In dieser Episode geht es um das Thema optimale Einrichtung von agree21MDM. Viel Spaß beim Zuhören.
Weiterführende Links
Einleitung
Schön, dass Sie wieder mit dabei sind, bei einer weiteren Folge von iPad4productivity und einer Spezialepisode für Volks- und Raiffeisenbanken mit dem Schwerpunkt auch für die IT-Kollegen und zwar zum Thema optimale Einrichtung von agree21MDM.
agree21MDM – Das Mobile-Device-Managementsystem der Fiducia & GAD ITAG
Das agree21MDM ist das Mobile-Device-Managementsystem der Fiducia & GAD IT AG, das heißt damit können diese Geräte zum einen zentral adrministriert werden, so wie Sie das aus dem PC-Bereich kennen, zum zweiten sind die aber auch die Voraussetzung dafür, dass Sie Ihre LotusNotes-Daten, zwar nicht die Kacheln, aber die restlichen Sachen auf die Geräte drauf kriegen. Also das sogenannte LotusNotes-Travellerprofil, das bekommen Sie nur noch über das agree21MDM auf diese Geräte. Da gibt es eine Zwangskoppelung, und vor dem Hintergrund kommen Sie praktisch nicht drum herum, wenn Sie iPads produktiv nutzen wollen. Mittlerweile ist dieses System aber wirklich auch sehr brauchbar.
Wir gehen aber mal auf die Besonderheiten ein, die Sie entsprechend hier mit dabei haben, und zwar wir gehen mal auf die Punkte, auf drei Punkte ein, und zwar auf den einen Punkt Saga. Was gibt’s da für Voraussetzungen für wichtige Dinge zu wissen, einmal auf das Thema Airwatch, und wir gehen nochmal auf das Spezialthema Container oder Nicht-Container ein. Und der dritte Punkt ist so ein bisschen auch vermischt in die anderen Punkte mit dabei. Ja, das Saga ist ja das Portal der FGI, wo Sie eben die Geräte, wo Sie die User einrichten und so weiter. Hier ist jetzt einmal wichtig zu wissen, es gibt einmal Benutzergruppen, und es gibt Smart Groups. Was ist was.
Benutzergruppen vs. Smart Groups
Die Benutzergruppen oder Gruppen, die Sie sehen, sind eben Benutzer-bezogen immer, und Sie haben dann die sogenannten Smart Groups, die sind immer Geräte-bezogen. Die Benutzergruppen sind fast weniger wichtig als die entsprechenden Smart Groups, sollten Sie aber zuerst einmal einrichten, und hinterher praktisch nochmal als Smart Groups. Weshalb? Die Idee von Smart Groups ist ursprünglich neu, dass man sagt, ich habe bestimmte Bedingungen, und wenn bestimmte Bedingungen eintreten, dann kommen die Geräte in eine Smart Group. Also die Idee war beispielsweise, wenn jemand eine App installiert, wie beispielsweise, was weiß ich, eine Dropbox, dann könnte man sagen, Mensch, du hast jetzt diese App eben installiert, und damit bekommst du eine Nachricht oder ich entziehe dir bestimmte Berechtigungen, also dass man das sehr sehr fein granulieren kann, oder dass man sagt, ich habe hier Geräte, die ein bestimmtes Betriebssystem Software-Update, entweder schon gemacht haben, was Sie nicht machen sollten, oder eben noch nicht gemacht haben, dann kann man auch sagen, dann gibt’s Mitteilungen oder entsprechende Modifikationen – das ist die ursprüngliche Idee.
Smart Groups und die App-Zuweisung
Das Nächste, was aber interessant ist, wozu Sie die Smart Groups brauchen, ist, wenn Sie Apps zuweisen wollen, dann werden diese Apps immer… gibt es die Möglichkeit einmal auf der AppleID-Basis zuzuweisen, oder Device-basiert. Und das Einzige, was die FGI unterstützt, ist Device-basierte App-Zuordnung. Also es wird zwar angezeigt, dass man es auch per AppleID machen kann, es wird aber nicht unterstützt. Um jetzt nicht jedes einzelne Geräte zuzuordnen, machen Sie das auf der Basis von Smart Groups. Und die Smart Groups sind die, die Sie hinterher in der App-Zuordnung nutzen. Und deshabl richten Sie auf alle Fälle Smart Groups ein.
