Von „G Suite“ zu Google Workspace
Was früher „G Suite“ hieß, heißt seit 2020 „Google Workspace“.
Mit der Namensänderung wollte Google nach eigenen Aussagen vor allem die effizientere Integration der einzelnen Kollaborations-Tools hervorheben. Zu diesen Tools gehören neben der benutzerdefinierten E-Mail-Adresse auch der Kalender sowie die Produktivitäts-Apps Meet, Chat, Drive, Docs, Tabellen, Präsentationen, Formulare und Sites.
Endpunktverwaltung im Workspace
Etwas versteckt im Leistungsumfang der Workspace-Applikationen enthalten ist auch die Endpunkteverwaltung (Endpoint Management). Diese Geräteverwaltungslösung dient vor allem der höheren Datensicherheit auf den verschiedenen Endpunkten, also den von den Angestellten genutzten (mobilen) Endgeräten. Die Lösung erlaubt zudem eine zentralisierte Softwareverteilung und verspricht damit Effizienzsteigerungen in den notorisch unterbesetzten IT-Abteilungen.
Was kostet die Endpunktverwaltung bei Google?
Grundsätzlich fallen für das Enterprise Mobility Management beim Google Workspace keine weiteren Kosten an. Die Lösung ist bei den Workspace-Lizenzen bereits integriert – allerdings mit verschiedenen Funktionstiefen. Hier die Übersicht der Workspace-Lizenzen und -Preise, jeweils pro Nutzer und Monat.
| Workspace-Lizenz | Business Starter | Business Standard | Business Plus | Enterprise (ab 300 User) |
| Lizenzkosten* | 4,68 € | 9,36 € | 15,60 € | auf Anfrage |
| Endpunktverwaltung | einfach | einfach | erweitert | erweitert/für Großunternehmen |
*Stand: 4/21. Preise für Neukunden. Preise können abweichen.
Das MDM von Google: Funktionen
Die Endpunktverwaltung ist sozusagen das MDM (Mobile Device Management) von Google. Entsprechend bietet sie Funktionen, wie wir sie von anderen MDM-Softwares und MDM-Anbietern auch kennen.
Einige davon sind allerdings nur im erweiterten Funktionsumfang der Business-Plus- und Enterprise-Lizenzen enthalten. Grundsätzlich gilt es also zu unterscheiden zwischen den Basisfunktionen und den erweiterten Funktionen.
Basisfunktion: Sicherheitsrichtlinien für Mobilgeräte
Zu den Basisfunktionen (Basic Mobile Management) gehören beispielsweise das Erzwingen bestimmter Sicherheits-Features wie das Einrichten einer Displaysperre und eines starken Passworts (Mobile Security/IT-Governance). Das Ziel ist dabei stets, den Abfluss der sensiblen Geschäftsdaten zu vermeiden.
Falls das Smartphone oder Tablet gestohlen wurde, lassen sich die vertraulichen Geschäftsdaten auch aus der Ferne vom Gerät beziehungsweise dem Konto löschen („Remote Wiping“).
Zu den Basisfunktionen gehören im einzelnen:
- Erzwingen einer Displaysperre/Passworts
- Erzwingen von 2-Faktor-Authentifizierung
- Remote Wiping
- Reporting: quantitative Datenerhebung über die Mobilnutzung
- Android-Softwareverteilung
Erweiterte Funktionen
Softwareverteilung auch auf iOS
Zu den erweiterten Funktionen (Advanced Mobile Management) gehört das zentralisierte Ausrollen von Software auch auf iPads und iPhones: Anstatt die Geräte einzeln und umständlich per Hand zu konfigurieren, werden sie zentral von der IT-Administration mit den Apps ausgestattet, die im Job für das produktive Arbeiten nötig sind.
Das geht sowohl mit Apps aus Google Play als auch mit Anwendungen aus Apples App Store. Je nach Funktionstiefe und Gerät kann hierfür die Installation der Device-Policy-App von Google und/oder eines Push-Zertifikats von Apple notwendig sein.
Containerisierung
Bei der Advanced-Verwaltung werden auf Android-Geräten die geschäftlichen Daten und die privaten strikt voneinander getrennt (Containerisierung). Das sorgt unter anderem auch für Compliance mit der Datenschutz-Grundverordnung. Warum das insbesondere bei „Bring your own Device“-(BYOD)-Szenarien wichtig ist, erfahren Sie in in unserem kostenlosen Mobile-Security-Whitepaper. Beide Bereiche können im Notfall aus der Ferne gelöscht werden.
Whitelisting
Die Geräte können für den Zugang zu Geschäftsdaten genehmigungspflichtig gemacht werden, das heißt: Ein Admin muss ein neues Gerät einmalig freischalten. Auch dies ist besonders für BYOD-Szenarien interessant, von denen wir aber grundsätzlich sowieso abraten. Lesen Sie hierzu auch: „BYOD ist tot“ – Ein Nachruf.
