Windows 10 – vereinheitlichtes Anwendungsmanagement
In Windows 10 können die Programmierer Universalanwendungen mit dem gleichen Code und der gleichen Benutzeroberfläche entwickeln, sodass sie auf jedem Gerät mit Windows 10 laufen. Darüber hinaus können die Entwickler jetzt vorhandene Android-Anwendungen (Java und C++) nativ in Windows 10 starten. iOS-Entwickler können ihre Apps bequem konvertieren und im Windows Store veröffentlichen. Diese Apps sehen nicht nur auf jedem Gerät gleich aus, die IT kann auch Sicherheits- und Geräteverwaltungsrichtlinien erstellen und durchsetzen, die gleichermaßen für Smartphones, Laptops und PCs gelten. Am Wichtigsten ist vielleicht, dass der Benutzer bei allen Geräten mit Windows 10 die gleiche Benutzerumgebung vorfindet.
Anwendungsverteilung in Windows 10
Vor Windows 10 gab es zwei Modelle für die Verteilung hauseigener Apps. Für Windows Phone verteilte die IT Apps mit Anwendungsregistrierungs-Tokens (AETs) auf Smartphones. Für Desktop-Geräte nutzte die IT code-signierte Zertifikate, um die Anwendungsidentität zu verifizieren und einen Schlüssel zuzuweisen. Mit Windows 10 entfällt dieses fragmentierte Konzept. Stattdessen gibt es einen einheitlichen Windows Store für alle Windows-Anwendungen (auch für hauseigene Anwendungen und Anwendungen von Drittanbietern). Dort können EMM-Anbieter diese Anwendungen drahtlos (over the air – OTA) verteilen und verwalten.
In Windows 10 gibt es nicht nur einen einheitlichen AppStore, die IT kann auch Win-32-Anwendungen über die EMM-Konsole statt über das System Center bereitstellen – eine eindeutige Verbesserung in der neuen Plattform. In Windows 10 können IT-Administratoren nicht nur Apps aus dem Windows Store im Hintergrund verteilen und installieren (oder deinstallieren), sondern auch hauseigene Apps und Win-32-Anwendungen über MDM APIs – genauso wie mobile Apps. Der Endbenutzer muss nicht eingreifen und die IT kann bestimmte Apps für bestimmte Benutzer und Gruppen aktivieren.
Business Store für Windows 10
Der Business Store für Windows 10 ist ein spezielles Unternehmensportal, in dem sich Benutzer sofort zurechtfinden und Unternehmens-Apps herunterladen können. Mit dem Business Store erhält die IT zudem die Kontrollen und Konfigurationen, die sie zur effektiven Verwaltung und Verteilung aller Apps im Store über eine EMM-Plattform benötigt. Das Business-Store-Portal unterstützt flexible Business-Szenarien und eine Reihe von Anwendungsarten, beispielsweise angepasste, branchenspezifische Anwendungen. In Windows 10 ist kein Sideloading-Schlüssel mehr erforderlich, um diese Apps auf das Gerät zu laden.
Der Business Store ergänzt den Windows Store. Er unterstützt die gleichen universellen WindowsAnwendungen, die auf diversen Geräten unterschiedlicher Größe laufen. Der Business Store unterstützt auch die vorhandenen Apps für Windows 8.x für Desktops und Smartphones sowie „Bridge”-Apps der Windows-Plattform, über die auch Win-32- und Android-Apps im Store unterstützt werden. (Hinweis: „Bridge”-Apps funktionieren nur auf Geräten mit Windows 10 und höher.) Außerdem stehen im Business Store standardmäßig die Apps zur Verfügung, die im Windows Store angemeldet wurden.
Verteilung von Branchenanwendungen über den Business Store
Hauseigene Branchenanwendungen, beispielsweise eine interne Anleitung für die Personalabteilung, können vom Entwickler direkt im Business Store hochgeladen werden und sind nur für das Unternehmen verfügbar. Das heißt, sie werden nicht im Einzelhandelskatalog verteilt und können von Benutzern außerhalb des Unternehmens nicht aufgerufen werden. In dem Business Store kann der IT-Administrator außerdem autorisieren, welche Benutzer Anwendungen im Store hochladen dürfen. Sobald Apps von einem Entwickler eingereicht wurden, kann der IT-Administrator in den Business Store wechseln und diese Anwendungen für den Katalog akzeptieren oder sperren.
