Liebe Hörerinnen und Hörer des Podcasts iPad4productivity,
ich freue mich sehr, dass Sie sich für den Gratis-Hörerservice angemeldet haben. Sollten Sie den Podcast für den produktiven Einsatz des iPads noch nicht abonniert haben, finden Sie ihn hier.
Sollten Sie auf einem anderen Weg auf diese Seite gekommen sein, können Sie sich hier für den Gratis-Hörerservice des Podcasts anmelden. Sie erhalten dann immer alle Zusatzinfos und Links zu den wöchentlich neu erscheinenden Episoden und weitere nützliche Tipps zur produktiven Nutzung des iPads.
Hier finden Sie den Gesamt-Themenplan des Podcasts inkl. der in den Episoden besprochenen Links und Trankripte zum Nachlesen.
Diese Woche geht es um Erfahrungen bei der Einführung von MDM-Systemen. Bei Rückfragen und Themenwünschen freue ich mich über Ihre E-Mail an t.jekel@jekelteam.de.
Herzlich produktive Grüße
Ihr
Hier finden Sie die in der Episode angesprochenen Links:
Hier das Transkript der Episode:
(Bitte wundern Sie sich nicht über die nicht schriftreife Sprache. Ich spreche die Podcast frei ein und lasse daraus erst im Nachhinein das Transkript erstellen.)
Im Mai haben wir uns das komplette Thema Mobile-Device-Managementsystem einmal gemeinsam erarbeiten. Startend mit der Frage, was ist ein Mobile-Device-Managementsystem, weiterführend mit der Frage, was sind führende Anbieter, dann haben wir uns exemplarisch angeguckt auch die Lösung der Telekom und der Vodafone und letztendlich den Abschluß bildet in diesem Monat die Episode zur Frage, wie führen Sie ein MDM-System in Ihrem Unternehmen ein.
Und hier möchte ich Sie gerne teilhaben lassen an meiner Erfahrung, die ich mittlerweile seit fünf Jahren gesammelt habe bei der Begleitung von Unternehmen, Steuerberatungen und Banken, große Vertriebsorganisationen, die iPads eingeführt habe und wir gehen hier einmal so ein paar Grundprinzipien durch, die Ihnen dabei helfen das einzuführen. Wir gucken uns einmal ein paar Grundsätze an, wir schauen uns dann einmal die verschiedenen Schritte an, mit denen Sie ein Mobile-Device-Managementsystem in Ihrem Unternehmen einführen.
Starten wir mal mit den grundsätzlichen Themen. Idealerweise sollten Sie natürlich von Beginn an Ihre iPads mit einem Mobile-Device-Managementsystem verwalten. Natürlich können Sie das auch nachträglich einführen, dann müssen Sie aber aus meiner Erfahrung heraus doch zum einen alle Geräte wieder einsammeln, zum zweiten müssen Sie auch die Anwender wieder einsammeln, denn Sie kennen meine Grundprinzipien, ich bin kein Freund sowie auch im PC-Bereich der freien Entscheidung der Anwender, was Sie denn für Anwendungen dort drauf installieren oder nicht, sondern einer zentralen Steuerung so wie Sie es vom PC-Bereich auch kennen. (Husten) Entschuldigen Sie, ich bin immer noch etwas erkältet, das hören Sie in meiner Stimme, und bin eben kein Freund davon, die Anwender genauso alleine zu lassen, sondern sowas zentral zu steuern. Und wenn Sie jemandem etwas wegnehmen, ist es immer etwas schwieriger als wenn Sie von vornherein etwas restriktiver und vor allen Dingen strukturierter starten.
Sie könnten natürlich auch sagen, ich brauch kein Mobile-Device-Managementsystem, sondern es gibt hier auch gratis ‚iPhone Configuration Utility‘ von Apple, mit dem Sie theoretisch auch Sicherheitspolicies ausrollen können, aber zum einen das ganze Thema App-Management ist nur sehr rudimentär möglich, also nur sehr eingeschränkt möglich und auch das Thema ‚Jailbreak‘-Erkennung, also wenn ein Gerät geknackt ist oder auch die Abfrage und das ganze Thema von Gruppen ist dort nur sehr eingeschränkt möglich, deshalb mit MDM zumal die heutige Lösung auch nicht mehr besonders teuer sind. Gut ist auch Idee dort as Cloud-Service zu starten und bevor Sie mit dem Thema Cloud loslegen, idealerweise auch die Grundrichtlinien schon per Papier vorzustrukturieren, also Ihr IT-Sicherheitskonzept einmal bestehendes, was Sie im Regelfall ja haben, sich anzugucken und auf der Basis zu erweitern.