Welche Gruppen und welche Smart Groups sollte man einrichten?
Also ich bin imme rein großer Freund, nicht zu viele Gruppen einzurichten. Ich sehe da immer, dann gibt es eben für die Abteilungsleiter, für die Bereichsleiter, für die Marktfolger und was weiß ich. Wichtig ist so wenig wie nötig. Und wann brauchen Sie eine Gruppe? Sie brauchen eine Gruppe dann, wenn eine Gruppe unterscheinende, entweder Berechtigungen haben soll, oder wenn Sie andere Apps haben soll. Und jetzt kommt dann öfter mal also der Punkt, wo die Vorstandsvorsitzender sagen, so, jetzt haben wir die ganzen Gruppen und Berechtigungen für die Mitarbeiter, haben wir jetzt alle besprochen, jetzt sprechen wir über meine. Dann sage ich, super, dass Sie es ansprechen, weil Ihre müssen natürlich sehr viel restriktiver sein. Dann sagt der Vorstand, Moment mal, Sie haben mich falsch verstanden, bei mir soll bitte alles möglich sein. Dann sage ich, Leute, wer hat denn die sensibleren Daten auf der Kiste? Ihr Gerät muss am stärksten geschützt werden. Das heißt, in der Theorie wäre es so, dass man eine separate Smart Gruppe nochmal für den Vorstand braucht, die deutlich restriktiver ist. Ich sage es Ihnen ganz ehrlich, mir ist es so noch nie gelungen, einen Vorstand restriktiver als einen Mitarbeiter einzustellen. Was mir aber immer gelingt, weil da lasse ich nicht mit mir diskutieren, ist, dass eben der Vorstand zumindest die gleichen Sicherheitseinschränkungen hat. Das heißt aber, wenn der Vorstand die gleichen Apps, beziehungsweise die gleichen Sicherheitseinstellungen hat wie die Bereichsleiter, dann brauche ich dafür auch nicht zwei Gruppen, sondern dann reicht mir auch eine Gruppe. Eine IT-Testgruppe ist eine ziemlich gute Idee, gerade in der Phase, wir haben das letzte Woche ja besprochen, wenn man noch in dieser Test- oder IT-Workshopphase ist, ist es immer gut eine Testphase zu haben, dass man nicht aus Versehen jemandem eine App wegzieht, weil wenn derjenige beispielsweise in GoodNotes seine ganzen Notizen drin hat, da vielleicht auch noch PDF-Dokumente reingepackt hat, zum Kommentieren, wo ich immer sage, Leute, dafür gibt es den PDF Expert, aber eben es gibt halt viele, die es machen, und dann ziehen sie die aus Versehen mal weg, und wenn es dann jemand nicht über agree21Doksharing automatisch gesichert hat, dann sind alle Dateien weg. Deswegen immer mit einer Testgruppe.
Was eine gute Idee ist, sind eben IT-Tests, IT produktiv, dann gibe es eben auf die Frage Bereichsleiter und eben Mitarbeiter, und manchmal gibt es sowas wie Innovationsteam, jetzt musst Du nur gucken, wenn es Innovationsteam die gleichen Berechtigungen hat wie entsprechender Vorstand, die Bereichsleiter, dann kann man auch da wieder sagen, wieso muss ich zweimal die gleiche Gruppe administrieren. Also so wenig wie möglich.
Die Smart Groups – also zuerst legen Sie die Benutzergruppen fest, und dann doppeln Sie die ganzen nochmal als Smart Groups und dazu gehen Sie dann in die Registerlasche Geräte, mit der rechten Maustaste, Smart Groups, dann reingehen, … (??? 06:50) Smart Groups und mit der rechten Maustaste können Sie dann sagen, neue Smart Group anlegen. Die sollten Sie erstmal redundant anlegen, und dann eben mit „SG“ davor kenntlich machen, weil später, wenn man in Airwatch die auswählt, dann sehen Sie immer „SGs“ Smart Groups, damit können Sie die unterscheiden. Und somit legen Sie Gruppen und Smart Groups an.
