Microsoft Intune

> 4-Schritte-Ansatz für Microsoft Enterprise Mobility + Security (EM+S) mit Intune

Microsoft Intune ist die Komponente von Microsoft Enterprise Mobility + Security (EM+S), mit der mobile Devices und Apps verwaltet werden. Die Lösung lässt sich in andere EM+S-Komponenten wie Azure Active Directory (Azure AD) integrieren und bietet Identitäts- und Zugriffsteuerungsfunktionen und als Ergänzung Azure Information Protection für zusätzlichen Datenschutz. Wenn Sie EM+S zusammen mit Office 365 einsetzen, können Mitarbeitende auf verschiedensten Devices produktiv arbeiten, während die Informationen des Unternehmens geschützt werden.

Wie Sie die Device- und App-Verwaltungsfunktionen von Intune und EM+S nutzen, hängt von den geschäftlichen Herausforderungen ab, die Sie lösen möchten:

• Sie können die Geräteverwaltung einsetzen, wenn Sie z.B. einen Gerätepool erstellen, mit nur einer bestimmte Funktion versehen und von Mitarbeitenden – die zu unterschiedlichen Zeiten arbeiten – gemeinsam verwendet werden.
• Sie benötigen App-Verwaltung und Datenschutz, wenn Sie Ihren Mitarbeitenden erlauben, ihre persönlichen Devices für den Zugriff auf Unternehmensdaten zu nutzen (BYOD).
• Wenn Sie Firmentelefone an Ihre Mitarbeitenden ausgeben (COPE).

Microsoft Intune-Device-Verwaltung

Die Geräteverwaltung von Intune funktioniert mithilfe von Protokollen oder APIs, die in den mobilen Betriebssystemen verfügbar sind. Es umfasst Aufgaben wie:

• Registrieren von Devices in der Geräteverwaltung, damit Ihre IT eine Bestandsaufnahme der Devices hat, die auf Unternehmensdienste zugreifen
• Konfigurieren von Devices, um sicherzustellen, dass diese die Sicherheits- und Integritätsstandards des Unternehmens erfüllen
• Bereitstellen von Zertifikaten und WLAN/VPN-Profilen für den Zugriff auf Unternehmensdienste
• Sicherstellung der Kompatibilität von Devices gemäss der Standards des Unternehmens, inklusive Berichterstellung
• Entfernen von Unternehmensdaten bei verwalteten Devices für BYOD und COPE bei Verlust und Diebstahl

In manchen Fällen kann der Eindruck entstehen, die Steuerung des Zugriffs auf Unternehmensdaten sei eine Geräteverwaltungsfunktion. Diese Funktion wird aber nicht vom mobilen Betriebssystem bereitgestellt. Es ist der Identitätsanbieter, der diese Funktion bereitstellt. In diesem Fall ist der Identitätsanbieter Azure Active Directory (Azure AD) – das Identitäts- und Zugriffsverwaltungssystem von Microsoft.

Intune ist mit Azure AD integriert, um eine breite Auswahl von Szenarien für die Zugriffssteuerung zu aktivieren. Sie können z.B. steuern, dass ein mobiles Device konform mit den in Intune definierten Unternehmensstandards sein muss, bevor das Device auf einen Unternehmensdienst wie Microsoft Exchange etc. zugreifen kann. Ebenso können Sie den Unternehmensdienst auf eine bestimmte Anzahl mobiler Apps begrenzen. Sie können den Zugriff auf Exchange Online z.B. nur für Outlook und Outlook Mobile begrenzen.

Microsoft Intune-App-Verwaltung

Wenn wir über die App-Verwaltung sprechen, sprechen wir über Folgendes:

• Zuweisen von Apps an Mitarbeitende
• Konfigurieren von Apps mit Standardeinstellungen, die bei der Ausführung der App automatisch angewendet werden
• Steuern, wie Unternehmensdaten in Apps verwendet und freigegeben werden
• Entfernen von Unternehmensdaten aus Apps
• Aktualisieren von Apps
• Reports über das mobile App-Inventar
• Informationen über die Nutzung mobiler Apps

Mit dem Begriff „Mobile App Management“ (MAM) können diese Punkte einzeln verwendet oder auch kombiniert angewandt werden. Insbesondere kann die App-Konfiguration mit dem vorab definierten Schutz von Unternehmensdaten in Apps kombiniert werden.

Wenn Sie Intune mit den anderen Diensten in EM+S verwenden, können Sie für mobile Anwendungen eine erhöhte Sicherheit bereitstellen. Diese Sicherheit geht über das mobile Betriebssystem und die mobilen Apps und deren App-Konfiguration hinaus.

