Thought Leadership
Unternehmen stehen heute vor der Herausforderung, eine Vielzahl von Endgeräten zu verwalten – vom klassischen Desktop-PC bis hin zu mobilen iOS- und Android-Geräten. Gleichzeitig steigen die Anforderungen an IT-Sicherheit und Compliance, während IT-Abteilungen mit begrenzten Ressourcen arbeiten müssen.
Eine Lösung dafür sollen hybride UEM-Plattformen bieten, die klassisches Client Management mit cloud-basierten UEMFunktionen verbinden. Über das Konzept sprach it management mit Sebastian Weber, Chief Evangelist beim UEM-Spezialisten Aagon.
Herr Weber, Client Management ist heute sowohl on-premises als auch aus der Cloud möglich. Worin besteht der Unterschied?
Sebastian Weber: Für die übergreifende Verwaltung von IT-Infrastrukturen hat sich mittlerweile eher der Begriff Unified Endpoint Management herausgebildet. Früher hieß es jedoch „Client Management“. Das war in der Regel eine On-Premises-Software für strukturiertes, zentralisiertes und automatisiertes Administrieren sowie Dokumentieren von Endgeräten (PC, Server, mobile Endgeräte) mit einem Windows- oder Linux-Betriebssystem. Heute stehen wir vor einer ungleich heterogeneren IT-Infrastruktur, zu der selbst verständlich auch iOS- und Android-Geräte gehören. Verwaltet werden diese bislang oft mit cloud-basierten UEM-Systemen, von denen Intune das bekannteste und gebräuchlichste ist. Kein Wunder, ist es doch im oft gewählten Enterprise-Lizenzvertrag Microsoft 365 E3 enthalten.
Als Hersteller eines verbreiteten UEM-Systems plädieren Sie für einen hybriden Ansatz, das heißt die Kombination aus Cloud und on-premises. Weshalb?
Sebastian Weber: Ganz einfach: Die Cloud bietet Skalierbarkeit und Mobilität, während Inhouse-Systeme ihre Stärken bei der Sicherheit und Kontrolle ausspielen. Dies lösen wir durch eine Kombination, konkret die Integration von Intune in unser UEM. So können Unternehmen selbst entscheiden, welche Komponenten sie in der Cloud betreiben und welche lokal verbleiben.
Wo liegen die Mängel eines rein cloud-betriebenen UEMs, in diesem Fall von Intune?
Sebastian Weber: Zunächst einmal bietet das Microsoft-Tool mit grundlegenden Funktionen wie dem Verteilen von Exe- und MSI-Dateien oder dem Sperren von Geräten eine solide Basis für die Verwaltung mobiler Endgeräte, aber eben nur für diese. Für die Verwaltung von Servern sind wiederum Zusatzlösungen erforderlich. Funktionale Einschränkungen finden sich außerdem bei der Administration von SNMP-Geräten und bezüglich einer detaillierten Inventarisierung. Admins erhalten insgesamt nur eine Teilansicht ihrer IT-Infrastruktur und übersehen Risiken daher leichter.
Die Bordmittel eines Client-Betriebssystems spricht ein Cloud-UEM oft nur rudimentär an. Es dockt üblicherweise an die Mobile-Schnittstelle des Devices an, die gegenüber einem nativen Agenten deutlich weniger Funktionalität aufweist. Einem Gerät (oder einer Gruppe von Geräten) wird ein Software-Update zugewiesen, der Cloud-Anbieter entscheidet aber eigenmächtig, wann er Sicherheitslücken schließt oder den neuesten Patch einspielt. Es gibt kaum Spielraum, selbst einzugreifen und etwa Ports zu sperren.
Welche Vorteile bietet demgegenüber eine On-premises-Lösung?
Sebastian Weber: Grundsätzlich ist sie auf eigenen Servern installiert (auch in der Private Cloud eines Hyperscalers möglich), verfügt über eigene Agenten und bietet größere Vielfalt durch manuelle Clients, Agents oder ein zusätzliches Gateway. Sie beinhaltet Funktionen wie Remote Control, Lizenzmanagement, Asset Management oder Windows Update Management für Clients und Server und Microsoft365, an die bei Intune gar nicht zu denken ist.