App Security Center
In dem Bereich Devices sehen Sie auch oben so eine Schaltfläche App-Security-Center, das ist in Ihren Preisen inkludiert. Sollten Sie auf alle Fälle beantragen, dann kriegen Sie nämlich einen separaten Zugang nochmal zu einer Webseite eines hannoveranischen Anbieters, der in Verbindung mit dem TÜV eben App-Security-Bewertungen macht, somit können Sie Apps nochmal bewerten. Wichtig ist, Sie brauchen dann, wenn Sie das so machen, und es geht nur ID- und device-basiert, keine dienstliche AppleID, die brauchen Sie überhaupt nicht. Das heißt die Geräte werden komplett ohne AppleID eingerichtet. Vor dem Hintergrund ist es auch ganz wichtig, dass Sie eben, es gibt ja auch hier diesen Bereich der Apps im Saga, wo ich ursprünglich mal gesagt habe, alle Apps die über Saga installierbar sind, über Saga installieren. Das macht aus meiner Sicht keinen Sinn, weil wenn Sie das so tun, fragt er Sie dann nach der AppleID, wenn Sie die entsprechenden AppStore dort auf die Geräte kriegen (??? 08:08). Also da ist die FGI leider nicht konsistent, das heißt diese Apps werden nicht Device-basiert verteilt, sondern auf der Basis von AppleID, was ja sonst nicht unterstützt wird. Also deswegen auch die Apps außer die, die eben überhaupt nicht im AppStore dort zu kriegen sind, die über den Weg verteilen, alles was über den AppStore zu kriegen ist, wird über den Apple Business-Manger dann webbasiert eingekauft und dann verteilt. Da habe ich ja in der letzte Woche, beziehungsweise in der vorletzten Woche nochmal etwas intensiver auch darüber gesprochen zu sagen, wie die Bereitstellungsprogramme sind, und dass Sie das über dieses VPP – Volume Purchasing Program entsprechend machen. Also dienstliche AppleID braucht man nicht, sondern eine AppleID braucht man für private Sachen, dafür macht das dann durchaus nochmal Sinn, dass man das auf den Geräten dann anlegt, um da entsprechend sauber zu trennen.
CameraPro
Führt mich auch zum Thema Kontenirisierung und zwar häufig erlebe ich, dass dann eben der Secure Pin als Container genutzt wird, weil es heißt ja, dann sind die Dinge besser geschützt. So, Sie können, wenn Sie das so machen, dass Sie alle Apps verteilen über das MDM, und dass Sie ja auch Ihre LotusNotes-Travellerdaten über MDM verteilen. Seit der Version 11.3, und wir sind jetzt schon bei 12.4 und ein paar Zerquetschte was, seit der Versin 11.3 sind die LotusNotes-Daten auch als sogenannte Managed Location. Das hießt, Sie verteilen alles, was dienstlich ist, über das Mobile-Devicemanagement – auch die Apps, auch LotusNotes. Wichtig ist, verteilen Sie bitte auch eine Fotoapplikation auch übers MDM. Ich empfehle Ihnen CameraPro dafür zu nehmen. Wenn Sie CameraPro dafür nehmen, das ist nämlich eine App, da kann man auch einstellen, dass nicht sofort die Fotos in die Kamera-Roll abgespeichert werden, sondern in einen eigenen Zwischenspeicher in der App, denn die Kamera-Roll ist unmanaged, das heißt, da können Sie ebenso Fotos abspeichern, oder auf Fotos darauf zugreifen. Also Sie brauchen immer noch mal eine FotoApp dazu. So, also wenn man eine FotoApp bei gemanaged hat, wenn man das verteilt hat, und wenn da jemand über seine private AppleiD, über den blauen AppStore eine App installiert, dann können Daten nicht zwischen den Sachen ausgetauscht werden, die per MDM geschickt worden sind, und zwischen den über den blauen AppStore installierten, oder in den Einstellungen des iPads in den Kontoeinstellungen zugefügte private E-Mailaccounts.
