Hybride UEM-Strategie
Neuer Fuhrpark
Veröffentlicht in Ausgabe 06/2025 - SCHWERPUNKT
Mit dem Aufkommen mobiler Endgeräte entstand seinerzeit die Produktgattung des Enterprise Mobility Management (EMM), das nicht nur Geräte (Mobile Device Management), sondern auch Anwendungen, Inhalte und Identitäten verwaltet. Lange lief dies parallel zu den etablierten Clientmanagement-Systemen. EMM-Plattformen wie etwa VMware Workspace One sollen mobile Devices in Firmen sicher und wirtschaftlich betreiben. Anfangs auf Android und iOS fokussiert, unterstützen viele Systeme mittlerweile auch Windows 10 und 11, allerdings nicht so umfangreich wie Clientmanagement-Systeme. Ein Support von Servern wie auch Linux und Mac ist zudem häufig nicht gegeben.
Beide Produktgattungen haben demnach eine ähnlich gelagerte Thematik. EMM-Ansätze kommen allerdings nicht an den Umfang eines originären Clientmanagement-Systems heran – dieses dient der zentralen Verwaltung und Steuerung von Arbeitsplatzrechnern und Servern – hier geht es also um die zentrale Verwaltung der Windows-Welt.
Trennung in mobil und stationär zu starr
Im Zuge mobiler Arbeitsplätze und Homeofficepflicht wirkt eine strikte Trennung in mobil und stationär heute ohnehin zu starr. Die Grenzen der betrieblichen IT-Infrastruktur sind flexibler und für alle Devices gelten die gleichen Anforderungen hinsichtlich Softwareupdates, Sicherheit und Identitätsmanagement. Mobile Endgeräte sind nach den gleichen Gesetzmäßigkeiten zu überwachen wie interne Clients, Server und weitere IT-Komponenten. Als Ausprägungen der gleichen Grundidee wachsen EMM und Clientmanagement folglich im sogenannten "Unified Endpoint Management" zusammen. Solche Werkzeuge umfassen dann Enterprise Mobility Management, Desktoprechner sowie gegebenenfalls auch IoT-Devices.
Mit dem Aufkommen mobiler Endgeräte entstand seinerzeit die Produktgattung des Enterprise Mobility Management (EMM), das nicht nur Geräte (Mobile Device Management), sondern auch Anwendungen, Inhalte und Identitäten verwaltet. Lange lief dies parallel zu den etablierten Clientmanagement-Systemen. EMM-Plattformen wie etwa VMware Workspace One sollen mobile Devices in Firmen sicher und wirtschaftlich betreiben. Anfangs auf Android und iOS fokussiert, unterstützen viele Systeme mittlerweile auch Windows 10 und 11, allerdings nicht so umfangreich wie Clientmanagement-Systeme. Ein Support von Servern wie auch Linux und Mac ist zudem häufig nicht gegeben.
Beide Produktgattungen haben demnach eine ähnlich gelagerte Thematik. EMM-Ansätze kommen allerdings nicht an den Umfang eines originären Clientmanagement-Systems heran – dieses dient der zentralen Verwaltung und Steuerung von Arbeitsplatzrechnern und Servern – hier geht es also um die zentrale Verwaltung der Windows-Welt.
Trennung in mobil und stationär zu starr
Im Zuge mobiler Arbeitsplätze und Homeofficepflicht wirkt eine strikte Trennung in mobil und stationär heute ohnehin zu starr. Die Grenzen der betrieblichen IT-Infrastruktur sind flexibler und für alle Devices gelten die gleichen Anforderungen hinsichtlich Softwareupdates, Sicherheit und Identitätsmanagement. Mobile Endgeräte sind nach den gleichen Gesetzmäßigkeiten zu überwachen wie interne Clients, Server und weitere IT-Komponenten. Als Ausprägungen der gleichen Grundidee wachsen EMM und Clientmanagement folglich im sogenannten "Unified Endpoint Management" zusammen. Solche Werkzeuge umfassen dann Enterprise Mobility Management, Desktoprechner sowie gegebenenfalls auch IoT-Devices.
