In der heutigen digitalen Ära, in der mobile Endgeräte eine zentrale Rolle in Unternehmensnetzwerken spielen, gewinnt das Mobile Device Management (MDM) zunehmend an Bedeutung. Mit der steigenden Anzahl und Vielfalt der verwendeten Geräte stehen IT-Abteilungen vor der Herausforderung, Sicherheit, Konsistenz und Effizienz in der Verwaltung sicherzustellen. Deklaratives Mobile Device Management (DDM) ist ein Konzept, das an diesem Punkt ansetzt. Dieser innovative Ansatz verändert die Art und Weise, wie Unternehmen ihre mobilen Endgeräte verwalten, indem er eine vereinfachte und automatisierte Methode bietet, um gewünschte Gerätekonfigurationen und -richtlinien umzusetzen.
Bereits 2021 hat Apple auf der Wordwide Developers Conference (WWDC) einen ersten Einblick in die Zukunft das Device Managements gegeben. Die damalige Vision einer deklarativen Verwaltung ist heute in den Verwaltungsplattformen angekommen.
Reaktive Geräteverwaltung: die bisherige iOS-Methode
Apples Protokoll zum Device Management stellt die Grundlage für alle Funktionen dar, die man aus heutigen MDM-Systemen kennt. Von der Installation von Apps bis zum Auslösen eines Geräte-Wipes basiert alles auf diesem Protokoll, dessen Umfang mit jedem OS Update erweitert wird.
Bisher lief die Kommunikation so ab, dass der Verwaltungsserver nie direkt eine Verbindung mit dem Endgerät aufbauen konnte, um zum Beispiel den Installationsstatus abzufragen. Vielmehr musste immer eine Verbindung mit den Apple Servern aufgenommen werden, die dann anhand der eindeutigen Geräteidentifikation (UDID) das Gerät anstoßen und es dazu auffordern, sich beim MDM-Server zu melden.
Bei diesem Weg kann es einige Zeit dauern, bis der Server den Status des Gerätes erhalten und ausgewertet hat, um dann entsprechend zu reagieren. Beispielsweise könnte eine App zur Installation angewiesen werden oder ein Profil für WLAN oder VPN installiert werden. Außerdem können die Vielzahl von Kontaktversuchen, die für eine Übertragung des Gerätestatus notwendig sind, den Server und dessen Breakout stark belasten.
Mit der deklarativen Geräteverwaltung ändert Apple dieses Vorgehen sukzessive.
Was ist Deklaratives Mobile Device Management?
Die deklarative Geräteverwaltung (DDM) stellt einen proaktiven Ansatz des Managements dar. Anhand der vom Verwaltungsserver übermittelten Kriterien und Richtlinien kann ein Mobilgerät selbst erkennen, ob sein Zustand verändert wurde und kann Gegenmaßnahmen ergreifen. Eine Rückmeldung bzw. einem aktiven Trigger durch den Verwaltungsserver ist nicht mehr notwendig. Anstatt durch einen Befehl per Push aktiviert zu werden, meldet das Gerät selbständig und proaktiv seine Aktualisierungen zurück. Im Ergebnis können so deutlich schneller und deutlich präzisere Informationen zu jedem Gerät abgerufen werden. Außerdem kann der von der Administration gewünschte Zustand schneller erreicht und erhalten werden.
Hierzu bedient sich Apple drei Datenmodellen:
- Deklarationen: Hierunter fallen Daten zur Konfiguration des Gerätes sowie Richtlinien zur Gerätekonformität (z.B. Passwortrichtlinien). Allgemein also alle bisher bekannten Verwaltungsoptionen.
- Status: Der Status Kanal ermöglicht es dem Gerät, seinen Zustand selbständig an den Verwaltungsserver zu übermitteln. So könnte z.B. eine Aktualisierung des Betriebssystems oder die Installation einer Unternehmensapp proaktiv übermittelt werden.
- Erweiterbarkeit: Änderungen im mobilen Betriebssystem bringen oftmals neue Funktionen mit. Mit dem Fokus auf Erweiterbarkeit können neue Funktionen oder neu verfügbare Informationen sowohl vom Server als auch vom Gerät verwendet werden. Die gewonnenen Informationen können über diesen Weg problemlos ausgetauscht werden, sodass sie sofort zur Verfügung stehen.
Wie funktioniert Deklaratives Mobile Device Management?