Das Thema Kontenirisierung
Wichtig ist dazu, dass Sie, und da kommen wir nachher dazu, in den agree21MDM, im Airwatch-Teil, bei den Sicherheitsprofilen den Haken setzen, dass zwischen managed und unmanaged in beide Richtigungen nichts übergeben werden darf. Wenn Sie das so eingerichtet haben, und eben die AppleID eine private ist, alles was dienstlich ist, eben über den dienstlichen AppleStore kommt, und wenn jetzt beispielsweise jemand auch sagt, ich möchte eben ein privates WhatsApp drauf haben, auf einem iPhone, dann macht man das so, dass man eben zunächst ein…, das so macht, dass man eben das Gerät einrichtet über das MDM, dass man dann in den Kontoeinstellungen den Haken rausnimmt bei den dienstlichen Kontakten, also dass die auf dem Gerät zur Sicherheit gar nicht drauf sind, dass man dann auf dem Gerät, auf dem iPhone, ein privates Account einrichtet. Entweder der Mitarbeiter oder die Mitarbeiterin hat schon eins, oder Sie können beispielsweise einen Google-Account, wenn er noch nicht da ist, eben einrichten. Ich habe auch im Google-Account beispielsweise keinerlei Kontaktdaten hinterlegt. Und jetzt können Sie eben sagen, so, ich istalliere über den blauen AppStore auf dem iPhone WhatsApp, und wenn Sie dann sagen, eben Sie müssen, um WhatsApp nutzen zu können, den Zugriff auf die Kontakte zulassen. Dann kann der aber nicht darauf zugreifen auf die LotusNotes-Kontakte, sondern nur auf Ihr privates Account, was eben beispielsweise ein Google-Account ist, und jeder Kontakt der jetzt per WhatsApp entsprechend kontaktiert werden muss, den müssen Sie halt mit Name und nur mit der Handynummer in Ihrem privaten Adressbuch anlegen, dann sehen Sie auch den Namen, dann können Sie damit auch wunderbar arbeiten, und die LotusNotes-Kontakte sind geschützt. Es ist zwar mittlerweile so, dass wohl nicht mehr das gesammte Adressbuch hochgeladen wird, bei WhatsApp, trotzdem halte ich da immer eine saubere Trennung wirklich für wichtig, weil mein Vertrauen in Facebook, das ja die Muttergesellschaft ist von WhatsApp, im Hinblich auf den Datenschutz, ist doch sehr eingeschränkt. Also deswegen sollte man da sauber trennen – heißt aber Kontenirisierung. Sie müssen für mich nicht kontenirisieren. Es gibt für mich nicht keinen wirklich guten Grund, und das Blöde ist nämlich, die Container App hat sehr viel weniger Möglichkeiten, also Sie können nicht mal eben Entwürfe die geparkt sind, wieder neu aufmachen, Sie können eben mal nicht in den Ordnern filtern nach E-Mails mit und ohne Anhänge, oder welche die Sie markiert haben oder nicht, und für mich eine der größten Einschränkungen, die Container App ist nicht Splitscreen-fähig. Das heißt, Sie können nicht mal eben aus einer E-Mail einen Termin machen, Sie können nicht mal eben eine Anlage dadran hängen und so weiter, über Drag’n’Drop bei der Dateienapp – also Dinge, die die Funktionalität, die produktive Nutzbarkeit signifikant einschärnken. Und ich bin auch häufig in Volks- und Raiffeisenbanken und immer, wenn ich da bin, wir steigen um von Container auf nativ, merke ich, dass das ein riesiger Schritt in Richtung Produktivität ist. Also früher, wenn Sie es eingeführt haben mit dem Container, früher gab es dafür auch keine richtig gute Alternative, früher musste man das machen, da haben Sie auch eine gute Entscheidung getroffen, mittlerweile hat sich die Welt aber weitergedreht, mittlerweile geht es eben ohne Container. Deswegen ganz klar für mich die Empfehlung, ohne Container das Ganze zu machen, weil selbst innerhalb der Systeme, wenn Sie jetzt sagen, ich habe eine Datei, die auf agree21Doksharing ist, und Sie wollen die über eben die Dateienapp mal schnell per Drag’n’Drop eine E-Mail dranhängen, geht es halt nicht mit dem Container, weil der Container halt nicht Splitscreenfähig ist. So, und wenn Sie das jetzt über die nativen Apps machen, E-Mial, können Sie einfach mit dem Finger rüberschieben und das Thema ist erledigt. Also hören Sie auf zu kontenirsieren, arbeiten Sie mit den nativen Apps, und verteilen Sie aber, dafür ist es eben wichtig, die Business-Apps nur (zu verteilen) über einen Business-AppStore, die privaten lokal auch mit einer privaten AppleID entsprechend auf dem Gerät dort entsprechend zu installieren. Dann kann man da sauber trennen. Dann funktioniert das.