Was sind jetzt Schritte um ein Mobile-Device-Managementsystem dort einzuführen? Der erste Schritt ist natürlich die Entscheidung für ein Mobile-Device-Managementsystem. In den vorherigen Episoden haben Sie ja verschiedene Lösungen kennen gelernt. Also deswegen gehen wir hier auf die Entscheidungskriterien etwas weniger ein.
Was dann wichtig ist, dass Sie eine Apple-ID anlegen. Die Apple-ID ist mittlerweile dem Mobile-Device-Managementsystem relativ egal. Sie brauchen aber trotzdem eine Apple-ID und wichtig ist hier, dass Sie sie auf alle Fälle stellenbezogen einrichten und keine Zahlungsinformationen dahinter hängen. Was ist die Grundidee dahinter. Die Grundidee, sollte ein Mitarbeiter das Unternehmen irgendwann einmal verlassen, dann soll er ja nicht unbedingt diese Lizenzen mitnehmen, zum zweiten, wenn Sie missbräuchliche Transaktionen auf einer Apple-ID haben und die gehört dem Mitarbeiter, dann haben Sie wenig Chancen dadrauf zuzugreifen. Das heißt, die Empfehlung ist immer eine stellenbezogene Apple-ID ohne Zahlungsinformationen und die Applikation über sogenanntes Volume-Purchasing-Programm zu verteilen.
Die Idee des Volume-Purchasing-Programm ist, dass Sie zentral Applikationen verkaufen und diese hinterher verteilen können. Die gute Nachricht, also Sie kriegen somit eine vernünftige zentrale Rechnung und können diese Applikationen verteilen. Früher war das so, dass Sie diese Lizenzen dann so verteilen konnte, dass sie einmal zugeordnet haben auf einer Apple-ID eines Anwenders, also wenn der gesagt hat, ich möchte diese App installieren, wurde diese fest gebrannt auf diese Apple-ID, um so wichtiger war es dort eine firmenbezogene zu haben. Die gute Nachricht ist, mittlerweile beherrscht das Haus Apple die sogenannte Token-Lösung, das heißt, Lizenzen können an die Anwender zugeordnet werden und können auch wieder zurück gezogen werden. Das Problem ist nur, Sie müssen zum allerersten Mal, müssen Sie ein Gerät einchecken für dieses Token-System und wenn dann ein Mitarbeiter oder eine Mitarbeiterin das Ganze mit der privaten Apple-ID macht, dann wird es wieder der privaten ID zugeordnet, also deswegen bin ich auch der Freund die Apple-IDs zentral einzurichten, stellenbezogen einzurichten und auch das Einchecken ins VPP zentral einmal vorzunehmen. Um eine solche VPP Apple-ID zu bekommen, müssen Sie diese bei Apple beantragen. Eine der Voraussetzungen, die Sie dafür benötigen ist eine sogenannte Dun & Bradstreet Nummer oder ‚D-U-N-S‘-Nummer, finden Sie auch auf der Apple-Seite und wenn Sie sich zum Gratis-Hörerservice unter www.iPad4productivity.com anmelden, dann erhalten Sie auch von mir gerne die entsprechenden Links, wo Sie diese ‚D-U-N-S‘-Nummer zum einen beantragen können. Das ist praktisch eine Art internationaler Handelsregisternummer, mit der Sie Apple gegenüber dokumentieren, dass Sie ein wirkliches Unternehmen sind. Wenn Sie diese Nummer haben, dann dauert es so zirka 14 Tage aus meiner Projekterfahrung heraus und wenn Sie die Nummer haben, dauert es nur 1-2 Werktage, bis Sie von Apple eine Apple-ID haben, dann hängen Sie dann eine Kreditkarte dahinter oder über ClickandBuy eine entsprechende Kontoverbindung und darüber können Sie dann einmal zentral Applikationen kaufen. Wenn Sie das gemacht haben, dann ist der nächste Schritt das MDM zu installieren, entweder On-Premise, also in Ihrem Rechenzentrum, oder als Cloud.
Wenn Sie das MDM einmal installiert haben, dann geht es natürlich daran, das Ganze einzurichten. Und neben dem reinen Start- und Basis-Einrichtungsfunktionalitäten wie bei jedem EDV-System gibt es folgende Besonderheiten.
