Software-Lizenzen und Endgeräte richtig managen

Microsoft Intune im Vergleich mit UEM-Systemen

15.01.2020 von Werner Theis
Nicht jede Software von Microsoft lässt sich mit Intune verwalten. Und dann ist Schluss mit der „kostenlosen“ Zwangsbeglückung.
 
  • Die "richtigen" Intune-Lizenzen
  • Android-Geräte managen
  • Was der Gartner-Report aussagt
  • UEM/EMM vs. Intune
  • Multifaktor-Authentifizierung
  • Use Cases als Basis des Vergleichs
Der monetäre Vergleich zwischen Intune und anderen UEM-Systemen fällt oft nicht ganz leicht.
Foto: zendograph - shutterstock.com

Microsoft und sein Channel fahren gerade durch die Lande und erklären allen Kunden, die ein Enterprise-Agreement haben, dass sie sich den Einsatz eines anderen Systems für das Betreiben ihrer sicheren Umgebung sowie für die Anbindung und für den Betrieb ihrer Smartphones und Tablets sparen könnten, denn sie hätten Intune ja bereits bezahlt.

Nun stimmt das meist nicht so ganz, denn in den gerade im Mittelstand weit verbreiteten Lizenztypen "Office365 E3" und "Office365 E5" sind die Intune-CALs (Client Access Licenses) gar nicht enthalten. Wer sie haben will, darf mit sechs Dollar je User und Monat recht tief in die Tasche greifen. Da bekommt man bei den technologieführenden Wettbewerbern aus dem UEM/EMM-Markt (Unified Endpoint und Enterprise Mobility Management) Äquivalentes und zugleich technisch Gehaltvolleres (inklusive mobilem VPN) zu geringeren Kosten.

Wenn man also Intune inkludiert haben will, muss man schon die teureren Lizenzen "Microsoft365 E3" oder auch "Microsoft365 E5" erwerben. Aber selbst dann fehlt für den sicheren Betrieb noch eine ganze Menge, etwa die VPN-Verschlüsselung, was wieder Zusatzkosten auslöst. Auch das verschweigen Microsoft-Partner häufig.

Dabei glauben sie alle, den vollen Durchblick in Sachen Enterprise Mobility zu haben, weil sie sich mit diesem Thema bereits seit Jahrzehnten intensiv beschäftigen. Mit diesem Background nehmen sie an, ein Smartphone sicher zu managen, kann kein großes Problem sein.

Aufgrund der fehlenden Kenntnisse verschweigen viele Vertriebspartner der Redmonder, dass man eine sichere Verbindung ins Unternehmens-Netzwerk bei Microsoft vergebens sucht. Andere MDM-Lösungen (Mobile Device Management) bieten hier zum Beispiel VPN-Zugängen oder mittels Containern gesicherte Verbindungen in Unternehmens-LAN an.

Außerdem setzt Intune als MDM-System Informationen in der Cloud voraus. Das alles löst eine ganze Latte von Security-Fragen aus, deren Auflösung wieder einen Griff in den Geldbeutel auslöst. Billig geht also anders. Aber das weiß der Kunde meist erst hinterher.

Zusatzlösungen in Azure

Nun hat Microsoft die höherwertigeren Lizenzen, die meist größere und sehr große Kunden in Anspruch nehmen, sehr häufig mit einem "Private Azure Tenant" veredelt, und das kostet richtig Geld. Zwar ist das "nackte" Intune" bereits bezahlt, was aber nicht daran liegt, dass die Kunden gefragt worden wären, ob sie es denn haben wollen.

Richtig ist vielmehr, dass Microsoft den Kunden in diesem Falle gar keine Wahl lässt, sich zu entscheiden. Es handelt sich vielmehr um eine Zwangsbeglückung, die dadurch unterlegt wird, dass der sichere Zugriff auf die mobilen Office-Apps nur funktioniert, wenn Gerät und User im Intune angelegt werden. So kann man Wahlfreiheit und Kundenautonomie auch verstehen.

Kunden, die sich für den Intune-Weg entscheiden, werden zudem schnell feststellen, dass das Versprechen der Kostenlosigkeit sich rasch in Luft auflöst, wenn es Fragen zur der Geräte- und Datensicherheit zu klären gilt. Dann werden auf einmal zusätzliche Lizenzen rund um die AIP (Azure Information Protection) fällig, deren Preise die für alle anderen klassischen UEM-Systeme mehrfach in den Schatten stellen.

Wer Licht ins Lizenzdunkel bringen will, dem sei empfohlen hier nachzuschauen und sich im Zweifel von jemandem, der die Sache unabhängig betrachtet, beraten zu lassen. Sind die Verträge erstmal unterschrieben und die Daten migriert, ist das Aufwachen in der Regel ziemlich teuer.