Sogar Microsoft-Lösungen wie Defender und BitLocker lassen sich direkt über sie steuern, auch ohne Cloud-Anbindung. Weil sich die Daten in der eigenen Umgebung befinden, sind sie sehr gut geschützt, und das Unternehmen ist unabhängig vom Internet und dem Status des Servers in der Cloud. Weitere Vorteile eines lokalen Systems: Sicherheitsbereiche lassen sich gut voneinander abgrenzen und individuelle Lösungen mit No-Code/Low-Code einrichten.
Auf der anderen Seite fallen Kosten für Hardware und Lizenzen an. Deren Hochskalierung kann ebenfalls schnell viel Geld und Zeitaufwand verschlingen. Und ihr Hauptnachteil: Mobile Geräte sind nicht oder nur schlecht anbindbar.
Ein hybrides UEM verbindet nun beide Ansätze?
Sebastian Weber: So ist es. Unsere ACMP Suite erweitert die Verwaltung überwiegend mobiler Endgeräte auf die gesamte IT-Infrastruktur, einschließlich Clients, Server und weiterer IT-Komponenten. Geräte- und Benutzer-Gruppen aus Intune werden in die UEM-Lösung überführt, sind darin sichtbar und lassen sich detailliert managen – in ACMP, über Intune. Außerdem werden sämtliche Arten von Apps verteilt, an Android-, iOS- und Windows-Geräte.
Wie profitieren IT-Abteilungen konkret von der Zusammenführung?
Sebastian Weber: Sie müssen nicht mehr zwischen mehreren Systemen wechseln, sondern arbeiten mit einer übersichtlichen, zentralen Plattform, auf der sie sowohl klassische als auch mobile Endgeräte einheitlich verwalten können. So behalten sie beispielsweise Update-Zeitpunkte im Blick und können Patch Management präziser steuern – etwas, das Intune nur eingeschränkt bietet. Auch Compliance-Anforderungen aus NIS2, ISO 27001 oder KRITIS lassen sich besser umsetzen. Unternehmen, die eine einheitliche IT-Security- und Compliance-Plattform benötigen, können mit einem hybriden Ansatz ihre Sicherheits- und Risikomanagementprozesse strukturiert verwalten.
Ein weiterer Vorteil ist die tiefere Integration bestehender IT-Prozesse. Während Intune sich primär auf die Geräteverwaltung konzentriert, ermöglicht ACMP eine umfassendere IT-Automatisierung. Beispielsweise können Skripte zur Fehlerbehebung oder Software-Rollouts zentral gesteuert werden, ohne dass Administratoren manuell eingreifen müssen. In unserem UEM-System lassen sich auch mehrere Intune-Portale zusammenfassen – das kann selbst Microsoft nicht. Laut Gartner verfügen wir damit über einen absoluten USP.
Eine hybride Lösung stellt sicher, dass alle Endpunkte jederzeit den aktuellen Sicherheitsrichtlinien entsprechen.
Sebastian Weber, Aagon
Trotz alledem: Intune ist kostenlos und kann schon einiges, für Ihr UEM hingegen fallen Lizenzgebühren an. Schwierig gegenüber dem Management zu verargumentieren, oder?
Sebastian Weber: Nur auf den ersten Blick. Eine Geschäftsleitung, die nur überflüssige Zusatzkosten sieht, berücksichtigt dabei nicht die langfristigen Folgen. In Wirklichkeit ist es so, dass die kurzfristige Einsparung von Lizenzkosten zu höheren versteckten Kosten durch manuellen Mehraufwand, Fehleranfälligkeit und mögliche Sicherheitsrisiken führt.
Welche Sicherheitsvorteile bietet ein hybrides UEM?
