Android Enterprise und Microsoft Intune
Unternehmenssicherheit vs. Privatleben: Die ultimative Wahl
In den letzten Jahren mehren sich Cyberthreats, sodass die Sicherheit für alle Unternehmen eine hohe Priorität einnimmt.
Stellen Sie sich die Frage: Gibt es da einen Raum für die Koexistenz, wenn wir über die Sicherheit und das Privatleben sprechen? Wenn Mitarbeiter remote oder in einer verteilten Umgebung arbeiten, wenn persönliche Geräte mit wichtigen Unternehmensinformationen verloren gehen, wollen Sie wirklich, dass Ihre Mitarbeiter ein persönliches Laptop, Tablet oder Smartphone als Arbeitsgerät verwenden?
An dieser Stelle ist es wirklich eine grundsätzliche Wahl. Sie können Ihren Mitarbeitern vertrauen und nichts dagegen tun. Sie können einen Schritt weiter gehen und extreme Massnahmen einführen, die die Nutzung persönlicher Geräte während der Arbeitszeit nicht zulassen. Beide Ansätze wären eine Art zweischneidiges Schwert.
Die Trennung von persönlichen und korporativen Daten und der Schutz der letzteren sind die ultimativen Herausforderungen, wenn wir die Sache sicher und mitarbeiterfreundlich gestalten wollen. Microsoft Intune könnte die perfekte Antwort auf diese und andere Fragen sein.
Microsoft Intune der MDM- und MAM-Anbieter für Ihre Geräte
Die meisten Leute denken bei Microsoft Intune an ein Tool für die Verwaltung von Windows-PCs, das als Cloud-Alternative zu (oder Erweiterung von) System Center arbeitet, aber seine breitere Reichweite macht es zu einem leistungsstarken Tool für die Verwaltung von Android und iOS sowie für die Verteilung von Unternehmenssoftware auf Geräte. Seine „Low-Touch“-Natur bietet Ihnen eine Auswahl an Verwaltungsoptionen, von minimaler bis hin zu vollständiger Kontrolle, mit der Option, den Benutzern die Wahl zu lassen, welche Funktionen auf ihren Geräten bereitgestellt werden und wie viel Kontrolle sie bereit sind, aufzugeben.
Microsoft Intune ist ein Cloud-basierter Dienst, der sich auf die Verwaltung von mobilen Geräten (MDM) und mobilen Anwendungen (MAM) konzentriert. Sie kontrollieren, wie die Geräte Ihrer Organisation verwendet werden, einschliesslich Mobiltelefone, Tablets und Laptops. Sie können auch spezifische Richtlinien konfigurieren, um Anwendungen zu kontrollieren. So können Sie beispielsweise verhindern, dass E-Mails an Personen ausserhalb Ihres Unternehmens gesendet werden. Intune erlaubt es auch Mitarbeitern Ihrer Organisation, ihre persönlichen Geräte für die Schule oder die Arbeit zu nutzen. Auf persönlichen Geräten hilft Intune dabei, sicherzustellen, dass Ihre Unternehmensdaten geschützt bleiben, und kann Unternehmensdaten von persönlichen Daten isolieren.
Registrierung von Geräten
Verwaltete Geräte müssen in Intune registriert werden. Es gibt zwei Optionen: BYOD oder dediziert. BYOD-Geräte sind die eigene Hardware des Benutzers, während dedizierte Geräte im Besitz des Unternehmens sind und oft nur einmal verwendet werden. Diese Option eignet sich am besten für Geräte wie Android-Lagerverwaltungshardware mit eingebauten Barcodescannern oder Arbeitsverwaltungshardware, die an Aussendiensttechniker ausgegeben wird. In der Praxis handelt es sich um einen Spagat zwischen dedizierten Geräten für Taskworker und BYOD für Wissensarbeiter.