Auch die Anwendungen für den Geschäfts-Container stehen nur von einer Whitelist zur Verfügung. Dasheißt, die IT gibt vor, welche Apps für den Job installiert werden können und minimiert dadurch Sicherheitsrisikien durch datengierige oder sonstwie unsichere Apps.
Feature-Vergleich: Basic vs. Advanced
| Feature/Funktion | Basic | Advanced |
|---|---|---|
| Management ohne Agent | ✔ | – |
| Geräte-Inventarisierung | ✔ | ✔ |
| Passcode-Zwang (Basic) | ✔ | ✔ |
| Reporting | ✔ | ✔ |
| Hijacking-Schutz | ✔ | ✔ |
| Konto-Fernlöschung | ✔ | ✔ |
| Android-App-Management | ✔ | ✔ |
| Device-Audits und Warnungen | ✔ | ✔ |
| Device-Management-Regeln | ✔ | ✔ |
| Geräte blockieren/deblockieren | ✔ | ✔ |
| Passcode-Zwang (erweitert) | – | ✔ |
| Geräte-Genehmigung | – | ✔ |
| Fernlöschung des Geräts | – | ✔ |
| iOS-App-Management | – | ✔ |
| Android-Arbeitsprofile | – | ✔ |
| Reporting: verwaltete Apps und Sicherheitsdetails | – | ✔ |
| Sicherheitsrichtlinien | – | ✔ |
| Massen-Enrollment für Firmen-Desktopgeräte | – | ✔ |
| Massen-Enrollment für Firmen-Androidgeräte | – | ✔ |
| iOS-Firmengeräte | – | ✔ |
| Nutzer kann Geräteverwaltung an Firme übergeben | – | ✔ |
| Verteilung von Geräte-Zertifikaten | – | ✔ |
Welche Geräte lassen sich verwalten?
Grundsätzlich lassen sich nicht etwa nur die Google-eigenen Geräte wie die Pixel-Smartphones oder Chromebooks verwalten, sondern auch andere Geräte, die unter Android, iOS, Windows, Chrome OS, MacOS oder Linux laufen. Für iPhones und iPads benötigen Sie ein Konto beim Apple Business Manager oder Apple School Manager. Chromebooks erfordern ein sogenanntes Chrome-Enterprise-Abo.
Für Mac, Windows und Linux brauchen Sie die Enterprise-Funktionen der Google-Endpunktverwaltung. Diese ist bei den folgenden Workspace-Varianten gegeben:
- Workspace Business Plus,
- Workspace Enterprise,
- Workspace Education Standard,
- Workspace Education Plus und
- G Suite Business.
Wie setze ich die Google-Endpunktverwaltung für meine Firmengeräte ein?
Handelt es sich um Firmengeräte („unternehmenseigene Geräte (…), die Ihre Organisation über einen Reseller oder Geräteanbieter gekauft hat und für Ihre Mitarbeiter sichert und verwaltet“), avisiert Google für das Einrichten fünf Schritte.
- Workspace-Version mit Enterprise-Verwaltung registrieren
(siehe Liste der kompatiblen Workspace-Versionen oben) - Geräte beziehen
zum Beispiel mit „Phone as a Service“ über Everphone - Geräte registrieren
zum Beispiel mit Zero Touch - Richtlinien für die Geräte festlegen
- Richtlinien für Apps festlegen
Fazit: Google Endpoint Management
Für Unternehmen, die bereits den Google Workspace nutzen, könnte die darin enthaltene Endpunktverwaltung eine interessante Alternative zu den ansonsten getrennt zu beschaffenden MDM-Lösungen anderer Anbieter sein.
Die Endpunktverwaltung bietet unterschiedliche Leistungsumfänge und Integrationstiefen, die sich Ihrem Anwendungsfall und Ihrer Gerätebeschaffung anpasst.
Haben Sie Fragen? Lassen Sie uns einfach einen Kommentar hier. Ansonsten helfen Ihnen vielleicht auch die folgenden Links.
Weblinks: Google-Endpunktverwaltung
- Produktseite Google Endpunktverwaltung (workspace.google.com)
- Geräte für Ihre Organisation verwalten (support.google.com)
- Funktionen der Mobilgeräteverwaltung im Vergleich (support.google.com)
- Google Workspace Admin Help Community (support.google.com)(in Englisch)
- Google Endpoint Management Reviews (gartner.com)(in Englisch)
- Anleitung zum Einrichten: Unternehmenseigene Geräte in der Google-Endpunktverwaltung bereitstellen (support.google.com)
- Geräteanforderungen für die Google-Endpunktverwaltung (support.google.com)