Über den Wert der Gartner-Reports im Allgemeinen und des UEM-Reports im Speziellen

Nun ist es so, dass der neue Gartner UEM-Quadrant aus dem Jahr 2019 Microsoft zu den Marktführern (Leader) zählt, also dort positioniert, wo die wirklichen Technologiechampions sich nach der Lesart vieler CIOs befinden müssen, um als Lieferant akzeptiert zu werden.

Intune-Architektur - Schaubild von Microsoft
Foto: Microsoft

Ebenfalls lesenswert: Datenschutz in Microsoft Office 365 lückenhaft

Tatsache ist, dass es dem Microsoft-Konzern im Rahmen seiner Cloud-Initiative gelungen ist, viele seiner großen Kunden mit Hilfe der oben ausgeführten Argumente zu überzeugen, Intune einzusetzen. Das wird im Bericht reflektiert, bedeutet aber nicht, dass die Lösung tatsächlich technologisch führend ist.

Nach wie vor weist Intune beim Management von Zertifikaten große Schwächen auf. Ebenso reicht der sichere Betrieb von Android-basierten Endgeräten nicht an den Möglichkeiten der anderen technologieführenden Produkte heran. Außerdem sind Intune und Multifaktorauthentifizierung (MFA) wie Feuer und Wasser, was den Betrieb, die Implementierung und das Roll-out der Endgeräte angeht.

Allein um letzteres Problem aufzufangen, war bei einigen größeren internationalen Intune-Kunden eine Personalbereitstellung von bis zu drei zusätzlichen FTE (Full-time Equivalent) nötig, was dazu geführt hat, dass allein durch zusätzlichen Personalausgaben die kompletten TCO des bisherigen UEM Systems mehrfach überschritten wurde.

Nun ist in der Tat zu erwarten, dass die Schwächen beim Management der Android-Geräte in der kommenden Zeit nach und nach von Microsoft ausgebügelt werden. Das liegt schon deshalb auf der Hand, weil die Surface-Fraktion bei Microsoft Surface-Formfaktoren mit Android vorgestellt hat. Denn der Redmonder Konzern hat klar formuliert, dass Android im Bereich der kleineren Formfaktoren Windows 10 ergänzen wird.

Lesetipp: InApp-Security ist kein Hype sondern Realität

Der Kampf der IT-Architekturen

Wer sich auf Cloud-basierte Vollversorgung durch Microsoft einlässt, muss sich bewusst sein, dass diese Entscheidung einen Paradigmenwechsel für den IT-Betrieb beinhaltet. Es ist schon ziemlich verwunderlich, dass diese Fragestellung und ihre Konsequenzen bisher so wenig thematisiert worden sind.

Niemand bestreitet, dass es enorm schwierig ist, die von Microsoft angebotenen Standard-IT-Services zu den gleichen oder geringeren Kosten mit der gleichen Qualität selbst zu produzieren. Dass es diesen Vorteil geben kann, steht außer Zweifel. Die Frage ist jedoch: Gilt diese Annahme für alle spezielleren IT-Gewerke gleichermaßen?

Hier stellt sich nämlich die Frage, ob man dabei die nachteiligen Nebeneffekte berücksichtigt, die diese Art der IT für eine Organisation und ihren IT-Betrieb mit sich bringen. Dann fällt der monetäre Vergleich zwischen Intune und anderen UEM-Systemen oft nicht ganz leicht.

Die Fokussierung auf den User als das zentrale Objekt der IT und die völlig transparente Konzentration der kompletten Rechtestruktur auf ein System haben unbestritten viele Argumente für sich.

Die Zentralisierung der Administration führt jedoch dazu, dass das Gesamtsystem außerordentlich fehlerintolerant wird. Es verzeiht keine falsche Einstellung von Rechten. Die Folgen einer kleinsten Veränderung können daher drastisch sein, und es ist so gut wie unmöglich, technisch zu vermeiden, dass eine Fehlkonfiguration an einer Stelle nicht einen ganzen Rattenschwanz von unbeabsichtigten Nebeneffekten und deren Folgen nach sich zieht. So etwas zu simulieren ist so gut wie unmöglich.

Das führt zwangsweise dazu, die Betriebs- und Administrationsverantwortung für einzelne Gewerke nicht wie früher üblich auf entsprechend geschulte Fachleute komplett delegiert werden kann. Den Betrieb der sicheren mobilen Umgebung mit allen ihren Aufgabenstellungen können die Fachleute nicht mehr isoliert von der Haupt-Systemadministration übernehmen.

