Wie kommt eine MDM-Software auf Bestandsgeräte?

Sie haben bereits Mobilgeräte, die nachträglich in ein MDM-System integriert werden sollen. Ist das möglich?

Sie haben Bestandsgeräte, auf denen eine MDM-Software eingerichtet werden soll. Dieser Fall kann bei BARB-Geräten, aber auch in anderen Szenarien auftauchen.

Nun stellen sich Fragen wie:

  • Wie läuft die Einrichtung/Installation des MDM auf den Bestandsgeräten technisch ab?
  • Müssen alte Geräte komplett neu eingerichtet werden (Download der Produktivitäts-Apps, Einrichtung von E-Mail-Kontos etc.) oder wird das MDM einfach „dahinter“ installiert?
  • Müssen die Geräte zurückgesetzt und/oder zur MDM-Installation physisch vor Ort sein?

Pauschal lassen sich diese Fragen nur schwer beantworten, da prinzipiell das Vorgehen bei der nachträglichen MDM-Installation davon abhängt,

  1. ... welchen Funktionsumfang Sie für Verwaltung wünschen und
  2. ... ob es sich beim mobilen Betriebssystem um iOS oder Android handelt.

Nachträgliche MDM-Integration bei iOS

Apple bietet verkürzt unter iOS zwei Varianten der Geräteverwaltung nach „Eigentumsmodellen“ an:

  • Benutzereigene Geräte
    (Profil-Verwaltung, „BYOD-Implementierung“)
  • Geräte im Besitz der Organisation
    (Betreute Geräte)

Erfahren Sie hier mehr dazu: Apple-PDF zu Device-Management.

Die Möglichkeit zur nachträglichen Integration ohne das Zurücksetzen der Geräte besteht nur über die sogenannte Profil-Variante („BYOD“).

Bei der Profilanapassung können allerdings nicht alle MDM-Funktionen und Restriktionen für die Gerätenutzung verfügbar gemacht und administriert werden.

Beispielsweise lassen sich Apps weder blacklisten noch whitelisten. Auch Betriebssystem-Updates lassen sich mit der Profilvariante nicht forcieren oder aussetzen, was manchmal bei Softwareanpassungen eine nützliche Funktion ist.

Die Datentrennung (privater Bereich/geschäftlicher Bereich) funktioniert jedoch sowohl über die Profil-Variante als auch über die Vollverwaltung, das Gerät ist also in beiden Fällen bei Mischnutzung DSGVO-konform.

Möchten Unternehmen bei everphone-BARB-Geräten den vollen Zugriff auf sämtliche MDM-Funktionalitäten („Betreute Geräte“-Modus), lässt es sich leider nicht vermeiden, diese Bestandsgeräte zurückzusetzen (Wiping) und von everphone sauber ins MDM integrieren zu lassen. Dazu ist das kurzzeitige Einsenden der Geräte nötig.

Unsere Empfehlung: Nutzen Sie unter iOS für BARB- oder andere Bestandsgeräte zunächst die BYOD-Profilvariante, um den laufenden Betrieb nicht zu stören. Bei Neubestellungen und Austauschgeräten rollen Sie dann die gewünschte Verwaltungstiefe sauber aus. Damit integrieren Sie sukzessive alte und neue Geräte. 

Nachträgliche MDM-Integration bei Android

Android bietet prinzipiell drei Verwaltungsvarianten:

Bei Android müssen die Geräte nur für die „vollständige Geräteverwaltung“ zurückgesetzt werden. Die Geräte können dann allerdings vom everphone-Kunden selbst aufgenommen werden; das Einsenden der Geräte ist (anders als bei iOS) in keinem Fall nötig.

Das Aufspielen des MDM muss die IT des Unternehmens dann zwar selbst übernehmen – wir unterstützen Sie aber mit den notwendigen Anleitungen hierzu.