Zum einen starten Sie dann nach der Basiseinrichtung mit der Festlegung von Benutzergruppen. Also meine Empfehlung ist nicht jeden einzelnen Benutzer zu administrieren, sondern Gruppen zu haben. Übertreiben Sie es bitte nicht mit den Gruppen, also wenn Sie dann zwanzig-dreißig Gruppen haben, wird es irgendwann auch unübersichtlich und wenn Sie für jede Gruppe ja dann die Apps festlegen, die entsprechenden Sicherheitsrichtlinien, die gute Nachricht ist, im Regelfall können Sie die Berechtigungen vererben, in tieferen Bereichen, also deswegen kann man auch durchaus mit mehreren Gruppen arbeiten. Denken Sie bitte auch daran, dass Sie eine IT-Testgruppe haben, mit der Sie bestimmte Dinge testen können und eine IT-Produktivgruppe, das Sie die die auf alle Fälle immer dabei sind und dann entsprechend fachlich unterscheiden. Und pro Gruppe können Sie unterschiedliche Berechtigungen und auch Apps entsprechend vergeben. Dann legen Sie pro Benutzer Gruppe, zum einen Sicherheitsrichtlinien und Apps fest. Beim Thema Sicherheitsrichtlinien, also da geht es dann vor allen Dingen um typische Fragen wie Kennwortlänge, Kennwortkomplexität, ob iCloud genutzt werden soll, ob iClound nicht genutzt werden soll, ob Sie ‚Siri‘ nutzen sollen oder nein. Also das heißt, hier können Sie einzelne Funktionalitäten, vor allen Dingen die sicherheitsrelevanten, ein- oder ausklemmen. Welche Sie dort nutzen, also ich werde häufig gefragt, gibt es da eine Empfehlung, die Sie geben können?
Meine Empfehlung ist, es ist nicht einheitlich zu beantworten, sondern wichtig ist es, dass Sie gemeinsam sich bestehendes IT-Sicherheitskonzept anschauen und sagen, wie sind die PCs heute sicherheitstechnisch von der Policy bei uns eingestielt und da entsprechend anpassen sollten Sie auch die Policies für die iPads machen. Also wenn Sie hier Unterstützung brauchen, sprechen Sie mich gerne an unter 030-44017299 oder t.jekel@jekelteam.de. Hier habe ich schon mehrere Organisationen begleitet wo wir uns angeguckt haben, welche Möglichkeiten und Einschränkungen gibt es. Und hier ist ein gutes Verfahren sich anzugucken, was sind so Leitplanken zwischen denen man sich orientieren kann und dann guckt man sich an, okay, was sind Dinge, die dort für Ihre Organisation Sinn machen.
Der eine oder andere von Ihnen weiß, dass ich im Bankenbereich unterwegs bin und hier kommt oft die Frage, hm, da gibt es ja die BAFiN / Bundesbank, die Ihre Prüfung vornimmt, es gibt Verbandsprüfern, ja, da muss man doch ganz restriktiv sein. Und ich bin häufig auch bei Vortragsveranstalltungen, wo ich auch die Prüfer, die Prüferinen der Deutschen Bank treffe, und ich nutze immer die Gelegenheit, diese auch zu fragen, wie sie mit dem Thema umgehen. Zum einen die Bundesbank ist gerade dabei iPads selbst in Prüfungsbereich auszurollen, also somit ist dort im Haus der Bundesbank mehr und mehr Know-how zu diesem Bereich vorhanden. Zum zweiten ist hier ein pragmatischer Ansatz vorhanden. Das heißt, wenn Sie heute nicht Bank sind und diesen Podcast hören, für Sie sicherlich auch interessant, wie dort der Ansatz ist. Der Ansatzpunkt ist nämlich folgender, dass die Bundesbank / BAFiN sagt, wir wissen, das es Risiken gibt. Das ist schon inhärent im Bankgeschäft. Und das ist aber auch kein Thema. Wichtig ist nur, Risiken müssen transparent sein. Wir mögen keine intransparenten Risiken, das gilt genauso auch für Nicht-Banken. Und wichtig ist dann einfach zu sagen, okay, welche Risiken gibt es, und wie kann ich diese Risiken adressieren. Und dafür gibt es drei Möglichkeiten: (1) Es gibt einmal die Möglichkeit Risiken technologisch zu administrieren und zu adressieren. Das heißt, durch Einschränkungen eines Mobile-Device-Managementsystems. (2) Es gibt die Möglichkeit durch organisatorische Richtlinien, also beispielsweise durch Überlassungsvereinbarungen, auch damit werden wir uns im Rahmen dieses Podcasts nochmal einmal ganz explizit beschäftigen. (3) Und es gibt natürlich den Bereich der (…) die Frage der Sensibilisierung der Schulung von Mitarbeitern.
