Miradore stammt von der gleichnamigen Firma aus Finnland. Gegründet wurde das Unternehmen im Jahr 2006, wodurch es bereits auf eine längere Entwicklung zurückschaut. Miradore hat sich auf das Device-Management spezialisiert, was sowohl Smartphones, Tablets, aber auch Windows- und macOS-Geräte mit einschließt. Möglich sind dabei zwei Wege zur Verwaltung: Zum einen lokal über die "Miradore Management Suite", die sich aber nur auf Clients bezieht, und zum anderen über die cloudbasierte Umgebung "Miradore" für alle Gerätetypen.

Laut Beschreibung auf der Homepage enthält das Tool alles, was ein Unified Endpoint Management (UEM) bieten sollte. Geräte lassen sich umfangreich verwalten und das Inventar wird sehr ausführlich aufgeschlüsselt. Aussagekräftige Dashboards stehen genauso wie ein Reporting zur Verfügung. Im Bereich der Gerätesicherheit erzwingt die Suite sichere Kennwörter und sorgt ebenfalls für die Verschlüsselung der Daten. Darüber hinaus lassen sich Anwendungen auf die Geräte verteilen und Black-sowie Whitelisten schränken die Nutzung von mobilen Endgeräten weiter ein. Schließlich ist auch ein Patchmanagement ist mit an Bord.

Einen Unterschied gibt es zwischen der kostenlosen und der Premium-Version. Den vollen Funktionsumfang bietet nur Letztere, während die freie Variante ein einfacheres Mobile Device Management (MDM) bereitstellt, ohne zum Beispiel Funktionen wie das App-Management. In diesem Test werfen wir einen Blick auf die Cloudversion "Miradore Premium" und sehen uns deren Möglichkeiten genauer an. Um den Rahmen des Tests nicht zu sprengen, konzentrieren wir uns auf das Einbinden von Windows und iOS-Geräten.

Für die Nutzung von Miradore gibt es keine speziellen Voraussetzungen, die zu erfüllen sind. Für den Test haben wir uns zunächst auf der Website für eine zweiwöchige Testversion registriert. Nach der Registrierung erhielten wir eine E-Mail mit einem Aktivierungslink zugesendet. Im Rahmen der Aktivierung werden zusätzliche Daten abgefragt und eine personalisierte und einfach zu merkende URL für den zukünftigen Zugriff definiert. In unserem Test lautete diese "https://schulenburglab.online.miradore.com".

Damit hatten wir die Umgebung bereits eingerichtet und nun ging es direkt an die Konfiguration. Nach der ersten Anmeldung führt ein dynamischer Setup Guide durch die wichtigsten Einstellungen. Dabei wird die Funktion kurz beschrieben und direkt eingerichtet, sodass am Ende des Guides fast alles konfiguriert ist. Zu allen Punkten erhielten wir über Knowledge-Base-Einträge Hilfe, wobei uns eine Gesamtübersicht aller Funktionen und Möglichkeiten gefehlt hat. Wir sind die einzelnen Artikel der Hilfe durchgegangen, aber es mangelte am Überblick, von welchem wir gekommen sind und was wir schon gelesen hatten. So waren wir uns unsicher, ob wir nun wirklich alles berücksichtigt hatten.

Beim Start von Miradore wurden wir zunächst auf das Dashboard geleitet, das wichtige Information zum Status der Geräte liefert. Nachdem wir von einer deutschen Website gekommen sind, wollten wir auch unsere Testumgebung auf Deutsch umstellen. Wie wir vom gut erreichbaren Support erfahren mussten, gibt es jedoch keine Möglichkeit, die Sprache zu ändern, und so haben wir uns auf die englische Umgebung eingelassen. Für Administratoren sollte dies kein großes Problem darstellen.

Das Navigationsmenü von Miradore befindet sich auf der linken Seite und setzt sich aus folgenden Bereichen zusammen:

- "Home" enthält die Werkzeuge Dash­boards, Berichte sowie eine Karte mit den Standorten der Geräte und die Einrichtungsanleitung.

