MDM Essen­ti­als — Wie funk­tio­niert PUOCE (Pri­va­te Use of Com­pa­ny Equip­ment) mit iPho­ne und iPad

Seit ich hier im Blog im Bei­trag MDM-Essen­ti­als – Pri­va­te Use Of Com­pa­ny Equip­ment (PUOCE): Was ist das und wie geht das? das PUO­CE-Kon­zept vor­ge­stellt habe, rei­ßen die Nach­fra­gen nicht ab. Ich ent­schul­di­ge mich bei all denen, denen ich gesagt habe, in den nächs­ten Tagen schrei­be ich wei­ter zu PUOCE und die nun fast 3 Wochen war­ten muss­ten. Aber uns rennt zur Zeit die Nach­fra­ge nach datomo Mobi­le Device Manage­ment förm­lich um und vor die­sem Hin­ter­grund gerät das Blog — lei­der — manch­mal ein wenig in den Hin­ter­grund. Wir machen der­zeit von mor­gens bis abends Demons­tra­tio­nen, Vor­füh­run­gen und Test­stel­lun­gen und lie­fern an die vie­len, die der Test über­zeugt hat.

Also: Wie setzt man PUOCE mit iPho­ne und iPad um?

Die Grund­vor­aus­set­zung für PUOCE ist ein leis­tungs­fä­hi­ges Sys­tem für Mobi­le Device Manage­ment, da nur hier­durch sicher­ge­stellt wer­den kann, dass die gewünsch­ten Regeln und Poli­ci­es auf den mobi­len End­ge­rä­ten durch­ge­setzt wer­den kön­nen. Hier emp­feh­len wir eine ganz nor­ma­le Anwen­dung der auch sonst beim Manage­ment von Gerä­ten, die dem Unter­neh­men gehö­ren, ein­ge­setz­ten Regeln und Poli­ci­es. Je enger, je bes­ser und siche­rer ist hier­bei unser Grund­satz.

PUOCE basiert nun dar­auf, dass gezielt Funk­tio­nen frei­ge­ge­ben wer­den, die die Mit­ar­bei­ter pri­vat nut­zen wol­len. Dies kann mit unter­schied­li­chen Berech­ti­gungs­sze­na­ri­en gestat­tet wer­den (-> leis­tungs­fä­hi­ges MDM-Sys­tem), so dass bei­spiels­wei­se man­che Mit­ar­bei­ter pri­va­te Email nut­zen dür­fen, ande­re wie­der­um nicht. Die­se Berech­ti­gun­gen soll­ten gra­nu­lar über unter­schied­lichs­te Funk­tio­nen ver­ge­ben wer­den (kön­nen), da nur so ein den Wün­schen der Mit­ar­bei­ter und den Ansprü­chen des Unter­neh­mens ent­spre­chen­des Kon­zept ent­wi­ckelt wer­den kann.

Im Kern fin­den fol­gen­de Berei­che bei einer PUO­CE-Stra­te­gie auf iOS-Gerä­ten Beach­tung:

Mail /​Messa­ging /​PIM-Funk­tio­nen
Soci­al Media
Sur­fen /​Inter­net­nut­zung
Mes­sen­ger (IM)
Foto — aktiv /​pas­siv
Video — aktiv /​pas­siv
Spie­le
bei Bedarf ande­re Anwen­dun­gen /​Funk­tio­nen

Von ele­men­ta­rer Bedeu­tung bei einem PUO­CE-Kon­zept auf iPho­ne und iPad ist, dass Funk­tio­nen zwar gezielt zuge­las­sen wer­den (kön­nen), der AppSto­re und iTu­nes aber grund­sätz­lich aus­ge­blen­det wer­den. Nur wenn das Unter­neh­men die Kon­trol­le über die Apps und Funk­tio­nen (nicht aber die Inhal­te in die­sen!) behält, ist PUOCE umsetz­bar. Wir haben noch nicht aus­rei­chend brei­te Erfah­run­gen mit PUO­CE-Kon­zep­ten, um zu gene­ra­li­sie­ren­den Aus­sa­gen in der Lage zu sein. Ein scheint aber so zu sein, dass man über 90 Pro­zent der Anwen­der zufrie­den stellt, wenn man Mail /​Messa­ging /​PIM-Funk­tio­nen, Soci­al Media, Mes­sen­ger (IM) und Sur­fen /​Inter­net­nut­zung gestat­tet und zulässt.

Wie setzt man die­se Kern­be­rei­che nun sicher und ande­rer­seits für die Anwen­der akzep­ta­bel um?

