26. November 2019

Mobile Device Management mit Microsoft Intune – Für welche Unternehmen eignet sich die Alternative zu MobileIron, AirWatch & Co?

Mobile Device Management mit Microsoft Intune – Für welche Unternehmen eignet sich die Alternative zu MobileIron, AirWatch & Co?

Viele Unternehmen stehen erstmals oder auch wiederkehrend vor der Entscheidung, welches MDM- oder UEM-System sie zur sicheren Verwaltung ihrer Mobilgeräte einsetzen. Das Mobile Device Management System „Intune“ von Microsoft wird zunehmend als kostengünstige Alternative zu den bekannten Lösungen wie MobileIron, Workspace ONE by VMware (ehemals Airwatch) oder Sophos Mobile in Betracht gezogen.

Doch wann ist Microsoft Intune die richtige Wahl?

Im Zuge der Anbindung unserer Mobile Threat Defense Lösung APPVISORY® an Microsoft Intune haben wir uns intensiv mit den Funktionen sowie den daraus resultierenden Vor- und Nachteilen von Microsoft Intune im Vergleich zu den anderen Mobile Device Management Systemen beschäftigt.

Die Frage ob Microsoft Intune eine ernstzunehmende Alternative zu den bekannten Anbietern wie MobileIron oder Airwatch darstellt, hängt in erster Linie von den individuellen Richtlinien und Anforderungen an das jeweilige MDM/UEM-System ab. Basisfunktionen wie die Geräte-Bereitstellung, Richtlinienverwaltung, Anwendungsbereitstellung und Software-Updates lassen sich mit Intune erledigen – wenn auch deutlich umständlicher als in den genannten Alternativen.

Jedoch sollten sich Unternehmen, die den Einsatz von Intune in Betracht ziehen, über folgende Limitierungen im Klaren sein:

  1. Microsoft Intune ist nur auf den ersten Blick (für Office365-Abonnenten) kostenlos. Viele Features, die für den professionellen Betrieb notwendig sind (wie z.B. Container oder die Nutzergruppenverwaltung über Active Directory) sind kostenpflichtig. Zielt man also auf einen vergleichbaren professionellen Funktionsumfang wie bei MobileIron, Airwatch & Co ab, kommt man je nach individuellem Angebot auf vergleichbare oder sogar höhere Kosten.
  2. Eines der wichtigsten Security-Features von MDMs ist das Erstellen und Verwalten von App-Blacklists und –Whitelists, die von Mobile Threat Defense Lösungen wie APPVISORY® mit Inhalt befüllt werden, um letztendlich eine sichere Softwareumgebung für die Nutzer zu schaffen. In Microsoft Intune sind die Blacklists auf einen Umfang von maximal 100 Apps beschränkt, was in der Praxis selten ausreicht. Dieses Limit besteht bei den anderen MDM-Anbietern nicht. Im Intune-Webinterface lassen sich zwar mehr als 100 Apps hinzufügen, diese werden dann jedoch noch vor der Synchronisation mit den Geräten auf maximal 100 Einträge abgeschnitten. Hier verwirrt Microsoft seine Kunden und verursacht unnötigen Aufwand, da diese Kürzung weder sofort im Interface sichtbar wird, noch eine hilfreiche oder sinnvolle Meldung dazu erscheint. Auf Nachfrage bedauert der technische Microsoft Support diese Limitierung und bestätigt die Produktseitige Einschränkung, die in absehbarer Zeit nicht behoben werden soll.
  3. Das Auslesen genutzter Apps auf Unternehmensgeräten findet ohne einen eindeutigen Bundle Identifier statt, wie er von den App-Stores wie iTunes oder Google Play bereitgestellt wird. Somit ist ein eindeutiges Matching der genutzten Apps mit angedockten Tools wie APPVISORY® oder Datenbanken nur über Umwege realisierbar. Im dazugehörigen Support-Thread nennt Microsoft Datenschutzgründe als Ursache für dieses Verhalten. Inwieweit der Bundle-Identifier ein Datenschutzrisiko darstellt, ist jedoch nicht nachvollziehbar.
  4. Die auf den Company Devices befindlichen App-Portfolios werden von Microsoft frühestens alle 7 Tage aktualisiert, was für einen wirkungsvollen Schutz vor problematischen Apps eindeutig zu selten ist.
  5. Die Bedienung ist im Vergleich zu den anderen MDM-Lösungen insgesamt sehr gewöhnungsbedürftig und sperrig (u.a. extrem lange horizontale Scroll-Balken)
  6. Aufgrund technischer Limitierungen lassen sich keine Automatismen zum Entfernen ungewollter oder problematischer Apps realisieren. Hierdurch entstehen für Administratoren, insbesondere wenn sie größere Geräteflotten verwalten, signifikante Zusatzaufwände, da sie individuell pro Device und Verstoß reagieren müssten.

Fazit:

Im Vergleich zu den etablierten MDM/UEM-Systemen wie MobileIron, Airwatch/Workspace ONE oder Sophos Mobile bestehen noch signifikante Einschränkungen. Die Schnittstelle zum Sicherheitsbaustein APPVISORY® ist ab sofort gegeben, jedoch lassen sich die Microsoft seitigen Limitierungen damit nur teilweise umgehen. In bestimmten Szenarien (wie z.B. Windows-Netzwerken mit kleinen Mobilegeräteflotten) kann der Einsatz aufgrund der geringen Einstiegshürden Sinn ergeben. Insbesondere für Office365-Nutzer, die sich dem Thema MDM nähern wollen, kann Microsoft Intune ein guter Einstieg sein. Größere und langfristig agierende Unternehmen sollten jedoch das starke Wachstum der Mobilgeräteflotten und damit verbunden die kontinuierlich steigenden Anforderungen an ein professionelles Mobile Device und Endpoint Management im Blick behalten, wenn sie ihre Auswahl treffen.

Autor:

Sebastian Wolters (CEO, mediaTest digital GmbH)
Email: wolters@appvisory.com
Twitter: https://twitter.com/wolters_mtd
LinkedIn: https://www.linkedin.com/in/sebastian-wolters-08641328/



Ich erkläre mich mit der Erfassung meiner Daten einverstanden. (Pflichtfeld) Datenschutzerklärung

GratiS Webinar zur Anbindung von APPVISORY an Microsoft Intune

Weitere Details zum Zusammenspiel von Intune und Appvisory präsentieren wir in dem folgenden kostenlosen Einführungs-Webinar:

Termine

12.12.2019 um 10:30 Uhr