Das heißt, die Idee ist hier ganz klar den Dreiklang zu nehmen und die Dinge idealerweise schriftlich zu dokumentieren. Und das wirklich für Ihr Unternehmen ganz spezifisch zu tun. Das heißt, wenn Sie diese Sicherheitsprofile dort definiert haben, ist der nächste Schritt die Frage, welche Apps sollen in der Probenutzergruppe eingesetzt werden. Und hier meine Erfahrung, dass gerade wenn Sie vielleicht die iPads schon draußen hatten, ist immer eine gute Vorgehensweise zu fragen, sage mal, welche iPad-Applikationen möchtet ihr denn bitte gerne haben. Also hier ist es so, dass wir eine Excel-Liste meistens erstellen mit den Wünschen, wird eingetragen, und dann haben wir mehrere Fälle. Also zum einen, was wir häufig haben, dass dann fünf oder sechs verschiedene PDF-Applikationen drauf sind und dann gucken wir, welche dieser Applikationen ist eigentlich die, die am besten geeignet ist, oder wenn die aus meiner Sicht bestgeeignetste PDF-Applikation noch nicht drauf ist, dann nehmen wir die, im Moment halt eich PDF-Expert 5 für die führende im Bereich der professionellen PDF-Bearbeitung. Meine persönliche Erfahrung ist, da gibt es eigentlich nie Stress, wenn man den Anwendern sagt, wisst ihr was, ihr habt so viele PDF-Anwendungen schon ausprobiert, das ist die beste, ist es okay, wenn wir die nehmen? Und viele sagen, klasse Mensch, ich habe auch keinen Bock ewig lang zu suchen, die nehmen wir, gar kein Thema. Dann gibt es Anwendungen, die aus Sicherheitserwägungen nicht in das IT-Compliance-Konzept passen. Also im Bankbereich beispielsweise ist Dropbox oder ist sowas wie WhatsApp tendenziell eher nicht geeignet und dann ist der Punkt nein zu sagen, nein, geht nicht, sondern der Ansaztunkt ist im ersten Schritt einmal zu gucken, gibt es Alternativen, die weitestgehend den gleichen Funktionsumfang bieten, die aber deutlich weniger sicherheitskritisch sind. Und bei dem Thema WhatsApp gibt gibt es zwei Ansatzpunkte um ein Beispiel mal zu nennen, zum einen wenn Sie in reinen iOS-Umgebungen sind, dann ist seit iOS 8 die eingebaute iMessage-Funktionalität, sogar Ende-zu-Ende verschlüsselt. Apple hat gerade massives Problem mit der NSA. Vor allen Dingen die NSA sagt, wir möchten gerne mitlesen und Apple sagt, ihr könnt gerne mitlesen, aber wir selbst können es auch nicht lesen, weil es Ende-zu-Ende verschlüsselt ist. Also deswegen durchaus auch in reinen Apple-Umgebungen, gerade wenn Sie viele iPads, iPhones ausrollen, sind sie in der Apple-Umgebung sehr sehr gut dafür zu nutzen.
Nächster Ansatzupunkt ist ‚Threema‘, relativ schwer auszusprechen, ist ein Schweizer Unternehmen, die das System von vornherein eben so aufgebaut haben, dass sie eine Ende-zu-Ende-Verschlüsselung haben und das Ganze in einer sehr sicherne Form. Also man hat anhand eines Beispiels, wo Sie sehen, ich entschuldige mich nochmal ausdrücklich für die Stimme, die im Moment bei mir etwas angeschlagen ist, ich hoffe, Sie können mich trotzdem gut verstehen, das heißt, die Idee ist hier nicht zu sagen, nein du darfst nicht, sondern die Idee ist, welche Funktionalität möchten die Anwender dort erreichen und wie können Sie die. Dann kommen natürlich noch die dritte Fraktion mit dem Thema, doppelte Applikationen, Thema kritische, kommt das Thema private Spielen und so mag man da sagen, hey, solange es nicht Dinge sind, die irgendwo Cloud-Services haben, die kritisch sind, können die auch gerne spielen, ist gar kein Thema. Übrigens auch die Diskussion, die ich häufig mal habe, nein, keinerlei Applikationen mit irgendwelchen Cloud-Schnittstellen. Yhm, in der Theorie eine gute Idee. Das Problem in der Praxis ist, es gibt mittlerweile fast gar keine vernünftigen Applikationen, mit denen Sie produktiv arbeiten können, die keine Cloud-Schnittstellen haben. Also auch die mitgelieferten Office-Applikationen haben Cloud-Schnittstellen, Microsoft Office hat das Ganze auch, also es gibt eigentlich keine mehr, wo Sie keine Cloud-Schnittstellen haben. Das heißt, wichtig ist, reine Cloud-basierte Apps wie Dropbox, die eben nur mit Cloud arbeiten, die nicht in Ihr Sicherheitskonzept passen, die bitte nicht zuzulassen. Applikationen, die optionale Cloud-Schnittstellen haben, mit organisatorischen Richtlinien zu flankieren, wo Sie sagen, du darst die eben nutzen aber bitte nur freigegebene Cloud-Schnittstellen und zum dritten die Mitarbeiter entsprechend schulen und entsprechend