Für die Umset­zung von Mail, Messa­ging und PIM-Funk­tio­nen gibt es mitt­ler­wei­le zwei Anwen­dun­gen im AppSto­re, wie man die­se mit PUOCE ein­set­zen kann, ist der Schil­de­rung in einem sepa­ra­ten Arti­kel vor­be­hal­ten. Wir nut­zen aus Sicher­heits­grün­den ganz bewusst nicht die Mög­lich­keit von iOS meh­re­re Mail­ac­counts ein­zu­bin­den, hier ist das not­wen­di­ge Mass an Abschot­tung und natür­lich auch Pri­vat­heit nicht erreich­bar, da iOS vom Grund her nicht für ein PUO­CE-Kon­zept aus­ge­legt ist. Bes­ser noch als Mai­lapps auf dem iPho­ne oder iPad ist aus unse­rer Sicht die Bereit­stel­lung einer dedi­zier­ten Citrix- oder Ter­mi­nal-Ser­ver-Umge­bung für den pri­va­ten Gebrauch der Mit­ar­bei­ter, auf der die­se dann auch jeden belie­bi­gen Web­mail-Cli­ent nut­zen kön­nen. Auch dies wird in einem sepa­ra­ten Arti­kel erläu­tert wer­den. Wel­chen Weg man wählt wird mass­geb­lich davon beein­flusst, ob man der Sicher­heit oder der User-Expe­ri­ence die grö­ße­re Bedeu­tung ein­räumt.

Für die Nut­zung von Soci­al Net­works schei­den die nati­ven Apps aus dem App Store regel­mä­ßig aus, da die­se immer sehr tief im iOS ver­an­kert sind und daher Zugrif­fe auf Kalen­der, Adress­bü­cher und ande­re Funk­tio­nen neh­men, was im Unter­neh­mens­ein­satz regel­mä­ßig nicht gewünscht ist. Beson­ders nega­ti­ves Bei­spiel einer sol­chen App ist der weit ver­brei­te­te Mes­sen­ger Whats­App, der ohne Zugriff auf das Adress­buch noch nicht ein­mal betrie­ben wer­den kann! Wir emp­feh­len für die Nut­zung von Soci­al Media soge­nann­te Soci­al-Media-Aggre­ga­to­ren, die die Accounts der Nut­zer auf unter­schied­li­chen Platt­for­men in einer Anwen­dung aggre­gie­ren. Unse­re Emp­feh­lung hier­für ist der­zeit HootSui­te, was wir bei Pre­tio­so auch selbst für die Aggre­ga­ti­on benut­zen. Um eine Fra­ge gleich an die­ser Stel­le zu beant­wor­ten: Wir emp­feh­len aus­drück­lich XING nicht frei­zu­ge­ben. Wir betrach­ten die XING-Appli­ka­ti­on als nicht sicher. XING ver­wei­gert sich auch Aggre­ga­ti­ons-Platt­for­men bzw. wird von die­sen nicht ernst genom­men, was ich ver­ste­he. Ein Anbie­ter wie XING, der mit deut­schem Daten­schutz wirbt und im Hin­ter­grund ame­ri­ka­ni­sche Cloud-Anbie­ter nutzt, hat in einem Fir­men­netz­werk nichts zu suchen.

Alter­na­tiv kann man den Mit­ar­bei­tern auch Ter­mi­nal-Ser­ver oder Citrix-Zugän­ge hier­für wie bei der Mail anbie­ten, die aller­dings nicht so intui­tiv wie die Soci­al-Media-Aggre­ga­to­ren zu nut­zen sind und zwar die Sicher­heit erhö­hen (kön­nen), ande­rer­seits aber ggf. auch den Sup­port­auf­wand erhö­hen (kön­nen).

Für die Mes­sen­ger-Funk­tio­na­li­tä­ten emp­feh­len wir IM+, was in gewis­ser Wei­se auch ein Aggre­ga­tor ist. Ich ken­ne kein ver­gleich­ba­res ande­res Pro­dukt. Der Ein­satz vom IM+ im Sin­ne von PUOCE wird in einem sepa­ra­ten Arti­kel bespro­chen wer­den.

Last, but not least gift es zwei Wege das The­ma Sur­fen und Inter­net zu adres­sie­ren. Zum einen kann man eine der ver­füg­ba­ren leis­tungs­fä­hi­gen Brow­ser-Apps ein­set­zen wie bei­spiels­wei­se iCab Mobi­le. Bes­ser ist aller­dings mobi­le Brow­ser über Citrix oder Ter­mi­nal-Ser­ver bereit­zu­stel­len, da man hier­durch auch Ein­fluss auf den Con­tent sicher­stel­len und dadurch den Zugang auf rechts­wid­ri­ge oder ande­re nicht erwünsch­te Sei­ten regle­men­tie­ren kann.

