Einer der wichtigsten Gründe, warum ich vor nicht all zu langer Zeit von einem Androiden auf ein iDevice umgestiegen bin, ist die fehlende bzw. mangelhafte integrierbarkeit des Systems in ein Firmenumfeld. Hauptsächlich liegt das an der fehlenden Implementierung von VPN. Besonders gilt das für Cisco-VPN, einem IPSEC-basierten VPN mit Gruppen- und Personenidentifikation. Dieses Problem habe aber nicht nur ich, sondern z.B. auch Studenten, denn Cisco-Netzwerkkomponenten werden oft in öffentlichen Einrichtungen verbaut.
Aber das ist bei weitem nicht alles, warum sich Android bisher nicht wirklich schlagartig und schlagkräftig in Unternehmen durchgesetzt haben. Weltweit gehören Microsoft-Umgebungen zu den führenden Basis-Systemen innerhalb von Firmeninfrastrukturen. Bisher ist aber z.B. die Integration von Exchange-Mail, Kalender und Office-Produkten eher mau. Das fängt bei fehlenden zusätzlichen Postfächern an und hört bei der Zusammenarbeit an Dokumenten auf. Gabe Cohen, seines Zeichens Produktmanager von Android hat vor wenigen Tagen dazu Stellung bezogen und uns erklärt, was Android mit der 4.0 Version Ice Cream Sandwich in der Lage ist zu tun. Den vollständigen Text findet ihr weiter unten in der Quelle, ich möchte hier nur ein paar wenige Punkte mit euch beleuchten und ein wenig bewerten.
Ice Cream Sandwich updates Exchange support to use the EAS v14.1 protocol. ICS adds EAS policy support for limiting attachment sizes, disabling attachment downloads, enforcing manual sync while roaming, and disabling the camera.
Ein neues Feature von Android 4.0 wird also die Unterstützung für Exchange Active Sync bringen und Gruppenrichtlinien unterstützen. Dies ist ein wichtiger Schritt in Richtung “Android im Unternehmen”, denn wenn z.B. ein BlackBerry eine Sache gut beherrscht, dann ist es die Anbindung an Exchange-Servern und die Unterstützung der administrativen Richtlinien des Unternehmens. Man kann also künftig die Anhanggrößen-Limitierung und die Anbindung eines Geräts an die Firmen-Mailumgebung via HTTP/HTTPS auf ein Android-Endgerät bringen.
Das ganze läuft dabei nativ vom System aus und nicht durch zusätzlich installierte Apps, bei denen man auch nicht 100 Prozent sicher sein kann, dass der Anbieter oder Entwickler etwaige Daten mitschneidet oder ähnliche Scherze.
Ice Cream Sandwich adds out-of-box support for pure IPSec VPNs to support many commonly deployed VPN routers. This complements the pre-existing support for L2TP, L2TP/IPSec PSK, L2TP/IPSec RSA, and PPTP VPNs. ICS also creates a new platform for SSL VPN clients which can be downloaded from the Android Market.
Der in meinen Augen wichtigste Punkt in der Verwendung von Android in Unternehmen ist eine ordentliche und saubere Implementierung von VPN-Standards in das System. Mit der Ankündigung von Cohen, dass Android 4.0 die oben genannten Standards “Out of the Box” unterstützt, wird Android endlich richtig interessant für Unternehmen. Viele Unternehmen schotten ihre Systeme von außen komplett ab und erlauben den Zugriff auf interne Dienste nur über VPN.
Als ich das letzte mal versucht habe mit dem Nexus S einen Zugang zum Netz via Cisco-VPN zu erhalten, musste ich rooten (okay, das war nicht wild 
) und mich ewig auf die Suche nach einem tun.ko File, passend zu meinem Gerät zu machen. Dann konnte ich genau einmal die Verbindung zum Netz für zwei Sekunden herstellen und danach hat das nie wieder funtioniert. Mit Ice Cream Sandwich sollte dieses Gefrickel der Vergangenheit angehören. Wenn das nur halb so gut funktioniert wie zum Beispiel unter iOS, werden viele Leute damit sehr zufrieden sein.
