Für welche Unternehmen eignet sich Microsoft Intune als Alternative zu MobileIron, AirWatch & Co?
Viele Unternehmen stehen erstmals oder auch wiederkehrend vor der Entscheidung, welches MDM- oder UEM-System sie zur sicheren Verwaltung ihrer Mobilgeräte einsetzen. Das Mobile Device Management System „Intune“ von Microsoft wird zunehmend als kostengünstige Alternative zu den bekannten Lösungen wie MobileIron, Workspace ONE by VMware (ehemals Airwatch) oder Sophos Mobile in Betracht gezogen.
Wann ist Microsoft Intune die richtige Wahl?
Im Zuge der Anbindung unserer Mobile Threat Defense Lösung APPVISORY® an Microsoft Intune haben wir uns intensiv mit den Funktionen sowie den daraus resultierenden Vor- und Nachteilen von Microsoft Intune im Vergleich zu den anderen Mobile Device Management Systemen beschäftigt.
Die Frage ob Microsoft Intune eine ernstzunehmende Alternative zu den bekannten Anbietern wie MobileIron oder Airwatch darstellt, hängt in erster Linie von den individuellen Richtlinien und Anforderungen an das jeweilige MDM/UEM-System ab. Basisfunktionen wie die Geräte-Bereitstellung, Richtlinienverwaltung, Anwendungsbereitstellung und Software-Updates lassen sich mit Intune erledigen – wenn auch deutlich umständlicher als in den genannten Alternativen. Jedoch sollten sich Unternehmen, die den Einsatz von Microsoft Intune in Betracht ziehen, über ein paar Limitierungen im Klaren sein.
Limitierungen des Mobile Device Managements Intune
1. Kosten für Microsoft Intune
Microsoft Intune ist nur auf den ersten Blick (für Office365-Abonnenten) kostenlos. Viele Features, die für den professionellen Betrieb notwendig sind (wie z.B. Container oder die Nutzergruppenverwaltung über Active Directory) sind kostenpflichtig. Zielt man also auf einen vergleichbaren professionellen Funktionsumfang wie bei MobileIron, Airwatch & Co ab, kommt man je nach individuellem Angebot auf vergleichbare oder sogar höhere Kosten.
2. Positiv- und Negativlisting (ehemals White- und Blacklisting) von Apps
Eines der wichtigsten Security-Features von MDMs ist das Erstellen und Verwalten von App-Positiv- und –Negativlisten. Diese füllen Mobile Threat Defense Lösungen wie APPVISORY mit Inhalt, um letztendlich eine sichere Softwareumgebung für die Nutzer zu schaffen. In Microsoft Intune sind die Negativliste auf einen Umfang von maximal 100 Apps beschränkt, was in der Praxis selten ausreicht. Dieses Limit besteht bei den anderen MDM-Anbietern nicht. Im Intune-Webinterface lassen sich zwar mehr als 100 Apps hinzufügen, diese werden dann jedoch noch vor der Synchronisation mit den Geräten auf maximal 100 Einträge abgeschnitten. Hier verwirrt Microsoft seine Kunden. Zudem verursacht es unnötigen Aufwand, da die Kürzung weder sofort im Interface sichtbar wird, noch eine hilfreiche oder sinnvolle Meldung dazu erscheint. Auf Nachfrage bedauert der technische Microsoft Support diese Limitierung und bestätigt die produktseitige Einschränkung, die in absehbarer Zeit nicht behoben werden soll.
3. Fehlender Bundle Identifier
Das Auslesen genutzter Apps auf Unternehmensgeräten findet ohne einen eindeutigen Bundle Identifier statt. Diesen stellen App-Stores wie iTunes oder Google Play standardmäßig bereit. Somit ist ein eindeutiges Matching der genutzten Apps mit angedockten Tools wie APPVISORY® oder Datenbanken nur über Umwege realisierbar. Im dazugehörigen Support-Thread nennt Microsoft Datenschutzgründe als Ursache für dieses Verhalten. Inwieweit der Bundle-Identifier ein Datenschutzrisiko darstellt, ist jedoch nicht nachvollziehbar.
4. Allgemeine Limits von Microsoft Intune
Die auf den Company Devices befindlichen App-Portfolios aktualisiert Microsoft frühestens alle 7 Tage. Für einen wirkungsvollen Schutz vor problematischen Apps ist dies eindeutig zu selten. Zudem ist die Bedienung im Vergleich zu den anderen MDM-Lösungen insgesamt sehr gewöhnungsbedürftig und sperrig (u.a. extrem lange horizontale Scroll-Balken). Des Weiteren lassen sich aufgrund technischer Limitierungen keine Automatismen zum Entfernen ungewollter oder problematischer Apps realisieren. Hierdurch entstehen für Administratoren, insbesondere wenn sie größere Geräteflotten verwalten, signifikante Zusatzaufwände. Sie müssten dann individuell pro Device und Verstoß reagieren.
Unser Fazit:
Im Vergleich zu den etablierten MDM/UEM-Systemen wie MobileIron, Airwatch/Workspace ONE oder Sophos Mobile bestehen noch signifikante Einschränkungen. Die Schnittstelle zum Sicherheitsbaustein APPVISORY® ist ab sofort gegeben, jedoch lassen sich die Microsoft seitigen Limitierungen damit nur teilweise umgehen. In bestimmten Szenarien (wie z.B. Windows-Netzwerken mit kleinen Mobilegeräteflotten) kann der Einsatz aufgrund der geringen Einstiegshürden Sinn ergeben. Insbesondere für Office365-Nutzer, die sich dem Thema MDM nähern wollen, kann Microsoft Intune ein guter Einstieg sein. Größere und langfristig agierende Unternehmen sollten jedoch das starke Wachstum ihrer Mobilgeräteflotten im Blick behalten, wenn sie ihre Auswahl treffen. Und damit verbunden vor allem die kontinuierlich steigenden Anforderungen an ein professionelles Mobile Device und Endpoint Management.
