.
Einige Anwendungen erfordern zudem bestimmte bereits installierte Tools oder spezielle Registry-Keys. Über den Assistenten kann man diese Abhängigkeiten auflösen und die Anwendungen in einem Rutsch installieren. Zuletzt kann man festlegen, in welchen Sprachvarianten die Software auf dem Endgerät landet und ob es dem User erlaubt ist, die Software zu deinstallieren.
Ist so ein Paket erstellt, kann man es anschließend an komplette Gruppen oder einzelne Geräte verschicken. Die Endgeräte laden sich anschließend die benötigten Programme und Informationen nach und richten das Paket ein – ohne Zutun des Nutzers.
Voraussetzungen: Was geht – und was nicht?
Bevor nun jemand den Untergang von BlackBerry und Konsorten beschwört, muss man über die Vorraussetzungen des Systems Center Mobile Device Manager Bescheid wissen. Da zeigt sich nämlich, dass Microsoft in erster Linie für die Zukunft plant; die Gegenwart oder nahe Vergangenheit interessieren nicht.
Zunächst zu den Endgeräten. Auf diesen muss zwingend Windows Mobile in der Version 6.1 laufen. Denn das Gerät muss den Microsoft-proprietären VPN-Client einsetzen können, außerdem müssen einige Voraussetzungen für das erste Ausrollen der Policies gegeben sein. Die ersten Geräte mit Windows Mobile 6.1 sollen im Laufe dieses Jahres ausgeliefert werden. Ältere Smartphones erhalten unter Umständen ein Update, wann und ob diese erfolgen, liegt aber in der Hand der Hersteller. Geräte ohne Windows Mobile 6.1 könnten zwar theoretisch unterstützt werden, darum müssen sich dann laut Microsoft aber Dritthersteller kümmern.
Auf der Server-Seite ist der SCMDM ebenfall anspruchsvoll. Mindestens ein Server 2003 64-Bit muss vorhanden sein. Zusätzlich sind SQL Server 2005, Active Directory und Microsoft CA erforderlich.
Fazit: Interessanter Ansatz für aktuelle Microsoft-only-Umgebungen
Wer in seiner Infrastruktur nur Microsoft-Produkte einsetzt, für den ist der Systems Center Mobile Device Manager eine praktische und einfache Möglichkeit, mobile Endgeräte einzubinden. Die direkte Integration in Active-Directory verringert die Lernkurve, wer täglich mit Nutzern arbeitet, der sollte sich schnell zurechtfinden. Kombiniert man den SCMDM mit den Push-Mail-Fähigkeiten aktueller Exchange-Installationen, erhält man einen kompletten Klon der BlackBerry- oder IntelliSync-Funktionen.
Anders sieht es dagegen in heterogenen Umgebungen aus. Zumindest derzeit interessiert es Microsoft anscheinend nicht, dass nicht jede Firma auf Windows Mobile setzt. Anstatt hier die Chance zu nutzen und ein offenes Protokoll mit passenden Schnittstellen zu schaffen, mauert man sich ein. Zwar sollen Drittentwickler durchaus auch andere mobile Betriebssysteme integrieren können, wann das geschieht, wer sich damit beschäftigt und ob das überhaupt funktioniert, diese Fragen bleibt der Windows-Konzern schuldig. Auch die Nutzer älterer Windows-Mobile-Geräte bleiben außen vor, wenn ihnen der Hersteller kein Update zukommen lässt.
Wer sich in Zukunft um Geräteverwaltung sorgen macht, sollte Microsofts SCMDM zwar durchaus mit ins Auge fassen, aber nicht vergessen, dass es auch bereits etablierte Produkte in diesem Bereich gibt, die nahezu alle Umgebungen und Endgeräte unterstützen, etwa IntelliSync von Nokia, die ubi-Suite von Ubitexx oder die BlueFire-Suite. (mja)