Es wird mit iOS 13 eine weitere Möglichkeit geben, eine dritte Mögichkeit der AppleID-Verteilung. Das habe ich noch nicht testen können. Die Grundidee ist, dass man sagt, es gibt praktisch einen dienstlichen Bereich auch für diese Dinge. So ein bisschen vor dem Hintergrund „bring your own device“ gedacht, dass ich sage, ich kann praktisch dort auch ein privates Gerät des Mitarbeiters mit einem dienstlichen Bereich dort mit bespassen. Noch hat mich das nicht ganz begeistert, weil alleine schon, wenn jemand eben das Kennwort beispielsweise verlegt, dann kann ich dieses Gerät entsprechend nicht zurücksetzen, in diesem Bereich, weil es heißt, das ist ein privates Gerät und da kann ich eben nicht das Kennwort zurücksetzen. Und das habe ich doch häufiger mal, dass man ein Kennwort irgendwo zurücksetzen muss, wenn ein Mitarbeiter, sei es das Haus verlassen hat, oder wenn ein Mitarbeiter das Kennwort mal verlegt hat und dann muss ich eben das Gerät, wenn ich es nicht zurücksetzen kann, sonst platt machen. Und dann hat man oft Anwender, die vielleicht in Apps dann doch wieder Sachen gespeichert haben und ich muss das Ding platt machen, und dann sind eben die Sachen weg. Also deswegen, das begeistert mich noch nicht so richtig, ich bin im Moment immer noch so, dass ich sage, Device Enrollment Program, das Ganze ding als Supervised-Modus entsprechend zu bauen, und das ist im Moment noch meine Empfehlung, wobei ich dieses neue Enrollment auch bei mir einmal testen werden und dann in einer der zukünftigen Episoden dann Ihnen auch darüber nochmal berichten werde.
Airwatch
Ja, was ist wichtig im Airwatch. Im Airwatch ist einmal wichtig, dass Sie das verbinden mit dem Apple-Businessmanager, da gibt es unter den Einstellungen, gibt es dort die Möglichkeit Apple und dann die Bereitstellungsprogramme, die Sie entsprechend hiermit verbinden, und dannmüssen Sie diesen MDM-Token, müssen Sie im Apple-Businessmanager, in den Einstellungen können Sie ihn runterladen, den laden Sie dann dort entsprechend wieder hoch im Airwatch und aus dem Airwatch den laden Sie wieder im Bereitstellungsprogramm, also es ist ein Zertifikateaustausch. Das müssen Sie einmal im Jahr machen, da bekommen Sie aber jeweils eine Erinnerungs-Email von Apple, dass Sie da auch entsprechend daran denken. So, damit synchronisieren sich nämlich die über den Apple-Businessmanager eingekauften Applikationen dann entsprechend auch mit Ihrem Airwatch-System. Ja, da können Sie dann eben auch die Apps sehen.
Was Sie auch machen sollten, Sie sollten im Bereich Einstellungen > Apple gibt es auch einen Bereich Schriftarten. Hier können Sie die Frutiger VR-Schriftarten von Ihrem Bank-PC entsprechend installieren, dann werden die auf allen iPads dort auch eingerichtet. Das hat den Charme, dass Sie, wenn Sie Powerpoint-Präsentation haben, wo die Frutiger VR als Hausschriftart drin ist, die dann auch sauber dargestellt wird. Wichtig ist hier, nicht alle Schriftartdateien werden da akzeptiert, Punkt Nr. 1, Punkt Nr., es geht immer nur einzeln, also nicht alle auf einmal reinschieben, sondern mit der Maus einzeln reinschieben und dann haben Sie die Schriftarten entsprechend drauf. Sollten Sie die nicht haben oder brauchen von mir, schreiben Sie mir gerne eine E-Mail an t.jekel@jekelteam.de, dann kann ich Ihnen zum einen die Schriftartdateien von (??? 18:02) zur Verfügung stellen, zum zweiten, wenn Sie da Unterstützung dabei brauchen, können wir auch gerne kurze Teamviewer-Session machen und dann können wir das gemeinsam einmal bei Ihnen installieren.
