MDM (Mobile Device Management) ist Software, mit der IT-Teams Telefone, Tablets und Laptops remote konfigurieren, absichern, überwachen und löschen können.
MDM (Mobile Device Management) ist Software, mit der ein IT-Team Telefone, Tablets und Laptops aus einer zentralen Konsole konfigurieren, absichern, überwachen und bei Bedarf aus der Ferne sperren oder löschen kann. Statt jedes Gerät von Hand einzurichten und darauf zu hoffen, dass niemand die Bildschirmsperre deaktiviert, legt die IT die Richtlinien einmal fest, und die MDM-Plattform setzt sie auf jedem eingeschriebenen Gerät durch, wo auch immer es sich gerade befindet. MDM ist die Standardantwort auf zwei unbequeme Fakten moderner Arbeit: Firmendaten leben auf Geräten, die täglich das Gebäude verlassen, und auf BYOD-Geräten teilen sie sich den Raum mit privatem Leben.
Wie MDM funktioniert
Ein Gerät wird eingeschrieben - über ein im Betriebssystem eingebautes Management-Framework oder eine Agent-App. Danach meldet es sich über das Internet beim MDM-Server und erhält Profile: Pakete mit Einstellungen und Regeln aus der Konsole. Weil die Einschreibung tief im Betriebssystem ansetzt, überstehen die Richtlinien einen Neustart und lassen sich vom Nutzer nicht einfach abschalten. Über Firmenkanäle gekaufte Geräte können sich beim ersten Start automatisch einschreiben - so kommt ein Laptop, der direkt an eine neu eingestellte Person geliefert wird, bereits fertig konfiguriert an.
Wofür MDM genutzt wird
- Sicherheits-Baselines - Passcode, Festplattenverschlüsselung und Bildschirmsperre erzwingen, manipulierte (jailbroken/rooted) Geräte blockieren.
- Konfiguration - WLAN, VPN, E-Mail und Zertifikate verteilen, damit Geräte vom ersten Tag an funktionieren.
- App-Verwaltung - genehmigte Apps installieren und aktualisieren, unerwünschte blockieren.
- Verlorene und gestohlene Geräte - orten (wo Richtlinie und Zustimmung es erlauben), sperren oder aus der Ferne löschen - so wird aus einem gestohlenen Telefon ein bloßer Hardwareverlust statt einer Datenpanne.
- Trennung von Beruflichem und Privatem - auf privaten Geräten liegen die Arbeitsdaten in einem verwalteten Container, der sich allein löschen lässt.
MDM vs. MAM
MDM verwaltet das Gerät, MAM nur die Arbeitsanwendungen und deren Daten. Der Unterschied zählt vor allem bei privaten Telefonen: Eine vollständige MDM-Einschreibung gibt dem Arbeitgeber die Kontrolle über das ganze Gerät, was viele verständlicherweise ablehnen; MAM zieht die Grenze bei den Arbeits-Apps - eine PIN auf der Mail-App, ein Löschen des Containers beim Offboarding, aber kein Zugriff auf private Fotos. Viele Plattformen bieten beides und machen die Art der Einschreibung davon abhängig, wem das Gerät gehört.
MDM vs. Asset-Register
MDM kennt den aktuellen Software-Zustand jedes eingeschriebenen Geräts: Betriebssystemversion, installierte Apps, Verschlüsselungsstatus, letzte Anmeldung. Es weiß aber nicht, was das Gerät gekostet hat, aus wessen Budget es bezahlt wurde, wann die Garantie endet oder dass es letzten Monat an einen externen Dienstleister ging - und es weiß nichts von Geräten ohne Einschreibung wie Monitoren, Docks und Peripherie. Der Nachweis von Obhut und Kosten gehört zum Hardware Asset Management, wo jedes Gerät ein erfasstes Configuration Item mit Besitzer und Historie ist. Eingespielte Teams führen beides und gleichen es ab: MDM-Konsole und IT-Inventar sollten bei der Zahl der Laptops übereinstimmen - genau in der Lücke zwischen den beiden Listen verstecken sich verlorene und nicht verwaltete Geräte.
Verwandte Begriffe
- BYOD - private Geräte bei der Arbeit, das Problem, für das MDM und MAM gebaut wurden
- Hardware Asset Management - Eigentums-, Kosten- und Obhutsnachweis, den MDM nicht führt
- IT Inventory - Geräteanzahl zum Abgleich mit der MDM-Konsole
- Asset Discovery - Geräte finden, die nie eingeschrieben oder erfasst wurden
- Configuration Item - ITSM-Begriff für eine verwaltete, getrackte Komponente