Eine App, die mit EMS verwaltet wird, hat Zugriff auf eine grössere Auswahl von Schutzfunktionen für mobile Apps und Daten, einschliesslich:

• Einmaliges Anmelden
• Multi-Factor Authentication
• Bedingter App-Zugriff: Zusätzliche Konditionen und Schutz, wenn die App Unternehmensdaten enthält
• Trennen von Unternehmensdaten und persönlichen Daten innerhalb der gleichen App
• App-Schutzrichtlinie (PIN, Verschlüsselung, Speichern unter, Zwischenablage etc.)
• Zurücksetzen von Unternehmensdaten in einer App
• RMS Unterstützung

Microsoft Intune-App-Sicherheit

App-Sicherheit ist ein Bestandteil der App-Verwaltung. Wenn wir in Intune von der Sicherheit für mobile Apps sprechen, meinen wir:

• persönliche Informationen getrennt von Unternehmensinformationen zu haben
• Eine Beschränkung von Aktionen, die Benutzer mit Informationen von Unternehmen durchführen können, z.B. Kopieren, Ausschneiden und Einfügen, Speichern und Anzeigen in privaten Apps
• Entfernen von Unternehmensdaten aus mobilen Apps, auch bekannt als selektives Wipen oder Wipen von Unternehmensdaten

Intune stellt die Sicherheit z.B mit App-Schutzrichtlinie für mobile Apps bereit. Die App-Schutzrichtlinie verwendet die Azure AD-Identität, um Unternehmensdaten von persönlichen Daten zu trennen. Daten, auf die mithilfe von Unternehmensanmeldeinformationen zugegriffen wird, erhalten zusätzliche Schutzmassnahmen.

Wenn ein Benutzer sich z.B. auf seinem Gerät mit seinen Unternehmensanmeldeinformationen anmeldet, ermöglicht seine Unternehmensidentität den Zugriff auf Daten, auf die er mit seiner persönlichen Identität nicht zugreifen kann. Während der Verwendung von Unternehmensdaten steuern App-Schutzrichtlinien, wie die Daten gespeichert und freigegeben werden. Die gleichen Schutzmassnahmen werden nicht auf private Daten angewendet, auf die der Benutzer mit seinem Gerät vor oder nach Anmeldung mit seiner persönlichen Identität zugreift. Auf diese Weise hat die IT-Abteilung die Kontrolle über Unternehmensdaten. Der Endbenutzer verwaltet weiterhin den Zugriff und Schutz seiner persönlichen Daten selber.

EMM mit und ohne Registrierung von Devices

Die meisten Enterprise Mobility Management-Lösungen unterstützen Technologien für mobile Devices und Apps. Diese sind an ein Device gebunden, das in einer MDM-Lösung in Ihrem Unternehmen registriert ist. Intune unterstützt genau diese Szenario und darüber hinaus viele weitere Szenarien ohne Registrierung.

Unternehmen unterscheiden sich, inwieweit sie Szenarios ohne Registrierung anbieten. Einige Unternehmen machen diese Möglichkeit zu Ihrer bevorzugten Methode. Einige ermöglichen es bloss für Begleitgeräte wie z.B. ein persönliches Tablet. Andere unterstützen es überhaupt nicht. Auch im letzten Fall, in dem ein Unternehmen von allen Mitarbeitenden fordert, ihre Devices im MDM zu registrieren, unterstützen sie in der Regel Szenarios ohne Registrierung für z.B. Auftragnehmer, Lieferanten etc.

Sie können die Intune-Technologie für die Geräteverwendung ohne Registrierung sogar auf registrierten Devices verwenden. Beispielsweise kann vom mobilen Betriebssystem für ein Gerät, das in MDM registriert ist, die Schutzfunktion „Öffnen In“ bereitgestellt werden. (Es handelt sich hierbei um ein iOS-Feature, das Sie daran hindert, ein Dokument aus einer App, z.B. Outlook, in einer anderen App, z.B. Word, zu öffnen – es sei denn, beide Apps werden von Ihnen als MDM-Anbieter verwaltet.) Darüber hinaus kann die IT die App-Schutzrichtlinie auf EMS-verwaltete mobile Apps anwenden, um die Option „Speichern als“ zu steuern oder eine mehrstufige Authentifizierung bereitzustellen.

Intune verfügt als Teil von EMS über ein Set von Möglichkeiten, mit denen Sie Ihre Produktivität steigern und gleichzeitig Ihre Unternehmensdaten schützen können – unabhängig von der Strategie Ihres Unternehmens, egal ob mit registrierten oder nicht registrierten Devices und Apps.

(Sämtliche Bilder sind Eigentum der Microsoft Corporation)

Als zertifizierter Microsoft Enterprise Mobility + Security (EM+S) Partner und herstellerunabhängiger Managed Service Anbieter bietet Nomasis umfangreiche Beratungs- und Integrationsleistungen sowie Managed Services für Mobile IT und Mobile Security.