Software-Lizenzen und Endgeräte richtig managen

Microsoft Intune im Vergleich mit UEM-Systemen



Werner Theis ist CEO und CTO der 1988 von seiner Frau Karin und ihm in Metzingen gegründeten SYSTAG GmbH. 1995 wurden die ersten Enterprise Mobility Projekte (Anbindung von Endgeräten und App-Entwicklung) umgesetzt, seit 2004 beschäftigt sich das Systemhaus exklusiv mit der Fragestellung sicherer mobiler Umgebungen. Heute gehört die SYSTAG zu den fünf führenden Enterprise-Mobility-IT-Dienstleistern im deutschsprachigen Raum. Ihre Kombination von App und Backend-Entwicklung mit ihr Rolle als VAR zweier führender UEM Systeme macht sie einzigartig. Zudem engagiert sich die SYSTAG GmbH seit einigen Jahren aktiv in der Förderung von Frauen in der IT. Die Hälfte ihrer Mitarbeiter und die Mehrzahl ihres Führungsteam sind weiblich.

Organisationen verändern sich schnell und grundlegend

Bei unseren Kunden stellen wir immer mehr fest, dass "carving-in"- und "carving-out"-Strategien bis in den großen Mittelstand Einzug halten. Für die IT und deren Betrieb ist eine echte Herausforderung, die unflexible Umgebungen eigentlich verbietet. Besonders im Gewerk UEM/EMM stoßen wir immer wieder darauf, dass die falsche Umgebung zu großen Schwierigkeiten führen kann.

Darüber hinaus verschwimmen Organisationsgrenzen mehr und mehr. Die Integration von Lieferanten, Kunden und Geschäftspartnern in die mobilen Geschäftsprozesse verlangt von den IT-Umgebungen, dass sie die diese Art von Workflows sicher und stabil bereitstellen müssen. Das bewirkt hohen Anpassungsdruck.

Die Frage, ob der Schnelle den Langsamen oder der Große den Kleinen frisst, ist im Zeitalter der Disruption der Geschäftsmodelle keine Frage mehr. Organisationen müssen schnell sein, um neue Geschäftsmodelle zu entwickeln und adaptieren zu können. Starre Strukturen stehen dem im Weg und bringen effektive Wettbewerbsnachteile mit sich.

Unternehmenskritische Prozesse mit echten Use Cases sollten Basis des Vergleichs bilden

Wenn es darum geht, Lösungen für das sichere mobile Arbeiten zu vergleichen, sind unsere Erfahrung nach Softwarelizenzkosten eher nebensächlich bei den notwendigen TCO-Betrachtungen. Sie sind am leichtesten greifbar und daher meist der Anlassgeber eines Vergleichs "UEM gegen Intune".

Aus den Praxisanforderungen erwachsen sehr häufig zusätzliche Anforderungen an die Lizensierung. Im Praxis-Check hat sich immer wieder gezeigt, dass ein "Enterprise Agreement Level 3" nicht ausreicht, und dass stattdessen ein "Enterprise Agreement Level 5" eingekauft werden muss, um die technischen Anforderungen komplett abzudecken. Manchmal reicht nicht einmal das aus, und es müssen zusätzliche Services rund um das AIP (Azure Information Protection) beschafft werden.

Wegen des raschen Technologiewandels ist es häufig hilfreich, eine valide Testumgebung parat zu haben, um unterschiedliche Konfigurationen auszuprobieren. Denn selbst mit einem separaten zweiten "Private Tenant", dessen Kosten nicht unerheblich sind, lassen sich nicht einfach Konfigurationen übernehmen. Sie müssen vielmehr Punkt für Punkt am offenen Herzen nachgezogen werden, mit dem Risiko, dass inzwischen Änderungen am Active Directory vorgenommen wurden, die den ganzen Test obsolet gemacht haben.

In vielen Fällen hat sich gezeigt, dass selbst Standardprozesse des Gerätelebenszyklus mit Intune erheblichen Mehraufwand produzieren und die Automatisierbarkeit der Systeme dadurch eingeschränkt wird.

Hier hat sich erwiesen, dass die Markt- und Technologie-führende EMM/UEM-Systeme in der Praxis gereift sind und damit in den Bereichen Betrieb, Administration und Management einen erheblichen Vorteil bieten. Bis Intune an diese Praxistauglichkeit herankommt, wird noch einige längere Zeit ins Land gehen.

Wie man vorgeht, damit ein den projekt- und kundenspezifischen Anforderungen entsprechendes Resultat bei der Untersuchung entsteht

Neben der Ermittlung der kritischen Use Cases aus Betrieb der EMM/UEM-Umgebung und weiteren kritischen Geschäftsprozessen, die mit der aktuellen Umgebung umgesetzt worden sind, ist es notwendig, sowohl für die laufende Umgebung als auch für die zukünftige Intune-Implementierung eine TCO-Kalkulation aufzustellen, die alle Kosten, auch die versteckten, aufbereitet, und damit eine transparente Entscheidungsbasis bereitstellt.

Man muss dabei beachten, dass die Intune-Umgebung durch ihre Integration in die Administration von "Azure Tenants" und Office 365 nicht getrennt davon gesehen werden kann. Dadurch bestehen technische Abhängigkeiten, die dazu führen, dass sich in vielen Fällen die Lizensierungsinhalte des Enterprise Agreements ändern werden und damit in den bisherigen Betrachtungen nicht erkannte versteckte Lizenz- und damit auch Betriebskosten ergeben.

In einigen der aktuellen Projekte haben wir zudem festgestellt, dass hybride Umgebungen mit ihren unterschiedlichen Release-Ständen sogar verhindern, dass Intune überhaupt in Betrieb gehen kann. Bevor das gelingt, müssen bestimmte Altsysteme völlig abgeschaltet werden.

Es ist ganz generell erkennbar, dass Microsoft daher gerne alles in der eigenen Cloud haben möchte, weil alle anderen Umgebungen "Krückenlösungen" und diverse Verbiegungen erfordern, die die Komplexität massiv steigern und die Betriebskosten erheblich erhöhen können.

Rechtliche Compliance-Anforderungen bewirken unweigerlich dass die Umgebung nicht mehr der Idealauslegung entspricht, die die Ingenieure des Herstellers bei der Architektur von Azure und Office365 im Sinn hatten. Das führt dazu, dass in solchen Fällen Systemen nicht mehr - wie im Handbuch beschrieben - eingerichtet werden können.

Dementsprechend komplexe IT-Landschaften findet man vor, und die Vergleiche zwischen Intune geraten dort oft zum Vabanque-Spiel. Die IT-Umgebung weicht dort oft erheblich vom Microsoft-Standard ab, ist aber immer oft nicht ganz DSGVO-konform, weil ansonsten dort eine oder andere nicht mehr so einfach zu handhaben wäre, wie es sich die Fachabteilung wünschte.

Ebenso findet man oft heraus, dass vorhandene weit verbreitete zertifikatsbasierte Access-Management-Lösungen auf einmal nicht mehr genutzt werden können. Damit geraten dann Investitionen in (unwichtige?) Nebenkriegsschauplätze wie "sicheres WLAN" und "automatisches Einbuchen der mobilen Endgeräte in sichere Netze", was oft einen wahren Rattenschwanz an zusätzlichen Arbeiten und Kosten mit sich bringt.

Zur Startseite