Sebastian Weber: Sicherheit ist einer der Hauptgründe, warum Unternehmen nicht ausschließlich auf cloud-basierte Lösungen setzen. Intune allein bietet keine tiefgreifenden Audit- und Sicherheitsfunktionen. ACMP hingegen ermöglicht eine umfassende IT-Sicherheit, indem es Schwachstellenmanagement, Third-Party-Patch-Management und Windows-Update-Management integriert. So werden nicht nur Clients, sondern auch Microsoft 365-Produkte zentral gepatcht. Zudem haben Unternehmen die Möglichkeit, sensible Daten in ihrer eigenen Infrastruktur zu halten und unabhängig von der Internetverbindung zu bleiben.
Gerade in regulierten Branchen, wie dem Finanz- oder Gesundheitssektor, ist diese Kontrolle entscheidend. Unternehmen, die den Vorgaben von DORA oder der KRITIS-Verordnung unterliegen, benötigen lückenlose Nachverfolgbarkeit und Dokumentation ihrer Sicherheitsmaßnahmen. Eine hybride Lösung stellt sicher, dass alle Endpunkte jederzeit den aktuellen Sicherheitsrichtlinien entsprechen.
Wie sieht es mit der Skalierbarkeit aus?
Sebastian Weber: Klein anzufangen und die Infrastruktur je nach Bedarf zu erweitern ist ein entscheidender Faktor. Startet ein Unternehmen mit einer Cloud-Infrastruktur, kann es schrittweise On-Premises-Kapazitäten hinzufügen, um mehr Kontrolle und Funktionalität zu erhalten. Die ACMP Suite kann demnächst auch direkt in Microsoft Azure betrieben werden, wodurch Unternehmen noch flexibler entscheiden können, wie sie ihre Infrastruktur gestalten. Das heißt, selbst Unternehmen, die primär auf Cloud-Lösungen setzen, können weiterhin von den erweiterten On-Premises-Funktionen profitieren.
Wo liegen die Herausforderungen des Ansatzes?
Sebastian Weber: Eine hybride Infrastruktur erfordert eine gut durchdachte Integration der beiden Systeme. Deshalb war es uns wichtig, eine einheitliche Benutzeroberfläche zu schaffen, die sowohl Intune- als auch On-Premises-Geräte abbildet. So vermeiden wir Fragmentierung und sorgen für eine zentrale Steuerung. Ein weiterer Aspekt ist die Schulung der IT-Teams: Wer bisher nur mit einer reinen Cloud- oder On-Premises-Lösung gearbeitet hat, muss sich mit den neuen Möglichkeiten vertraut machen. Je intuitiver die UEM-Konsole also zu bedienen ist, desto besser. Zusätzlich spielt die Performance eine wichtige Rolle. Gerade in großen Netzwerken mit tausenden Endgeräten ist es wichtig, dass Abfragen und Steuerungsprozesse effizient ablaufen.
Welche Rolle spielen Managed Service Provider (MSP) in Ihrer Strategie?
Sebastian Weber: MSPs profitieren besonders von unserer Lösung, da sie mehrere Intune-Portale in einer Plattform zusammenführen können. Dadurch lassen sich Kundensysteme effizient verwalten, ohne sich durch verschiedene Oberflächen klicken zu müssen. Ein hybrider UEM-Ansatz macht es für MSPs einfacher, ihren Kunden eine nahtlose und sichere Verwaltung aller Endpunkte zu bieten. Unerlässlich ist in diesem Zusammenhang eine feingranulare Mandantenverwaltung. Dadurch können MSPs verschiedene Kundenumgebungen getrennt administrieren, ohne dass sich Daten oder Steuerungsprozesse vermischen.
Zum Abschluss: Wie sehen Sie die Zukunft des UEM?
Sebastian Weber: Die Zukunft ist hybrid. Unternehmen wollen nicht zwischen Cloud und On-Premises entscheiden müssen, sondern beides kombinieren, um das Beste aus beiden Welten zu nutzen. Mit unserer ACMP Suite bieten wir genau diese Flexibilität und Sicherheit. Wir arbeiten kontinuierlich an neuen Funktionen, um unsere Lösung weiterzuentwickeln und den steigenden Anforderungen der IT-Welt gerecht zu werden. Gerade mit Blick auf zunehmende Cyberbedrohungen wird eine umfassende und zentralisierte Endgeräteverwaltung immer wichtiger.
Herr Weber, vielen Dank für das Gespräch!