- Das Menü "Enrollment" enthält die Funktionen für die Registrierung von Geräten. Hier lässt sich im Enrollment-Log der Status zur Registrierung von Geräten gut nachvollziehen. Auch ist dort der Eintrag "Android Enterprise" zu finden, der speziell für die Android-Bereitstellung über QR-Code und NFC vorgesehen ist.

- Im Punkt "Management" findet die eigentliche Verwaltung statt. Als Unterpunkte sind die Einträge "Devices", "Configuration profiles", "Applications", "Files and certificates", "Business policies", "Patches und Action log" vorhanden. Auf die einzelnen Punkte werden wir im Verlauf des Tests genauer eingehen.

- Im Menü "Company" findet die Verwaltung der Benutzer, Standorte, Organisationseinheiten und Gerätekategorien, aber auch Geräte im Ruhestand statt.

- Der letzte Eintrag "System" enthält die Funktionen zur Einrichtung von Miradore-Nutzern sowie Einstellungen zum Abonnement der Miradore-Umgebung.

In jedem Menüpunkt gibt es im oberen Bereich eine Aktionsschaltfläche mit seitenbezogenen Aktionen. Die Aktionen sind logisch unter verschiedenen Schaltflächen gruppiert.

Bevor wir nun Geräte ins Management aufnehmen konnten, mussten wir zunächst Nutzer anlegen, denen die Geräte zugewiesen werden. Einem Benutzer lassen sich mehrere Geräte zuweisen und es sind verschiedene Zugangsinformationen zu E-Mails, VPNs oder WLANs hinterlegbar. Über sogenannte "Configuration profiles" werden diese Einstellungen auf definierte Geräte ausgerollt. Schwierig fanden wir, dass die Möglichkeiten je nach Gerätetyp sehr unterschiedlich sind. In einer homogenen Umgebung kann sich der Administrator sehr gut darauf einstellen, in heterogenen muss er bei der einen oder anderen Einstellung doch Hand anlegen (siehe Tabelle "Konfigurationsmöglichkeiten").

Um nun User in Miradore einzurichten, bietet das Tool verschiedene Möglichkeiten. Der einfachste Weg ist es, über den Button "Add" unter "Company" die Nutzer anzulegen. Im Anschluss werden nur E-Mail, Name, Vorname und Handynummer abgefragt und nach dem Speichern ist der Benutzer bereits einsatzbereit. Alternativ lassen sich über eine CSV-Datei ebenfalls User importieren. Gestartet wird der Prozess über die Aktion "Import" im Eintrag "User". An dieser Stelle lässt sich auch ein Import über das Active Directory starten. Hierfür konfigurierten wir einen Connector über die Miradore-Website und luden diesen herunter. Im Anschluss mussten wir die Anwendung auf einem Client der Domäne einfach ausführen und die Nutzer waren ohne weiteres Zutun im Cloudsystem vorhanden.

Nach dem Anlegen der User folgt das Einrichten der Devices. Im Bereich "Enrollment" lassen sich neue Geräte hinzufügen. Wie bereits angesprochen unterstützt Miradore mobile Systeme mit Android, iOS und Windows Phone. Als Arbeitsplatzsysteme werden Windows- und Mac-Geräte einbezogen. Linux bleibt außen vor. Als erstes Gerät banden wir einen Windows-Rechner in das Management ein.

Im Fall von Windows-Geräten stehen bei Miradore zwei Verwaltungsmethoden zur Verfügung: Full und Light. Windows-10-Maschinen (bis auf Windows 10 Home) werden mit der Full-Management-Methode verwaltet. Dabei stehen zusätzliche Features wie die Software-Inventur, Remote Wipe und Reboot, Konfigurationsprofile, Business Policies, Softwareverteilung und Patch-Verwaltung bereit. Die Verwaltung der Geräte findet in diesem Modus über den Miradore-Client und einem lokalen MDM-Arbeitskonto statt. Windows-7- und 8-Computer unterstützen das MDM-Arbeitskonto nicht und werden über den Light-Modus administriert.

