Mobiltelefoner og nettbrett mistes og stjeles, enkelte ganger også bærbare. Ansatte slutter. Da må du klare å beskytte alle data som tilhører virksomheten. Du kan naturligvis be brukerne om å benytte tjenester som Finn iPhone for å deaktivere, låse eller slette enhetene fullstendig. Men det gir deg ikke helt den ønskede kontrollen. Brukerne dine kan i det lengste kvie seg for å fjerne alt innhold i håp om at enheten dukker opp igjen. Du har heller ingen garanti for at de faktisk gjør det.
Det du bør bry deg om, er at du umiddelbart kan sperre for at uvedkommende kan aksessere bedriftsapper og -data. Personlig lagrede opplysninger er i mindre grad ditt ansvar. Den beste og sikreste metoden er at du helt fra begynnelsen av sørger for at virksomhetens data og privat informasjon holdes strengt atskilt. Det krever at du registrer enhetene i et egnet verktøy, ruller ut administrerte bedriftsapper og setter opp policyer for tilganger. Office 365 Enhetsbehandling hjelper deg et stykke på vei. Det beste valget er Microsoft Intune.
Exchange Online, Office 365 Enhetsbehandling og Intune
I Office 365 har du tre muligheter til å fjernslette data fra mobilenheter: Fra Exchange kan du tømme postbokser og hele enheter. Denne operasjonen kan utføres både av administrator og sluttbruker. I flere versjoner av Office 365 følger det med innebygd administrasjon av mobile enheter. Den lar deg selektivt rense enhetene for all jobbrelatert informasjon uten å røre personlige data. I bakgrunnen leveres tjenestene av Microsoft Intune og Azure Active Directory, men er begrenset til bare mobile telefoner og nettbrett. Intune selv er et omfattende verktøy for å styre og sikre mobilenheter og datamaskiner, applikasjoner og virksomhetsdata. Her skal vi konsentrere oss om Intune, som er det naturlige valget for Microsoft 365. Men la oss først kaste en rask titt på de to andre alternativene.
Exchange Online og ActiveSync
ActiveSync-protokollen gir en rudimentær form for enhets- og applikasjonsbehandling. Den er sentrert rundt Exchange og lar deg sette opp enkle krav for tilgang til e-post, så som at enheten må være kryptert og beskyttet av en PIN-kode. Opprinnelig kunne man bare slette hele mobilenheten. Outlook-klienten for iOS og Android har endret dette; for Exchange fremstår den som maskinvare-enhet. Den støtter ekstern tømming som sletter bedriftsdata og ikke rører personlige e-postkontoer.
Med siste versjon av Exchange ActiveSync kan du også for andre e-postklienter fjerne kun postbokser for bedriften. Derimot får du ikke hindret tilgangen til OneDrive, Teams eller SharePoint på den måten. Slette-operasjonen går for å være upålitelig, men behøver ikke bunne i annet enn at du ikke mottar en tilbakemelding om at operasjonen var vellykket. Det kan ha flere årsaker: Enheten er ikke konfigurert for push-e-post. Mobil og Wi-Fi-kommunikasjon er deaktivert. Bruker har endret passord. Uansett gir denne form for styring av mobilenheter ikke god nok beskyttelse med alle apper vi bruker i dag for å aksessere bedriftsdata.
Office 365 Enhetsbehandling
Den innebygde administrasjonen av mobilenheter lar deg styre tilgangen til bedriftsdata på tvers av mobiler og nettbrett, i praksis iOS og Android. Den beskytter data på tre måter:
Betinget tilgang. Du kan konfigurere sikkerhetspolicyer for enheter som er tilkoblet Office 365, for å angi betingelser for tilgangen til e-post og dokumenter. Mobilenhetene må være i samsvar med policyene og administrert av virksomheten.
Enhetsbehandling. Du kan angi regelsett for forhold som PIN-kodelås og jailbreak-gjenkjenning. Det bidrar til å hindre uautoriserte brukere i å aksessere bedrifts-e-post og virksomhetsdata på enheter som er blitt borte. Du kan plusse på med en rekke andre innstillinger. Det er gode funksjoner for rapportering i administrasjonssenteret som gir deg øyeblikkelig innsyn i godkjente enheter.
Selektiv tømming. Du kan enkelt fjerne jobbrelatert Office 365-informasjon fra enheten til en ansatt uten å røre personlige data. Dette er et stadig økende krav, ettersom flere firmaer har en bring your own device-tilnærming (BYOD).
Microsoft Intune
Intune utvider funksjonaliteten i Office 365 Enhetsbehandling. Du kan administrere datamaskiner som kjører Windows og macOS. Ved å registrere dem i Intune kan du på en trygg måte la brukere aksessere bedriftsdata via administrere applikasjoner som beskytter all virksomhetsinformasjon. Du har muligheten til å begrense handlinger som å klippe, kopiere, lime og lagre i programmer som er styrt av Intune. Med Intune får du kontroll over:
Enheter. Disse kan eies av virksomheten eller ansatte. De kan registreres eller fjernes av administrator og sluttbrukere. Organisasjonen får en oversikt over enheter som brukes til å aksessere bedriftsdata.
