Jump to content

iOS/Android's ins Netzwerk? - Grundsatzfragen


Shao-Lee
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo zusammen,

 

ich setze meine Fragestellung mal hier ins "OffTopic", da ich mich erstmal vorsichtig an das Thema "Mobile Endgeräte" auf Basis iOS / Android herantasten muss und mir zugegebenermaßen die Erfahrung fehlt :-(

 

Um mal kurz die Situation zu schildern:

Wir setzen gegenwärtig ein homogenes Windows 2003-Netzwerk ein, mit einem BlackBerry Enterprise Server und Exchange 2003. Bis dato bin ich als Admin von der Lösung auch vollends überzeugt, da sich die BlackBerrys via BES an den Exchange anbinden lassen, Wartung und Betriebsaufwand ist angenehm minimal.

 

Der Punkt ist, dass die bei uns eingesetzte BlackBerry-Lösung in der Geschäftsleitung keine Akzeptanz mehr findet. Das hängt im wesentlichen an den Endgeräten und dem dahinterliegenden Ökosystem.

Aus meiner (systemintegrativen und sicherheitstechnischen) Sicht als Admin natürlich seeeeeeeeeeehr bedauerlich - aber ich bin jetzt aufgefordert, bis Jahresende ein Konzept für eine Neuausrichtung aufzubauen.

 

Mit diesem Thread geht es mir darum, einmal ein paar grundsätzliche Aspekte anzusprechen, die bei diesem Thema berücksichtigt werden müssen.

 

Zur Infrastruktur:

Mir ist bewusst, dass eine Veränderung unserer BES-Lösung eine Reverse-Proxy-Netzöffnung benötigt sowie ggf. ein Domäne-/Exchange-Upgrade mit sich bringt (zur unterstützung der neuen mobilen Geräte).

Die Exchange-Anbindung sollte das kleinste Problem sein.

 

ABER:

 

Geräteverwaltung "iOS":

Wenn ihr iOS-Systeme bei Euch angebunden habt - wie ist die Geräteverwaltung bei Euch gelöst?

Benötige ich für jedes iOS-Gerät einen eigenen iTunes-Benutzer? :confused:

iTunes am Arbeitsplatz installieren, um Bilder vom Gerät ins Netz zu importieren - da sträuben sich mir die Nackenhaare (zumal iTunes & Terminalserver überhaupt nicht zusammenpasst) :confused:

 

Geräteverwaltung "Android":

Die Installation von Apps ist auch hier an ein Google-Konto gebunden.

D.h.: für jedes Android-Gerät müssen Google-User angelegt werden, die ggf. von mir verwaltet werden müssen?

Die Anbindung von Android-Geräte zum Datenaustausch könnte über USB problemlos auch auf einem Terminalserver-Client genutzt werden (Zugriff auf Verzeichnisebenen).

 

Wenn die BES-Geräte verloren gingen, liesen die sich mit einem Mausklick remote löschen. Nutzt jemand von Euch eine Software mit der man in ähnlicher Form iOS/Android-Geräte verwalten/ablöschen kann?

 

 

Wenn jemand von Euch zu den 3 Punkten das eine oder andere Stichwort einwerfen kann, wäre ich sehr dankbar!

 

Vielen Dank und viele Grüße,

 

Shao

Link to comment

wen man das ganz genau machen will, dann gibts spezielle Lösungen dazu, zB Mobile Iron. Was auch im kommen ist sind Virtualisierungen auf dem Device, also man hat auf Knofpdruck seien Fimenumgebung mit genauen Spielregeln oder eben seine Privatumgebung ohne Einschränkungen.

 

Ich persönlich halte von all dem nichts, die Entwicklung auf den mobile Devices ist rasend schnell, da kommt die Managementseite defakto nicht mit, außerdem wollen die User nicht gegängelt werden. Und im Fall von MobileIron-Apple ist das ganze Zusammenspiel sowieso nur ein Gefrickel.

 

Daher haben wir zB ein lasches BYoD Konzept, mit den mobiles kann man zB ins WLAN wie mit dem PC auch, geht über Userauthentifizierung. Zertifikate werden keine verwendet, da wäre der rollout auf die mobiles auch ein Horror.

 

Klar wollen anfangs alle am Tablet alles machen können das sie auch am Dekstop/Laptop machen, am Ende des Tages rufen die Leute dann aber eh nur Mails ab und syncen ihren Kalender. Sharepoint, Fileshare, Nagios,VPN...für das alles gibts meistens dezidierte Apps, aber so richtig benutzen kann man sie eh nicht, zu unkomfortabel, zu wenig Funktionen und per Touch einfach nicht sinnvoll zu benutzen.

Link to comment

Hallo Shao,

 

;) hm, hätteste mal beim vorvor- oder vorletztem Boardtreffen am Niederrhein dabei sein müssen. Da war das Thema. Hab mir da leider nicht viel gemerkt, nur das es spannend und interessant war. Der vortragende und wissende Member ist grad im Urlaub. Ich denke mal, er meldet sich, sobald er kann. ;)

Link to comment

*lacht*

@Esta: ich bin im Urlaub, nicht aus der Welt, und jetzt ist draussen dunkel...

