So verwaltet SAP seinen Handy-Park
Wer wissen will, wie sich technische Probleme am besten lösen lassen, sollte sich anschauen, wie die großen ITK-Konzerne selbst vorgehen. Lesen Sie, wie SAP einen bunten Apple-Zoo mit über 100.000 Macs, iPhones, iPads und AppleTV-Geräten managt.
Es ist längst kein Geheimnis mehr, dass Apple mit seinen Devices fest im Unternehmensumfeld etabliert ist. Weniger bekannt ist dagegen, dass der Softwarekonzern SAP mit über 100.000 Macs, iPhones, iPads und Apple TVs einen der größten Apple-Geräte-Zoos hütet. Hier einige Details, wie das funktioniert.
Mit dem Auftauchen von iPhone und iPad ist die Verbreitung der AppleDevices im Enterprise-Bereich kontinuierlich am Wachsen. Die Möglichkeit, durch die Bereitstellung von innovativen Cloud- und Mobility-Lösungen überall produktiv zu sein, unterstützt der Softwareriese SAP nicht nur seit 2016 über eine mit Apple geschlossene Partnerschaft bei seinen Kunden, sondern lebt sie auch im eigenen Unternehmen vor. Mit dem Effekt, dass sein Team inzwischen gut 17.500 Macs, 83.000 iOS-Geräte und 170 Apple TVs verwalte, erzählt Martin Lang, Vice President IT Services, Enterprise Mobility bei SAP, im CW-Gespräch.
Noch vor einigen Jahren sah die Welt bei SAP etwas anders aus, erinnert sich Lang. So waren 2011 noch gut 22.000 Blackberrys im Einsatz, aber nur wenige Mitarbeiter nutzten damals iPhones oder generell Apple-Geräte. Die Wen- de kam, als der Walldorfer Softwarekonzern noch im selben Jahr auf einen Schlag den gesamten Außendienst mit 20.000 iPads ausstattete – vermutlich der größte Deal, den Apple zu dieser Zeit an Land zog.
„Als sie die Geräte in Betrieb nahmen, erkannten die Mitarbeiter schnell, dass sie mit den Apple-Tablets viel mehr machen können als mit ihren Blackberrys“, erzählt Lang – und die von ihm geleitete Abteilung Enterprise Mobility habe mit der Entwicklung von Anwendungen begonnen, speziell für das Sales-Team und für interne Prozesse, um den Nutzwert der Geräte weiter auszureizen.
Beschäftigte sich der Bereich vorher noch mit reinem App-Development, kam 2015 das Team MDM (Mobile-Device-Management) mit in die Fachabteilung. Ende 2015 wurde dann auch der Bereich Mac@SAP übernommen, der sich mit der Verwaltung der stark wachsenden Zahl von Apple-Rechnern im Konzern beschäftigte. Damit verfügte das Unternehmen über ein spezielles interdisziplinäres Apple@SAP-Team, das sich um Geräte-Management, Sicherheit, technischen Support sowie die Entwicklung von Mac- und iOS-Anwendungen kümmert.
Wurden die mobilen Endgeräte bislang über das hauseigene Mobile-Device-Management-
System verwaltet, fiel im Sommer 2018 die strategische Entscheidung, auf ein neues MDM zu wechseln. In einem Proof of Concept testete das Unternehmen daraufhin drei Lösungen: Microsoft Intune, VMware Workspace ONE (besser bekannt als Airwatch) und Jamf Pro, das SAP bereits seit 2010 für die Verwaltung seiner Mac-Rechner nutzt.
VMware/Airwatch und Jamf waren am Ende in der engeren Auswahl, erklärt der SAP-Manager. Die Entscheidung, die Apple-Devices mit Jamf zu managen, fiel, da SAP mit der Lösung seit acht Jahren gute Erfahrungen gemacht hatte. „Airwatch hat einen ähnlichen Funktionsumfang, doch hätte die Einführung länger gedauert, weil wir mehr Wissen hätten aufbauen müssen“, so der Mobility-Spezialist.
Benutzerfreundlichkeit im Fokus
Letztendlich sei die Wahl auch auf Jamf gefallen, weil der Hersteller einen starken Fokus auf die Benutzerfreundlichkeit lege – ein Thema, das Lang zufolge auch dem SAP-CIO Thomas Saueressig sehr am Herzen liege. Darüber hinaus profitiert SAP von der Integration von Jamf mit Microsoft EMS (Enterprise Security + Mobility). Die Lösung ermöglicht es dem Softwarekonzern, mit Hilfe der Funktion „Conditional Access“sicherzustellen, dass nur vertrauenswürdige Benutzer von konformen Geräten und mit genehmigten Anwendungen auf Unternehmensdaten zugreifen.
Wie Lang erklärt, sei man hier auf der MacSuite schon weit, bei iOS allerdings noch nicht. SAP habe aber beste Voraussetzungen, da der Konzern viel mit Zertifikaten arbeite und anstatt einzelner VPNs den SAP Cloud Connector für den Zugriff auf Unternehmensdaten auf der SAP Cloud Platform nutze. Und dank der Verknüpfung des Apple Business Managers (ehemals VPP und DEP) mit Jamf Pro laufe auch die Bereitstellung eines neuen iOS-Device und die Verteilung von Apps entsprechend einfach ab und ohne dass die IT-Abteilung noch Hand an das iOS-Gerät anlegen muss (Zero Touch Deployment): Der Nutzer schaltet das System an, gibt sein Passwort ein, der Rest geht automatisch.