sensibilisieren. Wenn Sie also so Ihre Apple-Liste dort gesammelt haben, dann eben wichtig zu sagen, okay, welche App-Grundausstattung gibt es und die verteilen Sie so, dass die obligatorsich auf den iPads schon automatisch entsprechend mit drauf ist. Dann gibt es optionale, also wenn Sie beispielsweise sagen, es gibt auch Fußball-Apps, die optional bereit stehen, dann will vielleicht nicht jeder Nicht-Fußballfan die auch haben und dann können Sie die in einem internen Appstore bereit stellen. Die gute Nachricht beispielsweise bei Air Watch können Sie es mittlerweile so machen, dass Sie einen internen Appstore zur Verfügung stellen, aber den offiziellen Appstore abklemmen. Das ging bis vor kurzem nicht, mittlerweile geht das und funktioniert sogar relativ gut und stabil. Die bezahlten Applikationen verteilen Sie über das Volume-Purchasing-Programm über die vorhin angesprochenen Token, also über Lizenzen. Hierzu ist wichtig die Geräte, die an diesem Token-System teilnehmen, müssen einmal eingecheckt werden, das sollten Sie idealwerweise zentral machen, bevor Sie diese Geräte aus der Hand geben, weil hier ist es so, dass Sie den einen oder anderen Anwender etwas überfordern. Ich habe auch schon die Erfahrung gemacht, dass der eine oder andere die E-Mail mit der Aufforderung zur Bestätigung einfach löscht oder ignoriert, oder eben eine private ID eben angemeldet hat und dann ist die Zuordnung der Lizenz auf der privaten Apple-ID, das wollen Sie auch nicht unbedingt. Also vor dem Hintergrund empfehle ich sowas eher zentral zu machen. Gratis-Applikationen können Sie im MDM-System auswählen und dann eben auch zur Verfügung stellen, entweder optional zur Verfügung stellen oder die Standardausstattung eben so automatisch ‚pushen‘. Und dann empfehle ich immer ganz klar, die sowohl obligatorischen als auch optionalen Apps auf die White-List zu packen. Sie müssen nicht nochmal eine weitere Liste machen mit der Sie das praktisch doppeln, und die Idee ist dann, dass die hinter Sicherheitsrichtlinien einregeln, die sagen immer, wenn eine App nicht auf der White-List ist, dann tritt eine Sanktion ein. Und hier aus der Erfahrung auch gebe ich Ihnen ein Beispiel, was ich bei einigen Kunden schon eingerichtet habe, das heißt, wenn jemand eine App dort installiert, sagen Sie, wieso, wie kann er die denn installieren? Wenn er nur einen internen Appstore hat und wir die Appstore abklemmen. Yhm, es geht. Ich habe das vor kurzem wieder getestet, das heißt, in dem Moment, wo Sie einen internen Appstore anklicken und eine App installieren, wird auch der normale Appstore für eine kurze Zeit eingeblendet. Und ja, wenn Sie schnell sind, wenn Sie pfiffig sind, können Sie in diesem Appstore jede andere App auch installieren. Und deswegen ist es wichtig in Ergänzung dazu, es gibt übrigens auch einige MDM-Systeme, wo Sie den Appstore noch nicht abklemmen können, also nicht jedes MDM-System kann das schon, dann ist es noch wichtiger diese White-Liste zu haben und dann zu prüfen, was passiert wenn ein Anwender eine App installiert hat, die nicht auf der White-List ist. Und übrigens ein ergänzender Hinweis noch, mit einem MDM-System können Sie immer abfragen, was dort auf einem System ist. Aber vom Grundsatz her, wenn Sie eine App löschen wollen, beispielsweise, dann können Sie das nur machen, wenn Sie die auch über ein MDM-System verteilt haben. Also hier gibt es ein Grundsatz, Sie können über das MDM-System entziehen nur was Sie über das MDM-System verteilt haben. Und Sie werden es gleich bei den Restriktionen merken, weshalb es wichtig ist. Was empfehle ich? Wenn jemand dort eine Restriktion verletzt hat, dann ist der erste Schritt direkte Nachricht über das MDM-System auf das Gerät, lieber User, du hast hier was installiert, das solltest du nicht tun, weil das nicht auf der White-List ist, bitte entfene das. Wenn der Anwender das nach 10 Minuten gemacht hat, dann bekommt er eine E-Mail und parallel dazu der IT-Administrator. Und die dritte Stufe, insgesamt empfehle ich immer 30 Minuten, ist das dann das Exchange- oder Lotus Notes bis das Traveler Book hier entfernt wird, das heißt, dass die E-Mail, der Kalender, die Kontakte, die Aufgaben von dem Gerät verschwinden und das hat zwei Vorteile, zum einen sind es sicherheitskritische Informationen, das heißt, wenn hier eine Applikation installiert wird, die potentiell zu Datenabfüssen führen kann, dann