Volumenkauf über den Business Store
Windows 10 erlaubt nicht nur den Kauf mehrerer Lizenzen und deren Verteilung über eine EMM-Plattform, sondern erweitert die Möglichkeiten für den Massenkauf von Lizenzen um zwei verschiedene Optionen:
- Online-Modus: Ein Unternehmen kann Lizenzen im Windows Store kaufen, auf den MDM-Server hochladen und dort über den Store von Geräten abrufen lassen.
- Offline-Modus: Der Kunde kauft Lizenzen über das Business-Store-Portal und lädt diese auf den MDM-Server hoch. Im Gegensatz zum Online-Modus benötigen offlinebefindliche Geräte keine Internetverbindung für den App-Store. Stattdessen kann die IT private Netzwerke einrichten, beispielsweise für ein Auslieferungslager, einen entfernten Standort oder eine Strafverfolgungsbehörde, bei denen das Gerät überhaupt keine Verbindung mit einem öffentlichen Store aufbauen muss. Es wird lediglich eine Verbindung zum MDM-Server zur Installation der Apps hergestellt. Im Offline-Modus können öffentlich erhältliche Anwendungen aus dem Windows Store durch einen EMM-Anbieter über private Netzwerke verteilt werden, so dass das Gerät keine Verbindung zu einem öffentlichen Netzwerk aufbauen muss.
Volumenkäufe erlauben auch ein Upgrade oder Downgrade der Geräte-SKUs. Angenommen, ein Mitarbeiter kauft die günstigste Version von Windows Home für den privaten Gebrauch. Dieser Mitarbeiter bringt sein Gerät dann zur Arbeit mit und entscheidet sich für ein Upgrade auf Kosten des Unternehmens. Wenn der Mitarbeiter das Gerät abschaltet oder nicht mehr für das Unternehmen tätig ist, kann die Original-Windows-Lizenz vom Unternehmen zurückgefordert und für ein anderes Gerät verwendet werden.
Windows-Updates
In Windows 10 werden Geräte laufend aktualisiert; alle Updates können über den EMM-Anbieter verwaltet werden. Die IT kann konfigurieren, wann das Gerät Updates suchen sollte, und den Benutzer beim Neustart vor der Installation des Updates informieren. Das Gerät lässt sich so konfigurieren, dass Updates automatisch genehmigt werden, sodass der Benutzer bei der Installation nicht nochmals eine Endbenutzerlizenzvereinbarung (EULA) bestätigen muss.
Registrierte Geräte verbinden sich häufig mit mehreren Netzwerken, beispielsweise mit dem Unternehmensnetzwerk und dem privaten Netzwerk zu Hause. Um Updates unabhängig vom Netzwerk zu aktivieren, kann die IT festlegen, wie und von wo das Gerät Updates installieren soll. Beispielsweise kann die IT festlegen, dass Updates direkt vom Microsoft-Update-Server im Internet oder über einen Windows Server Update Services-Server (WSUS) bezogen werden müssen. Es kann auch eine alternative Option konfiguriert werden, wenn eine dieser Optionen nicht verfügbar ist.
Genauso wichtig ist, dass in Windows 10 Updates des Compliance-Status an den MDM-Server zurückgeliefert werden. Auf diese Weise erkennt die IT, welche Updates heruntergeladen, erfolgreich installiert oder nicht installiert wurden und für welche noch ein Neustart ausgeführt werden muss. Die IT kann außerdem kontrollieren, welche Betriebssystem- und App-Updates je nach Geräteart und Benutzerrolle bereitgestellt sind.
