Rozhodnutí o technologiích pro povolení funkce BYOD Microsoft Enterprise Mobility + Security (EMS)

Při vývoji strategie, která zaměstnancům umožní pracovat na dálku na vlastních zařízeních (BYOD), musíte v těchto scénářích udělat klíčová rozhodnutí, aby společnost BYOD umožnila a jak chránit firemní data. EMS naštěstí nabízí všechny funkce, které potřebujete, v komplexní sadě řešení.

V tomto tématu se zabýváme jednoduchým případem použití povolení přístupu byod k podnikovému e-mailu. Zaměříme se na to, jestli potřebujete spravovat celé zařízení nebo jenom aplikace, které jsou obě zcela platné.

Předpoklady

  • Máte základní znalosti o Azure Active Directory a Microsoft Intune
  • Vaše e-mailové účty jsou hostované v Exchange Online

Běžné důvody pro správu zařízení (MDM)

Když nasadíte zásadu podmíněného přístupu na Exchange Online, můžete uživatele snadno přimět k registraci svých zařízení do správy zařízení. Tady jsou důvody, proč můžete chtít spravovat osobní zařízení:

WiFi/VPN – Pokud vaši uživatelé potřebují produktivní profil podnikového připojení, můžete ho bez problémů nakonfigurovat.

Aplikace – Pokud vaši uživatelé potřebují sadu aplikací, které mají být do zařízení přetlačené, můžete je bez problémů doručit. To zahrnuje aplikace, které můžete vyžadovat pro účely zabezpečení, jako je aplikace Mobile Threat Defense.

Dodržování předpisů – Některé organizace musí dodržovat regulační nebo jiné zásady, které volají po konkrétních ovládacích prvcích MDM. Například potřebujete MDM k zašifrování celého zařízení nebo k vytvoření sestavy všech aplikací na zařízení.

Běžné důvody pro správu aplikací (MAM)

Mam bez MDM je velmi oblíbený pro organizace, které podporují BYOD. Uživatele k přístupu k e-mailům z Outlook Mobile (která podporuje ochranu MAM) můžete řídit nasazením zásad podmíněného přístupu na Exchange Online. Tady jsou důvody, proč můžete chtít spravovat aplikace jenom na osobních zařízeních:

Uživatelské prostředí – registrace MDM obsahuje mnoho upozornění (vynucovaných platformou), které často vede k tomu, že se uživatel nakonec rozhodne, že by se ke svému e-mailu na svém osobním zařízení raději nepřibývat. Mam je pro uživatele mnohem méně znepokojující, protože se jim jenom jednou zobrazí automaticky otevíraná okna, aby věděli, že ochrany MAM jsou na místě.

Dodržování předpisů – Některé organizace musí dodržovat zásady, které vyžadují menší možnosti správy na osobních zařízeních. Například mam může z aplikací odebrat jenom podniková data, a to na rozdíl od MDM, který dokáže ze zařízení odebrat všechna data.

Porovnání zařízení a aplikací na mobilních zařízeních

Přečtěte si další informace o životním cyklu správyzařízení a správy aplikací.

Porovnání funkcí MDM vs MAM

Jak už jsme zmínili, Podmíněný přístup může uživatele přimět k registraci zařízení nebo k používání spravované aplikace, jako je Outlook Mobile. V obou případech je možné použít mnoho dalších podmínek, například:

  • Který uživatel se pokouší o přístup
  • Jestli je umístění důvěryhodné nebo nedůvěryhodné
  • Úroveň rizika přihlášení
  • Platforma zařízení

Řada organizací ale často riskuje, že se jich obává. V následující tabulce jsou uvedené běžné obavy a odpovědi MDM vs ODPOVĚĎ MAM na tento problém.

Obavy MDM MAM
Neoprávněný přístup k datům Vyžadovat členství ve skupině Vyžadovat členství ve skupině
Neoprávněný přístup k datům Vyžadovat registraci zařízení Vyžadovat chráněnou aplikaci
Neoprávněný přístup k datům Vyžadovat konkrétní umístění Vyžadovat konkrétní umístění
Ohrožený uživatelský účet Vyžadovat MFA Vyžadovat MFA
Ohrožený uživatelský účet Blokování uživatelů s vysokým rizikem Blokování uživatelů s vysokým rizikem
Ohrožený uživatelský účet PIN kód zařízení PIN kód aplikace
Ohrožené zařízení nebo aplikace Vyžadovat kompatibilní zařízení Jailbreak/root check on app launch
Ohrožené zařízení nebo aplikace Šifrování dat zařízení Šifrovat data aplikace
Ztracené nebo odcizené zařízení Odebrání všech dat zařízení Odebrání všech dat aplikace
Náhodné sdílení dat nebo uložení na nezabezpečená umístění Omezení zálohování dat zařízení Omezení zálohování dat organizace
Náhodné sdílení dat nebo uložení na nezabezpečená umístění Omezit ukládání jako Omezit ukládání jako
Náhodné sdílení dat nebo uložení na nezabezpečená umístění Zakázání tisku Zakázání tisku dat organizace

Další kroky

Teď je čas se rozhodnout, jestli chcete funkci BYOD ve vaší organizaci povolit, a to tak, že se zaměříte na správu zařízení, správu aplikací nebo jejich kombinaci. Volba implementace je vaše, kde si můžete být jistí, že funkce identity a zabezpečení dostupné v Azure AD budou dostupné bez ohledu na to.

Pomocí Průvodce plánováním Intune můžete namapovat další úroveň plánování.