Workspace Endpunktverwaltung – das MDM von Google

von Robert Nagel, am 27.4.2021

Etwas versteckt im Leistungsumfang des Google Workspaces (früher: „G Suite“) ist auch das Endpoint Management oder die Endpunktverwaltung. Wir stellen das MDM von Google kurz vor.

Google-Endpunktverwaltung-Workspace

Von „G Suite“ zu Google Workspace

Was früher „G Suite“ hieß, heißt seit 2020 „Google Workspace“. Mit der Namensänderung wollte Google nach eigenen Aussagen vor allem die effizientere Integration der einzelnen Kollaborations-Tools hervorheben. Zu diesen Tools gehören neben der benutzerdefinierten E-Mail-Adresse auch der Kalender sowie die Produktivitäts-Apps Meet, Chat, Drive, Docs, Tabellen, Präsentationen, Formulare und Sites.

Endpunktverwaltung im Workspace

Etwas versteckt im Leistungsumfang der Workspace-Applikationen enthalten ist auch die Endpunkteverwaltung (Endpoint Management). Diese Geräteverwaltungslösung dient vor allem der höheren Datensicherheit auf den verschiedenen Endpunkten, also den von den Angestellten genutzten (mobilen) Endgeräten. Die Lösung erlaubt zudem eine zentralisierte Softwareverteilung und verspricht damit Effizienzsteigerungen in den notorisch unterbesetzten IT-Abteilungen.

Was kostet die Endpunktverwaltung bei Google?

Grundsätzlich fallen für das Enterprise Mobility Management beim Google Workspace keine weiteren Kosten an. Die Lösung ist bei den Workspace-Lizenzen bereits integriert – allerdings mit verschiedenen Funktionstiefen. Hier die Übersicht der Workspace-Lizenzen und -Preise, jeweils pro Nutzer und Monat.

Workspace-Lizenz Business Starter Business Standard Business Plus Enterprise
(ab 300 User)
Lizenzkosten* 4,68 € 9,36 € 15,60 € auf Anfrage
Endpunktverwaltung einfach einfach erweitert erweitert/für Großunternehmen

*Stand: 4/21. Preise für Neukunden. Preise können abweichen.

Das MDM von Google: Funktionen

Die Endpunktverwaltung ist sozusagen das MDM (Mobile Device Management) von Google. Entsprechend bietet sie Funktionen, wie wir sie von anderen MDM-Softwares und MDM-Anbietern auch kennen. Einige davon sind allerdings nur im erweiterten Funktionsumfang der Business-Plus- und Enterprise-Lizenzen enthalten. Grundsätzlich gilt es also zu unterscheiden zwischen den Basisfunktionen und den erweiterten Funktionen.

Wie verwalten Sie Firmenhandys sicher und datenschutzkonform? Lesen Sie dazu  unser kostenloses Whitepaper „Mobile Device Management“ – klicken Sie einfach  hier für den Download.

Basisfunktion: Sicherheitsrichtlinien für Mobilgeräte

Zu den Basisfunktionen (Basic Mobile Management) gehören beispielsweise das Erzwingen bestimmter Sicherheits-Features wie das Einrichten einer Displaysperre und eines starken Passworts (Mobile Security/IT-Governance). Das Ziel ist dabei stets, den Abfluss der sensiblen Geschäftsdaten zu vermeiden. Falls das Smartphone oder Tablet gestohlen wurde, lassen sich die vertraulichen Geschäftsdaten auch aus der Ferne vom Gerät beziehungsweise dem Konto löschen („Remote Wiping“). Zu den Basisfunktionen gehören im einzelnen:

  • Erzwingen einer Displaysperre/Passworts
  • Erzwingen von 2-Faktor-Authentifizierung
  • Remote Wiping
  • Reporting: quantitative Datenerhebung über die Mobilnutzung
  • Android-Softwareverteilung 

 

MobilgeräteverwaltungEin Smartphone mit Endgeräteverwaltungs-Profil (Bild: Google)

Erweiterte Funktionen

Softwareverteilung auch auf iOS

Zu den erweiterten Funktionen (Advanced Mobile Management) gehört das zentralisierte Ausrollen von Software auch auf iPads und iPhones: Anstatt die Geräte einzeln und umständlich per Hand zu konfigurieren, werden sie zentral von der IT-Administration mit den Apps ausgestattet, die im Job für das produktive Arbeiten nötig sind. Das geht sowohl mit Apps aus Google Play als auch mit Anwendungen aus Apples App Store. Je nach Funktionstiefe und Gerät kann hierfür die Installation der Device-Policy-App von Google und/oder eines Push-Zertifikats von Apple notwendig sein.

https://play.google.com/store/apps/details?id=com.google.android.apps.enterprise.dmagent&hl=en_GB

Containerisierung

Bei der Advanced-Verwaltung werden auf Android-Geräten die geschäftlichen Daten und die privaten strikt voneinander getrennt (Containerisierung). Das sorgt unter anderem auch für Compliance mit der Datenschutz-Grundverordnung. Warum das insbesondere bei „Bring your own Device“-(BYOD)-Szenarien wichtig ist, erfahren Sie in in unserem kostenlosen Whitepaper. Beide Bereiche können im Notfall aus der Ferne gelöscht werden.