Android continues to make Google Apps and Microsoft Exchange customers more productive with the built in suite of contacts, calendar, and email apps. ICS brings Honeycomb’s improvements to global address list support and email widgets onto phones for the first time. ICS also adds a number of improvements to the email app including server-side search for Exchange and IMAP, nested sub-folder navigation and sync controls, reply/forward indicators, quick responses, and better app navigation.
Fassen wir also kurz zusammen. Android 4.0 bringt die native Unterstützung für diverse VPN-Protokolle, Exchange-Unterstützung mit vielen wichtigen Neuerungen und den Support für Gruppenrichtlinien und einige Features mehr. Im Grunde genommen ist dies alles genau das, was ich von einem Betriebssystem erwarte, welches den Einzug in ein Unternehmen schaffen will.
Was mir nun einzig noch fehlen würde, wäre die Remote-Administration der eingesetzten Geräte. Also entweder über eine Server-Konsole, an der man dann sehen kann, welche Geräte im Einsatz sind, welches Betriebssystem darauf läuft und an welcher man dann eben Aufgaben wahrnehmen kann, wie etwa das Remote-Löschen von Geräten im Diebstahlsfall oder das Remote-Installieren von Updates etc.
Ich finde es grundsätzlich gut, dass man sich bei Google so lange Zeit gelassen hat, mit der Implementierung, denn wenn etwas nicht wirklich läuft kann man sich die Enterprise-Kunden sehr schnell vergraulen. So wie es aussieht, hat man aber lange getestet, auf die Anforderungen der Firmen Rücksicht genommen und greift mit Android 4.0 nun auch Marktsegmente an, die bisher RIM oder Apple-Terrain waren. Ich freue mich un umso mehr auf diese Features und Android 4.0. Wie seht ihr die Sache?
Super kommentar…eine sache die ich als privatnutzer so garnicht durchleuchten konnte…Hoffentlich gehts bergauf
ich hoffe die exchange unterstützung wird so weit ausgebaut das man nicht nur emails und kalender synchronisieren kann, sondern auch andere dinge, wie zum beispiel die notizen.
bisher benötigt man für derartige wünsche touchdown.
Ja auch das fehlt mir. Tasks, gesyncte Unterordner, auch wenns mal mehr wie 2 ebenen sind. Touchdown ist super, aber ich erhoffe es mir nativ!
, das ist doch größtenteils Quatsch.für Cisco vpn gibt es einen Client im market, exchange wurde schon vorher unterstützt, auch mit Policies.dazu gibt es von Google selbst per app die Möglichkeit, seine Geräte zu administrieren. Mehrere mailboxen werden von niemanden richtig unterstützt (ausser mit mehreren AS accounts).
Was wirklich fehlt ist nativ ooo-assi zu bearbeiten und ondevice Verschlüsselung und der sparsamere Umgang mit Bandbreite.
Management Lösungen für ios, android,… Gibt es zuhauf
Hallo Klaus.
Für Cisco VPN gibt es, soweit ich gesehen habe einen Any-Connect client, das ist aber etwas anderes als der standard cisco ipsec-psk. Hast du mal wirklich dein Exchange Konto eingebunden und getestet, über längere Zeit?
Wenn das bei dir alles Super geklappt hat, freue ich mich für dich. Bei mir eben nicht. Ebenso hätte ich eben gerne eine Konsole, serverseitig, wo ich eben alle Geräte der User administrieren kann, und nicht nur eines. Mehrere Mailboxen wünsche ich mir eben supportet von google und ich hoffe eben, dass sich mit ICS da was tut.
Ich meine Cohen wirds nicht angekündigt haben, wenns bisher alles super lief, oder?
Das geht, nur muss die version auf dem concentrator entsprechend sein.