Der Light-Modus verfügt nicht über alle Möglichkeiten des Managements. Um die Installation auf einem Windows-Client zu starten, klickten wir unter "Enrollment" auf das Windows-Symbol. Im nächsten Fenster mussten wir uns zwischen den Versionen entscheiden. Bei der Light-Version steht der Miradore-Client direkt zum Download bereit. Bei der Full-Version wird eine Einladungs-E-Mail versendet. Diese E-Mail enthält einen Ausrollbutton sowie die benötigten Credentials. Nach dem Klick auf den Button mussten wir die Zugangsdaten eingeben und nach wenigen Sekunden wurde der Client im Hintergrund installiert. Zu beachten ist, dass der Nutzer zur Einrichtung über administrative Rechte verfügen muss.

Das System scannt die gesamte Hardware und auch die installierten Anwendungen werden inventarisiert. Nach dem Öffnen eines Devices wurden uns die Reiter "Main", "Settings", "Applications", "Patches", "Inventory" und "Action Log" angezeigt. Im Bereich "Main" sind wichtige Informationen des Gerätes zusammengefasst: angefangen beim Garantiestatus, dem Speicherverbrauch der Festplatte bis hin zum Status der Verschlüsselung und dem Virenscanner im Bereich "Security". In den "Settings" lässt sich die Zuweisung zu einem Benutzer ändern. Zusätzlich können hier eine Organization und eine Location hinterlegt werden. Letzteres zeigt diesen Standort in den Karten an, sofern das Tracking über das Gerät nicht aktiv ist. Der Punkt "Applications" listet die installierten Anwendungen auf.

Die Möglichkeiten der erweiterten Auswertung sind leider beschränkt und Änderungen installierter Anwendungen lassen sich so nicht nachvollziehen. Vermisst haben wir in diesem Zusammenhang auch einen Report über sämtliche Applikationen in der Umgebung. Mit einer Excel-Anbindung von Miradore gibt es zwar einen Workaround, schöner wäre es aber, wenn das integrierte Reporting diese Möglichkeit nativ unterstützt. Das Softwarereporting, genauso wie ein Lizenzmanagement, wurde bereits von anderen An- wendern angefragt und nach Aussage des Supports ist die Umsetzung in Prüfung. Grundsätzlich ist uns aufgefallen, dass Miradore keine eigenen Reports mitbringt. Es gibt zwar einen Knowledge-Base-Eintrag zum Erstellen neuer Reports, warum es aber keinerlei Standardreports gibt, war für uns nicht nachzuvollziehen.

Im Menüpunkt "Inventory" finden sich die technischen Details des Geräts. Gefallen hat uns, dass hier auch der Recovery-Key der verschlüsselten Festplatte hinterlegt war. Darüber hinaus standen uns Informationen zum verbauten Speicher, aber auch aktuelle IP-Adressen der verschiedenen Controller übersichtlich zur Verfügung. Ein Devicemanagement für angeschlossene Geräte, wie USB-Sticks, wäre an dieser Stelle eine nützliche Ergänzung und ist nach Aussage des Supports in Prüfung.

Nach dem Anbinden von Windows-Geräten testeten wir im nächsten Schritt das Einbinden von iOS-Devices. Hierfür mussten wir zunächst den "Apple Push Notification service" (APNs) einrichten. Dieser Dienst stellt eine gesicherte Verbindung zwischen Miradore und dem Apple-Gerät her. Dabei sind eine Apple-ID und ein "Apple Push Certificate" nötig. Es ist empfehlenswert, eine Unternehmens-ID statt einer persönlichen Apple-ID zu verwenden. Durch das Einrichten des Apple-Dienstes führte uns der Setup-Guide ohne große Schwierigkeiten. Zunächst wurde ein Certificate-Signing-Request über den Assistenten erstellt und heruntergeladen. Mit diesem Request erzeugten wir im Apple-Push-Certificate-Portal das eigentliche Zertifikat und luden dieses im Anschluss bei Miradore hoch. Der Ablauf gestaltete sich sehr einfach und die APNs waren schnell eingerichtet.

