BES12: Betriebsmodi, Container, sichere Verbindung und Multi-OS

Was kann der BlackBerry Enterprise Service 12 (BES12)? Welche Betriebsmodi für welche Umgebungen kann ich mit welchem mobilen Betriebssystem abbilden? Welche Lizenzen sind notwendig?

Hier eine Übersicht:

Grundsätzlich mögliche Rechtsverhältnisse

  • BYOD
    Bring Your Own Device – Das Gerät ist Eigentum des Mitarbeiters und wird in die Infrastruktur des Unternehmens eingebunden. Die private Nutzung des Gerätes darf dabei nicht eingeschränkt werden. Das Gerät wird lediglich um eine geschäftliche Nutzung erweitert.
  • COPE
    Corporate Owned, Personally Enabled – Das Gerät ist Eigentum des Unternehmens und wird an den Mitarbeiter für berufliche Zwecke ausgegeben. Das Gerät darf jedoch auch (begrenzt) privat genutzt werden.
  • COBO
    Corporate Owned, Business Only – Das Gerät ist Eigentum des Unternehmens und wird ausschließlich für geschäftliche Zwecke an den Mitarbeiter ausgegeben. Eine private Nutzung ist untersagt.

Welche Mittel kommen bei einer MDM Lösung wie BES12 zum Einsatz?!

MDM Control (MDM-C)

Mittels einer Software, die ihre Konfiguration vom BES Server abholt, wird dem Endgerät “gesagt” was erlaubt ist und was nicht. Im Falle von BB OS10 ist das Betriebssystem die Kontrollsoftware selbst.

Container

Spezielle Softwarelösungen schützen auf Endgeräten/Handhelds abgespeicherte geschäftliche Daten vor dem Zugriff unerlaubter Anwendungen oder Personen. Sie werden Container genannt.
Es gibt für verschiedene Betriebssysteme mehrere und unterschiedliche Technologien für Container. BES verwaltet und steuert diese Technologien. Daher auch die Multi-OS Fähigkeit.

Für die einzelnen Plattformen existieren:

  • BlackBerry 10:
    Balance
  • Android:
    Secure Work Space (SWS), Android for Work, Samsung KNOX Workspace
  • iOS:
    Secure Work Space (SWS)

Secure Connectivity Plus

Geschäftliche Daten müssen auch sicher und effizient, d.h. verschlüsselt und komprimiert, übertragen werden. Dies übernimmt der BES12. Server (BES12) und Client (Handheld) kommunizieren über einen einzigen Port: 3101. Ziel ist es, proprietäre Lösungen überflüssig zu machen und alles über einen BlackBerry Tunnel zu leiten. Jegliche Installationen in der Unternehmensinfrastruktur, außer dem BES12 Server, entfallen.

Was ist möglich und notwendig?

Um die Geräte mit einem BES12 zu betreiben sind Lizenzen notwendig. Die Preise sind im Artikel “BES12: Welche Lizenz für welches Gerät zu welchem Preis” einsehbar. Man braucht pro Gerät eine Lizenz.

BlackBerry 10 Geräte mit einer Silber Lizenz haben Balance, also einen Container, und Secure Connectivity Plus. Für COPE und COBO Szenarien, also eine weitergehende Kontrolle des Geräts, ist eine Gold Lizenz notwendig.

Auf Android (ohne AfW und KNOX) und iOS ist für den Container (SWS) und Secure Connectivity Plus eine Gold Lizenz notwendig. Es sind alle Betriebsmodi außer COBO möglich. COBO ist technisch nicht realisierbar, da sich die Plattformen einer verpflichtenden Kontrolle widersetzen.

Android for Work (AfW) ist an sich auch ein Container und beruht auf einem Android SE (Security Enhanced). Es ist eine Weiterentwicklung des Android OS mit einigen Sicherheitsfunktionen.
Diese Entwicklung entstand aus dem Aufkauf des Unternehmens Divide durch Google und der Divide Container wurde in Android integriert. Android for Work-Nutzer, die Google Apps for Work nicht verwenden, können stattdessen eine komplette Suite mit sicheren Produktivitäts-Apps nutzen, die speziell für Android for Work konzipiert wurden. Die Suite umfasst geschäftliche E-Mail, Kalender, Kontakte, Aufgaben sowie eine Downloadverwaltung.
Im BES12 muss vor Nutzung von AfW zuerst die Einrichtung abgeschlossen werden. Es wird eine Gold Lizenz benötigt.
AfW arbeitet auch mit BES12 Silber Lizenzen. Auf dem Gerät hat man dann zwar den Container, aber keine Secure Connectivity. In diesem Fall muss ein Unternehmenszugriff via Reverse Proxy oder ähnliches abgebildet werden.
BYOD und COBO (erst ab BES12.3 und Android 6) können mit diesem Container abgebildet werden.

Samsung KNOX baut auch auf Android SE auf, setzt aber schon ab Gerätestart ein und überwacht das gesamte System und kann auch ohne eine MDM Lösung mit verkleinertem Funktionsumfang als Privatperson genutzt werden.
KNOX braucht für die Nutzung eines Containers und der Secure Connectivity Plus eine Gold Lizenz.
COPE und COBO Modi sind möglich, BYOD erst mit BES12.3.

WindowsPhone 8.1 kann derzeit nur per MDM-C eingebunden werden. Der BES-Administrator kann einige IT-Richtlinien setzen und das Gerät nur extern an den eigenen Exchange einbinden.
Daher braucht man für Windows Handhelds derzeit nur Silber Lizenzen um BYOD und COPE abzubilden, ohne Container und Secure Connectivity Plus.
Windows 10 wird mit BES12.3 eingeführt. Die Microsoft Container Lösung “Enterprise Data Protection” wird erst danach von Microsoft eingeführt und später im BES12 angeboten.

Faustregel

Mit Silber Lizenzen kann (außer im Fall von BlackBerry OS10 Geräten) die BlackBerry Infrastruktur nicht genutzt werden. Für Mailanbindungen sind zusätzliche Installationen wie extern zugängliche Reverse Proxies notwendig. Ferner ist die Kontrollierbarkeit der Geräte eingeschränkt.

Zur Nutzung der BlackBerry Infrastruktur über Secure Connect und maximaler Kontrolle der Endgeräte muss ein Aktivierungsmodus eingenommen werden, der eine Gold Lizenz erfordert.

Forumsdiskussion

Dieser Beitrag hat einen Kommentar

Schreibe einen Kommentar