Nicht nur die Hardware ist inzwischen immer öfter mobil: Auch viele ihrer Geschäftsanwendungen betreiben Unternehmen mittlerweile in der Cloud. In diesem Zuge verzichten sie auf den klassischen VPN-Tunnel, der für die Kommunikation mit mobilen Geräten nicht mehr erforderlich ist. Während fest installierte Rechner allerdings durch die Unternehmens-IT geschützt sind (Firewalls, Intrusion-Prevention-Systeme), zeigen sich Geräte im Homeoffice oder in freien WLANs deutlich anfälliger. Ihre Hardware muss angesichts des fehlenden Schutzes permanent auf dem aktuellem Stand sein. Die Software muss eng getaktet jeweils die neuesten Patches erhalten, ohne die Anwender dadurch in ihrer täglichen Arbeit zu stören.
Das Management von mobilen Devices ist in der Regel komplexer als bei herkömmlichen Clients, insbesondere bei Smartphones oder Notebooks. Die Komplexität steigt allein dadurch, dass die Clients zunächst ihren Managementserver erreichen müssen. Bei Android- und iOS-Smartphones wurde von Beginn an daran gedacht, bei Windows-Clients ist dies jedoch nicht automatisiert gegeben. Eine sichere Kommunikation lässt sich hier über ein Gateway herstellen, das in der DMZ oder in der Cloud steht. Es nimmt Anfragen von Agenten entgegen, die sich über vom Administrator ausgestellte Clientzertifikate authentifizieren und leitet den Datenstrom verschlüsselt an den Server weiter.
Von EMM ist in jüngerer Vergangenheit seltener die Rede; eher von cloudbasierten UEM-Systemen. Unter ihnen ist Intune das bekannteste und gebräuchlichste, nicht zuletzt deshalb, weil es im oft gewählten Enterprise-Lizenzvertrag Microsoft 365 E3 enthalten ist. Für die Kommunikation nutzt Intune mittlerweile die "Mobile"-Schnittstelle in Windows, über die auch viele EMM-Anbieter auf die Geräte zugreifen. Ein VPN oder Gateway wird dann nicht mehr benötigt.
Kaum Spielraum bei Cloud-UEMs
Cloud-UEMs sind für die Verwaltung von mit dem Internet verbundenen Geräten konzipiert. Ihre Vorteile: keine Infrastrukturkosten, kein Pflegeaufwand, beliebig skalierbar und jederzeit aktuelle Versionen. Allerdings benötigen sie immer eine stabile Verbindung, der Funktionsumfang ist in der Regel geringer und es gibt weniger Möglichkeiten, steuernd einzugreifen. Die Bordmittel eines Client-Betriebssystems sind oft nur rudimentär ansprechbar oder nicht vernetzt.
Solche Dienste docken üblicherweise an die Mobile-Schnittstelle des Devices an, die gegenüber einem nativen Agenten deutlich weniger Funktionalität aufweist. Ein Gerät (oder eine Gruppe davon) erhält ein Softwareupdate zugewiesen, den Zeitpunkt des Aufspielens kann der IT-Verantwortliche aber nicht festlegen. Der Cloudanbieter entscheidet in Eigenregie, wann er Sicherheitslücken schließt oder den neuesten Patch einspielt. Es gibt kaum Spielraum, selbst einzugreifen und etwa Ports zu sperren.
Lokale Systeme bieten mehr Funktionalität
Dem stehen die Vorteile von lokalen UEM-Plattformen gegenüber, die auf eigenen Servern installiert sind oder in der privaten Cloud eines Hyperscalers laufen. Die Tools verfügen über eigene Agenten und bieten zahlreiche Verwaltungsoptionen wie etwa manuelle Clients, Agenten oder ein zusätzliches Gateway. Sogar Microsoft-Produkte wie Windows-Updates, Defender oder Bitlocker lassen sich direkt über sie steuern, auch ohne Cloudanbindung. Die Daten liegen darüber hinaus in der eigenen Umgebung, sind damit besser geschützt und das Unternehmen ist unabhängig vom Internet und Status des Servers in der Cloud. Außerdem lassen sich Sicherheitsbereiche gut voneinander abgrenzen und individuelle Werkzeuge mit No-Code/Low-Code einrichten.