Die App-Zuordnung immer Device-basiert durchführen
Ja, dann eben das Nächste – App-Zuordnung. Bitte immer Device-basiert, nicht eben AppleID-basiert. Haben wir mal gemerkt in einer Bank, wo wir eben das auf der Basis von AppleID gemacht haben, und dann bekommen die Anwender eine E-Mail, wo sie eingeladen werden, so nach dem Motto, Mensch, willst du, dass diese Organisation dir Apps zuordnen kann. Und das kommt per E-Mail, beziehungsweise per Push-Notification. Wir hatten das Problem, dass eben einer der User gesagt hat, nein, und dann wollten wir die Einladung nochmal schicken, und das nochmalige Schicken hat dort ums Verrecken nicht funktioniert. Und dann habe ich bei der FGI angerufen, habe gesagt, sagt mal, Leute, wieso geht das nicht, und dann sagte er, ja, wir unterstützen diesen Weg gar nicht, wir unterstützen nur Device-based. Da sage ich, ihr seid witzig, danke, dass ich das weiß. Also das heißt, es geht nur Device-basiert, und Device-basiert heißt, wenn Sie eine App, die kriegen Sie, indem Sie im App-Reiter sagen, synchronisieren bei den gekauften Apps, dann werden die angezeigt, und dann ist wichtig nicht vorne anhacken und dann oben sagen zuordnen, sondern Sie müssen doppelt klicken auf den App-Namen. Nur dann erscheint nämlich die Frage, ob Sie diese App Device-basiert zuordnen wollen. Wenn Sie nämlich den Haken vorne setzen und dann sagen zuordnen, überspringt er blöderweise diese Abfrage. Also immer oben auf den App-Namen, in der App-Liste doppelt klicken, dann kommt als erstes die Frage, oder die Möglichkeit, diese App Device-basiert zuzuordnen. Und wenn Sie Device-basiert zuordnen, dann erklärt das auch noch kurz und im Regelfall funktioniert das. Sollte die App sagen, nein, der Entwickler hat das so nicht vorgesehen, weil der Entwickler muss dafür bestimmte Voraussetzungen der App schaffen, und das geht nicht, dann sollten Sie auf alle Fälle eine alternative App dafür wählen. Ich hab‘s bisher noch nicht gehabt, aber wichtig ist, wenn Sie mal eine App, die sich nicht Device-basiert zuordnen lassen, idealerweise schreiben Sie über die… im AppStore gibt’s immer auch die Möglichkeit eines Supports. In vielen Apps gibt‘s auch die Mögichkeit eines Support E-Mail an den Entwickler, schreiben Sie ihn bitte gleich an und sagen, Leute bitte richtet mal Device-basierte Zuordnung für MDMs mit ein, sonst können wir es im Unternehmensumfeld nicht nutzen. Und zum zweiten, wählen Sie jetzt aber dann erstmal eine andere Applikation aus. Also hier immer ganz ganz wichtig Device-basiert zuordnen.
