Ein erheblicher Teil moderner Unternehmensarbeit wird über Mobilgeräte erledigt: E-Mail, Dokumentenzugriff, Kalender, Banking, Gesundheitsanwendungen, Audit-Systeme. Außendienstpersonal, Vertriebsteams, medizinisches Personal und Führungskräfte nutzen Telefon oder Tablet als Arbeitsgerät.
Dennoch ist das Mobilgerät für die meisten Unternehmens-Sicherheitsinfrastrukturen unsichtbar. ADC- und WAAP-Plattformen sehen den mobilen Browser-/App-Verkehr, können aber keine Daten über das Gerät selbst erfassen. Der MDM-Bedarf wird meist mit einem separaten Produkt, einer separaten Lizenz und einem separaten Betriebsteam gedeckt.
Diese Trennung erzeugt zwei Probleme. Erstens: Die Zugriffsrichtlinie für Mobilgeräte verschmilzt nicht mit AAM; Geräte-Posture und Zugriffsentscheidung leben an verschiedenen Orten. Zweitens: SOC- und IT-Teams müssen während eines Incidents auf zwei separate Oberflächen schauen.
TR7 ETM schließt diese Trennung. Die mobile Verwaltung wird als natürliche Erweiterung der Desktop-Verwaltung auf derselben Plattform angeboten.
TR7 ETM bietet für Mobil- und Desktop-Geräte dasselbe operative Modell — Telemetrie, Aktion, Richtlinie und Audit sind gemeinsam.
Um Befehle an Geräte zu übermitteln, werden die nativen Push- und MDM-Standards von iOS und Android verwendet. Eine MDM-Lösung von Drittanbietern wird nicht benötigt; ETM arbeitet als integriertes MDM.
Ein Operator kann eine Live-Abfrage auf dem Desktop ausführen, während er eine Richtlinie auf ein Android-Gerät anwendet. Kein separates Tool, kein separates Training, kein separates Audit — über eine einzige TR7-Plattform.
Compliance-Signale von Mobilgeräten — Jailbreak, Root, OS-Level, Verschlüsselung, ob unter MDM-Kontrolle — werden direkt in die AAM-Conditional-Access-Policy gespeist. Die Zugriffsentscheidung wird auch für das Mobilgerät nach Gerätevertrauen getroffen.
Mit Android-Arbeitsprofil und iOS-Managed-App-Konfiguration werden Geschäftsdaten von persönlichen Daten getrennt. In BYOD-Szenarien (Persönliche Geräte) werden Unternehmensdaten verwaltet, ohne die persönlichen Apps des Benutzers anzurühren; bei Geräteverlust wird nur das Arbeitsprofil gelöscht.
Das integrierte MDM bezieht alle Gerätetypen im Feld ohne Unterscheidung in die TR7-Verwaltungsschicht ein.
Der Geräteregistrierungsablauf wird je nach Szenario konfiguriert: Zero-Touch-Enrollment für vom Unternehmen gekaufte Geräte, Self-Service-Registrierung für vom Benutzer mitgebrachte Geräte, MDM-Befehlskette für Unternehmensgeräte. Die Plattform unterstützt die Integration mit Unternehmens-Geräteprogrammen.
Unternehmens-WLAN-Netzwerke, VPN-Konfigurationen, E-Mail-Kontodefinitionen und Client-Zertifikate werden als Profil ans Gerät übermittelt. Der Benutzer nimmt keine manuelle Konfiguration vor; eine Richtlinienänderung wird automatisch im gesamten Geräte-Inventar verteilt.
Unternehmensanwendungen können automatisch installiert, alte Versionen mit Aktualisierungspflicht erneuert, verbotene Anwendungen gesperrt oder gelöscht werden. Anwendungen innerhalb von iOS Managed App und Android Work Profile stehen unter voller Kontrolle.
Damit ein Gerät als konform gilt, werden Mindestbedingungen definiert: Betriebssystemversion, Festplattenverschlüsselung, Sperrbildschirmtyp, Biometrie-Aktivität, USB-Debugging-Status. Nicht-konforme Geräte werden vom Zugriff ausgeschlossen oder eingeschränkt.
Geräte mit Jailbreak oder Root werden automatisch in die Klasse non-compliant eingestuft. Dieses Signal spiegelt sich sofort in der AAM-Conditional-Access-Entscheidung wider; in hochsensiblen Szenarien wie Banking-, Gesundheits- oder Behördenanwendungen wird der Zugriff direkt gesperrt.
Bei Geräteverlust gibt es zwei Optionen: vollständiges Wipe (Werksreset, inklusive Unternehmens- und persönlicher Daten) oder selektives Wipe (nur das Arbeitsprofil). In BYOD-Szenarien (Persönliche Geräte) schützt das selektive Wipe die persönlichen Daten des Benutzers.
