Technologieentscheidungen zur Ermöglichung von BYOD mit Microsoft Enterprise Mobility + Security (EMS)Technology decisions for enabling BYOD with Microsoft Enterprise Mobility + Security (EMS)

Bei der Entwicklung Ihrer Strategie, um Mitarbeitern das Arbeiten von einem externen Standort aus auf ihren eigenen Geräten (Bring Your Own Device, BYOD) zu ermöglichen, müssen Sie wichtige Entscheidungen treffen. Dies betrifft Szenarien, in denen BYOD ermöglicht werden soll, und die Art und Weise, wie Ihre Unternehmensdaten zu schützen sind.As you develop your strategy to enable employees to work remotely on their own devices (BYOD), you need to make key decisions in the scenarios to enable BYOD and how to protect your corporate data. Erfreulicherweise bietet Ihnen EMS alle Funktionen, die Sie benötigen, in einem umfassenden Lösungspaket.Fortunately, EMS offers all of the capabilities you need in a comprehensive set of solutions.

In diesem Thema untersuchen wir den einfachen Anwendungsfall, BYOD-Zugriff auf Unternehmens-E-Mails zu ermöglichen.In this topic, we examine the simple use case of enabling BYOD access to corporate email. Wir befassen uns mit der Frage, ob Sie das gesamte Gerät oder lediglich die Anwendungen verwalten müssen, wobei beide Möglichkeiten vollkommen denkbare Optionen darstellen.We'll focus on whether or not you need to manage the entire device or just the applications, both of which are completely valid choices.

AnnahmenAssumptions

  • Sie besitzen Grundkenntnisse zu Azure Active Directory und Microsoft Intune.You have basic knowledge of Azure Active Directory and Microsoft Intune
  • Ihre E-Mail-Konten werden in Exchange Online gehostet.Your email accounts are hosted in Exchange Online

Häufige Gründe für die Verwaltung von Geräten (MDM)Common reasons to manage the device (MDM)

Sie können Benutzer ganz einfach dazu bringen, ihre Geräte bei der Geräteverwaltung zu registrieren, indem Sie eine Richtlinie für bedingten Zugriff in Exchange Online bereitstellen.You can easily drive users to enroll their devices into device management by deploying a Conditional Access policy on Exchange Online. Im Folgenden werden die Gründe aufgeführt, warum sich die Verwaltung persönlicher Geräte empfiehlt:Here are the reasons you might want to manage personal devices:

WLAN/VPN – Wenn Ihre Benutzer zur Produktivitätssteigerung ein Unternehmenskonnektivitätsprofil benötigen, so kann dieses nahtlos konfiguriert werden.WiFi/VPN – If your users need a corporate connectivity profile to be productive, this can be seamlessly configured.

Anwendungen – Wenn Ihre Benutzer eine Reihe von Apps benötigen, die mithilfe von Push auf ihre Geräte übertragen werden sollen, können diese nahtlos bereitgestellt werden.Applications – If your users need a set of apps to be pushed to their device, these can be seamlessly delivered. Dazu gehören auch Anwendungen, die Sie für Sicherheitszwecke benötigen, wie eine Mobile Threat Defense-App.This includes applications that you might require for security purposes, like a Mobile Threat Defense app.

Compliance – Einige Organisationen müssen gesetzliche Bestimmungen oder andere Richtlinien einhalten, die bestimmte MDM-Kontrollen vorschreiben.Compliance – Some organizations need to comply with regulatory or other policies that call out specific MDM controls. Beispielsweise müssen Sie mit MDM das gesamte Gerät verschlüsseln oder einen Bericht über alle Apps auf dem Gerät erstellen.For example, you need MDM to encrypt the entire device or to produce a report of all apps on the device.

Häufige Gründe für die ausschließliche Verwaltung von Apps (MAM)Common reasons to only manage the apps (MAM)

MAM ohne MDM ist besonders bei Organisationen beliebt, die BYOD unterstützen.MAM without MDM is very popular for organizations that support BYOD. Sie können Benutzer dazu anhalten, über Outlook Mobile (mit Unterstützung für MAM-Schutz) auf E-Mails zuzugreifen, indem Sie eine Richtlinie für bedingten Zugriff in Exchange Online bereitstellen.You can drive users to access email from Outlook Mobile (which supports MAM protections) by deploying a Conditional Access policy on Exchange Online. Im Folgenden werden die Gründe aufgeführt, warum sich die Verwaltung von ausschließlich Apps auf persönlichen Geräten empfiehlt:Here are the reasons you might want to only manage apps on personal devices:

Benutzerfreundlichkeit – Die MDM-Registrierung beinhaltet viele Warnhinweise (die von der Plattform erzwungen werden), die oft dazu führen, dass der Benutzer seine E-Mails letztlich doch nicht mehr auf seinem persönlichen Gerät abrufen möchte.User experience – MDM enrollment includes many warning prompts (enforced by the platform) that often result in the user deciding they would rather not access their email on their personal device after all. MAM sendet weitaus weniger Warnhinweise an Benutzer, da ihnen lediglich einmal ein Popupfenster angezeigt wird, das sie darüber informiert, dass der MAM-Schutz aktiv ist.MAM is much less alarming to users, as they simply get a pop-up one time to let them know MAM protections are in place.

Compliance – Einige Organisationen müssen sich an Richtlinien halten, die weniger Verwaltungsfunktionen auf persönlichen Geräten erfordern.Compliance – Some organizations need to comply with policies that require less management capabilities on personal devices. So kann MAM beispielsweise nur Unternehmensdaten aus den Apps entfernen, wohingegen MDM alle Daten vom Gerät entfernen kann.For example, MAM is only able to remove corporate data from the apps, as opposed to MDM which is able to remove all data from the device.

Abbildung zum Vergleich der Geräte- und App-Verwaltung auf mobilen Geräten

Weiterer Informationen finden Sie in der Übersicht über die Lebenszyklen von Geräten und Apps.Learn more about device management and app management lifecycles.

Vergleich der MDM- und MAM-FunktionenMDM vs MAM capability comparison

Wie bereits erwähnt, kann der bedingte Zugriff Benutzer dazu bringen, ein Gerät zu registrieren oder eine verwaltete App wie Outlook Mobile zu verwenden.As already mentioned, Conditional Access can drive a user to enroll their device or use a managed app like Outlook Mobile. In beiden Fällen können viele andere Bedingungen angewendet werden. Hierzu gehören u.a. Folgende:Many other conditions can be applied in either case, including:

  • Für das Zulassen des benutzerseitigen ZugriffsWhich user is attempting the access
  • Für das Festlegen von vertrauenswürdigen oder nicht vertrauenswürdigen SpeicherortenWhether the location is trusted or untrusted
  • Für das Festlegen des Risikograds bei der AnmeldungSign-in risk level
  • GeräteplattformDevice platform

Nach wie vor sind zahlreiche Organisationen oftmals mit besonderen Risiken konfrontiert.Still, many organizations often have specific risks they're concerned about. In der folgenden Tabelle werden häufige Probleme und die entsprechenden Antworten bezüglich MDM und MAM aufgelistet.The table below lists the common concerns and MDM vs MAM response to that concern.

ProblemConcern MDMMDM MAMMAM
Nicht autorisierter DatenzugriffUnauthorized data access Erzwingen von GruppenmitgliedschaftenRequire group membership Erzwingen von GruppenmitgliedschaftenRequire group membership
Nicht autorisierter DatenzugriffUnauthorized data access Erzwingen einer GeräteregistrierungRequire device enrollment Erzwingen einer geschützten AppRequire protected app
Nicht autorisierter DatenzugriffUnauthorized data access Erzwingen eines speziellen SpeicherortsRequire specific location Erzwingen eines speziellen SpeicherortsRequire specific location
Gefährdetes BenutzerkontoCompromised user account MFA erforderlichRequire MFA MFA erforderlichRequire MFA
Gefährdetes BenutzerkontoCompromised user account Blockieren von Benutzern mit hohem RisikoBlock high risk users Blockieren von Benutzern mit hohem RisikoBlock high risk users
Gefährdetes BenutzerkontoCompromised user account Geräte-PINDevice PIN App-PINApp PIN
Gefährdetes Gerät oder gefährdete AppCompromised device or app Erzwingen eines konformen GerätsRequire a compliant device Jailbreak-/Stammprüfung beim App-StartJailbreak/root check on app launch
Gefährdetes Gerät oder gefährdete AppCompromised device or app Verschlüsseln von GerätedatenEncrypt device data App-Daten verschlüsselnEncrypt app data
Verlust oder Diebstahl eines GerätsLost or stolen device Entfernen aller GerätedatenRemove all device data Entfernen aller App-DatenRemove all app data
Versehentliche Datenfreigabe oder Speichern an unsicheren SpeicherortenAccidental data sharing or saving to unsecured locations Einschränken von Datensicherungen für GeräteRestrict device data backups Beschränken von Sicherungen von OrganisationsdatenRestrict backups of org data
Versehentliche Datenfreigabe oder Speichern an unsicheren SpeicherortenAccidental data sharing or saving to unsecured locations Einschränken der SpeicherfunktionRestrict save-as Einschränken der SpeicherfunktionRestrict save-as
Versehentliche Datenfreigabe oder Speichern an unsicheren SpeicherortenAccidental data sharing or saving to unsecured locations Drucken deaktivierenDisable printing Drucken von Organisationsdaten deaktivierenDisable printing of org data

Nächste SchritteNext steps

Jetzt ist es an der Zeit zu entscheiden, ob BYOD in Ihrer Organisation ermöglicht und der Schwerpunkt dabei auf der Geräte- oder App-Verwaltung oder auf einer Kombination beider Optionen liegen soll.Now it's time to decide if you are going to enable BYOD in your organization by focusing on device management, app management, or a combination of the two. Die Wahl der Implementierung liegt bei Ihnen. Dabei können Sie darauf vertrauen, dass die Identitäts- und Sicherheitsfeatures von Azure AD in beiden Fällen verfügbar sind.The implementation choice is yours, where you can rest assured that the identity and security features available with Azure AD will be available regardless.

Verwenden Sie das Intune-Planungshandbuch, um Ihre nächste Planungsebene zu planen.Use the Intune Planning Guide to map out your next level of planning.