Früher, bei dezentral gemanagten Gewerken, waren es in der Regel keine Fernwirkungen auf beispielsweise Administration und Betrieb von Datenbankservern oder die Benutzerverwaltung im Active Directory zu berücksichtigen. Im Betrieb nach Gewerken gab es saubere Übergabepunkte und Schnittstellen, in denen eine Interaktion oder eine Zusammenarbeit stattfinden, die sich aber in der Regel auf klar umrissene Einmalaufgaben beschränken und dabei von langer Hand geplant mit Abnahmen und klaren Verantwortungsgrenzen- und Zuordnungen umgesetzt werden konnten. Das ist in einer reinen Cloud-Umgebungen der Redmonder nicht mehr der Fall.

Wer Microsoft Cloud einsetzt, muss ganz schnell umdenken

Es gibt allerdings auch den Mittelweg, nur die Standarddienste wie Excel, Office, SharePoint und den Betrieb des Active Directory in die Cloud zu legen. Dann könnte man das Beste von zwei Welten zusammenbringen - und Geld sparen, ohne die Flexibilität und Agilität für die Herausforderungen von morgen aufzugeben.

Nachstehend einige systemische Überlegungen über das "Weshalb" und "Warum":

Ohne KI kann Office 365 nicht vernünftig betrieben werden

Durch die "Cloudifizierung"-Debatte keimt eine geradezu unheimliche KI-Hoffnung auf. Das hat damit zu tun, dass die Fehlertoleranz der IT-Systeme zwar durch rigorose und striktes Handhabung der Regeln und durch penibelste Dokumentation verbessert, aber nie auf 100 Prozent erhöht werden kann.

Es gibt eben "Fehler im System", die sich nicht einmal durch noch so gute Organisation und beste Qualifikation der Mitarbeiter vermeiden lassen. Denn selbst wenn man davon ausgeht, dass Microsoft das "Patching" und Weiterentwicklung in höchster Präzision und Verantwortung erledigt werden, haben Systeme immanente Fehler, weil sie Menschenwerk sind. Daher sind manchmal ad-hoc-Änderungen durchzuführen, die man nicht einem klassischen Risiko Assessment vor der Umsetzung unterwerfen kann. Und dann hat man den Salat, wenn man Pech hat.

Künstliche Intelligenz (KI) wird in näherer Zukunft - in den Rechenzentren und in der Cloud - den Systemadministrator von Routinearbeiten entlasten und ihn in ferner Zukunft gar ganz ersetzen. Künstliche Intelligenz benötigt aber viele Daten: Irgendwie muss der Hersteller ja erfahren, wie seine Systeme genutzt, betrieben und administriert werden. Und wir, die wir die Cloud-Dienste des Herstellers nutzen, liefern ihm die Basisdaten dafür mehr oder weniger freiwillig. Und deshalb verwandelt Microsoft die Firewalls seiner Cloud-Nutzer in eine Art Schweizer Käse.

Es steht außer Frage, dass KI in der Lage ist, die Auswirkungen von Konfigurationseinstellungen zu ermitteln, bevor sie scharf geschaltet werden, und den Administrator mit Vorschlägen und Warnungen unterstützen kann. Wenn dieser Level einmal erreicht ist, darf der Administrator aber davon ausgehen, dass das System ihn irgendwann überflüssig macht und dem Kunden eine Art Autopilot bereitstellt, dessen Betrieb auf einer Metaebene gesteuert wird. Es wird nicht mehr nötig sein, dass Kunden eigene Spezialisten haben. Auch hier frisst die Revolution am Ende ihre Kinder.

Wer eine agile Organisation will, sollte sich Gedanken machen

Fehlertolerante oder besser "resiliente" Systeme haben in aller Regel keinen zentralistischen Ansatz, bei dem es zu "single point of failure"-Situationen kommen kann. Office365 fährt exakt diesen Ansatz und erwartet die besten aller Welten, nämlich am besten eine Umgebung, wie sie sich die Microsoft Ingenieure auf dem Reißbrett ausgedacht haben.

Jede Abweichung von der Norm führt umgehend zu einer nachhaltigen Verkomplizierung der IT-Landschaft, deren Management dann nur noch unter erschwerten Bedingungen möglich ist, will man eins stabiles IT-System aufrechterhalten. Die DSGVO-Compliance erzeugt dieses Szenario zwangweise.

Es ist aber die Natur von Umgebungen für sicheres mobiles Arbeiten, agil sein zu müssen. In diesem Segment der IT ist die Veränderung die Regel. Dieser Wandel prägt die Administration und den Betrieb von mobilen Endgeräten im professionellen Umfeld. Wahnsinnig schnelle Technologiewechsel, ständig steigenden Anforderungen an Datenschutz und Datensicherheit schaffen Fakten und Handlungsnöte.

