Heimlich, still und sicher etwas langsam hat sich Microsoft in den vergangenen Jahren ein Portfolio im Bereich MDM und EMM aufgebaut. Auf der TechEd Europe in Barcelona gab Microsoft jetzt seine nächsten Schritte bekannt, um hier Platzhirschen auf diesem Gebiet wie Airwatch, MobileIron & Co. mehr Konkurrenz zu machen.
Nachdem es bislang nicht gelungen war, Windows Phone als führendes mobiles Betriebssystem im Markt zu etablieren, spielt der Softwareriese dazu - wie so häufig in letzter Zeit - die Office-Karte aus. So soll etwa Office 365 im ersten Quartal 2015 um eine Reihe von MDM-Funktionalitäten erweitert werden, die bislang nur mit der Verwaltungslösung Intune genutzt werden können. Die Integration in die Office-365-Konsole erlaubt es Administratoren, über den Reiter "Intune for O365" verbundene iOS, Android und Windows Phone-Geräte zu verwalten - ohne Zusatzkosten.
Die Funktionalitäten sind allerdings überschaubar und übersteigen kaum das, was bereits mit EAS möglich ist (sofern Office-Apps vorhanden): So können Admins Konfigurations-Policies für Windows-, iOS- und Android-Geräte definieren (z.B. erweiterte Passwort/PIN-Einstellungen, Geräteverschlüsselung oder Jailbreak-Erkennung). Außerdem sind sie in der Lage, Policies für den Zugriff auf Exchange Online und Sharepoint Online zu definieren - werden diese Vorgaben von einem Gerät nicht erfüllt, wird ihm der Zugang verwehrt. Wie bereits mit EAS können Admins zudem selektiv Office-365-Daten löschen, falls ein angebundenes Gerät verloren oder gestohlen wurde, beziehungsweise der Besitzer das Unternehmen verlässt. Die privaten Daten bleiben dabei unversehrt.
Mit den Funktionen liefert Microsoft außerdem ein übersichtliches Dashboard, das anzeigt, wie viele Geräte verwaltet werden, welche Einstellungen vorgenommen wurden und welche Devices diese erfüllen beziehungsweise dagegen verstoßen.
Exchange Active Sync als MDM-Marktführer
Wie Brad Anderson, Corporate Vice President, Enterprise Client & Mobility, in einem Blog-Beitrag erläutert, knüpft Microsoft dabei an die Tatsache an, dass Exchange via Exchange Active Sync (EAS) die bei weiten verbreitetste MDM-Lösung ist - laut Microsoft werden damit weltweit mehrere hundert Millionen Devices verwaltet. Für deren Nutzer stellten die Erweiterungen bereits einen Fortschritt dar.
Wenig überraschend bietet Microsoft für Organisationen mit höheren EMM-Ansprüchen natürlich auch eine einfache Upgrade-Möglichkeit auf Intune an. Die hauseigene EMM-Lösung soll dazu ebenfalls in den nächsten Monaten ein Update erhalten, um eine tiefere Integration mit Office 2013 und Office 365 zu unterstützen. Hinzu kommen eine ganze Reihe neuer Features, mit deren Hilfe Intune zu den Produkten der Konkurrenz aufschließen soll.
Um Datenlecks zu verhindern, können Organisationen künftig mit Intune etwa die mit mobilen Office-Apps möglichen Aktionen (Copy/Cut/Paste/Save as und Interaktion/Open-in zwischen Apps) reglementieren. Außerdem ermöglicht das Update erste Ansätze von Mobile Application Management für iOS- und Android-Geräte, indem geschäftliche Apps und Inhalte von persönlichen Anwendungen und Daten des Anwenders getrennt werden und Policies auf sie angewendet werden können. Für Windows-Geräte wiederum baut Microsoft Container, die mit Windows 10 verfügbar sein sollen und sich gemeinsam mit den Containern für iOS und Android über einheitliche APIs verwalten lassen. Mit Windows 10 soll außerdem eine automatische Verschlüsselung für Enterprise-Apps, E-Mail, Website-Inhalte und andere sensible Informationen möglich sein, sobald diese vom Firmennetz auf dem Gerät ankommen.
Exklusiv für Microsoft: App Wrapper mit Office-Anschluss
Damit nicht genug verspricht der Softwareriese Unternehmen mit dem Intune-Update die Möglichkeit, bereits bestehende Enterprise-Anwendungen per App-Wrapping abzusichern. Bei Verwendung des Intune-Wrappers lassen sich diese im Anschluss gemeinsam mit Office-Mobile-Apps verwalten und tauschen sicher Inhalte und Daten untereinander aus.
Microsoft weist zu Recht darauf hin, dass es sich hierbei um ein Alleinstellungsmerkmal im EMM-Umfeld handelt. Die Funktionen nachzuliefern wird Konkurrenten schwerfallen, sofern Microsoft nicht die erforderlichen APIs bereitstellt - nicht umsonst kommen in den Container-Lösungen von Airwatch, Good & Co. alternative und damit manipulierbare Office-Produkte zum Einsatz.
Microsoft behebt außerdem ein weiteres Manko und bietet mit dem Update einen speziellen Managed Browser, einen PDF-Viewer, einen Multimedia-Player sowie ein spezielles Bildbetrachtungs-Tool für Intune an. Zudem lassen sich künftig Policies für Geräte festlegen, die auf Unternehmensressourcen wie Exchange-Mail und OneDrive for Business-Dokumente zugreifen wollen. Last, but not least soll das neue Intune auch die Massenkonfiguration von mobilen Geräten mit Policies und Anwendungen unterstützen - via Apple Configurator (läuft derweil nur auf Mac) oder einen Service-Account, der nicht an das für Office 365 übliche Fünf-Geräte-Limit gebunden ist.
Zu spät zur Mobile-Party? Nein und Ja
Ausgehend von den angekündigten Features und der Popularität Microsofts sieht Anderson die Chancen für Intune nicht schlecht, zur am weitesten verbreitete MDM/EMM-Lösung am Markt zu werden. Der Microsoft-Manager verweist darauf, dass weltweit mindestens eine halbe Milliarde mobile Endgeräte im Business genutzt würden - alle EMM-Anbieter zusammen hätten dagegen vielleicht 20 Millionen Lizenzen verkauft, von denen wiederum nur die Hälfte im Einsatz seien.
Was Anderson indes verschweigt, sind die laufenden Bemühungen der Betriebssystemlieferanten Apple und Google, in iOS und Android eigene MAM-Funktionalitäten zu integrieren. So enthält Android 5 (Lollipop) Elemente des Knox-Containers und ein Multi-User-Framework. Apple wiederum hat bereits mit iOS 7 MAM-Features wie App-Level-VPN oder -Managed Open-In eingeführt und in iOS 8 noch eine Schippe drauf gelegt. Betrachtet man diese Funktionen, wird der Wert der Microsoft-Lösung, da auf Office- und nicht OS-Ebene, deutlich geschmälert.