Auf der anderen Seite fallen Kosten für Hardware und Lizenzen an. Deren Hochskalierung kann ebenfalls schnell viel Geld und Zeitaufwand verschlingen. Vor allem aber erlauben reine on-premises Systeme in den meisten Fällen keine oder nur eingeschränkte Anbindung von mobilen Endgeräten – einer ihrer Hauptnachteile und zugleich das große Plus eines Cloud-UEMs. Der derzeit wirksamste Ansatz liegt deshalb darin, die Flexibilität eines cloudbasierten UEM mit der Sicherheit einer lokalen IT-Infrastruktur in einem hybriden Unified Endpoint Management zu vereinen. Damit lassen sich alle Endpunkte im Netzwerk – unabhängig von ihrem Standort – zentral und ressourcenschonend verwalten sowie schützen.
Vorteile eines hybriden Ansatzes
Apps, Geräte und Benutzer (-gruppen) werden bei einem Hybrid-Ansatz aus der Cloud über ein Intune-Management-Modul in das führende, lokale UEM überführt. Sie sind dann darin sichtbar und lassen sich von dort aus verwalten. iOS- und Android-Devices, die das UEM sonst höchstens inventarisiert, sind so viel detaillierter verwaltbar. Es wandern außerdem mehr Inventarinformationen als bisher in das UEM. Zusätzlich sind Name und Version des Betriebssystems und die installierten Apps mit Namen, Version und Identifier im UEM aufgeführt.
Damit hat die IT-Administration eine Übersicht darüber, welche Geräte nur vom Clouddienst gemanagt werden und welche ausschließlich vom lokalen UEM. Das Resultat ist eine neue Form der Nachverfolgbarkeit in bisher nicht gekannter Detailtiefe. Auch werden sämtliche Arten von Apps aus einer Konsole heraus verteilt, an Android-, iOS- und Windows-Geräte. Zwei Systeme in einem bedeutet auch, dass bei einem Ausfall nicht immer alles gleichzeitig brach liegt. Ein Teil der Devices ist meist immer erreich- und verwaltbar, egal, ob der eigene Server ausfällt oder die Cloud. Vor allem geht es darum, stets handlungsfähig zu bleiben. Eine hybride Infrastruktur ist zwar komplexer, doch wenn sie auf zwei Systeme beschränkt ist, lässt sie sich übersichtlich halten. Ausnahmen bestätigen wie immer die Regel: Sind KRITIS oder NIS-2-Vorgaben einzuhalten, ist gegenwärtig nach wie vor eine Tendenz Richtung rein lokaler Infrastruktur festzustellen.
Hybride UEM-Plattformen beinhalten zahlreiche Werkzeuge, die die User in ihrer Mobilität unterstützen. Dazu zählen neben der automatischen Zuweisung von Sicherheitskonfigurationen, Druckern und Netzwerkfreigaben auch das Patchen mobiler Devices. Natürlich lassen sich Softwareaktualisierungen für Android- und iOS-Geräte wie bisher über ein EMM durchführen. Und auch die CSP (Configuration Service Provider)-Schnittstelle zwischen Konfigurationseinstellungen in einem Bereitstellungsdokument und denen, die sich auf dem Gerät befinden (ab Windows 10), erlaubt im gewissen Rahmen eine Verwaltung mobiler Geräte. Dies ist funktional jedoch nicht mit einem zentralen und automatisierten Update- und Patchmanagement gleichzusetzen, wie es eine hybride UEM-Plattform leistet. Ein reines EMM kennt nämlich nur den jeweiligen Stand der Patches eines Geräts. Der vollständige zentrale Überblick über alle mobilen Geräte in einer einheitlichen Konsole fehlt.
Automatisierung ermöglichen
Mit einem UEM-System kann der IT-Verantwortliche an zentraler Stelle Softwareupdates planen und automatisieren, ohne sich täglich darum kümmern zu müssen, welche Patches gerade anstehen. Sobald sich ein Rechner mit dem Hinweis meldet, dass ein Patch fehlt, wird dieser heruntergeladen und zentral für alle Rechner bereitgestellt. Benötigte Aktualisierungen werden zeitnah und auf sichere Art und Weise über automatische Freigaberinge verteilt. Üblich ist das Ausspielen zunächst an den Testring IT, anschließend geht das Update an eine Auswahl von Key-Usern. Erst wenn es auch dort keine Probleme gibt, erfolgt das automatische Ausrollen an alle Arbeitsplatzstationen. Mit dieser automatisierten Verteilung über ein UEM-System gelingt es, der riesigen Menge an Patches von Microsoft und Third-Party-Herstellern gleichermaßen Herr zu werden.
