Workspace Endpunktverwaltung – das MDM von Google

Etwas versteckt im Leistungsumfang des Google-Workspaces (früher: „G Suite“) ist auch das Endpoint Management oder die Endpunktverwaltung. Wir stellen das MDM von Google kurz vor.

Von „G Suite“ zu Google Workspace

Was früher „G Suite“ hieß, heißt seit 2020 „Google Workspace“.

Mit der Namensänderung wollte Google nach eigenen Aussagen vor allem die effizientere Integration der einzelnen Kollaborations-Tools hervorheben. Zu diesen Tools gehören neben der benutzerdefinierten E-Mail-Adresse auch der Kalender sowie die Produktivitäts-Apps Meet, Chat, Drive, Docs, Tabellen, Präsentationen, Formulare und Sites.

Endpunktverwaltung im Workspace

Etwas versteckt im Leistungsumfang der Workspace-Applikationen enthalten ist auch die Endpunkteverwaltung („Endpoint Management“). Diese Geräteverwaltungslösung dient vor allem der höheren Datensicherheit auf den verschiedenen Endpunkten, also den von den Angestellten genutzten (mobilen) Endgeräten. Die Lösung erlaubt zudem eine zentralisierte Softwareverteilung und verspricht damit Effizienzsteigerungen in den notorisch unterbesetzten IT-Abteilungen.

Was kostet die Endpunktverwaltung bei Google?

Grundsätzlich fallen für das Enterprise-Mobility-Management beim Google Workspace keine weiteren Kosten an. Die Lösung ist bei den Workspace-Lizenzen bereits integriert – allerdings mit verschiedenen Funktionstiefen. Hier die Übersicht der Workspace-Lizenzen und -Preise, jeweils pro Nutzer*in und Monat.

Workspace-Lizenz	Business Starter	Business Standard	Business Plus	Enterprise (ab 300 User)
Lizenzkosten*	4,68 €	9,36 €	15,60 €	auf Anfrage
Endpunktverwaltung	einfach	einfach	erweitert	erweitert/für Großunternehmen

*Stand: 4/21. Preise für Neukund*innen. Preise können abweichen.

Das MDM von Google: Funktionen

Die Endpunktverwaltung ist sozusagen das MDM (Mobile-Device-Management) von Google. Entsprechend bietet sie Funktionen, wie wir sie von anderen MDM-Softwares und MDM-Anbietern auch kennen.

Einige davon sind allerdings nur im erweiterten Funktionsumfang der Business-Plus- und Enterprise-Lizenzen enthalten. Grundsätzlich gilt es also zu unterscheiden zwischen den Basisfunktionen und den erweiterten Funktionen.

Basisfunktion: Sicherheitsrichtlinien für Mobilgeräte

Zu den Basisfunktionen (Basic-Mobile-Management) gehören beispielsweise das Erzwingen bestimmter Sicherheits-Features wie das Einrichten einer Displaysperre und eines starken Passworts (Mobile Security/IT-Governance). Das Ziel ist dabei stets, den Abfluss der sensiblen Geschäftsdaten zu vermeiden.

Falls das Smartphone oder Tablet gestohlen wurde, lassen sich die vertraulichen Geschäftsdaten auch aus der Ferne vom Gerät beziehungsweise dem Konto löschen („Remote Wiping“).

Zu den Basisfunktionen gehören im einzelnen:

Erzwingen einer Displaysperre/Passworts
Erzwingen von 2-Faktor-Authentifizierung
Remote Wiping
Reporting: quantitative Datenerhebung über die Mobilnutzung
Android-Softwareverteilung

Mobilgeräteverwaltung Ein Smartphone mit Endgeräteverwaltungs-Profil (Bild: Google)

Erweiterte Funktionen

Softwareverteilung auch auf iOS

Zu den erweiterten Funktionen (Advanced-Mobile-Management) gehört das zentralisierte Ausrollen von Software auch auf iPads und iPhones: Anstatt die Geräte einzeln und umständlich per Hand zu konfigurieren, werden sie zentral von der IT-Administration mit den Apps ausgestattet, die im Job für das produktive Arbeiten nötig sind.

