Microsoft Intune sørger for mobil enhets- og applikasjonsbehandling. Mobil enhetsadministrasjon (MDM for mobile device management) lar deg forvalte datamaskiner med Windows og macOS og mobilenheter med Android og iOS/iPadOS. Du kan tilpasse dem med konfigurasjonsprofiler, distribuere programvare og holde den oppdatert. Med samsvarspolicyer kontrollerer du om enhetene er i samsvar med dine retningslinjer. På bakgrunn av den vurderingen tillater du tilgang til organisasjonen.
Med mobil applikasjonsbehandling (MAM for mobile application management) kan du sette opp policyer for programbeskyttelse. Det gir et ytterligere sikkerhetslag som holder bedriftsdata atskilt fra personlige data. Policyinnstillingene kan også automatisk beskytte virksomhetsinformasjon når en enhet mistes eller stjeles. Programbeskyttelse kan brukes sammen med enheter som er administrert og som ikke er det. For små og mellomstore bedrifter anbefaler vi likevel at du innruller alle i Intune for maksimal sikkerhet.
Apper uten og med programbeskyttelse
Når apper brukes uten begrensninger (t.v.), kan bedrifts- og personopplysninger blandes sammen. Bedriftsdata kan ende opp i personlige lagringsområder eller overføres til apper utenfor ditt ansvarsområde. Det kan lett resultere i tap av data. Pilene viser ubegrenset dataflyt mellom både bedrifts- og personlige apper og til lagringssteder.
Policyer for appbeskyttelse (t.h.) hindrer bedriftsdata i å lekke til forbrukerapper og -tjenester. De setter restriksjoner for lagring og kopiering til utklippstavlen. De kan kreve PIN-kode for klientapper, eventuelt fingeravtrykkavlesning eller ansiktsgjenkjenning. MDM-løsningen gir verdi ved å registrere enheter, distribuere apper og sørge for kontinuerlig samsvar og administrasjon.
Fordeler med appbeskyttelse
De viktige fordelene ved å bruke retningslinjer for appbeskyttelse er:
- Beskytte bedriftsdataene dine på applikasjonsnivå. Sånn kan du sikre firmadata på både administrerte og ikke-administrerte enheter. Forvaltningen er sentrert om brukeridentiteten, som fjerner kravet til enhetsadministrasjon.
- Det går ikke utover brukernes produktivitet. Policyene benyttes bare i arbeidssammenheng, noe som gir deg muligheten til å beskytte bedriftsdata uten å berøre personlige data.
- Retningslinjer for appbeskyttelse sørger for et ytterligere sikringslag. Du kan:
- Kreve en PIN-kode for å åpne en jobbrelatert app,
- Kontrollere delingen av data mellom apper,
- Forhindre lagring av bedriftsdata i et personlig område.
- MDM – i tillegg til MAM – sørger for at enheten er beskyttet. For eksempel kan du kreve en PIN-kode for å gi tilgang til enheten, eller du kan distribuere administrerte apper til enheten. Du kan også distribuere apper til enheter gjennom MDM-løsningen din, for å gi deg mer kontroll over applikasjonsbehandlingen.
Policyer for appbeskyttelse rulles ut til brukere. Siden du kan benytte retningslinjene med og uten MDM, er dette et mulig scenario: Ansatte har mobiler som eies av firmaet og er registrert i Intune. I tillegg har de egne nettbrett. Mobilen beskyttes dermed både av MDM og MAM, mens nettbrettene i hvert fall er sikret av MAM.
Appbeskyttelse i Microsoft 365-administrasjonssenter
Microsoft har gjort det lettvint å opprette policyer for programbeskyttelse. Gå til Microsoft 365-administrasjonssenter. Utvid Enheter, velg Policyer. Her er det støtte for Android, iOS og Windows 10. Du kan dessuten på en enkel måte legge til en konfigurasjonsprofil for Windows 10, med forslag om fornuftige standardinnstillinger.
Opprette en appbeskyttelsespolicy for iOS
Fremgangsmåten for iOS og Android er felles. iOS og iPadOS behandles under ett. iOS benyttes på iPhone og eldre iPader. På nyere kjøres iPadOS, med støtte for fleroppgavekjøring, ekstern lagring, mus og styreflate. Valgene er de samme for Android. Klikk på Legg til. Her har vi valgt bort Skype for Business. Før du klikker på Legg til nok en gang, bør du se på hva som ligger i de to alternativene:
- Beskytt arbeidsfiler når enheter mistes eller stjeles (slått på)
- Administrer hvordan brukere får tilgang til Office-filer på mobile enheter (slått av)
Beskytt arbeidsfiler når enheter mistes eller stjeles (slått på)
Standardinnstillingene er: Du får beskyttet arbeidsfiler når enheter mistes eller stjeles. Slett arbeidsfiler fra en inaktiv enhet etter 90 dager. Få brukere til å lagre alle arbeidsfiler i OneDrive for Business. Krypter arbeidsfiler. Kontroller hvem som skal få innstillingene. Standard er Alle brukere.
Administrer hvordan brukere får tilgang til Office-filer på mobile enheter (slått av)
I utgangspunktet er innstillingene for denne gruppen slått av. Den lar deg administrere hvordan brukere får tilgang til Office-filer på mobile enheter. Enkelte av alternativene er beregnet på å sikre apper og datatilgang på enheter som ikke er administrert av Intune:
- Krev en PIN-kode eller et fingeravtrykk for å få tilgang til Office-apper.
