Ausgenommen Windows 10 Mobile, weiß Microsoft wie man Geld druckt. Das sieht man derzeit auch im Bezug auf Office Daten und Data-at-Rest Schutz. Egal welches EMM man einsetzt, man muss auch zusätzliche Microsoft Dienste nutzen, wenn man vollumfänglichen Schutz der Daten haben möchte.
BlackBerry OS10 und Android Enterprise bieten einen globalen Container für berufliche Daten an. Somit ist der Schutz der Daten bzw die Trennung zu den privaten Daten und eine globale interne Verbindung sehr leicht zu realisieren, erfordert aber auch Intune, um das Hinzufügen von weiteren Identities und oder Cloud Diensten zu steuern.
Manche setzen iOS oder aber auch Android Geräte mit AppContainer ein, im Falle von BlackBerry mit Dynamics.
Diese Aktivierung erfordert, dass alle zusätzlichen Dienste dasselbe SDK nutzen, um auch einen Container in der passenden Anbindung zu realisieren. Und genau an diesem Punkt schlägt Microsoft zu: MS Apps werden nicht in anderen SDKs angeboten!
Dahinter steckt die Monetarisierung der hauseigenen Dienste: Azure, Intune und O365.
Immer mehr Firmen entscheiden sich für O365. Somit kann man sich die interne Infrastruktur sparen und hat eine skalierbare und hochverfügbare (nicht HA gemeint) Cloud Lösung. Dies ist natürlich reizvoll, doch gibt man die Verantwortlichkeit seiner Daten an Dritte ab.
Als Beispiel nehmen wir an, dass wir ein MDM aktiviertes iPhone mit BlackBerry Dynamics Work als PIM Client nutzen. BlackBerry Work hat zwar auch einen Viewer, aber der Nutzer möchte eine per E-Mail erhaltene Word Datei bearbeiten. Zunächst bleibt nur die Möglichkeit, die Datei aus Work zu exportieren. Doch dann braucht man ehrlicherweise auch kein MDM nutzen. Wie also sicher die Datei bearbeiten und weiterleiten oder im eigenen Share speichern?
Microsoft bietet einen Schutz der Daten an per AppProtect. Dies ist ein Profil, welches jede App zugewiesen bekommt, um die Daten zu schützen. Nur braucht man dazu Intune. Es gibt keine andere Möglichkeit.
Egal welches MDM man einsetzt, AppContainer Aktivierungen brauchen eine Übersetzer App, welche vom MDM SDK auf Intune und umgekehrt die Daten sicher weitergeben kann. Im Falle von BlackBerry ist dies BlackBerry Enterprise BRIDGE (weitere Informationen). Somit braucht man keine Daten aus dem Container zu exportieren oder importieren.
Microsoft macht so seine Dienste natürlich schmackhaft für sicherheitsbewusste Kunden und kann so verdienen. Entweder der Kunde nutzt O365 Lizenzen + Intune EMS E3 Lizenzen oder das Kombiprodukt Microsoft 365 E3.
Dazu Peter Meuser, Enterprise Mobility Architect:
Interessant an diesem Bundle ist auch der Bestandteil Azure AD Premium P1. Diese Komponente beinhaltet nicht nur Conditional Access auf O365-Dienste in einer Form, die anderen EMM-Herstellern bisher leider verschlossen bleibt, sondern auch Azure Application Proxy. Azure App Proxy erlaubt einen modernen, plattformunabhängigen, weil VPN-losen und mittel Conditional Access abgesicherten Zugriff auf http-basierte on-prem Resourcen wie Intranets, Web Apps und SharePoint (SSO mittels KCD inkl.). Das funktioniert nebenbei auch ganz locker für B2B-Szenarien. Wer sich mit BlackBerry beschäftigt, wird gleich die Parallelen zu dessen Architektur erkennen: Für den On-Prem-Zugriff aus dem Internet ist nur eine ausgehende Verbindung vom Azure App Proxy in die Azure-Infrastruktur (“NOC” bei BlackBerry) erforderlich. Es ist schon etwas beängstigend, wie Microsoft in der Mobility-Entwicklung Gas gibt.
Nun mag mancher denken: Ich habe schon Azure AD + EAS im Einsatz und brauche nun auch noch Intune. Warum nutze ich nicht auch dessen MDM Fähgikeiten?!
Ganz einfach: weil es außer für Microsoft Dienste (noch?!) nicht wirklich zu gebrauchen ist. Zwar hat Microsft 5 Milliarden in Intune IoT inverstiert, aber die MDM Fähigkeiten sind nicht wirklich vollumfänglich. Mit einem BlackBerry UEM kann man über eine einzige ausgehende Verbindung seine internen Ressourcen sicher auf mobilen Geräten anbinden. Oder man nutzt das UEM Image, welches man auch über Azure nutzen kann.
Hi Ben, mit Intune E3 meinst Du sicherlich EMS E3. Interessant an diesem Bundle ist auch der Bestandteil Azure AD Premium P1. Diese Komponente beinhaltet nicht nur Conditional Access auf O365-Dienste in einer Form, die anderen EMM-Herstellern bisher leider verschlossen bleibt, sondern auch Azure Application Proxy. Azure App Proxy erlaubt einen modernen, plattformunabhängigen, weil VPN-losen und mittel Conditional Access abgesicherten Zugriff auf http-basierte on-prem Resourcen wie Intranets, Web Apps und SharePoint (SSO mittels KCD inkl.). Das funktioniert nebenbei auch ganz locker für B2B-Szenarien. Wer sich mit BlackBerry beschäftigt, wird gleich die Parallelen zu dessen Architektur erkennen: Für den On-Prem-Zugriff aus dem Internet ist nur eine ausgehende Verbindung vom Azure App Proxy in die Azure-Infrastruktur (“NOC” bei BlackBerry) erforderlich. Es ist schon etwas beängstigend, wie Microsoft in der Mobility-Entwicklung Gas gibt.
Hi Peter. Vielen Dank für die Info. Werde ich als Zitat mit in den Artikel aufnehmen. Nicht jeder nutzt die Kommentarfunktion.
Vielleicht noch ergänzend zum Thema Intune vs. anderer EMMs (BlackBerry, MobileIron, VMware Workspace ONE etc.): Ohne zuvor definierten Use & Business Case lässt sich diese Frage kaum seriös beantworten – daher alles andere als “ganz einfach” …
Pingback: MobileIron: Kunden sollten Microsoft zur Öffnung von Conditional Access mit anderen UEM Systemen anschreiben | Technik.Community