Im Anschluss haben wir uns an das Einbinden eines iPhones gemacht. Im Menüpunkt "Enrollment" wählten wir dieses Mal den Eintrag "iOS/macOS". Es wurde wieder die E-Mail-Adresse abgefragt und nun konnten wir auch ein Mobilfunknummer eintragen, um den Rollout über eine SMS zu starten. Über diese Kurznachricht wurde der Link zu einem Konfigurationsprofil, das wir geladen und installiert hatten, an das Endgerät gesendet. Die Konfiguration lässt sich am Gerät in den "allgemeinen Einstellungen" unter dem Punkt "Geräteverwaltung" prüfen. Unter dem Menüpunkt "Enrollment Log" konnten wir den Status bezüglich des Ausrollens von Clients nachvollziehen. Die Einbindung war damit bereits abgeschlossen und in den Details des Geräts fanden wir die Eigenschaften wieder ausführlich aufgelistet.

Alternativ zum direkten Ausrollen über Miradore lässt sich der Prozess über eine Self-Service-Seite durch den Benutzer selbst starten. Hierfür muss ein User die Webseite "https://login.online.miradore. com/enroll" aufrufen und eine E-Mail-Adresse sowie den Unternehmens-PIN eintragen. Letzteren hatten wir über den Setup-Guide bereits konfiguriert. Ebenfalls muss Miradore den Benutzer mit seiner E-Mail-Adresse kennen. Nach dem Eintragen auf der Website erhielten wir an die hinterlegte E-Mail-Adresse wieder eine E-Mail mit den Zugangsdaten zugesendet. Darüber konnten wir problemlos ein weiteres Gerät hinzufügen.

Einstellungen lassen sich auf den Geräten, wie bereits beschrieben, über die "Configuration profiles" hinterlegen. Die Konfiguration von Profilen ist schnell vorgenommen und es sind nur wenige Schritte nötig. Über die Profile lassen sich für Apple-Geräte zum Beispiel Black- und Whitlelists hinterlegen. Um eine Anwendung zu sperren, fügten wir über "Add" ein neues "Configuration profile" hinzu und wählten dabei "iOS" und "Application blacklist (Supervised)" aus. Im Anschluss mussten wir nur die Apple-Store-ID der Anwendung angeben, um die Konfiguration abzuschließen. Das Profil lässt sich dann direkt einem Gerät zuweisen oder über Business-Profile verteilen.

Diese sind über Tags mit den Geräten verknüpft und fassen verschiedene "Configuration profiles" und "Applications" zusammen. Nach dem Zuweisen des Blacklist-Profils an unser iOS-Gerät wurde die Anwendung auf dem Gerät deaktiviert und das Icon entfernt. Ein Ausführen war damit nicht mehr möglich. Wichtig ist bei der Funktion, dass diese nur bei Apple-Geräten im "Supervised Mode" greift. Dabei handelt es sich um einen speziellen Modus von Apple, der einem Administrator mehr Kontrolle über ein Gerät gibt. Wie die Einrichtung erfolgt, ist in Knowledge-Base-Einträgen von Miradore ausführlich beschrieben.

Um in diesen Modus zu wechseln, nutzten wir das "Apple Configurator 2 Tool". Alternativ steht das "Device Enrollment Program" (DEP) zur Verfügung. In beiden Fällen muss das Gerät einmal neu eingerichtet werden, um in den Modus zu wechseln und die Konfigurationsmöglichkeiten, wie den Kiosk-Mode oder Restriktionen zum Zurücksetzen des Geräts, in vollem Umfang nutzen zu können. Die Funktionen, die sich auf den Supervised Mode beziehen, finden Sie in der Tabelle. Anwendungen für iOS-Geräte selbst lassen sich auch an Geräte ohne Supervised Mode verteilen.