Ansonsten ist eh citrix das tool der Wahl und wird 1a unterstützt.
Zum administrieren der android phones gibt es das Microsoft exchange server activesync web administration tool. Wer mehr braucht greift zur appliance und hat policies für ios, android und wmobile unter einem Dach.
Ja, aber dafür brauchst auch entsprechend Lizenzen am Concentrator. Die hat auch net jeder. Soweit ich weiss brauchst du für Activesync ein Standbein der Exchange nach aussen, was auch nicht jeder will und daher VPN nutzt.
Ich freue mich ja wirklich, dass es Unternehmen gibt, die eine solch hervoragende Struktur im Einsatz haben, wie von dir beschrieben. Aber es gibt eben auch andere Firmen, bei denen man sowas nicht hat.
die Android Device Policy App geht nur in Verbindung mit einem Google Apps Account! D.h. bringt uns bei Exchange mal wieder gar nix
Google muss einfach noch viele Active Sync Policies implementieren – dazu hier nen Vergleich mit dem anderen Systemen: http://refraction.co.uk/blog/wp-content/uploads/2…
Danke. Sehr gut
Warum bringt das nichts??? Wer es braucht legt sich einen Google apps account zu. Seid doch nicht so unflexibel
Danke für den link, kannte ich noch nicht
Ich denke Mario meint, dass eben die Unternehmen sich nicht noch extra google apps accounts anlegen werden,nur damit die group policies greifen. Diese Denkweise verstehe ich auch.
Mag sein, dass das unflexibel ist.
das ist nicht unflexibel, dass ist einfach unpraktisch und teuer. Ich betreibe doch nicht nen Exchange für viel Geld, der mir vernünftige Regeln per ActiveSync ermöglicht und lizenziere dann noch für jeden User nen 40 $ Google Apps Account um Regeln zu haben, die nicht mal nicht annähernd so ausgefeilt sind wie die ActiveSync!
Wofür gibt es die ActiveSync Richtlinien?
Google muss diese einfach nur implementieren!
Der einzige Punkt, wieso Google das bisher noch nicht gemacht hat, ist denke ich das bisschen Angst, dass Sie ihr GMail for Business nicht vertrieben bekommen.
Das was Android bis dato an Sync mit Exchange kann ist auf jeden Fall nur pain in the ass – mehr nicht! Und touchdown oder roadsync sind keinerlei alternative dafür – und ja ich habe leider die 10 € für touchdown ausgegeben.
Er hat alles korrekt uns absolut richtig geschrieben. Dann brauchst nicht Du kommen und irgend einen blödsinn daher reden. IOS und Windows Mobile 7.5 (Nicht 7) unterstützen mehr als EIN Exchange Konto. Android unter 4.0 NICHT. Exchange Anbindung mit z.B. SSL Self Signed Certificates gibg z.B. nur mit Nitrodesk und dann nicht alles zu 100%. Apple hat mit den Iphone mächig augeholt seit At&T Druck machte und sagte man will es in Firmen verkaufen wenn dies und das geht..
Apple hatte die Activesync Lizenz DROID bis Datto nicht. Es gibt Teile die Public sind und Teile die nan Lizenzen dafürt bezahlen muss. Mit der 4.0 passiert eben dies. IPSEC gibt bei Iphone seit eh und je und es geht zu 100% mit Cisco/fortigate und weiss gott was. Windows Mobile 7.5 hat noch immer keinen IPSEC client.
gruss aus der Schweiz
Bin mal gespannt ob das die Unternehmen dennoch Einsetzen werden, den ein Problem gibt es dennoch, das Rooten von Android Geräten und das ist die größte Gefahr für ein Unternehmens System Struktur und das könnte ein Hauptgrund sein das Android auf diesen Sektor noch sehr lange Probleme haben wird. Root Heist halt auch wenn man sich nicht Auskennt, Gefahr für jede Infrastruktur. Will also Android dort richtig Fuß fassen, den wird das System auf dauer geschlossen werden um diese mögliche Gefahr zu schließen, siehe RIM, Microsoft und Apple…alles geschlossene Systeme.