Starre Strukturen, die die nötigen Veränderungen verzögern oder gar ausbremsen, sind nicht nur suboptimal, sie können eine Organisation im Falle einer Bedrohung der Datensicherheit gefährden.

Organisationen verändern sich schnell und grundlegend

Bei unseren Kunden stellen wir immer mehr fest, dass "carving-in"- und "carving-out"-Strategien bis in den großen Mittelstand Einzug halten. Für die IT und deren Betrieb ist eine echte Herausforderung, die unflexible Umgebungen eigentlich verbietet. Besonders im Gewerk UEM/EMM stoßen wir immer wieder darauf, dass die falsche Umgebung zu großen Schwierigkeiten führen kann.

Darüber hinaus verschwimmen Organisationsgrenzen mehr und mehr. Die Integration von Lieferanten, Kunden und Geschäftspartnern in die mobilen Geschäftsprozesse verlangt von den IT-Umgebungen, dass sie die diese Art von Workflows sicher und stabil bereitstellen müssen. Das bewirkt hohen Anpassungsdruck.

Die Frage, ob der Schnelle den Langsamen oder der Große den Kleinen frisst, ist im Zeitalter der Disruption der Geschäftsmodelle keine Frage mehr. Organisationen müssen schnell sein, um neue Geschäftsmodelle zu entwickeln und adaptieren zu können. Starre Strukturen stehen dem im Weg und bringen effektive Wettbewerbsnachteile mit sich.

Unternehmenskritische Prozesse mit echten Use Cases sollten Basis des Vergleichs bilden

Wenn es darum geht, Lösungen für das sichere mobile Arbeiten zu vergleichen, sind unsere Erfahrung nach Softwarelizenzkosten eher nebensächlich bei den notwendigen TCO-Betrachtungen. Sie sind am leichtesten greifbar und daher meist der Anlassgeber eines Vergleichs "UEM gegen Intune".

Aus den Praxisanforderungen erwachsen sehr häufig zusätzliche Anforderungen an die Lizensierung. Im Praxis-Check hat sich immer wieder gezeigt, dass ein "Enterprise Agreement Level 3" nicht ausreicht, und dass stattdessen ein "Enterprise Agreement Level 5" eingekauft werden muss, um die technischen Anforderungen komplett abzudecken. Manchmal reicht nicht einmal das aus, und es müssen zusätzliche Services rund um das AIP (Azure Information Protection) beschafft werden.

Wegen des raschen Technologiewandels ist es häufig hilfreich, eine valide Testumgebung parat zu haben, um unterschiedliche Konfigurationen auszuprobieren. Denn selbst mit einem separaten zweiten "Private Tenant", dessen Kosten nicht unerheblich sind, lassen sich nicht einfach Konfigurationen übernehmen. Sie müssen vielmehr Punkt für Punkt am offenen Herzen nachgezogen werden, mit dem Risiko, dass inzwischen Änderungen am Active Directory vorgenommen wurden, die den ganzen Test obsolet gemacht haben.

In vielen Fällen hat sich gezeigt, dass selbst Standardprozesse des Gerätelebenszyklus mit Intune erheblichen Mehraufwand produzieren und die Automatisierbarkeit der Systeme dadurch eingeschränkt wird.

Hier hat sich erwiesen, dass die Markt- und Technologie-führende EMM/UEM-Systeme in der Praxis gereift sind und damit in den Bereichen Betrieb, Administration und Management einen erheblichen Vorteil bieten. Bis Intune an diese Praxistauglichkeit herankommt, wird noch einige längere Zeit ins Land gehen.

Wie man vorgeht, damit ein den projekt- und kundenspezifischen Anforderungen entsprechendes Resultat bei der Untersuchung entsteht

Neben der Ermittlung der kritischen Use Cases aus Betrieb der EMM/UEM-Umgebung und weiteren kritischen Geschäftsprozessen, die mit der aktuellen Umgebung umgesetzt worden sind, ist es notwendig, sowohl für die laufende Umgebung als auch für die zukünftige Intune-Implementierung eine TCO-Kalkulation aufzustellen, die alle Kosten, auch die versteckten, aufbereitet, und damit eine transparente Entscheidungsbasis bereitstellt.

