Samsung Galaxy S3: Probleme beim Exchange-Provisioning mit MobileIron (und AirWatch)

Im iTlab-Test offenbarten sich eklatante Abstimmungsprobleme zwischen aktuellen Samsung-Geräten für den Business-Einsatz und den MDM-Lösungen MobileIron VSP und AirWatch – ein exemplarisches Beispiel für die Herausforderungen bei der praktischen Umsetzung von „BYOD“ mit Android-basierten Mobilgeräten. (for international visitors: you will find a detailed english description below as PDF download)

Anbieter von MDM-Lösungen sehen sich bei der Entwicklung und Wartung ihrer Produkte mit vielen Herausforderungen im schnelllebigen Mobilmarkt konfrontiert: Sie müssen für eine reibungslose Unterstützung verschiedener Mobilplattformen und deren Verwaltungsschnittstellen sorgen, wie auch die Integration in die führenden Backend-Systeme wie Microsoft Exchange/Lotus Domino, Active Directory/LDAP und PKI-Infrastrukturen beherrschen. Das dies auch trotz enger Zusammenarbeit der Hersteller nicht immer aufgehen muss, zeigt das aktuelle Beispiel Samsung und MobileIron.

Samsung positioniert Modelle wie Galaxy S2, Galaxy S3, Galaxy Note und Galaxy Tab 10.1N insbesondere auch für den Business-Einsatz. Für diese Modelle bietet das Unternehmen eine eigene, gegenüber dem Android-Standard erweiterte Administrationsschnittstelle mit dem „Samsung DM Agent“ an. In den USA vermarktet Samsung dieses Feature unter der Bezeichnung „SAFE“ (Samsung Approved for Enterprise). MDM-Hersteller wie MobileIron und AirWatch stimmen ihre Lösungen speziell auf diese erweiterte Schnittstelle ab, um beispielsweise für die automatische Konfiguration von geschäftlichen Exchange-Mail-Konten zu sorgen. Das zuverlässige Ergebnis der individuellen Exchange-Konfiguration spielt insbesondere für BYOD-Szenarien eine wichtige Rolle: Das zuständige IT-Helpdesk kann nur beschränkt Einfluss auf die Betriebsumgebung der Privatgeräte nehmen und jeder zusätzliche Support-Kontakt mit dem Endanwender macht BYOD aus TCO-Sicht unattraktiver.

Im iTlab-Test zeigt sich, dass eine MDM-Konfiguration des integrierten Samsung Mail Clients unter Android 4.0.x (Ice Cream Sandwich) auf den getesteten Modellen Samsung Galaxy S2 und S3 derzeit – obwohl vorgesehen – nicht möglich ist:

PDF-Download: MobileIron MDM registration of Samsung Galaxy S3: Exchange account provisioning fails with Samsung E-­Mail App 4.0 

Auch der Einsatz des alternativ von MobileIron vertriebenen Mail-Clients TouchDown von Nitrodesk behebt nicht die Grundproblematik eines Exchange-Deployments mit ungewissen Ergebnis. Das beschriebene Verhalten wurde von Samsung und MobileIron bestätigt und soll mit dem nächsten MobileIron-Client (angekündigt für Juli 2012) behoben werden.

Update 25.7.2012:

MobileIron hat am 24.7.2012 den neuen Client 4.5.6.0 über Google Play veröffentlicht. Parallel aktualisiert Samsung seinen „DM Agent“ auf die Version 1.7. Erste Tests im iTlab mit einem Samsung Galaxy S3 (Android 4.0.4) sind vielversprechend: MobileIron hat sein Versprechen („noch im Juli“) gehalten – (ein) Daumen hoch!

Update 26.7.2012:

Den zweiten Daumen gibt es, wenn auch das Provisioning mit einem Samsung Galaxy S2 (Android 4.0.3) durchläuft. Nach ersten Tests scheinen hier weiterhin Probleme zu bestehen, die es aber noch genauer zu verifizieren gilt. MobileIron beschreibt zumindest auch unterschiedliche Verhalten von 4.0.4 und 4.03: Instructions for Configuring Samsung SAFE Email App.

Ergänzung 16.7.2012 zu AirWatch:

Mit dem beschriebenen Problem hat(te) nicht nur MobileIron zu kämpfen. Auch AirWatch 5.1.7 („Matrix42 MDM“) und die AW App 3.1.99 konfigurieren Exchange-Konten auf Galaxy S2/S3 nicht wie erwartet im iTlab-Test. Aus „AirWatch-Sicht“ sind Exchange-Profile auf den Geräten installiert, dort finden sich aber keinerlei Konten angelegt. Da hilft es auch nicht wirklich, dass sich ansonsten sogar – im Gegensatz zu MobileIron – die Konfiguration von Samsung Mail-Client oder dem alternativen Touchdown von Nitrodesk explizit als Ziel des Provisioning-Vorgangs auswählen lässt:

Nach Aussage von Matrix42 soll ein entsprechend zur Samsung Device Management API („SAFE“) kompatibler neuer AirWatch Agent in den nächsten Wochen verfügbar werden.

Andere MDM-Lösungen wie z.B. MaaS 360 von Fiberlink, Mobile Fusion von RIM oder IBM Endpoint Manager for Mobile Devices, die (bisher) keinen spezifischen Support für die Samsungs DM-API besitzen, können selbstverständlich auch kein entsprechendes Exchange-Provisioning durchführen.

Fazit: Vor einer MDM-Einführung wie auch im laufenden MDM-Betrieb empfehlen sich detaillierte Tests zum reibungslosen Zusammenspiel aller beteiligten Komponenten. Dies gilt insbesondere, wenn neue Gerätemodelle, Firmware- oder App-Updates ins Spiel kommen. Eine Sisyphusarbeit für jede IT-Abteilung.

Das könnte Sie auch interessieren:

Schlagworte: , , , , , , , , ,

Kommentieren ist momentan nicht möglich.