Apper. Du kan opprette policyer for hvem som kan få tilgang til bedriftsapper. Du kan isolere virksomhetsdata fra privat informasjon. Du kan tildele mobilapper til dine ansatte og spore bruken av appene.
Beskyttelse. Bare administrerte enheter som er i samsvar, får tilgang til virksomhetens ressurser – noe som til dels styres av sertifikater. Du kan sette opp sikkerhets- og tilgangspolicyer på enhetene som dine ansatte bruker. Du kan fjerne bedriftsdata, låse enhetene og tvinge frem at passordet tilbakestilles på mobilenheter.
Samsvar. Du kan forsikre deg om at enhetene er i overensstemmelse med virksomhetenes sikkerhetspolicyer. Du kan hindre enheter som ikke er i samsvar, i å få tilgang til ressurser. Samsvarspolicyer omfatter styrken i passord, bruk av kryptering eller versjonen av operativsystemet. Enheter må rapportere status, elles behandles de som om de ikke er i samsvar. Du kan rulle ut policyer til enhetsgrupper.
Du benytter Intune-portalen for å administrere Intune. Det er støtte for PowerShell. Men du kommer også inn i Intune via Office 365-portalen om du har gyldige lisenser. Velg Enhetsbehandling.
Office 365 Enhetsbehandling og Intune
Office 365 Enhetsbehandling har en rekke begrensninger i forhold til denne fulle funksjonaliteten i Microsoft Intune.
Administrerte enheter i Microsoft Intune
To enheter er registrert i Microsoft 365 Device Management. Autoriteten for MDM – mobile device management eller administrasjon av mobile enheter – er Microsoft Intune. Registreringen er selvfølgelig forutsetningen for blant annet å kunne fjerne bare bedriftsdata eller alt innholdet på enheten fullstendig.
Fjernslette data og enheter i Microsoft Intune
Skjermbildet ovenfor viser iOS-enheten. Alternativene som interesser oss, ligger innenfor det røde rektangelet på den øverste raden. Det er Retire, Wipe, Delete, Remote lock og Remove passcode. Sync angår oss ikke her; den vil forsøke å ta kontakt med enheten og synkronisere policyer.
Enheten er i samsvar med to policyer, som blant krever at bruker er registrert og satt opp med en administrert e-postprofil. Enheten må være beskyttet av en PIN-kode, være kryptert og kjøre minst iOS 12.0. Det er knyttet flere administrerte Microsoft-apper til iPaden, blant dem Outlook, Word, Teams, Azure Information Protection og OneDrive. Disse igjen aksesserer bedriftsdata. Alle andre apper har ingen tilgang til virksomhetsdata og håndterer bare personlig informasjon.
Ved å velge Retire (fratre, gå av) fjerner du bare bedriftsdata som er administrert av Intune. Brukerens personlige data berøres ikke. Dette betegnes som selektiv tømming. Enheten styres ikke lenger av Intune og kan ikke aksessere resurser i bedriften.
Legg merke til at det er begrensninger knyttet til Windows-enheter som er medlem av Azure Active Directory. Win32-apper med tilknyttede data vil ikke fjernes.
Ved å velge Wipe (slette, viske ut) nullstiller du enheten sånn som den var fra fabrikken. Enheten fjernes fra Intune og sletter personlige data og bedriftsinformasjon. Påloggingsopplysninger for firmaressurser fjernes.
Ved å velge Delete fjernes enheten fra Intune-portalen. Den har ikke lenger tilgang til virksomhetens ressurser. Det kan hende bedriftsdata slettes om enheten forsøker å sjekke inn igjen.
Remote lock låser enheten.
Remove passcode opphever beskyttelsen med passord eller PIN-kode.
Konklusjon og avslutning
Exchange ActiveSync var Microsofts første forsøk på administrasjon av mobile enheter, men har i dag utspilt sin rolle. Office 365 Enhetsbehandling gir deg relativt bra funksjonalitet for å administrere mobilenheter. Du får også alle alternativer for å slette data og enheter. Men om du ønsker den beste sikkerheten for enheter, applikasjoner og foretaksdata, bør du velge Microsoft Intune.
Det kan virke noe bakvendt at vi introduserer Microsoft Intune med funksjonen for å slette innhold på mobilenheter. Intune krever at vi ruller ut apper, konfigurerer enheter og seter opp policyer. Varsler og rapportering bør være på plass. Muligens ønsker vi å tilpasse firmaportalen for Intune. Endelig må vi aktivere registreringen av enheter, som for Apple-enheter innebærer å håndtere sertifikater. Vi kommer tilbake til dette i blogginnlegg fremover.
Her var det om å gjøre å vekke appetitten på Intune og vise hvordan verktøyet beskytter mot to av de tre grunnleggende truslene mot mobile enheter – som er datatap, uautorisert tilgang og skadelig programvare. Hovedårsaken til datatap er kopiering av data utenfor bedriftssystemene, mistede eller stjålne enheter og tilgang til foretaksdata fra uvedkommende. Du kan hindre kopiering og liming, blokkere deling av apper, fjernslette data og låse enheten. Intune bruker rollebasert tilgangskontroll. Du kan valgfritt sette opp multifaktor-autentisering.
Figurene er i endret form hentet fra Andrew Bettanys Pluralsight-kurs Enrolling, Securing, and Managing Devices with Microsoft Intune.