Sehr guter Einwand, aber auch ein iPhOne laesst sich Jailbreaken. Auch das sehe ich als Gefahr und wieder kann hier eine Zentrale management konsole abhilfe schaffen
Soweit richtig, wobei Root heist, volle Rechte und extrem tiefer eingriff ins System. Der JB hat bei weiten nicht ein solch tiefen Eingriff, des weiteren hat Android ein Problem weiter, das ich Apps mit Rootrechten direkt aus den Market laden kann…das ist ein NoGo für Firmen, da hier somit die volle Kontrolle für ein Unternehmen verloren geht.
Jetzt nicht falsch verstehen, ich habe HTC Sensation und ein iPhone 4s und in der Firma für die ich arbeite, darf ich kein Android Gerät ins Firmenstruktur einbinden, das sieht hat beim iPhone anders aus, daher bin ich beim überlegen das HTC gegen ein neuen Nokia WP auszutauschen.
Nunja, wo ein JB möglich ist, wären theoretisch auch durchaus tiefere Eingriffe möglich.
Die Apps mit root-Rechten im Market seh ich nicht als Problem. Wer root hat, bekommt die problemlos auch anderweilig aufs Gerät, und wer die Rechte nicht hat, kann die App halt nicht (oder nur sehr eingeschränkt) nutzen.
Generell sehe ich das aber eher als Problem der Gerätehersteller. Root ist ja nicht generell ein Android-Feature sondern – je nach Gerät – Entwickler-Feature oder Ausnutzung einer Sicherheitslücke (ggf. sogar vom Hersteller promoted). Theoretisch sollte es durchaus möglich sein, Geräte zu liefern, bei denen es nicht so einfach ist, z.B. HTC macht das ja teilweise sogar vor (signierter Bootloader, "Reparatur"-Features, …). Die Hacker und Angeberkiddies werden kotzen, für Firmen ist's aber genau das richtige – und Normaluser juckt's ohnehin nicht. Dasselbe gilt übrigens auch für Fernwartungs-Lösungen.
Guter Kommentar, schließe mich auch dem Fazit an. Wichtig ist, dass es absolut sauber und zuverlässig funktioniert.
.
Wenn Google hier unsauber gearbeitet hätte würde das ganze ganz schnell aus den Unternehmen raus fliegen weil kein Admin Lust hätte sich lange mit so was herum zu ärgern. Die haben nämlich auch noch andere Sachen zu tun
Hallo, ich muss dem ersten Absatz leider mehrfach wiedersprechen:
1. Cisco VPN ist nicht zwingend ein IPSec VPN.
2. Es gibt xtra Client Apps für Android (cisco anyconnect mobility client im market), diese laufen auch ohne root.
3. l2tp / ipsec mit ner cisco asa läuft mit dem nativen vpn client, wenn auf er firewall erlaupt
4. ipsec verbindungen des cisco vpn client (PC) können mit get-a-robot oder vpnc o.ä. abgebildet werden.
>> meine Erfahrung sagt eher, in Cisco Netzwerken will man oft keine Geräte, deren Virenschutz etc. man nicht über die Firewall managen kann….
Hallo und Danke für deinen Einwand.
zu 1. richtig, CiscoVPN ist nicht Zwingend IPSec.
2. Anyconnect ist ein Cisco-Produkt, welches SO auch auf dem Concentrator laufen muss um es nutzen zu können. ist bei uns nicht gegeben.