 

@TO:

Du hast in meinen Augen 3 Varianten und musst dabei einen Tot sterben...

Sicher ==> Blackberry, du musst die User überzeugen

möglichst sicher ==> du nutzt eine wirklich gute MDM Software (Mobile Iron, Good...) und verbietest alles, aber wirklich alles.... dann kannst du bei einem iOS Gerät einigermassen sicher sein, dass die Daten möglichst gut geschützt sind. Ich hatte bisher noch keine Zeit mich mit iOS 6 und den Lücken auseinanderzusetzen, aber sie sind dar. (du verbietest sebstverständlich die Installation von Apps)

alles andere ==> du lässt dir von der GF unterschreiben, dass jeder MA dafür Sorge trägt, dass keine APPS usw auf die Firmendaten zugreifen dürfen, jede Installation der APPs darauf geprüft wird, usw...

Das gleiche lässt du dir von jedem MA unterschreiben und dennoch sind deine Daten irgendwann in der Cloud....

Meine Momentan am meisten (und weiterhin organisatorisch) verbotenen APPS:

- Whatsapp (ohne Zugriff auf Kontakt nicht nutzbar)

- Facebook (fragt immer wieder ab, ob er auf die Daten zugreifen darf)

- Twitter

- iCloud....

 

und der letzte Statusreport hat dennoch 2 Abmahnung nach sich gezogen.

 

Mein Tipp:

Überzeuge die Leute vom Blackberry für die Business Kommunikation und über eine Ultra Card (Multi Card bei T, bei den anderen weiss ich gerade nicht) ein iPhone zum auf den Tisch legen mit.

 

Und so schlecht sind die aktuellen Endgeräte doch gar nicht?

Link to comment

the war is over...das ist ein Kampf gegen Windmühlen ;) Blackberry findet nun mal bei den Usern keine Akzeptanz mehr (also wenn mein Chef irgendwo mit so nem Kastl auftaucht würde er ausgelacht werden) und ein Smartphone ohne WhatsApp ? Könnte sich meine Firma gleich behalten. In den Managerhinrgespinsten am besten noch in Kombi mit Byod,natürlich in der Form das der User das Device kauft und nachher nichts damit anfangen kann wenn es in der Firma verwendet wird.

 

Bei den iPhone ist der Managementkram ohnehin großteils Augenauswischerei, denn da rennt alles über die Cloud von Apple und nur die bestimmen letztendlich was man die Software machen kann und was nicht. Wenn Apple morgen einfällt sie krempeln alles um, tja dann wars das eben.

 

Wobei ich dazu sagen muss das ich bei einem Mobile Provider arbeite, also wenn hier nicht schon die Putzfrau das neueste, hippste Phone hat, dann stimmt was nicht :)

 

Daher: Die Leut sollen jedes Phone/Tablet nutzen das sie eben haben wollen und via ActiveSync mit dem Exchange reden, fertig. 99% der User werden ausreichend bedient sein.

Link to comment

Verdammt - warum überrascht mich die Diskussion nicht...

 

Danke Euch für die bisherigen Beiträge!

 

Ich will jetzt hier keinen Glaubenskrieg vom Zaun brechen, aber auch bei uns in der Führungsebene ist der BlackBerry zwischenzeitlich ein belächeltes Werkzeug - auch wenn die Geräte für den Alltagsgebrauch absolut geeignet sind.

 

Bei den Android- & iOS-Geräten sprechen wir von guten Consumer-Produkten, und da haperts halt an der Integration in Business-Netze - zumindest kann ich mir nicht vorstellen, dass die Managementumgebungen an den hier laufenden BES ran kommt (ich fass' das Ding max. 2x pro Halbjahr an).

 

Wenn man ein iPhone zur Nutzung abgibt, will das Ding genutzt werden - und dazu gehören nunmal Apps...

@Otaku: werden bei Euch die Apps ausnahmslos vom Geschäft bezahlt?

Haben die User dann ihr eigene iTunes-Konten?

 

 

Für mich stellen sich im Moment 2 Lösungsansätze da:

 

1.) Firmeneigene Handy's/Tablets

1.1) Aktivierung und Inbetriebnahme über die IT-Abteilung

1.2) Einbindung des Gerätes in ein Managementsystem & Anbindung ans Netzwerk (Exchange)

1.3) Abgabe an GF / Mitarbeiter mit Restriktionen zur Nutzung

1.4) Verbindungsentgelte / laufende Kosten für Apps übernimmt Firma

 

2.) "BYOD"-Konzept Handy's/Tablets

2.1) GF / Mitarbeiter nutzt eigenes Gerät in eigener Verantwortung; für jegl. Nutzung offen

2.2) Anbindung der privaten Geräte beschränkt sich rein auf den Exchange-Account (Konnektierung durch die EDV)

( 2.3) ggf. Zuschuss od. Übernahme bei Verbindungsentgelte )

2.4) App-Käufe bleibt Privatangelegenheit

 

 

Kann man die Nutzungskonzepte mal so grob zusammenfassen?

