Technologiebeslissingen voor het inschakelen van BYOD met Microsoft Enterprise Mobility + Security (EMS)

Terwijl u uw strategie ontwikkelt om werknemers in staat te stellen op afstand te werken op hun eigen apparaten (BYOD), moet u belangrijke beslissingen nemen in de scenario's om BYOD in te stellen en uw bedrijfsgegevens te beschermen. Gelukkig biedt EMS alle mogelijkheden die u nodig hebt in een uitgebreide reeks oplossingen.

In dit onderwerp wordt de eenvoudige gebruikscase voor het inschakelen van BYOD-toegang tot zakelijke e-mail onderzocht. We richten ons op het al dan niet beheren van het hele apparaat of alleen de toepassingen, die beide volledig geldige keuzes zijn.

Aannames

  • U hebt basiskennis van Azure Active Directory en Microsoft Intune
  • Uw e-mailaccounts worden gehost in Exchange Online

Veelvoorkomende redenen om het apparaat te beheren (MDM)

U kunt gebruikers eenvoudig aan het werk zetten om hun apparaten in te schrijven voor apparaatbeheer door een beleid voor voorwaardelijke toegang te implementeren op Exchange Online. Dit zijn de redenen waarom u mogelijk persoonlijke apparaten wilt beheren:

WiFi/VPN: als uw gebruikers een bedrijfsconnectiviteitsprofiel nodig hebben om productief te zijn, kan dit naadloos worden geconfigureerd.

Toepassingen: als uw gebruikers een set apps nodig hebben om naar hun apparaat te worden geduwd, kunnen deze naadloos worden geleverd. Dit geldt ook voor toepassingen die u mogelijk nodig hebt voor beveiligingsdoeleinden, zoals een Mobile Threat Defense-app.

Naleving: sommige organisaties moeten voldoen aan wettelijke of andere beleidsregels waarin specifieke MDM-besturingselementen worden besturingselementen aanroepen. U hebt bijvoorbeeld MDM nodig om het hele apparaat te versleutelen of om een rapport te maken van alle apps op het apparaat.

Veelvoorkomende redenen om alleen de apps te beheren (MAM)

MAM zonder MDM is erg populair voor organisaties die BYOD ondersteunen. U kunt gebruikers toegang geven tot e-mail vanaf Outlook Mobile (dat MAM-beveiliging ondersteunt) door een beleid voor voorwaardelijke toegang op Exchange Online. Dit zijn de redenen waarom u mogelijk alleen apps op persoonlijke apparaten wilt beheren:

Gebruikerservaring: MDM-registratie bevat veel waarschuwingsprompts (afgedwongen door het platform) die er vaak toe leiden dat de gebruiker besluit dat hij of zij toch liever geen toegang heeft tot zijn of haar e-mail op zijn of haar persoonlijke apparaat. MAM is veel minder ongerust voor gebruikers, omdat ze slechts één keer een pop-up krijgen om ze te laten weten dat MAM-beveiligingen zijn op hun plaats.

Naleving: sommige organisaties moeten voldoen aan beleidsregels waarvoor minder beheermogelijkheden nodig zijn op persoonlijke apparaten. Mam kan bijvoorbeeld alleen bedrijfsgegevens uit de apps verwijderen, in tegenstelling tot MDM dat alle gegevens van het apparaat kan verwijderen.

Afbeelding van apparaat- en app-beheer op mobiele apparaten vergelijken

Meer informatie over levenscyclus van apparaatbeheer en app-beheer.

Vergelijking van MDM- en MAM-mogelijkheden

Zoals al is vermeld, kan Voorwaardelijke toegang een gebruiker aan het werk stellen om zijn of haar apparaat in te schrijven of een beheerde app te gebruiken zoals Outlook Mobile. In beide gevallen kunnen veel andere voorwaarden worden toegepast, zoals:

  • Welke gebruiker de toegang probeert
  • Of de locatie nu vertrouwd of niet-vertrouwd is
  • Aanmeldingsrisiconiveau
  • Apparaatplatform

Toch hebben veel organisaties vaak specifieke risico's waar ze zich zorgen over maken. In de onderstaande tabel vindt u een overzicht van de algemene problemen en de reactie van MDM versus MAM op die zorg.

Zorg MDM MAM
Niet-geautoriseerde gegevenstoegang Groepslidmaatschap vereisen Groepslidmaatschap vereisen
Niet-geautoriseerde gegevenstoegang Apparaatinschrijving vereisen Beveiligde app vereisen
Niet-geautoriseerde gegevenstoegang Specifieke locatie vereisen Specifieke locatie vereisen
Gecompromitteerd gebruikersaccount MFA vereisen MFA vereisen
Gecompromitteerd gebruikersaccount Gebruikers met een hoog risico blokkeren Gebruikers met een hoog risico blokkeren
Gecompromitteerd gebruikersaccount Apparaatpinpin App-pincode
Gecompromitteerd apparaat of app Een compatibel apparaat vereisen Jailbreak/root check on app launch
Gecompromitteerd apparaat of app Apparaatgegevens versleutelen App-gegevens versleutelen
Verloren of gestolen apparaat Alle apparaatgegevens verwijderen Alle app-gegevens verwijderen
Per ongeluk gegevens delen of opslaan op onbeveiligde locaties Back-ups van apparaatgegevens beperken Back-ups van organisatiegegevens beperken
Per ongeluk gegevens delen of opslaan op onbeveiligde locaties Save-as beperken Save-as beperken
Per ongeluk gegevens delen of opslaan op onbeveiligde locaties Afdrukken uitschakelen Afdrukken van organisatiegegevens uitschakelen

Volgende stappen

Nu is het tijd om te bepalen of u BYOD in uw organisatie wilt inschakelen door u te richten op apparaatbeheer, app-beheer of een combinatie van deze twee. De implementatiekeuze is aan u, waar u er zeker van kunt zijn dat de identiteits- en beveiligingsfuncties die beschikbaar zijn met Azure AD, ongeacht hun mogelijkheden beschikbaar zijn.

Gebruik de Intune-planningshandleiding om uw volgende planningsniveau in kaart te brengen.