reduzieren Sie hier eine Sicherheitslücken, Punkt Nummer zwei, ist das auch eine Restriktion die wehtut. Und deswegen auch wichtig, dazu komme ich im nächsten Schritt nochmal, verteilen Sie eben auch Ihre E-Mail-Accounts über das Mobile-Device-Managementsystem, weil nur wenn Sie was über das Mobile-Device-Managemenetsystem verteilt haben, können Sie sie auch über das Mobile-Device-Managementsystem wieder ziehen. Das gleiche gilt auch für W-LAN-Zugänge. Hier haben Sie noch einen zusätzlichen Vorteil, sowohl in einem E-Mail-Account als auch bei dem W-LAN-Zugang, dass Sie damit die Kennwörter nicht verteilen müssen. Jetzt sagen Sie, moment Mal, wo ist denn da das Kritische? Ja, wenn Sie so ein Exchange-Kennwort beispielsweise öffentlich haben, dann kann natürlich der Mitarbeiter die Zugangsdaten außer dem Kennwort abschreiben, im Prinzip von dem System, und das Kennwort hat er, dann kann er es auch auf einem privaten Rechner einrichten, und das wollen Sie tendenziell als Unternehmen im Regelfall nicht.
Was Sie auch tun können ist Webclips zu verteilen, also das beispielsweise, die eigene Homepage Ihres Unternehmens, Ihrer Bank, Ihrer Kanzlei, als Icon praktisch auf dem iPad jedes Mitarbeiters so erscheint. Das kann man natürlich auch organisatorisch machen, aber natürlich so stellen Sie sicher, dass es auch überall drauf ist. Also das sind so die Vorbereitungen, die Einstellungen.
Und dann geht es im nächsten Schritt die Geräte einzuchecken. Hier gibt es mittlerweile einen Superweg, der heißt D.E.P. oder ‚Device Enrollment Programme‘, es ist ein System was mittlerweile freigeschaltet wurde auch in Deutschland. Das heißt D.E.P. – Device Enrollemnt Programme – hier können Sie die Geräte wirklich Out-of-the-Box ausrollen, das heißt Sie legen ein System einmal ein und dann kann ein Mitarbeiter aus der Packung rausnehmen, baut einmal eine Verbindung zum Internet auf, dann telefoniert er über das Internet mit dem Apple und sagt, moment mal, er kennt, dass dieses Gerät in Ihrem MDM eingerichtet ist, den können Sie so einstellen, dass er sich wirklich nur bei Ihnen im MDM-System anmelden kann. Und das Schöne ist: erstens, es muss in Ihrem System eingerichtet werden, also gerade, wenn es entwendet wird, interessant; zum zweiten, können Sie dort eine vereinfachte Einrichtung vornehmen, also da müssen Sie nicht immer Deutsch, Deutschland, Deutsch, Deutschland… Sie kennen das vielleicht, wenn Sie schon mal iPad eingerichtet haben, also diese ganzen redundanten Schritte fallen weg und das Gerät wird sofort mit allen Sicherheitspolices, mit allen Applikationen und mit allen E-Mail-Programmen, also mit vielen Dingen dort entsprechend versorgt. Also das ist richtig klasse. Sie können das Gerät auch in den Supervisor-Modus versetzen, das war bisher nur durch Anschließen eines Gerätes an einen Mac-Rechner physisch möglich. Das ist mittlerweile über das DEP-Programm auch möglich. Was hat das für Vorteile? In einem Gerät, was Sie im Supervisor-Modus haben, haben Sie noch mehr Möglichkeiten Sicherheitspolices fein zu granulieren. Also da sind Sie schon relativ nah an Blackberry-Niveau. Punkt Nummer zwei, eines der großen Vorteile, den Sie da haben, Sie können das sogenannte Host-Pairing unterbinden. Was heißt das? Sie können damit so einstellen, wein ein Mitarbeiter ein Gerät an einen privaten Rechner anschließt und das über das iTunes synchronisieren möchte, dann wird das einfach ignoriert. Und dieses Anschließen an iTunes sorgt im Regelfall immer für Stress, also deswegen bisher war das so nicht unterbindbar und somit, ach, Sie können den Mitarbeitern Hundertmal sagen, du sollst nicht an den iTunes anschließen, das erfolgt trotzdem in der Praxis und so können Sie es dann automatisch unterbinden. Wichtig ist beim Thema D.E.P., ich hatte es vor Kurzem erst, Sie brauchen eine sogenannte DEP-Händler-ID, also derjenige, vom dem Sie die iPads kaufen muss Ihnen eine solche DEP-Händler-ID zur Verfügung stellen. Die brauchen Sie beim Einrollen in das Mobile-Device-Managementsystem. Also durchaus auch ein Kriterium bei der Frage, bei welchem Anbieter kaufen Sie Ihre iPads. Ich hatte es vor Kurzem erst einmal selbst die Telekom noch nicht in der Lage eine DEP-Händler-ID zur Verfügung zu stellen. Also gerade, wenn Sie ein paar mehr iPads ausrollen, dann ist es durchaus ein entscheidendes Kriterium, dass Ihnen das Leben leichter machen kann.