3. Kann ich so nicht bestätigen. Ich habe es damals mit dem Nexus S unter Android 2.3.5 versucht und es lief einfach nicht sauber und musste zusammengefrickelt werden. Wie gesagt, Cohen hätte es nicht angekündigt, wenn da alles super läuft
4. das wusste ich noch nicht, ich werde es versuchen
Zu deinen persönlichen Erfahrungen:
Da hast du vollkommen Recht. Geräte die nicht Zentral managbar sind oder deren Sicherheitsfeatures mangelhaft sind, lässt man ungern ins Netz. Deswegen sehe ich den Weg von Android in die Firmen auch noch nicht als beschritten und abgeschlossen, aber die Ansage vom Cohen zeigt, dass sich dahingehend was tut und das ist richtig und wichtig
Ich wäre schon zufrieden, wenn endlich
- Postfachunterordner automatisch synchronisiert würden,
- Geburtstage in den Kontakten fehlerfrei synchronisiert würden und auch in den Kontakten pflegbar wären,
- Exchange Aufgaben (Tasks) inkl. deren Kategorien unterstützt würden.
Das ist wohl zu banal. Aber Hauptsache ich kann in der People App jederzeit die Facebook Statusupdates von jedermann sehen. Grandios! Bin begeistert….
Und warum gibt es kaum Handys mit einer vernünftigen Slidertastatur?
Hey Lilliput,
ich persönlich brauche keinen Slider.Ich LIEBE on-screen software tastaturen mit all ihren Vorteilen und auch mit den nachteilen (irgendwas ist ja immer). Aber die von dir genannten Punkte wie Tasks, Unterordner und so weiter fehlen mir auch.
Ist ja ok. Ich mag persönlich halt keine On Screen Tastatur
Sie nimmt mir viel zu viel Sicht im Display weg, es nervt, dass ich lange brauche, um ein Sonderzeichen zu tippen und mit Swype bekomme ich bei Fremdwörtern und der Autokorrektur jedes Mal Mist raus, so dass ich das Wort eh neu tippen muss. Das alles unterbricht meinen Schreibfluss viel zu sehr. Ich find’s nervig 
Ich habe mich heute Ausgiebig mit der IT-Abteilung unterhalten und da kam sofort ein NEIN für Android, es gibt mehrere Probleme warum dies nicht Eingesetzt wird.
1, Bootlader, da gerade Samsung und HTC wie jetzt mitlerweilen fast alle anderen Hersteller diesen offen lassen (ein NoGo für ein sicheres Netzwerk)
2, Root, es ist fatal wenn einer Root auf seinen Smartphone hat und somit absoluten zugriff auf den Kernel hat (ein NoGo für ein sicheres Netzwerk)
3, Apps mit Rootfähigkeit aus den Market geht nicht, da ja so gut wie jeder nicht schaut welche Rechte das App für sich beansprucht und dadurch Malware auf das Smartphone kommen kann.
4, Android gibt jeden die Möglichkeit Apps aufzuspielen die nicht aus den Market sind, somit ist Tür und Tor geöffnet (ein NoGo für ein sicheres Netzwerk)
Das sind nur 4 Beispiele und es gibt noch ein paar mehr, Fakt ist das Android zum jetzigen Zeitpunkt keine Chance hätte, statt dessen wird am 15.11 mehrere Nokia 800 mit WP 7.5 geordert um zu testen.
Kann die Argumentation nicht ganz nachvollziehen, arbeiten in der Firma nur kleine Kinder? Das wäre eine Erklärung. Einem normalen erwachsenen Arbeitnehmer sagt man, dass er sein Firmenhandy schlicht nicht zu rooten hat, irgendwelche Software darauf installieren usw.
Bei Verstoß dagegen, wird im Arbeitsvertrag klipp und klar die Kündigung aufgezeigt und eventuelle Schadensersatzforderungen. Wir sind doch hier nicht im Kindergarten.
Und wenn das in einer Firma nicht funktioniert, dann hat diese ein ganz massives Problem mit ihren Mitarbeitern und ganz andere Sorgen um die sie sich kümmern sollten.