BYOD-Geräte, die in Intune angemeldet sind, werden mit Android Enterprise-Profilen eingerichtet. Diese schaffen einen separaten, gesicherten Arbeitsbereich für verwaltete Anwendungen und Daten. Sobald ein Profil eingerichtet ist, können Sie damit die meisten Funktionen eines Telefons steuern, von der Einrichtung von E-Mail-Konten und WLAN-Zugang zu einem Unternehmensnetzwerk bis hin zur Sicherstellung, dass ein Benutzer Screenshots von Geschäftsanwendungen machen kann. Sie müssen sich nicht darum kümmern, bestimmte Telefone mit Android Enterprise-Unterstützung zu finden: Es ist eine Funktion in allen aktuellen Android-Versionen.
Android Enterprise-Profile schaffen einen separaten, gesicherten Arbeitsbereich für verwaltete Anwendungen und Daten. Quelle: Microsoft
Android Enterprise Einsatzszenarien mit Intune
Quelle: https://www.petervanderwoude.nl/
Beginnen wir mit einem kurzen Überblick über die verschiedenen Android Enterprise-Bereitstellungsszenarien, die innerhalb von Microsoft Intune verfügbar sind. In der Abbildung ist Übersicht über die verschiedenen Einsatzszenarien. Da es hauptsächlich um die Android Enterprise-Funktionen geht, wurde das reine MAM-Szenario übersprungen. Für eine erste Filterung sind die Einsatzszenarien nach dem Besitzer des Geräts und nach dem Typ der Mitarbeiter für das Gerät sortiert.
Der nächste Schritt zur besseren Übersicht ist die unten stehende Tabelle. Diese Tabelle beschreibt die Hauptmerkmale der verschiedenen Einsatzszenarien. Sie zeigt wichtige Merkmale wie die Hauptanwendungsfälle eines Einsatzszenarios, ob eine persönliche Nutzung möglich ist, ob der Datenschutz gewährleistet werden kann, die Verwaltungsreichweite und weitere bekannte Merkmale.
| Einsatzszenario | Use Case | Persönliche Benutzung |
Garantierter Datenschutz |
Registrierungs- methode |
Verwaltungs- reichweite |
Reset erforderlich |
Benutzer- affinität |
|---|---|---|---|---|---|---|---|
| Arbeitsprofil | Bring Your Own Device (BYOD) | Yes | Yes | Company Portal app | Profil-Besitzer | No | Yes |
| Unternehmenseigenes Arbeitsprofil | Corporate Owned, Personally Enabled (COPE) | Yes | Yes | Near Field Communication, Token-Eingabe, QR-Code oder Zero Touch | Profil-Besitzer mit Einstellungen auf Geräteebene | Yes | Yes |
| Vollständig verwaltet | Corporate Owned, Business Only (COBO) | No | No | Near Field Communication, Token-Eingabe, QR-Code oder Zero Touch | Geräte-Besitzer | Yes | Yes |
| Dediziert | Corporate Owned, Single Use (COSU) | No | No | Near Field Communication, Token-Eingabe, QR-Code oder Zero Touch | Geräte-Besitzer | Yes | No |
Sicherstellung der Compliance
Einer der wichtigeren Aspekte bei der Verwendung von Intune zur Verwaltung von Android ist die Unterstützung für die Compliance-Zertifizierung. In Intune können Sie eine Compliance-Richtlinie erstellen, die wichtige Gerätefunktionen für Android Enterprise-Geräte abdeckt. Beginnen Sie mit der minimalen OS-Version, um sicherzustellen, dass OS-Versionen, die wichtige Fehler beheben, erforderlich sind. Sie können auch die maximale Betriebssystemstufe festlegen, um ungetestete Betas auszusperren, sowie Geräte einschränken, die gerootet wurden. Andere Einstellungen erfordern die Art der verwendeten Passwörter und ob Sie die biometrische Authentifizierung erzwingen wollen, wo sie verfügbar ist.
Es gibt eine Integration mit anderen Android-Management-Tools wie der Lookout-Sicherheitsplattform. Damit können Sie die Bedrohungsstufe eines Geräts festlegen und Lookout zur Verwaltung von Geräterisikobewertungen verwenden. Intune kann auch sicherstellen, dass Geräte verschlüsselten Speicher verwenden und dass sie nur bekannte Quellen nutzen. Ebenso wird überprüft, ob die Benutzer die entsprechende Version des Unternehmensportals installiert haben.