Das geht sowohl mit Apps aus Google Play als auch mit Anwendungen aus Apples App-Store. Je nach Funktionstiefe und Gerät kann hierfür die Installation der Device-Policy-App von Google und/oder eines Push-Zertifikats von Apple notwendig sein.

https://play.google.com/store/apps/details?id=com.google.android.apps.enterprise.dmagent&hl=en_GB

Containerisierung

Bei der Advanced-Verwaltung werden auf Android-Geräten die geschäftlichen Daten und die privaten strikt voneinander getrennt (Containerisierung). Das sorgt unter anderem auch für Compliance mit der Datenschutz-Grundverordnung. Warum das insbesondere bei „Bring your own Device“-Szenarien (BYOD) wichtig ist, erfährst du in in unserem kostenlosen Mobile-Security-Whitepaper. Beide Bereiche können im Notfall aus der Ferne gelöscht werden.

Whitelisting

Die Geräte können für den Zugang zu Geschäftsdaten genehmigungspflichtig gemacht werden, das heißt: Ein Admin muss ein neues Gerät einmalig freischalten. Auch dies ist besonders für BYOD-Szenarien interessant, von denen wir aber grundsätzlich sowieso abraten. Lese hierzu auch: „BYOD ist tot“ – Ein Nachruf.

Auch die Anwendungen für den Geschäfts-Container stehen nur von einer Whitelist zur Verfügung. Das heißt, die IT gibt vor, welche Apps für den Job installiert werden können und minimiert dadurch Sicherheitsrisikien durch datengierige oder sonstwie unsichere Apps.

Feature-Vergleich: Basic vs. Advanced

Feature/Funktion	Basic	Advanced
Management ohne Agent	✔	–
Geräte-Inventarisierung	✔	✔
Passcode-Zwang (Basic)	✔	✔
Reporting	✔	✔
Hijacking-Schutz	✔	✔
Konto-Fernlöschung	✔	✔
Android-App-Management	✔	✔
Device-Audits und Warnungen	✔	✔
Device-Management-Regeln	✔	✔
Geräte blockieren/deblockieren	✔	✔
Passcode-Zwang (erweitert)	–	✔
Geräte-Genehmigung	–	✔
Fernlöschung des Geräts	–	✔
iOS-App-Management	–	✔
Android-Arbeitsprofile	–	✔
Reporting: verwaltete Apps und Sicherheitsdetails	–	✔
Sicherheitsrichtlinien	–	✔
Massen-Enrollment für Firmen-Desktopgeräte	–	✔
Massen-Enrollment für Firmen-Androidgeräte	–	✔
iOS-Firmengeräte	–	✔
Nutzer*in kann Geräteverwaltung an Firma übergeben	–	✔
Verteilung von Geräte-Zertifikaten	–	✔

Welche Geräte lassen sich verwalten?

Grundsätzlich lassen sich nicht etwa nur die Google-eigenen Geräte wie die Pixel-Smartphones oder Chromebooks verwalten, sondern auch andere Geräte, die unter Android, iOS, Windows, Chrome OS, MacOS oder Linux laufen. Für iPhones und iPads benötigst du ein Konto beim Apple-Business-Manager oder Apple-School-Manager. Chromebooks erfordern ein sogenanntes Chrome-Enterprise-Abo.

Für Mac, Windows und Linux brauchst du die Enterprise-Funktionen der Google-Endpunktverwaltung. Diese ist bei den folgenden Workspace-Varianten gegeben:

Workspace Business Plus,
Workspace Enterprise,
Workspace Education Standard,
Workspace Education Plus und
G Suite Business.

Wie setze ich die Google-Endpunktverwaltung für meine Firmengeräte ein?

Handelt es sich um Firmengeräte („unternehmenseigene Geräte (…), die Ihre Organisation über einen Reseller oder Geräteanbieter gekauft hat und für Ihre Mitarbeiter sichert und verwaltet“), avisiert Google für das Einrichten fünf Schritte.

Workspace-Version mit Enterprise-Verwaltung registrieren
(siehe Liste der kompatiblen Workspace-Versionen oben)
Geräte beziehen
zum Beispiel mit „Device as a Service“ über Everphone
Geräte registrieren
zum Beispiel mit Zero Touch
Richtlinien für die Geräte festlegen
Richtlinien für Apps festlegen

Fazit: Google-Endpoint-Management

Für Unternehmen, die bereits den Google-Workspace nutzen, könnte die darin enthaltene Endpunktverwaltung eine interessante Alternative zu den ansonsten getrennt zu beschaffenden MDM-Lösungen anderer Anbieter sein.

Die Endpunktverwaltung bietet unterschiedliche Leistungsumfänge und Integrationstiefen, die sich deinem Anwendungsfall und deiner Gerätebeschaffung anpasst.

Hast du Fragen? Lass‘ uns einfach einen Kommentar hier. Ansonsten helfen dir vielleicht auch die folgenden Links.