Man muss dabei beachten, dass die Intune-Umgebung durch ihre Integration in die Administration von "Azure Tenants" und Office 365 nicht getrennt davon gesehen werden kann. Dadurch bestehen technische Abhängigkeiten, die dazu führen, dass sich in vielen Fällen die Lizensierungsinhalte des Enterprise Agreements ändern werden und damit in den bisherigen Betrachtungen nicht erkannte versteckte Lizenz- und damit auch Betriebskosten ergeben.

In einigen der aktuellen Projekte haben wir zudem festgestellt, dass hybride Umgebungen mit ihren unterschiedlichen Release-Ständen sogar verhindern, dass Intune überhaupt in Betrieb gehen kann. Bevor das gelingt, müssen bestimmte Altsysteme völlig abgeschaltet werden.

Es ist ganz generell erkennbar, dass Microsoft daher gerne alles in der eigenen Cloud haben möchte, weil alle anderen Umgebungen "Krückenlösungen" und diverse Verbiegungen erfordern, die die Komplexität massiv steigern und die Betriebskosten erheblich erhöhen können.

Rechtliche Compliance-Anforderungen bewirken unweigerlich dass die Umgebung nicht mehr der Idealauslegung entspricht, die die Ingenieure des Herstellers bei der Architektur von Azure und Office365 im Sinn hatten. Das führt dazu, dass in solchen Fällen Systemen nicht mehr - wie im Handbuch beschrieben - eingerichtet werden können.

Dementsprechend komplexe IT-Landschaften findet man vor, und die Vergleiche zwischen Intune geraten dort oft zum Vabanque-Spiel. Die IT-Umgebung weicht dort oft erheblich vom Microsoft-Standard ab, ist aber immer oft nicht ganz DSGVO-konform, weil ansonsten dort eine oder andere nicht mehr so einfach zu handhaben wäre, wie es sich die Fachabteilung wünschte.

Ebenso findet man oft heraus, dass vorhandene weit verbreitete zertifikatsbasierte Access-Management-Lösungen auf einmal nicht mehr genutzt werden können. Damit geraten dann Investitionen in (unwichtige?) Nebenkriegsschauplätze wie "sicheres WLAN" und "automatisches Einbuchen der mobilen Endgeräte in sichere Netze", was oft einen wahren Rattenschwanz an zusätzlichen Arbeiten und Kosten mit sich bringt.

UEM versus Intune im Betrieb

Grundsätzlich lässt sich eine mobile Umgebung mit Intune betreiben. Allerdings hakelt es schon bei Standard-Use Cases wie "Geräte-Provisionierung, -Umzug und -Deprovisionierung. Das funktionier bei den anderen Markt- und Technologie-führenden Systemen besser und einfacher.

Immer dann, wenn Anforderungen gestellt werden, die weniger "üblich" sind, etwa:

kommen mehr oder minder große Einschränkungen zum Vorschein, die sich beim Einsatz von Android-Geräten zu einem echten Desaster ausweiten können.

Man kann es so zusammenfassen: Wenn ein Kunde iOS-Geräte einsetzt, komplett auf Microsoft-Technologie setzt und nur die PIM-Funktionalität einsetzt, steht einer Migration nach Intune im Prinzip nichts entgegen. Allerding sollte sich der Kunde in diesem speziellen Fall fragen, ob es vernünftig ist, in der IT eine Single-Vendor-Strategie zu fahren und sich somit in die totale Abhängigkeit einer Architektur zu begeben, die die oben dargelegten Schwächen als DNA mit sich herumträgt.

Was mich immer wieder überrascht, war die Tatsache, dass unsere Spezialisten selbst jene Intune-, Active Directory- und anderen Konfigurationen bei ihren Kunden geradeziehen mussten, die man für den professionellen Betrieb einer sicheren mobilen Umgebung auf jeden Fall benötigt.

Das galt selbst dann, wenn der Hersteller selbst Experten zu diesem Kunden ausrücken ließ, um nachher unverrichteter Dinge und ohne Testergebnis wieder abzurücken. Man sollte also nur diejenigen an die eigenen IT-Systeme heranlassen, die nachgewiesenermaßen etwas davon verstehen, weil sie sich seit Jahren nur damit beschäftigen.

Wer aber eine agile mobile Infrastruktur braucht, in anderen Regionen Android- statt iOS-Geräte einsetzt und sogar auf Ruggadized- oder auf explosionsgeschützte Android-Geräte angewiesen ist sowie an bestimmten Bereichen weiterhin Drittanbieter-Lösungen einsetzen will, der sollte sich ernsthaft überlegen, vorerst seinem EMM/UEM-Lieferanten treu zu bleiben, auch um Kosten zu sparen.

Manchmal liegt das Gute so nah, dass man es fast übersieht. Das gilt vielleicht auch in diesem Fall eher mehr als weniger.