ADMIN

2025

06

2025-05-28T12:00:00

Mobiles Arbeiten

SCHWERPUNKT

079

Open Source

Mobile Device Management

Marktübersicht

Open Source Mobile Device Management

Gerät nie außer Kontrolle

von Dr. Holger Reibold

Veröffentlicht in Ausgabe 06/2025 - SCHWERPUNKT

Mittlerweile stellen Mobilgeräte eine unternehmenskritische Ressource dar und erfordern das gleiche Überwachen, Koordinieren und Optimieren wie stationäre Clients. Dabei gilt es, die Brücke zwischen verschiedenen Plattformen, der Integration in bestehende Infrastrukturen und den unternehmensspezifischen Anforderungen zu schlagen. Eine wachsende Zahl von IT-Verantwortlichen schaut sich für diese Aufgabe quelloffene Mobile- Device-Management-Systeme an. Dieser Markt ist recht klein, hält aber dennoch einige spannende Angebote bereit.

Die weitverbreitete Nutzung von Mobilgeräten hat längst auch die Unternehmen erreicht und viele stellen eigene Geräte bereit oder erlauben BYOD (Bring Your Own Device) beziehungsweise CYOD (Choose Your Own Device). Doch gerade für kleine und mittlere Unternehmen stellt die Verschiebung der Gerätenutzung hin zu Mobilgeräten ein erhebliches Problem dar, denn sie wissen oftmals nicht, welche Devices für unternehmensspezifische Aufgabenbereiche zum Einsatz kommen und wie sich dies auf die Unternehmensprozesse auswirkt. Erschwert wird dies durch ein unscharfes Verständnis relevanter Termini und den damit verknüpften Aufgabenbereichen. Daher wollen wir zunächst in diesem Bereich für Klarheit sorgen.
Was Mobile Device Management ausmacht
Unter dem Oberbegriff Enterprise Mobility Management (EMM) werden vier verschiedene Funktionsbereiche subsummiert: Mobile Device Management (MDM), Mobile Application Management (MAM), Mobile Content Management (MCM) und Mobile Security Management (MSM). In diesem Kontext begegnet uns auch der Begriff Unified Endpoint Management (UEM), der für das konsistente Management aller Endbenutzergeräte im Netzwerk steht. Das Mobile Asset Management beschreibt einen Ansatz zum Steuern, Überwachen und Optimieren der mobilen Begleiter.
Ziel des Mobile Device Managements ist es, einen exakten Überblick zur Steuerung und Überwachung mobiler Geräte zu erhalten sowie diese in einer Datenbank inklusive deren Benutzer abzulegen. Das BSI weist darauf hin, dass eine strikte Trennung zwischen privater und geschäftlicher Nutzung nur mithilfe eines MDM-Systems möglich ist. Das MDM zeichnet sich durch spezifische Zusatzfunktionen wie betriebssystemspezifischen Support und das Erfassen relevanter Status- und Geräteinformationen wie IMEI, Roaming-Status, Batteriezustand, GPS-gestützte Standorterkennung, installierte Applikationen et cetera aus. Die Kategorien MAM und MCM stellen Sonderformen dar, da sie Anwendungs- und Content-Spezifika fokussieren. Das MSM ist für alle sicherheitsrelevanten Aspekte wie die Konfiguration von KNOX- oder KIOSK-Modulen, die VPN-Nutzung und Verschlüsselungstechnologien zuständig. Moderne MDM bündeln die meisten dieser Aufgaben mit dem Ziel, die Mitarbeiter von Aufgaben wie Updates, optimaler Gerätekonfiguration und Datensicherheit zu entlasten. Der zentrale Vorteil liegt in der einheitlichen Policy-Umsetzung. Damit nicht jeder Anwender sein eigenes Süppchen bei der Nutzung und der Konfiguration der Mobilgeräte kocht, ist eine Vereinheitlichung notwendig.