Kontrolle des Gerätezugriffs durch Integration von Azure Active Directory
In Windows 10 kann die IT eine Reihe von Richtlinien über die EMM-Konsole definieren, die den Geräte-Compliance-Status an Azure AD senden. Azure AD wiederum kann mit diesen Informationen den Zugriff zu Unternehmensressourcen erlauben oder sperren, die durch die Anmeldeinformationen von Azure AD geschützt sind. Beispielsweise kann die IT eine Richtlinie konfigurieren, die Geräte markiert, die die Compliance-Anforderungen nicht erfüllen oder bei denen ein Jailbreak festgestellt wird. Eine API erlaubt dem EMM-Anbieter dann den Versand der globalen Geräte-ID und des Compliance-Status an Azure AD. Wenn das Gerät die Compliance-Anforderungen nicht mehr erfüllt, kann Azure AD den Gerätezugriff auf Cloud-Ressourcen wie Office 365, Salesforce.com oder föderierte Dienste mit Authentifizierung über Azure AD sperren. Alle Geräte mit Windows 10, die Anmeldeinformationen von Azure AD verwenden, lassen sich auf diese Weise verwalten. Der IT-Administrator kann außerdem die AD-Synchronisation zwischen Azure AD und Windows Server AD konfigurieren, um den Zugriff auf Apps im Unternehmensnetzwerk zu kontrollieren.
Zugangskontrolle für Office 365 mit Azure Active Directory: Die EMM-Plattform für Windows 10 spielt eine zentrale Rolle bei der Überwachung und Meldung des Gerätestatus an Azure Active Directory, die dann den Kontozugriff je nach den Informationen vom EMM-Anbieter erlaubt oder verweigert.
Es sei noch darauf hingewiesen, dass Windows 10 nicht nur Azure AD, sondern auch Active Directory weiter unterstützt. Das heißt, die IT kann beide Verzeichnisdienste nutzen, ohne einen davon zu bevorzugen.
Absicherung von Office 365
Über MobileIron können IT-Administratoren Office 365 absichern und:
- Die App-Daten in Office 365 auf dem Gerät sowie bei der Übertragung zwischen dem Gerät und dem Backend-Anwendungsdienst schützen.
- Die nativen E-Mail- und PIM-Apps auf Mobilgeräten so konfigurieren, dass eine Verbindung mit Office 365 möglich ist.
- Apps für Office 365 sicher über den App Store des Unternehmens auf Mobilgeräte verteilen.
- Eine Kapselung des Betriebssystems erzwingen, beispielsweise eine Datentrennung, die Rechte zum Öffnen von Dateien beschränken und zum Schutz der Daten von Office 365 auf dem Mobilgerät Dateien selektiv löschen.
- Eine sichere Tunnelverbindung für Daten zwischen dem Gerät und der Cloud über die App VPN aufbauen.
- Unsauber konfigurierte Geräte und Browser sperren, sodass diese nicht über die Microsoft Active Directory Federation Services (ADFS) auf Office 365 zugreifen können und somit die Authentifizierungspfade beschränkt werden.
Fazit
Die Freigabe von Windows 10 ist ein wichtiger Meilenstein in der Entwicklung der modernen Unternehmensarchitektur.
Unternehmen kommen jetzt ihrem Ziel, zu Mobile-First-Unternehmen zu werden, mit wichtigen Funktionen wie der Zusammenführung von MDM-APIs für Geräte unabhängig von deren Größe, einer vereinheitlichten Benutzererfahrung für die verschiedenen Windows-Geräte, der EMM-Verteilung von Win 32- und modernen Apps und der besseren Datensicherung durch EDP sowie der Zugangssteuerung für Azure AD deutlich näher. Zusammen mit einer EMM-
Plattform eröffnen sich mit Windows 10 enorme Möglichkeiten für Unternehmen, die bereit sind, ein vereinheitlichtes Geräte- und Sicherheitsmanagement für eine moderne Unternehmensarchitektur bereitzustellen.
Weitere Informationen
Weitere Informationen über Windows 10 und dessen Konsequenzen für Ihr Unternehmen finden Sie unter https://www.mobileiron.com/windows10.
Senden Sie Fragen zur Umsetzung Ihrer Mobilstrategie bitte an globalsales@mobileiron.com.