Wenn nach Adres­sie­rung die­ser Kern­be­rei­che für die pri­va­te Nut­zung noch Wün­sche offen sind, muss dies kein Pro­blem dar­stel­len. Aller­dings muss man die dar­über hin­aus gewünsch­ten Apps und Funk­tio­nen sorg­sam dar­auf über­prü­fen, ob sie auf Inhal­te des Gerä­tes außer­halb Ihrer eige­nen Funk­tio­na­li­tät zugrei­fen, auf die das Unter­neh­men kei­nen Zugriff wünscht. Wir bie­ten hier­für unse­ren Kun­den unse­ren App­Au­dit an, wo wir Apps gezielt auf ihre Funk­tio­na­li­tä­ten unter­su­chen. Wenn die Apps und Funk­tio­nen unbe­denk­lich sind, kann man auch die­se frei­ge­ben und dann pro­blem­los aus dem MDM-Sys­tem her­aus mana­gen.

Sie sehen — PUOCE ist kein Voo­doo und kann mit einem leis­tungs­fä­hi­gen MDM-Sys­tem gra­nu­lar und für alle Sei­ten befrie­di­gend in Betrieb genom­men wer­den. Wenn Sie wei­te­re Fra­gen zu PUOCE oder auch zu ganz ande­ren The­men der Mobi­li­ty haben, fra­gen Sie uns bit­te. Wir haben die Ant­wort — Garan­tiert! Wenn Sie die­sen Bei­trag inter­es­sant fan­den — liken Sie uns bit­te, twit­tern Sie es in die Welt oder plus­sen Sie es auf Goog­le — dann erfah­ren noch mehr Anwen­der, wie PUOCE Mit­ar­bei­ter und Unter­neh­men zufrie­den­stel­len kann!


Ande­re inter­es­san­te Bei­trä­ge:
MDM Essen­ti­als — Mobi­le Device Manage­ment und SMS — was hat das mit­ein­an­der zu tun?
Immer wie­der wer­de ich gefragt, wofür ein MDM-Sys­tem denn SMS braucht, oft mit dem Hin­weis, dass ein iPad und Gerä­te ohne GSM-Funk­tio­na­li­tät (Mobil­funk) doch auch gema­nagt wer­den kön­nen (müs­sen). Dies ist voll­kom­men rich­tig. Man kann natür­lich Gerä­te auch ohne SMS mana­gen und dies ist kei­nes­falls sc…
Vor­trä­ge zu Mobi­le Device Manage­ment und Mobi­li­ty von Erhard Ben­nin­ger — ocha GmbH
Der datomo Pla­tin-Part­ner AirIT Sys­tems gibt zur CeBIT 2013 rich­tig Gas bei sei­ner Ein­füh­rung von datomo Mobi­le Device Manage­ment! Die Secu­ri­ty-Exper­ten aus Han­no­ver haben eine der füh­ren­den euro­päi­schen Con­sul­ting-Fir­men für Mobi­li­ty, die ocha GmbH aus der Schweiz, gewon­nen auf der CeBIT 2013 täg­li…
Alles zu Mobi­le Device Manage­ment (MDM) und BYOD — Im Pre­tio­so Blog gibt es 200 Fach­bei­trä­ge zum The­ma
Wie schnell die Zeit ver­geht! Noch kei­ne 18 Mona­te sind ver­gan­gen und dies ist nun der zwei­hun­derts­te Bei­trag zum The­ma Mobi­le Device Manage­ment (MDM) und Bring Your Own Device (BYOD). Das Pre­tio­so Blog hat sich in die­ser kur­zen Zeit zum größ­ten deutsch­spra­chi­gen Infor­ma­ti­ons­an­ge­bot zu den The­men M…
MDM Essen­ti­als — Mit Mobi­le Device Manage­ment Soci­al-Media-Nut­zung mana­gen
Das The­ma kommt in den letz­ten Wochen immer häu­fi­ger zur Spra­che bei unse­ren Anwen­dern. Wie soll man mit Face­book, Twit­ter, Goog­le+ und ande­ren Soci­al Media umge­hen? Der ein­fachs­te Weg — Ver­bie­ten der Soci­al Media Apps durch die MDM Lösung — ist nicht immer der bes­te Weg aus der Sicht unse­rer Anwend…
Neu­es Major Release 3.23 von datomo MDM mit iOS 9.3 Unter­stüt­zung und opti­mier­ter VPP Unter­stüt­zung
Das neue Major Release datomo MDM 3.23 ist gera­de erschie­nen und bringt wich­ti­ge Neue­run­gen, vor allem für iOS. Hier sind die High­lights: Ab sofort wird iOS 9.3 unter­stützt, was wir mit Opti­mie­run­gen bei der VPP-Unter­stüt­zung zusam­men aus­lie­fern. Neben der Opti­mie­rung von VPP unter­stützt datomo M…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.