Die weitverbreitete Nutzung von Mobilgeräten hat längst auch die Unternehmen erreicht und viele stellen eigene Geräte bereit oder erlauben BYOD (Bring Your Own Device) beziehungsweise CYOD (Choose Your Own Device). Doch gerade für kleine und mittlere Unternehmen stellt die Verschiebung der Gerätenutzung hin zu Mobilgeräten ein erhebliches Problem dar, denn sie wissen oftmals nicht, welche Devices für unternehmensspezifische Aufgabenbereiche zum Einsatz kommen und wie sich dies auf die Unternehmensprozesse auswirkt. Erschwert wird dies durch ein unscharfes Verständnis relevanter Termini und den damit verknüpften Aufgabenbereichen. Daher wollen wir zunächst in diesem Bereich für Klarheit sorgen.
Was Mobile Device Management ausmacht
Unter dem Oberbegriff Enterprise Mobility Management (EMM) werden vier verschiedene Funktionsbereiche subsummiert: Mobile Device Management (MDM), Mobile Application Management (MAM), Mobile Content Management (MCM) und Mobile Security Management (MSM). In diesem Kontext begegnet uns auch der Begriff Unified Endpoint Management (UEM), der für das konsistente Management aller Endbenutzergeräte im Netzwerk steht. Das Mobile Asset Management beschreibt einen Ansatz zum Steuern, Überwachen und Optimieren der mobilen Begleiter.
Ziel des Mobile Device Managements ist es, einen exakten Überblick zur Steuerung und Überwachung mobiler Geräte zu erhalten sowie diese in einer Datenbank inklusive deren Benutzer abzulegen. Das BSI weist darauf hin, dass eine strikte Trennung zwischen privater und geschäftlicher Nutzung nur mithilfe eines MDM-Systems möglich ist. Das MDM zeichnet sich durch spezifische Zusatzfunktionen wie betriebssystemspezifischen Support und das Erfassen relevanter Status- und Geräteinformationen wie IMEI, Roaming-Status, Batteriezustand, GPS-gestützte Standorterkennung, installierte Applikationen et cetera aus. Die Kategorien MAM und MCM stellen Sonderformen dar, da sie Anwendungs- und Content-Spezifika fokussieren. Das MSM ist für alle sicherheitsrelevanten Aspekte wie die Konfiguration von KNOX- oder KIOSK-Modulen, die VPN-Nutzung und Verschlüsselungstechnologien zuständig. Moderne MDM bündeln die meisten dieser Aufgaben mit dem Ziel, die Mitarbeiter von Aufgaben wie Updates, optimaler Gerätekonfiguration und Datensicherheit zu entlasten. Der zentrale Vorteil liegt in der einheitlichen Policy-Umsetzung. Damit nicht jeder Anwender sein eigenes Süppchen bei der Nutzung und der Konfiguration der Mobilgeräte kocht, ist eine Vereinheitlichung notwendig.
MDM-Systeme stehen cloudbasiert und lokal zur Verfügung und der IT-Verantwortliche steht vor der strategischen Entscheidung, sich für eine Variante zu entscheiden. Cloudbasierte Produkte werben damit, auch weniger finanzkräftigen Unternehmen den einfachen Einstieg zu erlauben, während sich lokale Systeme auf die Fahnen schreiben, maximale Flexibilität in Bezug auf die Integration in die lokale IT-Infrastruktur und das Patchmanagement zu gewährleisten. Doch ist der finanzielle Aufwand meist höher.
Wie MDM Clients verwaltet
Das zugrundeliegende Prinzip aller MDM-Umgebungen ist weitgehend identisch: Damit sich ein Mobilgerät von seinem MDM-System steuern lässt, muss es dort natürlich bekannt sein. Das kann per Rollout oder eine automatische beziehungsweise manuelle Registrierung erfolgen. In der Praxis ist zu jedem Endgerät ein Profil erforderlich, das Art und Umfang der Verwaltungsfunktionen seitens eines zentralen MDM-Servers bestimmt. Dazu registriert sich der User mithilfe des Endgeräts in einem Webportal, von wo auch die Installation eines MDM-Clients startet. Anschließend ist die Konfiguration des Clients möglich.
