Enterprise- & MDM-Tauglichkeit von Windows Phone 8.1

Bild: Kārlis Dambrāns

Bild: Kārlis Dambrāns

Mit steigendem Bedarf an mobilen Endgeräten mit Business-Charakter gehen neue Anforderungen an die Entwickler der zugehörigen mobilen Betriebssysteme einher. Eine offene Schnittstelle zur Entwicklung von Verwaltungsfunktionen für das jeweilige Betriebssystem oder Konfigurationsmöglichkeiten, welche schon im Auslieferungszustand geboten werden,  spielen in der Entscheidungsfindung heutzutage eine wichtige Rolle.

So ist es nicht verwunderlich, dass Microsoft in der neusten Version ihres mobilen Betriebssystems, welches erst kürzlich auf der Entwicklerkonferenz Build 2014 offiziell vorgestellt wurde, interessante MDM- und Enterprise-Features anbietet. Seit dem 14. April steht nun die Developer Preview zum Download zur Verfügung.

Die Beliebtheit für Windows Phone manifestiert aus dem allseits bekannten Desktop Betriebssystem. Zu Release galt Windows Phone als sehr Consumer-bezogen – durch Windows Phone 8.0 und insbesondere Windows Phone 8.1 änderte sich dies allerdings. Microsoft fokussiert sich nun verstärkt auf den Bereich des Enterprise Mobility Managements (EMM) und dem damit inbegriffenen Mobile Device Management (MDM). Hierdurch kann beispielsweise auf die bestehende Synergie der produktivitätssteigernden Produktpalette von Windows nun auch sicher im Unternehmensumfeld zugegriffen werden.

Vereinfachtes Device Enrollment

Der Vorgang des Device Enrollments und somit das Einbinden des Geräts in ein bestehendes MDM wurde von Microsoft wesentlich vereinfacht. Hierfür sind lediglich zwei Schritte vorgesehen:

  • Der Nutzer wählt die Option, seinen Arbeitsplatz hinzuzufügen
  • Eingabe des betrieblichen Email-Accounts

Hinterlegt man die öffentliche IP des MDM in der dafür vorgesehenen Microsoft DNS Datenbank, wird die Email-Adresse automatisch aufgelöst und mit dem jeweiligen MDM (nach erfolgreicher Validierung) verbunden. Es können zusätzliche Informationen während dieses Prozesses angefordert werden, falls dies vom Unternehmen erwünscht ist. Dem Benutzer können nun alle unternehmensrelevanten Daten (beispielsweise Applikationen) auf das mobile Endgerät übertragen werden. Microsoft legt besonderen Wert darauf, diesen Vorgang so einfach und transparent wie möglich zu gestalten: der Benutzer weiß zu jeder Zeit, auf welche Daten er dem Unternehmen gegenüber Einsicht gewährt.

Konfigurationsmanagement und MDM/Server-Push

Selbstverständlich lassen sich auch für Windows Phone 8.1 Policies im MDM abbilden, welche dann mit dem Endgerät synchronisiert werden können. Hierbei wurden alle bestehenden Sicherheits- und Gerätemanagement-Policies von Windows Phone 8.0 übernommen und um neue Konfigurationsmöglichkeiten erweitert. So können Administratoren nun über die neuen MDM APIs in Windows Phone 8.1 zusätzliche Restriktionen zu Funktionalitäten auferlegen, wie beispielsweise Abschaltung der WiFi-Funktion, der Lokalisierung sowie Screen Captures. Allerdings wurden hierbei eher längst fällige Restriktionen nachgezogen, als das damit eine Vorreiterstellung eingenommen wurde.
Die komplette Liste kann dem offiziellen Microsoft Windows Phone 8.1 MDM Overview Paper[1] (Seite 7) entnommen werden.

Eine enorm wichtige Neuerung von Windows Phone 8.1 ist allerdings die Möglichkeit, Änderungen direkt auf das mobile Endgerät zu pushen. Diese konnten bisher lediglich über intervallartige Server-/MDM-Pull-Anfragen mit dem Gerät synchronisiert werden. Für kleine Policy-Änderungen hat dies keine größeren Auswirkungen, allerdings resultieren daraus Probleme wie beispielsweise bei Geräte-Wipes. Diese waren bisher nicht unmittelbar möglich, was wiederum ein großes Sicherheitsrisiko darstellte. Durch die Server-initierte Push-Möglichkeit wurde diesem Sicherheitsrisiko entgegengewirkt und einige neue Optionen (z.B. Remote Lock) erst realisierbar.

Zertifikatsmanagement

Zertifikate spielen eine wichtige Rolle in der mobilen Sicherheit, allerdings fehlt es den Benutzern häufig an fundiertem Hintergrundwissen, um die Relevanz ganzheitlich zu verstehen. Aus diesem Grunde bietet Windows Phone 8.1 die Option an, alle nötigen Zertifikatsentscheidungen bereits zentral im MDM zu treffen. Das MDM kann dadurch den kompletten Windows Phone Zertifikats-Lifecycle vorbestimmen. Dies wird durch das Simple Certificate Enroll Protocol (SCEP) realisiert, welches bereits vom Konkurrenten Apple und dessen aktuellem Betriebssystem iOS 7.1 bekannt ist.

VPN und WiFi Management

Der fehlende VPN Support galt als einer der Hauptprobleme von Windows Phone 8.0 – diesem wurde nun Abhilfe geleistet. Windows Phone 8.1 bietet die Möglichkeit, App-spezifische VPN-Einstellungen über IPSec und SSL VPN Gateways vorzunehmen und dadurch Zugriff auf das Intranet zu gewährleisten. Konfigurierbar durch das MDM kann so automatisch eine VPN-Verbindung beim Öffnen einer spezifischen App hergestellt werden bzw. wiederhergestellt werden. Durch die Windows Phone 8.1 MDM APIs können weitere Einstellungen zur Thematik vorgenommen werden (z. B. VPN Restriktionen).

Zusätzlich kann manuell oder über ein MDM der WiFi-Zugriff im Unternehmen geregelt werden. Unterstützt werden dabei folgende Protokolle: PEAP-MSCHAPv2, EAP-TLS und EAP-TTLS. Dadurch könne alle wichtigen WiFi-Einstellungen provisioniert werden, um Komplexität vor dem Nutzer zu verstecken und Sicherheitslücken für Unternehmen zu schließen.

Fazit

Windows Phone 8.1 bietet viele neue, essentielle Schnittstellen für MDM-Systeme und schafft so eine Grundlage für die Einführung des mobilen Betriebssystems in den Enterprise Bereich. Windows rückt hiermit allerdings eher an die Konkurrenten heran, als sich einen Wettbewerbsvorteil zu verschaffen. Immerhin können Windows-Liebhaber schon bald damit rechnen, dass der Einsatz der neuen Betriebssystem-Version auch an ihrem Arbeitsplatz unterstützt wird. So bietet beispielsweise VMWare’s AirWatch Windows Phone 8.1 Unterstützung am selben Tag des Releases.[2]

Quellen:
[1] Microsoft: Windows Phone 8.1
[2] VMWare Airwatch: Same-Day Support Windows Phone 8.1

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *