Rozhodnutí o technologiích pro povolení funkce BYOD Microsoft Enterprise Mobility + Security (EMS)
Při vývoji strategie, která zaměstnancům umožní pracovat na dálku na vlastních zařízeních (BYOD), musíte v těchto scénářích udělat klíčová rozhodnutí, aby společnost BYOD umožnila a jak chránit firemní data. EMS naštěstí nabízí všechny funkce, které potřebujete, v komplexní sadě řešení.
V tomto tématu se zabýváme jednoduchým případem použití povolení přístupu byod k podnikovému e-mailu. Zaměříme se na to, jestli potřebujete spravovat celé zařízení nebo jenom aplikace, které jsou obě zcela platné.
Předpoklady
- Máte základní znalosti o Azure Active Directory a Microsoft Intune
- Vaše e-mailové účty jsou hostované v Exchange Online
Běžné důvody pro správu zařízení (MDM)
Když nasadíte zásadu podmíněného přístupu na Exchange Online, můžete uživatele snadno přimět k registraci svých zařízení do správy zařízení. Tady jsou důvody, proč můžete chtít spravovat osobní zařízení:
WiFi/VPN – Pokud vaši uživatelé potřebují produktivní profil podnikového připojení, můžete ho bez problémů nakonfigurovat.
Aplikace – Pokud vaši uživatelé potřebují sadu aplikací, které mají být do zařízení přetlačené, můžete je bez problémů doručit. To zahrnuje aplikace, které můžete vyžadovat pro účely zabezpečení, jako je aplikace Mobile Threat Defense.
Dodržování předpisů – Některé organizace musí dodržovat regulační nebo jiné zásady, které volají po konkrétních ovládacích prvcích MDM. Například potřebujete MDM k zašifrování celého zařízení nebo k vytvoření sestavy všech aplikací na zařízení.
Běžné důvody pro správu aplikací (MAM)
Mam bez MDM je velmi oblíbený pro organizace, které podporují BYOD. Uživatele k přístupu k e-mailům z Outlook Mobile (která podporuje ochranu MAM) můžete řídit nasazením zásad podmíněného přístupu na Exchange Online. Tady jsou důvody, proč můžete chtít spravovat aplikace jenom na osobních zařízeních:
Uživatelské prostředí – registrace MDM obsahuje mnoho upozornění (vynucovaných platformou), které často vede k tomu, že se uživatel nakonec rozhodne, že by se ke svému e-mailu na svém osobním zařízení raději nepřibývat. Mam je pro uživatele mnohem méně znepokojující, protože se jim jenom jednou zobrazí automaticky otevíraná okna, aby věděli, že ochrany MAM jsou na místě.
Dodržování předpisů – Některé organizace musí dodržovat zásady, které vyžadují menší možnosti správy na osobních zařízeních. Například mam může z aplikací odebrat jenom podniková data, a to na rozdíl od MDM, který dokáže ze zařízení odebrat všechna data.
Přečtěte si další informace o životním cyklu správyzařízení a správy aplikací.
Porovnání funkcí MDM vs MAM
Jak už jsme zmínili, Podmíněný přístup může uživatele přimět k registraci zařízení nebo k používání spravované aplikace, jako je Outlook Mobile. V obou případech je možné použít mnoho dalších podmínek, například:
- Který uživatel se pokouší o přístup
- Jestli je umístění důvěryhodné nebo nedůvěryhodné
- Úroveň rizika přihlášení
- Platforma zařízení
Řada organizací ale často riskuje, že se jich obává. V následující tabulce jsou uvedené běžné obavy a odpovědi MDM vs ODPOVĚĎ MAM na tento problém.
| Obavy | MDM | MAM |
|---|---|---|
| Neoprávněný přístup k datům | Vyžadovat členství ve skupině | Vyžadovat členství ve skupině |
| Neoprávněný přístup k datům | Vyžadovat registraci zařízení | Vyžadovat chráněnou aplikaci |
| Neoprávněný přístup k datům | Vyžadovat konkrétní umístění | Vyžadovat konkrétní umístění |
| Ohrožený uživatelský účet | Vyžadovat MFA | Vyžadovat MFA |
| Ohrožený uživatelský účet | Blokování uživatelů s vysokým rizikem | Blokování uživatelů s vysokým rizikem |
| Ohrožený uživatelský účet | PIN kód zařízení | PIN kód aplikace |
| Ohrožené zařízení nebo aplikace | Vyžadovat kompatibilní zařízení | Jailbreak/root check on app launch |
| Ohrožené zařízení nebo aplikace | Šifrování dat zařízení | Šifrovat data aplikace |
| Ztracené nebo odcizené zařízení | Odebrání všech dat zařízení | Odebrání všech dat aplikace |
| Náhodné sdílení dat nebo uložení na nezabezpečená umístění | Omezení zálohování dat zařízení | Omezení zálohování dat organizace |
| Náhodné sdílení dat nebo uložení na nezabezpečená umístění | Omezit ukládání jako | Omezit ukládání jako |
| Náhodné sdílení dat nebo uložení na nezabezpečená umístění | Zakázání tisku | Zakázání tisku dat organizace |
Další kroky
Teď je čas se rozhodnout, jestli chcete funkci BYOD ve vaší organizaci povolit, a to tak, že se zaměříte na správu zařízení, správu aplikací nebo jejich kombinaci. Volba implementace je vaše, kde si můžete být jistí, že funkce identity a zabezpečení dostupné v Azure AD budou dostupné bez ohledu na to.
Pomocí Průvodce plánováním Intune můžete namapovat další úroveň plánování.