Die typische MDM-Architektur basiert auf drei Komponenten: Neben dem MDM-Agent/-Client umfasst diese einen MDM-Relay-Server und den eigentlichen MDM-Server. Letzteren steuern Admins über eine Managementkonsole und abhängig von der konkreten Infrastruktur bestehen Schnittstellen zu weiteren Unternehmensservern. Die Registrierung kann vonseiten der Geräte oder auch durch den Administrator erfolgen. Aufseiten des MDM-Servers erfolgt die Auswahl der geeigneten Konfiguration. Dabei stellen sie nicht nur entsprechende Remotesteuerungen für alle gängigen Plattformen bereit, sondern sie sind in der Regel in der Lage, den Clienttyp zu identifizieren und eine geeignete Vorauswahl zu treffen.
Der Agent gelangt dann über verschiedene Kanäle auf das Mobilgerät. Ist dieser dort aufgespielt, werden die Daten zur Authentifizierung und zum Abgleich an den MDM-Server gesendet – sofern die eingegebenen Daten korrekt sind. Der MDM-Server leitet die gerätespezifischen Anweisungen entsprechend dem Status des Mobilgeräts an den MDM-Agenten weiter. Schließlich übernimmt der MDM-Agent die Gerätesteuerung und begrenzt die Funktionalität des mobilen Devices gemäß der Gerätesteuerungsrichtlinie. Anschließend übermittelt er das Ergebnis an den MDM-Server. Die letzten beiden Schritte werden im laufenden Betrieb kontinuierlich wiederholt, um auf etwaige Anforderungsänderungen zu reagieren und um die Policy-Einhaltung zu prüfen.
Bild 1: Dank des benutzerfreundlichen Interfaces gestaltet sich das Management von Mobilgeräten mit FleetDM einfach – hier am Beispiel einer Suche nach Devices.
Anforderungen an das MDM
Das primäre Ziel von MDM-Systemen ist eine homogene Infrastruktur. Administratoren profitieren davon gleich mehrfach, denn sie können anwendungs- und aufgabenspezifische Policies entwickeln, diese zentral verwalten und die Einhaltung permanent prüfen. MDM-Systeme besitzen zudem Reaktionsmöglichkeiten bei Richtlinienverstößen. Auf diesem Weg stellen IT-Verantwortliche auch das Einhalten gesetzlicher Vorgaben sicher. Nicht minder wichtig: MDM-Systeme verfügen über rudimentäre Incident-Managementfunktionen und erlauben die Implementierung von Standardroutinen.
Unabhängig davon, ob der Anwender sein Mobilgerät partiell oder umfänglich beruflich nutzt und damit unternehmensrelevante Aktivitäten ausübt, haben Unternehmen ein großes Interesse an der Minimierung von Sicherheitsrisiken. Es gilt, insbesondere sensible Daten zu schützen und deren Missbrauch zu verhindern. Ein MDM-System muss dabei auch die Einhaltung geltender Datenschutzvorschriften wie der DSGVO sicherstellen. Eine weitere Aufgabe, die MDM-Umgebungen bewältigen müssen, ist der Umgang mit gestohlenen beziehungsweise verloren gegangenen Geräten. Diese sollten sich orten und aus der Ferne zurücksetzen lassen.
Zudem muss MDM mit potenziell schadhaften Apps umgehen können, die die Nutzer auf den Mobilgeräten installieren. Eng damit verbunden ist das Aufspielen von sicherheitsrelevanten Updates, um Backdoor-Angriffe zu verhindern. Außerdem gilt es, relevante Daten vor unberechtigten Zugriffen zu schützen. In komplexen Unternehmensstrukturen müssen die Systeme zudem in der Lage sein, spezifische Richtlinien abzubilden. Daraus ergibt sich eine hohe Komplexität und damit eine gewisse Fehleranfälligkeit. So bringen Admins wie auch User den MDM-Einsatz nicht selten mit einem Verlust an Flexibilität in Verbindung, doch im Zweifel ist ein Mehr an Sicherheit freilich vorzuziehen. Vielmehr ist davon auszugehen, dass MDM zu einer signifikanten Risikominimierung führt.