Ja, und dann wichtig bei dem Sicherheitsprofil, hier ist die Logik so, Sie wählen im Saga auf dem jeweiligen User sagen Sie, und auf dem jeweiligen Gerät können Sie sagen, so PIM Container oder nicht PIM Container und Sie können die entsprechenden Profile sehen. Ich empfehle Ihnen eben immer das kleinste Profil dort, also das, was am wenigsten restriktiv eben ist, zu wählen, im Saga, und dann stapeln Sie über das agree21MDM, also im Airwatch, stapeln Sie weitere Restriktionen drauf. Das heißt, die Logik ist immer so, Sie können mit einem weiteren Profil, können Sie Dinge nicht lascher einstellen. Also wenn Sie im Saga sagen, so da muss ein sechstelliges Kennwort darauf sein, Sie machen dann im agree21 eine Policy, wo es heißt, vierstellig, dann wird das ignoriert, also dann bleibt es bei sechstellig. Also deswegen wichtig ist zu sagen, Sie können nur restriktiver werden, und Sie sollten nicht ein Monster-Profil machen, sondern Sie sollten das aufteilen, dass man sagt, ich habe eben einmal die Passwort-Policy beispilsweise, ich habe eben, wenn Sie die noch weiter einschränken wollen, ich habe einmal das Thema, dass W-LANs zugeordnet werden, ich habe einmal beispielsweise dieses Thema AppStore abklemmen, weil normalerweise sage ich eben, keine Apps installieren, nur eben selektiv, sowas wie bei WhatsApp beispielsweise, oder Sie sagen nö, und das ist so eine Funktionalität eben den AppStore zuzulassen oder nicht zuzulassen würde ich immer als ein separates, sogenanntes Payload definieren, dass Sie eben nicht alle Restriktionen dann außer Kraft setzen müssen, oder in Kraft setzen, sondern dass Sie nur dieses Thema AppStore schnell anklemmen können oder ablemmen können. Also, das heißt hier zu unterscheiden.
Die Vertielung der W-LAN-Zugänge
Sie können über die sogenannten Payloads auch W-LAN-Zugänge verteilen, dass also hier Kennwörter gar nicht bekannt sein müssen, und wenn Sie Apps beispielsweise im Servicebereich haben, können Sie sogar ein sogenanntes W-LAN-Whitelisting reinnehmen. Dann können Sie, beispielsweise hier würde ja auch ein Gerät ohne SIM-Karte Sinn machen, und dann sagen Sie, ohne SIM-Karte W-LAN-Whitelisting, das heißt, wenn jemand dann entsprechend das Gerät doch irgendwie mitnehmen würde, oder es abhanden kommen würde, dann können Sie sagen nein, das kann eben nur mit diesem in der Bank freigegebenen W-LAN eben online gehen und nicht über einen anderen Weg. Also dann macht W-LAN-Whitelisting Sinn, sonst macht das sicherlich eher keinen Sinn, weil auch zu Hause sicherlich ja über W-LANs und unterwegs gearbeitet werden soll. Wichtig natürlich beim Thema W-LAN, sensibilisieren Sie Ihre Mitarbeiter immer, dass das Thema W-LAN durchaus ein Sicherheitsrisiko ist, was man nicht paranoid, aber durchaus sensibel behandeln sollte.
Ja, also die Sicherheitsprofile entsprechend ergänzen. Wichtig ist das Ganze auch dokumentieren. Idealerweise haben Sie dort ein IT-Sicherheitssystem wie das von Dr. Timm(? 23:34) beispielsweise, dass Sie sagen, oder eben von Genoverband gibt es ja auch solche Systeme, wo Sie Dinge dann auch dokumentiert haben, wenn Sie eben eine Verbands- oder eine 44er-Prüfung haben, dass Sie Dinge dann auch sauber dokumentiert sind.
Fazit
Ja, also in diesem Sinne einmal für mich die wichtigsten Sachen zum Thema agree21MDM. Sollten Sie da Inhouse Unterstützung haben mögen, gerne eine E-Mail an t.jekel@jekelteam.de schreiben, und sonst haben Sie so auf alle Fälle schon mal die wichtigsten Hinweise aus der Praxis heraus, wie Sie es auch, wenn Sie die Ressourcen im eigenen Haus haben, wunderbar auch selbst lösen können.
In diesem Sinne bin ich nicht am Ende meines Lateins, aber am Ende der dieswöchigen Episode, und nächste Woche schauen wir uns einmal an das Thema PDF Expert 7. Denn Sie haben es vielleicht mitbekommen, mittlerweile ist der angekündigte Zwangsupgrade-Prozess abgeschlossen, also ich habe schon die ersten Anrufe gehabt, und dazu gibt es nächste Woche mehr zum Thema PDF Expert.
Bis nächste Woche. Ihr Thorsten Jekel.
Letzte Kommentare