Mit Genehmigung durch die Unternehmensrichtlinie kann der Gerätestandort überwacht werden; für ein Gerät, das eine geografische Grenze überschreitet, läuft ein Policy-Trigger. Diese Funktion wird besonders in Branchen mit Beschränkungen für grenzüberschreitenden Datentransfer genutzt.
Client-Zertifikate, Root-Zertifikate und App-Signaturzertifikate werden automatisch an Geräte verteilt. Zertifikatserneuerung, -widerruf und -verteilung werden zentral verwaltet; der Benutzer nimmt keine manuelle Installation vor.
Für hochsichere Umgebungen können Kameranutzung, Mikrofonzugriff, Bildschirmaufzeichnung und externe Geräteverbindung über die Richtlinie verwaltet werden. Geeignet für Besprechungsraum-Szenarien, sensible Standorte oder Behörden-/Verteidigungsumgebungen.
Wenn eine neue Richtlinie definiert wird, wird das Gerät über den plattformeigenen Push-Kanal benachrichtigt; die Richtlinie wird innerhalb von Minuten angewendet. Der Benutzer wartet nicht auf einen Neustart oder Verbindungsaufbau.
Das integrierte MDM ist nicht nur eine technische Kapazität, sondern bietet ein vollständiges Verwaltungsmodell für mobile Flotten.
Mobil- und Desktop-Geräteaktionen sammeln sich im selben Audit-Trail. Compliance-Teams müssen kein separates Reporting durchführen; für einen Incident kommen Daten von beiden Gerätetypen gemeinsam.
Das mobile Posture-Signal (Compliance, Jailbreak, OS-Version) ist eine direkte Eingabe der AAM-Conditional-Access-Policy. Die Zugriffsrichtlinie wird nicht nach Gerätetyp, sondern nach Gerätevertrauen geschrieben.
Für vom Unternehmen gekaufte Geräte wird Zero-Touch-Enrollment unterstützt. Wird das Gerät eingeschaltet, gerät es automatisch in den MDM-Geltungsbereich; der Benutzer unternimmt im Setup-Wizard keinen zusätzlichen Schritt.
Android-Arbeitsprofil und iOS-Managed-App-Konfiguration trennen persönliche und Geschäftsdaten physisch. Das Unternehmen sieht und verwaltet nur das Arbeitsprofil; es hat keinen Zugriff auf persönliche Daten.
Von den Geräten erfasste Daten werden im Unternehmensnetzwerk, im TR7-Verwaltungsspeicher gehalten. Es besteht keine Cloud-MDM-Abhängigkeit. Für Datenminimierung und Beschränkungen des grenzüberschreitenden Datentransfers kann eine geeignete Konfiguration vorgenommen werden.
Aus einem einzigen TR7-Cluster können Zehntausende von Mobilgeräten verwaltet werden. Massen-Richtlinienverteilung, App-Installation im gesamten Geräte-Inventar und Live-Compliance-Abfrage skalieren.
Der Arzt muss auf seinem eigenen Tablet GDPR- und gesundheitsdaten-konform sein. ETM MDM verteilt ein Arbeitsprofil; ohne die persönlichen Apps anzurühren, laufen Unternehmens-E-Mail, Patientenverwaltungssystem und zertifikatsbasierter Zugriff in einem sicheren Profil. Bei Geräteverlust wird nur das Arbeitsprofil gelöscht.
Außendienstpersonal in der Logistik-, Energie- oder Infrastrukturbranche nutzt ein Unternehmensgerät. Mit Zero-Touch-Enrollment gerät das Gerät beim Einschalten automatisch in den MDM-Geltungsbereich; Außendienst-Apps werden automatisch installiert, WLAN- und VPN-Einstellungen ohne manuelles Eingreifen verteilt.
Für Banking- oder Finanzdienste wird die AAM-Zugriffsrichtlinie an das Mobil-Gerätevertrauen gebunden. Geräte, die wegen Jailbreak, alter OS-Version oder deaktivierter Verschlüsselung non-compliant sind, erhalten keinen Anwendungszugriff. Die Entscheidung wird über ein Live-Signal getroffen.
Meldet der Benutzer den Geräteverlust, wendet der IT-Operator mit einem Klick ein selektives oder vollständiges Wipe an. Im BYOD-Szenario (Persönliche Geräte) gehen die persönlichen Fotos und Apps des Benutzers nicht verloren; nur das Arbeitsprofil wird bereinigt. Unternehmensdaten werden innerhalb von Minuten vom Gerät entfernt.
Sehen wir uns ETM MDM in Ihrem eigenen mobilen Inventar live an — planen wir eine Setup-Sitzung für eine Pilotgruppe.