Der Fokus unseres Artikels liegt nunmehr auf quelloffenen MDM-Systemen, was ein weiteres Plus an Sicherheit durch Transparenz mitbringt. Bei der Recherche nach derartigen Produkten zeigt sich, dass in diesem Marktsegment eine Menge Bewegung ist. So wurde das vielversprechende Open-Source-Projekt Flyve-MDM-Projekt eingestellt und OpenMDM und OneMDM sind trotz aussichtsreichem Projektstart nicht über ein frühes Entwicklungsstadium hinausgekommen. Aus Zulu MDM ist inzwischen das recht bekannte Jamf für Apple-Geräte geworden und auch der WSO2 Enterprise Mobility Manager ist von der Bildfläche verschwunden. Dennoch können wir Ihnen im Folgenden eine Handvoll spannender Vertreter dieses Genres vorstellen.
Laptopverwalter FleetDM
FleetDM [1] zählt zu den populärsten quelloffenen MDM-Systemen. Nach Angaben der Entwickler kommt dieses System bei über 100 Kunden zum Einsatz, unter anderem bei Deloitte, Dropbox, Gusto und Uber. Dieses Tool bietet einen großen Leistungsumfang, der speziell auf die Verwaltung unterschiedlicher Mobilgeräte zugeschnitten ist. Neben weitreichenden Systemeinblicken in Echtzeit erlaubt FleetDM insbesondere das Durchsetzen sicherheitsspezifischer Vorgaben. Die Stärken der Umgebung liegen insbesondere in seiner Skalierbarkeit. FleetDM kann auf den Clients Betriebssystemupdates aufspielen, typische Managementaufgaben erledigen, Apps verwalten, Geräte sperren, die Einhaltung von Policies überwachen sowie Skripte ausführen. Die Serverkonfiguration erfolgt über YAML-Dateien, wobei FleetDM primär für das Zusammenspiel mit einer MySQL-Datenbank gerüstet ist. Auch wenn das Werkzeug sich inzwischen für Smartphones öffnet, liegen die Stärken dieser Umgebung eher im Management von klassischen Notebooks.
Mit "fleetd" verfügt die Umgebung über ein ganzes Paket an Agenten. Für das Sammeln von Clientinformationen kommt "osquery" [2] zum Einsatz. Das von der Linux Foundation geförderte Tool verwendet simple SQL-Anweisungen zur Abfrage und Beschreibung von Mobilgeräten. Aus der Sicherheitsperspektive betrachtet ist dieses Werkzeug auch deshalb interessant, weil es Prozesse ohne Binärdateien identifiziert – Hacker löschen gerne die ursprünglichen Binärdateien und lassen die Prozesse weiterlaufen. Die Steuerung der Umgebung erfolgt über das webbasierte Dashboard "Fleet UI" oder auf Konsolenebene mit "Fleetctl".
Fleet unterstützt Chromebooks, Linux, macOS, Windows und iOS. Ein Manko ist hier der fehlende Support für Android-Mobilgeräte. Damit schränkt sich der mögliche Anwendungsbereich deutlich ein. Für die anderen Geräte steht "Fleet Desktop" bereit, eine Menüfunktion, die über den Sicherheitsstatus des Clients informiert. Das Enrollment ist über das UI oder das CLI möglich. Die Integration in Pomerium [3] hilft Organisationen bei der einfachen Implementierung einer Zero-Trust-Netzwerkarchitektur (ZTNA).
Android-Spezialist Headwind MDM
Für Unternehmen, die ausschließlich auf Android-basierte Mobilgeräte setzen, bietet Headwind MDM [4] den einfachen Einstieg in das Mobile Device Management. Die Open-Source-Variante ermöglicht den lokalen Betrieb, alternativ steht ein cloudbasierter Service zur Verfügung, der pro Geräte abgerechnet wird. Da die Headwind-MDM-Entwickler ihre Lösung als Ubuntu-Installer und Docker-Container bereitstellen, eignet sich diese Umgebung hervorragend, um sich einen eigenen Eindruck vom Handling zu verschaffen. Wie alle anderen hier vorgestellten Systeme verwalten Admins auch Headwind MDM über ein Webportal.
