EMM-Lösungen übernehmen als Geräteadministrator das Ruder
Obwohl der Benutzer bereits mit den Cloud-Diensten von "My KNOX" selbst Fernverwaltungsfunktionen wie das Löschen oder Orten verlorener/gestohlener Geräte vornehmen kann, ist dies natürlich keine Lösung für eine Geräteverwaltung im Unternehmen. Diese übernimmt die IT mit einer der kompatiblen EMM-Lösungen.
Anforderung ist hier unter anderem, die Auswahl der als "firmenkonform" eingestuften Apps per "Whitelist" im KNOX Workspace zu definieren, um die Kontrolle über den potentiellen Datenabfluss aus dem Unternehmen zu behalten. Es nutzt wenig, einen in sich abgeschlossenen Arbeitscontainer zu haben, in den der Anwender dann Apps für Cloud-Speicherdienste wie Dropbox oder Box.Net selbst installiert, um z.B. als Mail-Anhang empfangene sensible interne Dokumente außerhalb des Unternehmens abzulegen.
Dies funktionierte in unserem Test mit MobileIron tadellos. Ebenso ließ sich ohne erforderliche Benutzermitwirkung ein Client-Zertifikat zur Exchange-Authentifizierung im KNOX-Container installieren, um sowohl den Exchange ActiveSync-Zugang auf ein empfehlenswertes Niveau abzusichern, wie auch den Benutzer von der weiteren Kennwortpflege zu befreien.
Die Verwaltung von KNOX Workspace erfordert grundsätzlich eine App wie "Samsung My KNOX" oder "MobileIron Mobile@Work", die mit den Rechten als "Geräteadministrator" die Herrschaft über das Gesamtgerät übernimmt. Samsung erlaubt, ein Gerät mit bis zu zwei unterschiedlichen EMM-Systemen zu koppeln, um damit zwei voneinander getrennte Workspaces anzulegen. Dies gelang in unserem Test in der Kombination von MobileIron und Samsung KNOX EMM prinzipiell. Die Idee dahinter ist ein Einsatz der KNOX-Technologie in BYOD-Szenarien, in denen sich insbesondere auch Selbstständige mit mehreren Auftragsgebern bewegen.
Wie auch Goldonis Bühnenstück für den "Diener zweier Herren" zahlreiche Schwierigkeiten vorsieht, garantieren zwei gleichberechtigte Geräteadministratoren nebeneinander allerdings kein "Happy-End" für ein privates S6. Generell dürfte sich jeder S6-Besitzer fragen, ob er überhaupt einen "fremden" Geräteadministrator mit uneingeschränkten Rechten auf seinem Privatgerät zulassen möchte. Die KNOX-Technologie empfiehlt sich daher eigentlich nur für COPE-Szenarien und damit für den Einsatz auf einem Firmengerät.
Gesicherte Firmenanbindung erfordert noch Kompromisse
Um neben Exchange ActiveSync mit Client-Zertifikaten auch weitere Unternehmensressourcen sicher mobil anbinden zu können, ist generell eine Per-App-VPN-Technologie gefragt. Samsung unterstützt zum Aufbau eines verschlüsselten Kanals von Apps im Knox-Container sowohl einen Container-weiten, wie auch bis zu fünf App-spezifische VPN-Verbindungen zu Lösungen wie Cisco AnyConnect, Juniper SSL und F5 BigIP Edge. Der Trend geht jedoch zu Per-App-VPN Technologien, die Bestandteil der EMM-Lösung sind und somit keine zusätzliche Integration eines Drittanbieters erfordern.
MobileIron hat hierzu z.B. seine proprietäre AppTunnel-Technologie im Repertoire. Mit Hilfe von AppTunnel ermöglicht z.B. die App "Web@Work" den sicheren Zugriff auf Intranet-Websites und "Docs@Work" das mobile Abrufen von Dokumenten von internen Fileservern und SharePoint-Sites. Dies funktioniert grundsätzlich - wie mit jedem Android-Gerät - auch wunderbar auf einem Galaxy S6, jedoch arbeiten diese Apps nur außerhalb des KNOX-Containers. MobileIron empfiehlt sogar, "AppConnect"-Apps wie Web@Work und Docs@Work nicht gleichzeitig mit einem KNOX-Container auf einem Gerät zu betreiben.
Ohne Geräteadministrationsrechte auf Android-Geräten kommen grundsätzlich die Good-Dynamics-Apps von Good Technology aus. Somit bieten sich unter Verzicht auf Samsung KNOX die PIM-App "Good Work", der Secure Browser "Good Access", sowie "Good Share" für die mobile Nutzung interner File-Shares und SharePoint-Sites auch für BYOD-Szenarien an. Good-Apps bilden im Verbund einen eigenen Container auf Applikationsebene.
Sonderweg: Good for Samsung KNOX
Zusammen mit Samsungs Vorstellung der Galaxy Modelle S6/S6 Edge auf dem diesjährigen Mobile World Congress in Barcelona stellte Good Technology auch "Good for Samsung KNOX" vor. Anders, als der Produktname auf den ersten Blick nahelegen könnte, integriert die Lösung Good Apps nicht mit Apps im KNOX Workspace. Apps wie Good Work und Good Accesss betrieben unter Good for Samsung KNOX bilden auf dem S6 vielmehr einen eigenen, abgeschlossenen Container neben KNOX Workspace, der sich des KNOX-Unterbaus wie Secure Boot/Trusted Boot, "TIMA" (TrustZone Integrity Measurement Architecture) und "SELinux" bedient.
"SE for Android Management Service" (SEAMS) steht Drittanbietern wie Good Technology für deren Container-Implementierung auf Samsung-Geräten zu Verfügung, um u.a. den gleichen Hardware-gestützten Schutz gegen Rooting-Angriffe, den auch KNOX Workspace genießt, bereitzustellen. Apps innerhalb einer solchen sicheren Domäne unterliegen natürlich auch der IT-Kontrolle über den Datenaustausch mit privaten ("unmanaged") Apps.
Die App "Good Agent" hebt bei der Aktivierung Good-Dynamics- Apps (dazu zählt nicht Good for Enterprise!) in eine eigene KNOX-Sicherheitszone und benötigt dazu die Rechte eines Geräteadministrators. Das höhere Sicherheits-Level von Good for Samsung KNOX bietet sich damit eigentlich nur für Firmengeräte im COPE-Betrieb an. Good Work als PIM-App, die über das integrierte Per-App VPN mittels ActiveSync mit Microsoft Exchange ab Version 2010 synchronisiert, verfügt im Vergleich zu den nativen PIM Apps im KNOX Workspace auch nicht über deren nahtlose und dennoch sauber getrennte Integration mit den Funktionen in der persönlichen Zone (Termine, Kontakte und Anrufer-Erkennung).