 

Danke Euch - viele Grüße,

 

Shao

Link to comment

Nun wenn Du als Admin überzeugt bist von RIM solltest Du auch sehr hartnäckig für den Verbleib dieser Lösung kämpfen.

Hilfe kannst Du von RIM selbst erhalten. Sprech mal mit ein paar der RIM Onkels dazu. Wenn Du keine direkten RIM Kontakte hast, PN me und ich gebe Dir da gerne etwas weiter. Ich denke RIM wird ab 2013 mit der neuen Modellgeneration und BB OS 10 wieder stärker werden.

 

Was auch immer Du tust, so weise in schriftlicher Form auf die Sicherheitsbedenken anderer Lösungen im Vergleich zu RIM hin. Dann kannst Du in jedem Fall besser schlafen auch wenn es mit iPhone und Co. mal zu einem Desaster kommt.

 

Greetings Ralf

Link to comment

 

Für mich stellen sich im Moment 2 Lösungsansätze da:

 

1.) Firmeneigene Handy's/Tablets

1.1) Aktivierung und Inbetriebnahme über die IT-Abteilung

1.2) Einbindung des Gerätes in ein Managementsystem & Anbindung ans Netzwerk (Exchange)

1.3) Abgabe an GF / Mitarbeiter mit Restriktionen zur Nutzung

1.4) Verbindungsentgelte / laufende Kosten für Apps übernimmt Firma

 

2.) "BYOD"-Konzept Handy's/Tablets

2.1) GF / Mitarbeiter nutzt eigenes Gerät in eigener Verantwortung; für jegl. Nutzung offen

2.2) Anbindung der privaten Geräte beschränkt sich rein auf den Exchange-Account (Konnektierung durch die EDV)

( 2.3) ggf. Zuschuss od. Übernahme bei Verbindungsentgelte )

2.4) App-Käufe bleibt Privatangelegenheit

 

Ich sehe bei fast allen Kunden eine Mischung aus den beiden Konzepten.

1.) Firmeneigene Handy's/Tablets

1.1) Aktivierung und Inbetriebnahme über die IT-Abteilung (iTunes Account auf Firmen-Email des MA)

1.2) Einbindung des Gerätes in ein Managementsystem & Anbindung ans Netzwerk (Exchange)

1.3) Abgabe an GF / Mitarbeiter mit Restriktionen zur Nutzung (kurze Schriftliche Form, regelmässige Prüfung)

1.4) App-Käufe bleibt Privatangelegenheit

 

 

Wir haben ein bißchen mit Blackberry Fusion für uns intern rumgespielt, aber im Endeffekt ist die Entwicklung so schnell am Markt, das MDM Lösungen kaum nachkommen...

Link to comment

Hallo zusammen!

 

Nochmals herzlichen Dank für Eure konstruktiven Feedbacks!

Ich habe diese und kommende Woche noch zwei Termine mit externen Dienstleistern, wo ich das Thema ebenfalls anbringen werde.

 

Wenn man das Thema Mobile Devices auf die Kernfunktionen reduziert, dann sprechen wir vom Telefonieren (geht mit BlackBerry sehr gut), Exchange und Internet.

 

Ich könnte mir also vorstellen, beim Thema "Telefonieren" für die BlackBerry-Lösung zu argumentieren, wobei eine zusätzliche Ausstattung mit einem iOS-Device - dem iPad - erfolgen könnte.

Im November würde ich mich mit der Konzeption befassen.

@Ralf: ich werde in diesem Zusammenhang zurückkommen auf Dein Angebot (Argumentation für BB) - vielen Dank nochmals.

 

 

Eine Idee gibt es noch. Wenn ich meinen Chef überzeugen kann, auf unnötigen "SchnickSchnack" zu verzichten, wäre ggf. auch ein Windows 8 Tablett interessant - und zwar für die Exchange-Anbindung & Internet.

Den erhofften "Oha?"-Effekt hätte ich zumindest dann sicher in der Tasche und bei den Themen "Sicherheit" & "Anbindung" ein Windows-Device, dass sich hoffentlich flach in die Infrastruktur einbetten lässt (Muss ich noch überprüfen) :-)

 

Ich halte Euch auf dem Laufenden!

 

Grüßle,

Shao

Link to comment

Mail und Internet bedarf keiner MDM Lösung,meiner Meinung nach. Ich kenne Firmen die zB extra für mobile Devices eine eigene SSID machen, mit einfacherer Authentifizierung als das WLAN für Notebook User, aber dafür auch mit mehr Einschränkungen, Zugriff zum owa ist natürlich erlaubt, der wird ja im Normalfall auch aus dem Internet gestattet, wäre sinnfrei wenn das die Mobiles im WLAN nicht dürften. Internetzugang gibts auch, aber eben keinen Zugang zu den anderen Office PCs oder Servern, auch eine Trennung der WLAN User untereinander ist möglich (muss eben der AP/der Controller können), haben aber viele nicht aktiviert...wir auch nicht :)

 

Ein captive Portal empfiehlt sich hier aber nicht unbedingt, das wäre auf mobiles unpraktisch und wird oft nicht ordentlich angezeigt.

Link to comment
  • 3 weeks later...
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...