Analysten haben für diese Automatisierung inzwischen auch einen Begriff parat: AEM oder AUEM – Autonomes (Unified) Endpoint Management. Ob es sich als Produktgattung durchsetzt, bleibt abzuwarten. Tatsache ist jedoch, dass moderne UEM-Plattformen schon länger diesen Weg der Automatisierung gehen, weil gerade daraus die größten Effizienzgewinne resultieren. "Do more with less people" lautet der Ansatz – wie bei Containerschiffen, die heute dank Hochtechnisierung gerade mal ein Dutzend Matrosen benötigen. Angesichts wachsender Aufgaben bei gleichzeitig reduzierten Personalressourcen ist Automatisierung der einzig gangbare Weg, um seine IT-Infrastruktur weiterhin zuverlässig verwalten zu können.
Update-Zeitpunkte im Kiosk festlegen
Arbeitszeiten von Mobilgeräten sind wesentlich dynamischer als jene von Desktops. Befinden sich alle Rechner im Unternehmen, lässt sich leicht einrichten, dass Updates nur nach Betriebsschluss durchlaufen. Bei Mobilgeräten ist dies nicht der Fall, denn ihr Einsatz bleibt nicht auf die Kernarbeitszeit beschränkt. Daher sollten IT-Verantwortliche Updates auf Zeiten legen, in denen das Gerät weniger genutzt wird beziehungsweise durch Monitoring erkennbar ist, ob es gerade unter Last arbeitet oder nicht. UEM-Werkzeuge verfügen zudem in der Regel über eine Kiosk-Funktion. Darin kann der Beschäftigte Updates und den Zeitpunkt ihres Herunterladens selbst einstellen.
Trotz Auslagerung in die Cloud sind Virtual Privat Networks nach wie vor flächendeckend in den Unternehmen im Einsatz. Notebooks verbinden sich per VPN mit dem Firmennetz und holen sich dort die benötigten Daten. Dies ändert sich allerdings derzeit und vermehrt kommen Cloud- oder Onlinespeicher zum Einsatz, auf denen ein UEM die Update- und Patchpakete bereits synchronisiert. Der Client entscheidet abhängig davon, wo er sich befindet (Firmennetz, WLAN, verbunden über LTE-Karte), wie und wann er Dateien verschlüsselt herunterlädt. In den meisten UEM-Tools lässt sich zudem einstellen, dass größere Updates nur im WLAN oder in externen Netzwerken erfolgen und nicht über eine getaktete mobile Verbindung.
Hybriden Ansatz beschränken
Jedes Unternehmen sollte sich intensiv mit einer hybriden Strategie für die Verwaltung seiner gesamten IT-Infrastruktur beschäftigen und wo dabei die Prioritäten liegen. Entscheidend ist, welche Geräte unter direkter Kontrolle bleiben sollen. Oft ist eine Cloudanbindung überflüssig – etwa bei Clients im Büro oder Headquarter mit eigenem Serverraum, wo ein direkter Zugriff sinnvoller ist. Ebenso spielt die Arbeitslast der Geräte eine Rolle: Smartphones benötigen in der Regel weniger engmaschige Überwachung und Patches als Notebooks. Zudem können sie für einige Stunden offline sein, ohne dass größere Unterbrechungen oder Produktivitätsverluste entstehen.
Auch wenn hybride Architekturen eine gewisse Komplexität mitbringen, lässt sich diese durch kluge Integration in einem überschaubaren Rahmen halten – insbesondere, wenn sie auf zwei Systeme beschränkt bleibt. Ein Beispiel für eine solche Hybrid-Integration ist Aagon, das bereits seit längerem eine Anbindung an Intune per Connector aufweist. Diese verbindet Cloud- und on-premises-UEM nahtlos miteinander und ermöglicht so das Verwalten der Clientinfrastruktur.
Fazit
Effektives Endpunktmanagement erfordert eine zentrale Verwaltung aller mobilen und stationären Endgeräte. Die Trennung zwischen cloudbasierten Enterprise-Mobility-Management-Systemen und lokalem Clientmanagement löst sich zunehmend auf. Moderne, hybride UEM-Plattformen vereinen die Vorteile beider Ansätze.
(jp)
Sebastian Weber ist Chief Evangelist bei Aagon.