Sorry in was für einer Welt lebst du, je älter die Mitarbeiter sind, je schneller spielen sie mit Firmenhandys rum, ich weis ja nicht ob du selbst in einer großen Firma abreitest (bei mir sind es über 6000 + Leiharbeiter Europa weit), es sind über 10000 Simkarten unterwegs, zum Teil auch in Fahrzeugen wegen GPS usw. BITTE zeige mir wie man das unter Kontrolle halten kann…das geht nicht, besonders wenn ein sehr großer Teil mit Exchange ausgestattet ist, daher sind Android durch die Sicherheitsmängel absolut VERBOTEN…zwischen dem was wir Nerd machen und der Realität ist wie "Tag und Nacht", geh also nicht davon aus das du es nicht machen würdest, weil du z.b. keine Kontrolle hättest was dein Nachbar macht….so sieht es aus.
Ich bin selbst IT-Admin, und habe unter anderem auch in dem Bereich schon viel praktische Erfahrung, sowohl im TK Sektor, als auch im Umgang mit den Mitarbeitern in Bezug auf ihre IT allgemein. Es ist schlicht eine "Erziehungssache". Man muss den Leuten klar machen, und das natürlich auch begründen, damit die Einsicht auch greifen kann, warum es verboten ist das und jenes damit zu machen. Es kam bisher sehr, sehr selten vor wo ich das mitbekommen habe, dass gegen einen Mitarbeiter arbeitsrechtliche Konsequenzen ergriffen werden mussten, weil er sich böswillig nicht an firmeninterne Vereinbarungen gehalten hatte.
Du wirst auch absolut niemals ein Firmennotebook, als Beispiel, zu 100% so absichern können, dass ein Mitarbeiter darauf nicht noch irgendwie was damit machen kann was er nicht soll.
Hier alleine die technische Seite für die Problemlösung heranziehen halte ich für den vollkommen falschen Ansatz.
Und nebenbei bemerkt, beobachte zumindest ich das ganze mal genau anders herum. Gerade die älteren Mitarbeiter sind es, die froh sind wenn das Ding einfach nur das tut was es soll, und die würden sich hüten daran irgendetwas zu verändern, selbst im Bezug auf Dinge die sie dürften. Die größere Gefahr geht eher von sehr jungen Mitarbeitern aus, deren "Spieltrieb" noch entsprechend groß ist.
Da es aber natürlich auch auf die Mentalität der Mitarbeiter ankommt, kann es durchaus sein, dass Du da vielleicht andere Erfahrungen gemacht hast, je nachdem mit welcher "Sorte" von Spezialisten da bei euch am Werk sind.
Nun wie schon gesagt, ich weis nicht in welcher Größenordnung du arbeitest, wir haben über 10000 Sim unterwegs und davon über 6000 in Handys und Smartphone und das Europaweit, es ist ein Irrglaube es unter Kontrolle dies haben zu können…frag ITler in dieser Größenordnung, die werden dir das bestätigen können…die Realität ist nun halt mal so.
Man kann ja so strenge Regeln erlassen. Man kann sie auch durchsetzen. Aber dann sollte man sich auch nicht wundern, wenn die Mitarbeiter das konternt. Wozu soll denn ein Diensthandy gut sein? Die Frage muss man sich halt stellen. Soll man es in der Firma bei sich tragen, damit man erreichbar ist? Was ist mit der Zeit außerhalb der Arbeitszeit? Soll man da auch erreichbar sein? Rein rechtlich gilt das dann als Rufbereitschaft mit allen Konsequenzen für die Arbeitszeitregelung. Soll der Mitarbeiter das genauso konsequent durchsetzen, wie die Firma brachiale Regelungen für die Monbiltelefone? Und wenn er es nicht privat bei sich haben soll damit es eben nicht als Rufbereitschaft zählt (was viele auch gar nicht wollen, weil sie privat ein Handy wollen mit dem sie ihre privaten Anforderungen umsetzen können, die Firmenpolicy das aber untersagt) – ja wozu braucht er denn ein Handy? Da bleiben vielleicht noch Außendienstler übrig.