- Tilbakestill PIN-koden når påloggingen mislykkes et bestemt antall ganger.
- Be om ny pålogging hvis Office-apper har vært inaktive i et gitt intervall.
- Nekt tilgang til arbeidsfiler på enheter som er jailbreaket eller utsatt for utilsiktet rottilgang.
- Ikke la brukere kopiere innhold fra Office-apper til personlige apper.
Opprette en appbeskyttelsespolicy for Windows 10
For Windows 10 kalles policytypen programbehandling. Angi om enheten er personlig eller firmaeid. De foreslåtte valgene er Krypter arbeidsfiler og appene som vist her. Slå på Hindre brukere fra å kopiere bedriftsdata til personlige filer og tving dem til å lagre dokumenter i OneDrive for Business.
Utvid Gjenopprett data på Windows-enheter. Det anbefales at du slår det på. Før du kan bla til plasseringen av Sertifikatet for datagjenopprettingsagent, må du først opprette ett. For instruksjoner, se Opprette og bekrefte et EFS-sertifikat (Encrypting File System) for datagjenopprettingsagenten.
Som standard blir arbeidsfiler kryptert ved hjelp av en hemmelig nøkkel som er lagret på enheten og knyttet til brukerens profil. Bare brukeren kan åpne og dekryptere filen. Men hvis en enhet mistes eller en bruker fjernes, kan en fil bli sittende fast i en kryptert tilstand. En administrator kan bruke DRA-sertifikatet (Data Recovery agent) til å dekryptere filen.
Utvid Beskytt flere nettverk og skyplasseringer hvis du vil legge til flere domener eller SharePoint Online-plasseringer for å sikre at filene i alle de oppførte appene er beskyttet. Hvis du trenger å angi mer enn ett element for hvert felt, kan du bruke semikolon (;) mellom elementene.
Bestem deretter: Hvem får disse innstillingene? Hvis du ikke vil bruke standard sikkerhetsgruppen Alle brukere, velger du Endre og deretter sikkerhetsgruppene som vil få disse innstillingene. Velg til slutt Legg til for å lagre policyen og tilordne den til enhetene.
Beskyttelsespolicyer for apper i Intune
Du kan nøye deg med policyene du allerede har satt opp. Men du kan også skrittvis forfine dem i Intune, som er del av Microsoft Endpoint Manager. Utvid Vis alle i navigasjonsruten for Microsoft 365-administrasjonssenter. Velg Endepunktbehandling. Beskyttelsespolicyene dukker opp under App protection policies.
Intune App Protection for iOS
Oversikten viser hvor ofte vi har sjekket inn i de forskjellige appene. Velg Properties (egenskaper) for å redigere appbeskyttelsen. Hensikten med policyene i Microsoft 365-administrasjonssentret er å få deg i gang, så du benytter deg av de mest alminnelige og anbefalte alternativene. Her kan du skrittvis endre innstillingene. Og da er du faktisk oppe og gå i løpet av få minutter. Klikk på Edit til høyre for Basics om du endre navnet på policyen og legge til en beskrivelse. Klikk på Review + save, så på Save.
Intune App Protection – Apps
La oss gå videre med Apps. Klikk på Edit. I utgangspunktet gjelder policyen for alle enhetstyper med iOS/iPadOS. Men du kan også velge om enhetstype skal være ikke-administrert eller administrert. Her benytter vi en appbeskyttelse som gjelder for alle brukere.
Her kan du redigere hvilke apper policyen skal omfatte. Det er naturlig å legge til Adobe Acrobat og Microsoft Edge ved å klikke på Select public apps.. Vi har ikke klargjort noe for Select custom apps. Klikk på Select og Review + save.
Intune App Protection – Data Protection
Bla deg lenger ned i Egenskaper. Her kan du redigere innstillingene for databeskyttelse. Oversikten viser alle muligheter. Endelig er det innstillinger for tilgangskrav, betinget oppstart av apper og tildelinger.
Fjernslette bedriftsdata
For å fjernslette bedriftsapper og tilknyttede data må appene være administrert via Intune. Eller så må det være satt opp appbeskyttelsespolicyer for dem.
Ved å dobbeltklikke på en registrert enhet i Intune får vi frem detaljert informasjon om den og muligheten til å velge Retire, som fjerner administrerte bedriftsapper og -data.
Du kan foreta samme operasjon fra Microsoft 365-adminsentret. Utvid Enheter og velg Aktive enheter. Klikk på Fjern firmadata.
Avsluttende ord
Microsoft har gjort en god del for å gjøre Intune mer oversiktlig og enklere å administrere. På den annen side rommer plattformen så mye funksjonalitet at læringskurven kan virke steil. Ved å legge grunnleggende policyer med gode standardinnstillinger til administrasjonssentret for Microsoft 365 blir det lettere å komme i gang.
I første omgang kan man nøye seg med disse innstillingene. Så kan de skrittvis forfines. Naturligvis bør policyer først rulles ut til pilotbrukere før de distribueres til alle. Du bør også teste fjernsletting – selektiv tømming av – bedriftsdata på mobilenheter. For ansatte som har sluttet, må enhetene slettes før brukere meldes ut av Azure AD.