Bei DDM wird der Endzustand der Konfiguration eines Geräts beschrieben, ohne die einzelnen Schritte zur Erreichung dieses Zustands detailliert zu definieren. Dies wird erreicht, indem die IT-Administratoren eine Beschreibung dessen liefern, wie das Endgerät aussehen soll, einschließlich der installierten Anwendungen, Sicherheitsrichtlinien und Netzwerkeinstellungen. Das Managementsystem übernimmt dann die Aufgabe, die notwendigen Maßnahmen durchzuführen, um diesen Zustand zu erreichen und aufrechtzuerhalten.
Welche Vorteile bringt DDM mit sich?
- Effizienzsteigerung: Da nur der gewünschte Endzustand definiert wird, können viele Prozesse automatisiert werden. Das System kümmert sich um die Umsetzung, was den Verwaltungsaufwand erheblich reduziert.
- Konsistenz: Durch die zentrale Definition von Richtlinien und Konfigurationen wird sichergestellt, dass alle Geräte einheitlich konfiguriert werden. Dies minimiert Abweichungen und erhöht die Sicherheit.
- Skalierbarkeit: DDM ist besonders geeignet für Umgebungen mit einer großen Anzahl von Geräten. Änderungen an Richtlinien und Konfigurationen können schnell und effizient auf alle betroffenen Geräte ausgerollt werden.
Wie wird DDM in der Praxis implementiert?
Um DDM in die Praxis umzusetzen, nutzen Unternehmen oft spezialisierte Softwarelösungen, die eine deklarative Schnittstelle bieten. Diese Lösungen ermöglichen es den IT-Administratoren, Konfigurationsprofile zu erstellen, die dann auf die verwalteten Geräte angewendet werden. Bekannte Beispiele für solche Softwarelösungen sind Apples Profile Manager und Microsoft Intune, die beide Unterstützung für deklarative Ansätze bieten.
Ein typisches Einsatzszenario könnte folgendermaßen aussehen:
- Ein Unternehmen möchte sicherstellen, dass alle mobilen Endgeräte mit einer bestimmten Sicherheitsrichtlinie ausgestattet sind, die eine Verschlüsselung der Daten auf dem Gerät und die Installation einer bestimmten Sicherheitssoftware vorschreibt.
- Der IT-Administrator erstellt ein Konfigurationsprofil, das diese Anforderungen beschreibt.
- Das DMDM-System verteilt dieses Profil an alle verwalteten Geräte und stellt sicher, dass jedes Gerät die beschriebenen Einstellungen übernimmt und aufrechterhält.
Endlich gelöst: direkte Verwaltung von Betriebssystemupdates
Den vielleicht greifbarsten Vorteil bietet die deklarative Geräteverwaltung bei einem Thema, welches in Projekten immer wieder relevant ist – dem Update des mobilen Betriebssystems.
Bisher konnten auf Apple Geräten Updates verschoben oder priorisiert werden. Eine direkte Verwaltung der Update-Prozedur selbst war bisher aber nicht wirklich möglich. Mit der deklarativen Geräteverwaltung ändert sich dies jetzt. Durch den Status Kanal und die gesetzten Richtlinien kann das Gerät selbst Maßnahmen erreichen, um den gewünschten Zielzustand, hier die gewünschte OS-Version, zu erreichen.
All diese Einstellungen lassen sich sogar getrennt für Haupt- und Nebenversionen steuern. Durch die proaktive Übermittlung der Betriebssystemversion können außerdem Sicherheitsmaßnahmen wie beispielsweise die Steuerung des Zugriffs auf sensible Daten auf Basis der OS-Version umgesetzt werden.
Durch die Integration von DDM gibt es für uns endlich eine zufriedenstellende Antwort auf die Frage ‚Wie können wir die Betriebssystems-Updates für unsere Geräte steuern?‘. Damit bietet sich für unsere Kunden nicht nur eine verbesserte Steuerbarkeit sondern auch ein entscheidender Sicherheitsgewinn im Umgang mit mobilen Endgeräten.
Timo Boekhoff, Solution Architect bei bellmatec
Deklaratives MDM korrekt einsetzen
Auch wenn DMDM bereits 2021 vorgestellt wurde, hat es einige Zeit gedauert, bis es seinen Weg in die Verwaltungslösungen gefunden hat. Die gängigen Cloud-Plattformen setzen auch heute schon auf deklaratives MDM. Einige OnPremise Lösungen bieten zumindest einen Teilumfang der Lösung bereits an.
Gern helfen wir Ihnen bei der Umstellung und Konfiguration der neuen deklarativen Funktionen.
Vereinbaren Sie noch heute ein Gespräch mit unseren Experten.