Stabile Android-Gemeinde
Für das Management der rund 7000 AndroidDevices, überwiegend Smartphones, wurde die VMware-Lösung Airwatch eingeführt und ist seit Oktober 2018 live. Wie Lang einräumt, lässt sich der Support von Android in seinem Unternehmen wirtschaftlich eigentlich kaum rechtfertigen, da hier fast so viele Ressourcen verbraucht würden wie bei den 87.000 iOSDevices. Die Android-Community sei jedoch ziemlich stabil und auch sehr passioniert, viele Anwender bräuchten Android zudem für ihre Arbeit (App-Entwicklung). Die große, aber langsam rückläufige Zahl von 85.000 WindowsDevices wird bei SAP nach wie vor klassisch mit Microsoft SCCM verwaltet. Intune werde evaluiert, da SAP auch ein großer Office-365und Azure-Kunde ist, erläutert Lang.
Der IT-Mann geht davon aus, dass die bei SAP genutzten 17.500 Macs erst der Anfang sind. Der Anschaffungspreis sei etwas happig, aber was die Total Cost of Ownership (TCO) betrifft, kommen Apple-Geräte in Form von Macs billiger, da sie über drei, vier Jahre hinweg gesehen weniger Support benötigen. „Aktuell ist das eher noch ein Bauchgefühl“, so Lang, SAP wolle dazu aber Fakten sammeln.
Neben den harten Fakten spielten auch die weichen Faktoren eine Rolle, denn „wenn neue Mitarbeiter heute zu SAP kommen, wollen sie oft einen Mac. Und dann können sie damit auch alles machen, was für sie aus geschäftlicher Sicht wichtig ist“, erklärt Lang. „Wegen der hohen Erwartungshaltung der Mitarbeiter glaube ich nicht, dass wir eine andere Wahl haben, als diese Flexibilität anzubieten.“
Choose your own Device
Die Auswahl und Bestellung der mobilen Devices und Desktops – bei SAP in Deutschland sind das aus rechtlichen Gründen alles Firmengeräte, im Ausland oft auch COPE- und ByoD-Devices – erfolgt über einen Katalog der Tochterfirma Ariba. Da SAP die Funktion Knox Mobile Enrollment zur Einrichtung der Geräte nutzte, war
hier im Android-Bereich die Auswahl vor dem Wechsel auf Workspace ONE/Airwatch auf einige Samsung-Modelle beschränkt, berichtet Lang. Jetzt gebe es mit Android Enterprise mehr Wahlmöglichkeit, etwa Googles PixelSmartphones und diverse Nokia- oder Blackberry-Geräte mit Tastatur. Außerdem verfügt jede große SAP-Niederlassung mit mehr als 1000 Mitarbeitern über ein Mobile Solutions Center, in dem Devices vor dem Bestellen angefasst und ausprobiert werden können („Try before you buy“). Diese Zentren seien vergleichbar mit einem Apple Store, berichtet Lang.
Für die Bestückung der Geräte hat SAP mit Jamf Self Service einen nativen App Store eingerichtet. Über diesen erhalten SAP-Mitarbeiter sofortigen Zugriff auf Ressourcen, Inhalte und vertrauenswürdige Anwendungen – selbständig ohne Hilfe durch die IT und mit einem Klick auf ihrem Mac oder iOS-Gerät. Wie der Mobility-Spezialist erzählt, arbeitet SAP im Unterschied zu klassischen Kunden viel mit nativen Inhouse-Apps – etwa 60 Stück – plus Microsoft Office, VPN sowie Anwendungen für das Personal- und Reise-Management (SuccessFactors beziehungsweise Concur).
Apropos Apps: Als die App-Entwicklung 2011/12 bei SAP intensiviert wurde, war das Unternehmen noch breit aufgestellt mit Blackberry, An- droid, iOS und Windows Mobile. Da sich der Fokus inzwischen deutlich in Richtung iPhones verschoben hat, wird nun zunächst für iOS entwickelt, dann für Android. Dabei gebe es eine magische Grenze, berichtet Lang: Erst, wenn eine App für mehr als 1000 Mitarbeiter vorgesehen sei, gebe es sie auch für Android. Generell sei die Nutzung der Hauptfaktor, als Feedback für den Erfolg einer Anwendung werde deshalb intensiv gemessen, wie oft eine App verwendet wird.
Jamfs Self-Service liefere dazu allerdings nur die Download-Zahlen für eine App, aber der Zugriff auf SAP Cloud Platform könne getrackt werden, fügt der Mobility-Spezialist hinzu. Das Ganze geschehe sehr sensibel, um nicht mit dem Betriebsrat in Konflikt zu geraten (Stichwort Leistungskontrolle), werde aber zum Beispiel auf die einzelnen Länder heruntergebrochen.
Auch Business-Units entwickeln Apps
Um die sichere Entwicklung von Apps – auch in einzelnen Business-Units – voranzutreiben, hat SAP außerdem den App Playground im Betrieb. Dieser verfügt über verschiedene Kategorien und sorgt für eine schnelle Verteilung von API-Files. Gleichzeitig wüssten alle, dass es sich nur um Testanwendungen handle, die nicht offiziell abgesegnet seien, etwa weil noch keine Security-Features integriert worden seien.
Während SAP über rund 70 intern entwickelte iOS-Anwendungen verfügt, ist die Zahl der Mac-Anwendungen deutlich geringer. Das soll sich aber Lang zufolge ändern. „Wir sind gespannt, was im nächsten Jahr hinsichtlich der Nutzung von iOS-Apps auf einem Mac passieren wird“, sagt der SAP-Mann und verweist auf Apples Project Marzipan, das die Portierung von iOS-Apps auf den Mac im Jahr 2019 wesentlich erleichtern dürfte. „Wir haben eine Menge iPad-Apps, die einfach hervorragend auf einem Mac laufen würden.“