Neben Standardfunktionen für die App-Verwaltung und dem Durchsetzen von Sicherheitsrichtlinien, verfügt dieses System über umfangreiche Monitoring- und Reportingfunktionen. Diese liefern aktuelle Informationen zu den sicherheitsspezifischen Einstellungen. Die Geofencing-Funktion erlaubt Unternehmen die Definition von zulässigen geografischen Einsatzbereichen. Verlassen die Nutzer einen Bereich, lassen sich dergestalt spezifische Funktionen deaktivieren oder einschränken. Die Android-Fokussierung zeigt sich auch an der Funktion "Knox Mobile Enrollment" (KME), die die einfache Massenregistrierung erlaubt. Dank seiner modularen Architektur ist Headwind MDM flexibel erweiterbar.
Headwind MDM verfügt außerdem über eine integrierte Plattform für Push-Benachrichtigungen über das LAN oder andere gesicherte Netzwerke. Als Trägerprotokoll kommt dabei das offene Message Queuing Telemetry Transport (MQTT) zum Einsatz. Der Kiosk-Modus ermöglicht das Einrichten von Geräten für spezifische Zwecke mit eingeschränkter Funktionalität. Neben der Community-Edition offerieren die Entwickler auch eine Enterprise-Variante. Sie erlaubt zusätzlich die Beschränkung der App-Ausführung und unerwünschter Einstellungsänderungen sowie die Erfassung von detaillierten Nutzungsinformationen. Sie umfasst zudem Cloudhosting von maximal 300 Devices pro Jahr.
Bild 2: Der Android-Spezialist Headwind MDM wirkt ein wenig antiquiert, ist jedoch ausgewiesener Spezialist für Android-Devices.
MicroMDM für Apple-Umgebungen
Zu den iOS- und macOS-Spezialisten unter den MDM-Systemen gehört MicroMDM [5]. Diese Umgebung zielt auf Einfachheit und Skalierbarkeit, bietet typische Funktionen wie die Geräteregistrierung, Konfigurationsverwaltung, Remotelöschen und Anwendungsbereitstellung. Das Werkzeug lässt sich nahtlos in das Device Enrollment Program (DEP) und den Profile Manager von Apple integrieren. Außerdem ermöglicht Micro-MDM die automatisierte Gerätebereitstellung und Durchsetzung von Richtlinien auf allen Apple-Geräten. Benutzerregistrierungen und Authentifizierungsworkflows stehen ebenfalls bereit.
Allerdings macht die Bezeichnung "Micro" deutlich, dass es sich bei MicroMDM nicht um ein vollwertiges Produkt zur Verwaltung von Mobilgeräten handelt, sondern vielmehr über eine API die MDM-Bereitstellung ermöglicht und dabei den vollständigen Satz von Apple-MDM-Befehlen unterstützt. MicroMDM bietet auch keine Option, Konfigurationsprofile anzulegen, kann aber sehr wohl bereits existierende "mobileconfig"-Dateien verarbeiten. Auch das Signieren von Profilen und das Pushen an ausgewählte Gerätegruppen sind mit diesem Tool nicht umsetzbar. MicroMDM geht vielmehr davon aus, dass entsprechende Funktionen von einem übergeordneten Service erbracht werden. Auch ein Web-GUI fehlt. Die Entwickler weisen explizit darauf hin, dass MicroMDM als Kostensenkungsoption eher ungeeignet ist, weil der Integrationsaufwand in bestehenden Umgebungen signifikant ist.
MicroMDM unterscheidet sich konzeptionell grundlegend von anderen hier vorgestellten Systemen. Grundsätzlich ist MDM keine monolithische Technologie, sondern eher eine Sammlung verschiedener Systeme, Dienste und Server, die zusammen einen MDM-Server bilden. MicroMDM behandelt diese Dienste als separate, aber miteinander verbundene Komponenten. Insofern ist dieses System eher dazu geeignet, die MDM-Spezifika kennenzulernen.