Um eine neue Anwendung auszurollen, wechselten wir in den Punkt "Applications" und wählten über den Button "Add" das Zielbetriebssystem aus. In den folgenden Schritten hinterlegten wir nur die Apple-Store-ID und damit war die Einrichtung des Paketes abgeschlossen. Im Anschluss konnte die Anwendung an unser Testgerät verteilt werden. Sofern das Gerät sich im Supervised Mode befindet, werden Anwendungen direkt installiert, während auf Geräten im Unsupervised Mode zunächst ein Hinweis zur Installation erscheint. Die Einrichtung verlief sehr intuitiv und die Verteilung stellte keine große Hürde dar.

Auch für Windows lassen sich Anwendungen schnell verteilen. Die Einrichtung eines Pakets startet wieder über den Punkt "Applications", doch wählten wir dieses Mal "Windows" als Zielbetriebssystem. Die Verteilung erfolgt über die Kommandozeile oder PowerShell-Befehle. Unseren Test haben wir mit "Notepad++" durchgeführt. Die Installationsdatei wurde über den Assistenten hochgeladen und der Aufruf npp.7.9.5.Installer.exe /S hinterlegt. Der Schalter "/S" steht dabei für "Silent" und damit für eine unbeaufsichtigte Installation, sodass der Anwender nichts von ihr mitbekommt.

Das fertige Paket sendeten wir im Anschluss über "Deploy" an unseren Testrechner. Alternativ lässt sich ein Paket in Miradore vom Client aus installieren oder über ein Business-Profile verteilen. Die Hinweise zu Fehlern sind bei der Ausführung eines Pakets sehr beschränkt. Im Fehlerfall fanden wir uns in der Ereignisanzeige am Client wieder. Die Beschreibung zum Thema Softwareverteilung hätte etwas ausführlicher ausfallen können – gerade im Hinblick auf das Verteilen von Einstellungen über die Registry oder eine Desktopverknüpfung.

Was uns sehr gut unter Windows gefallen hat, ist das Patchmanagement, das sich nicht auf Windows-Updates beschränkt. Miradore hat Information zu über 200 Produkten von etwa 100 Herstellern. Und die Liste wächst stetig. Miradore prüft die installierten Anwendungen und zeigt den Patchstatus am Gerät und in den entsprechenden Dashboards an. Die Verteilung findet über den Reiter "Installation Settings" im Menüpunkt "Patches" statt. Hier lässt sich zunächst eine Pilotgruppe für Patches definieren, die diese direkt installiert, während die Installation für Geräte außerhalb dieser Gruppe tageweise verzögert wird. Sollte es mit einem Patch Probleme geben, kann dieser in seinen Einstellungen gesperrt werden, sodass er nicht mehr zur Anwendung kommt. Auf unserem Client wurden alle fehlenden Patches direkt aufgespielt – bis auf einen. Vermisst haben wir auch ein Alerting für neue Patches oder Fehler beim Rollout.

Grundsätzlich sind die Möglichkeiten bei der Benachrichtigung überschaubar. Administratoren können sich im System bei bestimmten Ereignissen per E-Mail benachrichtigen lassen, die Events sind aber starr vorgegeben. Es ist zwar möglich, sich über den Neustart eines Gerätes informieren zu lassen, nicht jedoch über fehlende Patches. Die Einstellungen zum Alerting lassen sich in "My Settings" konfigurieren.

Positiv möchten wir zum Abschluss noch die Integration von TeamViewer hervorheben. Sofern Administratoren über einen TeamViewer-Account mit einer Premium-, Corporate- oder Enterprise-Lizenz verfügen, lässt sich dieser mit einem kurzen Anmeldevorgang in Miradore sehr schnell anbinden. Nach dem Aktivieren der Integration ist eine Remoteverbindung direkt vom Gerät möglich.

Das Unified Endpoint Management von Miradore ist schnell eingerichtet und Endgeräte sind problemlos einzubinden. Die Umgebung bietet viele Möglichkeiten der Clientkonfiguration und verschafft einen schnellen Überblick über die zu verwaltenden Geräte. Gewünscht hättet wir uns ein besseres Reporting und auch das Alerting verfügt nur über eingeschränkte Möglichkeiten. Insgesamt hinterlässt Miradore aber einen positiven Eindruck und ist eine gute Erweiterung, wenn das Thema Device Management auf das Tableau kommt.