Sie können die iPads natürlich auch, so war es bis vor Kurzem, ging es auch ohne DEP, ausrollen – geht auch. Ist natürlich nicht ganz so komfortabel, wenn Sie das tun am besten installieren Sie auf den Geräten dann die MDM-Applikation von dem jeweiligen Mobile-Device-Managementsystem wie beispielsweise von Air Watch und dann geben Sie den entsprechenden Link des Servers ein und dann checken Sie eben über User und Password entsprechend ein. Und dann das vorhin angesprochene Einchecken über das Volume-Purchasing-Programm. Danach müssen Sie leider heute einige Einstellungen auf dem Gerät vornehmen, ich empfehle das Ganze auch machen bevor Sie die Geräte ausrollen. Wenn Sie natürlich so wie einer meinen Kunden gerade 7.500 iPads ausrollen, dann ist die Frage, kann man sowas zentral gewährleisten oder macht man das durch die Anwender. Es gibt doch Dienstleister die sowas anbieten, also das sie komplett diese Geräte vorkonfektionieren, also wenn Sie da Unterstützungsbedarf haben, sprechen Sie mich da gerne an, da kann ich Ihnen gerne Empfehlungen geben. Einfach unter t.jekel@jekelpartner.de oder 030-44017299 gerne Kontakt zu mir aufnehmen.
Nachdem Sie auf dem Gerät eine Einstellung vorgenommen haben, ist da noch wichtig den Zugriff auf Daten einzurichten. Ich empfehle immer den Zugriff über VPN – also Virtual Private Network – zu sichern, dass die Server nicht öffentlich im Internet stehen und dann den Zugriff auf Dateien über WebDAV zu organisieren. WebDAV hat für Sie den Vorteil, dass es zum einen verschlüsselter Standard ist, dass Sie bestehende Benutzerberechtigungen auch draußen eben nicht nochmal neu administrieren müssen, sondern dass Sie benutzt werden und das ist quasi der, ich nenne es immer der kleinste gemeinsame Nenner, also selbst in der Apple-Office-Anwendung, die nur eine Cloud-Schnittstelle zu Beginn hatte, war es eben WebDAV, das heißt, hier viele professionelle Anwenundgen haben. Es ist quasi der kleinste gemeinsame Nenner und beispielsweise auch beim PDF-Expert können Sie in diesen Programm auf WebDAV-Laufwerke zugreifen, Sie können sie sogar offline synchronisieren. Und wichtig ist für mich immer, ja, richten Sie bitte auch Zugriff auf die Netzlaufwerke für die User ein, damit nicht die Tendenz einreist, sich in Applikationen Dinge zu organisieren, weil spätestens wenn Sie auf ein neues Gerät dort wechseln wollen, dann haben Sie immer Stress damit. Macht kein Spass. Also immer auf einem Ort Daten abzuspeichern, viele Möglichkeiten, um darauf zuzugreifen aber bitte sicher. Alternativ natürlich auch über Dokumentencontainer, also beispielsweise Air Watch bietet ein ‚Secure Content Locker‘ an. Und hier können Sie beispielsweise sagen, in Ihrem Secure Content Locker haben Sie Zugriff auf Ihr Sharepoint, Zugriff auf Netzlaufwerke und diese Secure Content Locker-Lösung von Air Watch beispielsweise bietet auch die Möglichkeit Office-Dateien zu bearbeiten, PDF-Dateien zu kommentieren, Fotos und Videos zu drehen, also mittlerweile schon sehr sehr gute Lösungen, die gleichzeitig ein gutes Maß an Sicherheit für Sie bereit stellen.
Wenn Sie den Zugriff auf Daten in der Organisation haben, dann ganz wichtig und idealerweise sollten Sie das schon während des ganzen Prozesses machen, das Ganze schriftlich zu dokumentieren, also Ihr bestehendes IT-Sicherheitskonzept bitte idealerweise darüber zu ergänzen.