Whitelisting

Die Geräte können für den Zugang zu Geschäftsdaten genehmigungspflichtig gemacht werden, das heißt: Ein Admin muss ein neues Gerät einmalig freischalten. Auch dies ist besonders für BYOD-Szenarien interessant, von denen wir aber grundsätzlich sowieso abraten. Lesen Sie hierzu auch: „BYOD ist tot“ – Ein Nachruf.

Auch die Anwendungen für den Geschäfts-Container stehen nur von einer Whitelist zur Verfügung. Dasheißt, die IT gibt vor, welche Apps für den Job installiert werden können und minimiert dadurch Sicherheitsrisikien durch datengierige oder sonstwie unsichere Apps.

Feature-Vergleich: Basic vs. Advanced

Feature/Funktion Basic Advanced
Management ohne Agent  ✔  
Geräte-Inventarisierung  ✔
Passcode-Zwang (Basic)    ✔
Reporting  ✔
Hijacking-Schutz  ✔
Konto-Fernlöschung  ✔
Android-App-Management  ✔
Device-Audits und Warnungen   ✔
Device-Management-Regeln  ✔
Geräte blockieren/deblockieren
Passcode-Zwang (erweitert)  
Geräte-Genehmigung  
Fernlöschung des Geräts  
iOS-App-Management  
Android-Arbeitsprofile   
Reporting: verwaltete Apps und Sicherheitsdetails  
Sicherheitsrichtlinien  
Massen-Enrollment für Firmen-Desktopgeräte  
Massen-Enrollment für Firmen-Androidgeräte  
iOS-Firmengeräte  
Nutzer kann Geräteverwaltung an Firme übergeben  
Verteilung von Geräte-Zertifikaten  

 

Welche Geräte lassen sich verwalten?

Grundsätzlich lassen sich nicht etwa nur die Google-eigenen Geräte wie die Pixel-Smartphones oder Chromebooks verwalten, sondern auch andere Geräte, die unter Android, iOS, Windows, Chrome OS, MacOS oder Linux laufen. Für iPhones und iPads benötigen Sie ein Konto beim Apple Business Manager oder Apple School Manager. Chromebooks erfordern ein sogenanntes Chrome-Enterprise-Abo.

Für Mac, Windows und Linux brauchen Sie die Enterprise-Funktionen der Google-Endpunktverwaltung. Diese ist bei den folgenden Workspace-Varianten gegeben:

  • Workspace Business Plus,
  • Workspace Enterprise,
  • Workspace Education Standard,
  • Workspace Education Plus und
  • G Suite Business.

Wie setze ich die Google-Endpunktverwaltung für meine Firmengeräte ein?

Handelt es sich um Firmengeräte („unternehmenseigene Geräte (...), die Ihre Organisation über einen Reseller oder Geräteanbieter gekauft hat und für Ihre Mitarbeiter sichert und verwaltet“), avisiert Google für das Einrichten fünf Schritte.

  1. Workspace-Version mit Enterprise-Verwaltung registrieren
    (siehe Liste der kompatiblen Workspace-Versionen oben)
  2. Geräte beziehen
    zum Beispiel mit „Phone as a Service“ über everphone
  3. Geräte registrieren
    zum Beispiel mit Zero Touch
  4. Richtlinien für die Geräte festlegen
  5. Richtlinien für Apps festlegen

Fazit: Google Endpoint Management

Für Unternehmen, die bereits den Google Workspace nutzen, könnte die darin enthaltene Endpunktverwaltung eine interessante Alternative zu den ansonsten getrennt zu beschaffenden MDM-Lösungen anderer Anbieter sein.

Die Endpunktverwaltung bietet unterschiedliche Leistungsumfänge und Integrationstiefen, die sich Ihrem Anwendungsfall und Ihrer Gerätebeschaffung anpasst. 

Haben Sie Fragen? Lassen Sie uns einfach einen Kommentar hier. Ansonsten helfen Ihnen vielleicht auch die folgenden Links.

Weblinks: Google-Endpunktverwaltung

 

Neuer Call-to-Action


Bitte bewerten Sie unseren Artikel!
 
Themen:Mobile Device ManagementBring Your Own DeviceDatenschutzMobile Security

Kommentare