Quelloffene Mobile-Device-Managementsysteme im Überblick
FleetDM Headwind MDM MicroMDM Miradore Community-Edition Relution
Entwickler
Fleet
Vsevolod Mayorov, Tiflis/Georgien
Victor Vrantchan, New York
Miradore, Lappeenranta/Finnland
Relution GmbH, Stuttgart
Lizenz
MIT-Lizenz
Open Source
Open Source
Open Source
Kommerziell
Kosten / Subskription
Free: kostenlosPremium: 7 US-Dollar pro Gerät und Monat
Cloud: 19,90 US-Dollar pro Jahr und GerätPremium: 1999 US-Dollar pro Jahr bei unbegrenzter Anzahl an Clients
Keine kommerziellen Angebote
Premium: 2,30 Euro pro Gerät und MonatPremium+: 3,30 Euro pro Gerät und Monat
Kostenlos bis fünf Geräte. Cloud und On premises: 30 Euro pro Gerät und Jahr
Cloud / on premises
 ✓ / ✓
 ✓ / ✓
 – / ✓
 – / ✓
 ✓ / ✓
Android / iOS / Linux / MacOS X / Windows
 ✓ / ✓ / ✓ / ✓ / ✓
 ✓ / – / – / – / –
 – / ✓ / – / ✓ / –
 ✓ / ✓ / – / ✓ / ✓
 ✓ / ✓ / ChromeOS / ✓ / ✓
Mobile Application Management
 ✓ 
 ✓ 
 ✓ 
 ✓ 
 ✓ 
Geräteinventar
 ✓ 
 ✓ 
 ✓ 
 ✓ 
 ✓ 
Remoteverwaltung
 ✓ 
 ✓ 
 ✓ 
 ✓ 
 ✓ 
Remotekonfiguration
 ✓ 
 ✓ 
 ✓ 
 ✓ 
 ✓ 
Remotewartung
 ✓ 
 ✓ 
 – 
 ✓ 
 ✓ 
Kiosk-Modus
 ✓ 
 ✓ 
 – 
 ✓ 
 ✓ 
Ortung
 ✓ 
 ✓ 
 – 
 ✓ 
 ✓ 
Sperrung
 ✓ 
 ✓ 
 – 
 ✓ 
 ✓ 
Löschung
 ✓ 
 ✓ 
 – 
 ✓ 
 ✓ 
Policies / Compliance
 ✓ / ✓
 ✓ / ✓
 ✓ / –
 ✓ / ✓
 ✓ 
Automatisierung
Teilweise
 ✓ 
 – 
 ✓ 
 ✓ 
Reporting
In Premium-Lizenz
 ✓ 
 – 
 ✓ 
 ✓ 
Einfacher Einstieg mit Miradore
Unternehmen mit bis zu 50 mobilen Endgeräten können mit der Miradore Community-Edition [6] in den MDM-Bereich einsteigen. Diese verfügt über eine grundlegende Funktionalität, die wesentliche Anforderungen bei der Verwaltung mobiler Endgeräte erfüllt. Im Unterschied zu anderen hier vorgestellten Produkten zeichnet sich Miradore durch eine breite Unterstützung von Endgeräten aus: Neben Android und iOS auch macOS und Windows. Die Premium- und Premium+-Varianten unterstützen zusätzlich Drucker und sonstige Peripheriegeräte.
Zu den Grundfunktionen der kostenfreien Variante gehören Geräteverfolgung, Fernsperrung/-löschung und eine grundlegende Anwendungsbereitstellung. Die Miradore Community-Edition erlaubt das Verschlüsseln von Speicherbereichen auf den Mobilgeräten und die Erkennung des System- beziehungsweise Updatestatus. Über das Web-Dashboard stehen Standardberichte und Inventardaten bereit. Es handelt sich um einen cloudbasierten Server – eine lokale Installation ist nicht vorgesehen. Die kommerziellen Varianten bieten eine Fülle an weiteren Funktionen wie das Sperren, das Anlegen von sicheren Containern und die zeitliche Steuerung von Updates. Erweiterte Funktionen wie Echtzeitüberwachung oder Geofencing sind ebenso nicht in der Community-Edition enthalten wie der Kiosk-Modus.
Die Registrierung von Mobilgeräten mit der Community-Edition gestaltet sich einfach, da neben einer manuellen auch die automatisierte Anmeldung per Apple DEP, Android Zero-Touch, Samsung Knox und Entra ID möglich ist. Administratoren können Geschäftsrichtlinien und Konfigurationsprofile generieren und deren Durchsetzung erzwingen. Auch für die Integration in bestehende Infrastrukturen ist gesorgt: Über die Miradore-API und den AD-Konnektor sind externe Informationssysteme integrierbar beziehungsweise User aus einem Active Directory nutzbar. Ein echter Gewinn: Die finnischen Entwickler stellen eine Onlinedemo für unverbindliche Tests bereit.
