Bei unserem Kunden handelt es sich um einen international tätigen Maschinen- und Anlagenbauer mit über 10.000 Mitarbeitern, der weltweit aktiv ist. Insgesamt werden beim Kunden mehr als 4.000 mobile Endgeräte mit Hilfe eines markt- und technologieführenden EMM Systems verwaltet und Apps verteilt. Der Kunde setzt die Container-Umgebung für PIM (Kontakte, Email, Kalender, Secure Browser) ein, weil die Mitarbeiter die Geräte privat nutzen dürfen. Damit ist sichergestellt, dass die Unternehmensdaten selbst dann geschützt sind, wenn das Gerät nicht sachgerecht benutzt wird. Wenn nötig kann durch das UEM System ein Gerät gesperrt oder gelöscht werden. Der Kunde setzt überwiegend iOS Geräte (iPhones und iPads) ein.
Den Betrieb seiner Umgebung hat er an einen externen Dienstleister ausgelagert, der den Betrieb im 2nd und 3rd Level im Kundenauftrag durchführt. First Level Support, das Gerätemanagement mit Provisionierung und Deprovisionierung übernimmt das interne Team, wobei es durch Standortverantwortliche, deren fachliche Führung ihm obliegt, in eigener Verantwortung in den Niederlassungen unterstützt wird. Zugleich steuert es den Dienstleister in regelmäßigen Servicegesprächen.
UEM versus Intune
Der Vorstand hat dem Team den Auftrag erteilt, das vorhandene UEM mit dem Angebot von Microsoft Intune zu vergleichen. Die Experten für sicheres mobiles Arbeiten der SYSTAG haben dem Kunden vorgeschlagen, diesen Vergleich nicht nur kaufmännisch sondern auch technisch wie nachstehend erläutert durchzuführen.
Unser Ziel: Ein Vergleich der Umgebungen der den projekt- und kundenspezifischen Anforderungen entspricht
Neben der Ermittlung von 5 bis 10 kritischen Use Cases aus dem Betrieb der EMM/UEM Umgebung und weiteren kritischen Geschäftsprozessen, die mit der aktuellen Umgebung umgesetzt worden sind, ist es notwendig, sowohl für die laufende Umgebung als auch für die zukünftige Intune-Implementierung eine TCO-Kalkulation aufzustellen. Diese Ermittlung der Total Cost of Ownership (Gesamtkostenbetrachtung) bereitet alle Kosten, auch die versteckten, auf und erlaubt dadurch eine transparente Entscheidungsbasis mit tatsächlichen Werten.
Dabei ist zu beachten, dass die Intune-Umgebung durch ihre Integration in die Administration von Azure Tenant und Office365 nicht getrennt von diesen gesehen werden kann. Dadurch bestehen technische Abhängigkeiten, die dazu führen, dass sich in vielen Fällen die Lizensierungsinhalte des Enterprise Agreements ändern werden und somit die Lizenz- und damit auch Betriebskosten signifikant erhöhen.
Das SYSTAG Team gab den Hinweis, dass hybride Umgebungen mit ihren unterschiedlichen Releaseständen sogar dazu führen können, dass Intune gar nicht wie geplant ausgerollt werden kann, bevor nicht bestimmte Altsysteme völlig abgeschaltet sind. Es ist generell erkennbar, dass Microsoft die eigene Cloud-Umgebung bevorzugt. Somit erfordern alle anderen Umgebungen Krückenlösungen und Verbiegungen, die die Komplexität beliebig steigern und die Betriebskosten nicht unerheblich erhöhen können.
Auch Anforderungen, wie die komplette Umsetzung der Vorgaben der DSGVO führen unweigerlich dazu, dass die Umgebung nicht mehr der Idealauslegung der Architektur von Azure und Office365 entspricht. Daraus ergibt sich, dass in solchen Fällen nicht mehr by-the-book eingerichtet werden kann und das System zusätzliche Komplexitätsaspekte erhält, die der Administrator nicht gerne sieht. Genau das findet man vor, wenn das bestehende UEM mit Microsoft Intune verglichen wird. Die bestehende Umgebung ist oft nicht mehr so richtig Standard, aber eben auch nicht komplett nach DSGVO, weil sonst das eine oder andere nicht mehr so bequem und einfach funktioniert, wie es die Fachabteilung und der IT-Betrieb es gerne hätten.