Stichwort Dokumentencontainer, hier gibt es natürlich immer die Frage, was ist wenn Kunden auf Ihre Daten zugreifen wollen, also ein Finanzdienstleister, es gibt beispielsweise mit Softfin eine sehr sehr gute Lösung von Joachim Heid und seinem Team, die ich sehr empfehlen kann. Also hier ist die Idee auch eine sichere Kommunikation im Dienstleistungsbereich beispielsweise zu haben, wo Sie dem Kunden Versicherungsdokumente, Verträge zur Verfügung stellen können, wo Sie sehen können, wann hat der Kunde das gelesen, also hier gibt es sehr sehr pfiffige Lösungen, also auch hier melden Sie sich einfach unter www.iPad4productivity.com zum Gratis-Hörerservice an und dann kriegen Sie selbstverständlich gerne auch diese Links und gerne auch eine Demo für diese wirklich sehr intelligente Lösung des Datenaustausches nicht nur intern, sondern auch mit entsprechenden Kunden.
Fazit. Führen Sie iPads auf alle Fälle mit einem MDM ein, egal also wenn es mehr als 3-4 sind, immer mit dem MDM, ist auch kein riesen Kostenfaktor. Gehen Sie das Ganze wirklich strukturiert vor. Ich weiß, ich bin da manchmal anstrengend, aber meine persönliche Erfahrung ist, dass je strukturiert Sie in der Einführungs- und Vorbereitungsphase mit dem Thema umgehen, desto weniger Stress haben Sie hinterher. Holen Sie sich Unterstützung von Profis, die das mehrfach schon mal gemacht haben. Der Teufel steckt da wirklich im Detail. Wenn Sie mögen, kann ich Sie da gerne bei dem Thema unterstützen. Ich habe das seit fünf Jahren als mein tägliches Brot, Organisationen bei diesem Thema so zu begleiten. Auf alle Fälle es gibt auch die Möglichkeit durchaus auch in der Branche oder bei Befreundeten oder diejenigen die das schon gemacht haben, sich kurz zu schließen, sollten Sie auf alle Fälle tun. Die Fehler, die andere gemacht haben, müssen Sie nicht unbedingt nochmal machen. Also je strukturierter, je organisierter Sie da entsprechend vorgehen, desto mehr werden Sie hinterher belohnt, durch einen geringen Supportaufwand, durch ein hohes Maß an der IT-Sicherheit und gleichzeitig produktive Nutzung.
Damit haben wir den Schwerpunkt ‚Mobile-Device-Managementsystem‘ für diesen Monat abgeschlossen, Sie haben das vielleicht schon gemerkt, ich habe immer einen Monat ein etwas anstrengeres Thema, wie dieses Mal Mobile-Device-Managementsystem. Ein Monat – ein etwas eher anwenderorientiertes Thema. Das war das letzte Mal das Thema Tipps für die persönliche Produktivität. Im Juni gehen wir wieder mehr in die Richtung Anwender. Das heißt, wir gucken uns einmal an, wie sie mit dem iPad präsentieren können. Das heißt, wir gucken uns einmal an, wie Sie mit PDF Dokumente präsentieren können, wie Sie mit PowerPoint Dateien präsentieren können, was es hier für die Tipps gibt, inklusive mittlerweile der Apple Watch als Presenter. Wir gucken uns einmal an verschiedene Whiteboard-Lösungen, bis hin zu einer Whiteboard-Lösung wo Sie auf Ihrem iPad malen und Ihr Kunde im Internet Explorer oder in seinem Prowser der Wahl sieht, was Sie dort schreiben. Also ganz tolle Lösung. Wir gucken uns einmal Zooming Presentations an wie Präsi, und wir gucken uns einmal Instant Presentations an. Es gibt auch Tools wie beispielsweise ‚Heiku Deck‘, mit denen Sie sehr sehr schnell sehr sehr hochwertige Präsentationen auch auf dem iPad erstellen und natürlich auch präsentieren können.
Also in diesem Sinne, wenn Sie Themenwünsche, wenn Sie Themenergänzungen haben, sowohl zu den besprochenen Themen als auch zu weiteren gerne eine E-Mail auf t.jekel@jekelteam.de und wenn Sie sich anmelden zum Gratis-Hörerservice auf www.iPad4productivity.com kriegen Sie selbstverständlich alle weiterführenden Links und das Traskript zu jeder Episode, sodass Sie die Dinge auch noch einmal in Ruhe nachlesen können. Gerade bei einer so langen Episode, wie wir sie in diesem Monat als Abschluss des Themas Mobile-Device-Managementsystem hatten.
Letzte Kommentare