Allrounder Relution
Relution [7] ist eine in Deutschland entwickelte, MDM-Umgebung. Dieses System stammt aus dem App-Umfeld und hat sich in der vergangenen Dekade zu einem bedeutenden Marktteilnehmer im Mobile-Device- und Unified-Endpoint-Management-Bereich entwickelt. Duch die Unterstützung von Android, Apple und Windows bietet Relution eine hohe Plattformabdeckung. Die beiden Hauptbereiche sind die Geräteverwaltung und das mobile App-Management. Außerdem integriert das System einen Enterprise App Store, in dem sich Mitarbeiter aus dem Softwareangebot bedienen. Mit dieser Funktion lassen sich alle Apps kontrolliert ausrollen und bereitstellen. Für die automatische Geräteregistrierung unterstützt Relution Apple DEP, Samsung Knox, Android Zero-Touch und MS Autopilot. Zudem ist die Software DSGVO-konform. Die Administration erfolgt über ein benutzerfreundlich gestaltetes Webinterface. Die Entwickler verstehen Relution als Allround-Talent für alle Branchen, Unternehmensgrößen und verschiedene Gerätetypen.
In die Umgebung ist ein eigener Dateiserver integriert, der den Zugriff auf unternehmensspezifische Ablagen erlaubt. Für das Rechtemanagement können LDAP- oder AD-Server zum Einsatz kommen. Die integrierte App-Verwaltung erlaubt nicht nur die Softwareverteilung, sondern auch Anfragen von Seiten der Mobilgeräte und eine zentrale Freigabe. Relution integriert obendrein ein App-Lifecycle-Management. Neben BYOD unterstützt das System COPE (Corporate-Owned, Personally-Enabled). Letztgenannte Variante beschreibt, dass das Unternehmen Eigentümer des Mobilgeräts sind, aber auch die private Nutzung zulässig ist. Da das Werkzeug grundsätzlich beide Nutzungsvarianten vorsieht, betrachten die Entwickler ihr System als UEM.
Für alle sicherheitsrelevanten Aspekte steht das Relution-Shield-Modul zur Verfügung. Es stellt vornehmlich VPN- und PKI-Funktionalitäten bereit. Das VPN-Feature sorgt für die Absicherung der Mobilgerät-Resultion-Verbindung. Auch in der Nutzung sind Unternehmen flexibel: Relution kann cloudbasiert und lokal genutzt werden. Bei lokalen Installationen sind insbesondere Docker-Architekturen unterstützt.
Bild 3: Relution bietet umfassende MDM-Optionen, die sich mit bis zu fünf Geräten kostenlos testen lassen.
Fazit
Die Auswahl an quelloffenen MDM-Systemen ist trotz eines enormen Anstiegs an Mobilgeräten überschaubar. Das mag auch an dem hohen Entwicklungsaufwand liegen, der insbesondere mit einer breiten Geräteunterstützung verbunden ist. Den besten Eindruck bei dieser Auswahl hinterlässt Relution aufgrund der umfänglichen Geräteunterstützung, der hohen Benutzerfreundlichkeit und der einfachen Verfügbarkeit. Auch die Miradore Community-Edition ist dank des benutzerfreundlichen Dashboards und der breiten Geräteunterstützung eine interessante Option – auch weil sie bei Bedarf flexibel skaliert. Ähnliches gilt für FleetDM, während MDM-Systeme wie Headwind MDM und MicroMDM, die von Haus aus nur ein einziges Mobilgeräte-OS unterstützen, per se stark eingeschränkt sind.
(jp)
Link-Codes
[1] FleetDM: https://fleetdm.com
[2] osquery: https://www.osquery.io
[3] Pomerium: https://github.com/pomerium/pomerium
[4] Headwind MDM: https://h-mdm.com
[5] MicroMDM: https://micromdm.io
[6] NanoMDM: https://micromdm.io/blog/introducing-nanomdm/
[7] Miradore Community-Edition: https://www.miradore.com
[8] Relution: https://relution.io