Ebenso findet man oft heraus, dass vorhandene weit verbreitete zertifikatsbasierte Access-Management-Lösungen auf einmal nicht mehr genutzt werden können. Damit geraten auf einmal Investitionen in so „unwichtige“ Nebenkriegsschauplätze wie sicheres W-LAN und das automatische Einbuchen der mobilen Endgeräte in diese W-LANs in den Fokus, die einen wahren Rattenschwanz an zusätzlichen Arbeiten und Kosten verursachen, würde man die UEM-Plattform wechseln.
UEM versus Intune im Betrieb
Grundsätzlich lässt sich eine mobile Umgebung mit Intune betreiben. Allerdings hakelt es schon bei den Standard-Use Cases wie Geräteprovisionierung, -umzug und -deprovisionierung. Das geht bei den anderen markt- und technologieführenden Systemen besser und schlanker von der Hand. Immer dann, wenn Anforderungen gestellt werden, die weniger „üblich“ sind, MFA, Rollout von Zertifikaten oder W-LAN-Konfigurationen, Verteilung von Apps etc. treten mehr oder minder große Einschränkungen von Intune und seiner Umgebung zu Tage, die sich besonders beim Einsatz von Android-Geräten zu echten Kopfschmerzen ausweiten können.
Man kann es kurz wie folgt zusammenfassen: Wenn ein Kunde iOS-Geräte hat, komplett auf Microsoft-Technologie verwendet und nur die PIM-Funktionalität einsetzt, steht einer Migration nach Intune wenig entgegen. Allerdings sollte man sich fragen, ob es vernünftig ist, in der IT eine Single-Vendor-Strategie zu fahren und sich somit in die totale Abhängigkeit einer Architektur zu begeben, die die oben dargelegten Schwächen als DNA mit sich herumträgt.
Das SYSTAG Team musste während der Vorbereitung der Use Case Vergleiche die Intune- und die AD- und anderen Konfigurationen beim Kunden gerade ziehen, die man für den professionellen Betrieb einer sicheren mobilen Umgebung mindestens benötigt. Das war der Fall, obgleich der Hersteller selbst seine Experten dazu ausrücken ließ, um beim Kunden nachher unverrichteter Dinge und ohne das erwartete Testergebnis wieder abzurücken. Man sollte also am Ende doch die seine Systeme bereitmachen lassen, die nachgewiesenermaßen etwas davon verstehen, weil sie sich seit Jahren nur damit beschäftigen.
Zusätzlich wiesen unsere UEM Spezialisten darauf hin, dass eine agile mobile Infrastruktur, welche in anderen Regionen Android- statt iOS-Geräte einsetzt und sogar auf Ruggadized- und Ex-Schutz-Geräte (Android) angewiesen ist, sich das mit der Migration noch einmal genau überlegen sollte. Manches davon bedeutet, ein zweites Insel-UEM-System aufsetzen zu müssen, um Fertigung, Logistik und andere Einsatzfelder zu betreiben. Wer darüber hinaus an bestimmten Bereichen weiterhin Drittanbieter verwenden will, der sollte sich ernsthaft überlegen, vor erst wenigstens bei seinem bestehenden System zu bleiben. Beim Kunden war bereits aktuell ein weiterer EMM/UEM Anbieter im Einsatz, der auf Fertigung, Logistik und andere technische Systeme spezialisiert ist. Damit wäre im Falle einer Migration die Notwendigkeit bestanden, diese Umgebung weiter zu betreiben und damit eine Möglichkeit Kostensenkung auszulassen, denn man könnte diese Geräte in das vorhandene „alte“ UEM-System migrieren und die separate Insellösung abschalten. Dadurch würde tatsächlich eine rechenbare Ersparnis entstehen.
Das Ergebnis der Untersuchung
Das Ergebnis der Untersuchung hat ergeben, dem Vorstand zu empfehlen, eine Migration um mindestens 12 Monate zu verschieben, wobei das Abschalten der beschriebenen Altumgebung Voraussetzung ist. Sonst kann es zu erheblichen Problemen oder Ausfällen kommen.
Zusätzlich wird angeregt, die vorhandene weitere kleinere EMM/MDM Umgebung in das Hauptsystem zu übernehmen, um die zusätzliche Komplexität in der Infrastruktur abzubauen und Kosten einzusparen.
