Technologiebeslissingen voor het inschakelen van BYOD met Microsoft Enterprise Mobility + Security (EMS)
Terwijl u uw strategie ontwikkelt om werknemers in staat te stellen op afstand te werken op hun eigen apparaten (BYOD), moet u belangrijke beslissingen nemen in de scenario's om BYOD in te stellen en uw bedrijfsgegevens te beschermen. Gelukkig biedt EMS alle mogelijkheden die u nodig hebt in een uitgebreide reeks oplossingen.
In dit onderwerp wordt de eenvoudige gebruikscase voor het inschakelen van BYOD-toegang tot zakelijke e-mail onderzocht. We richten ons op het al dan niet beheren van het hele apparaat of alleen de toepassingen, die beide volledig geldige keuzes zijn.
Aannames
- U hebt basiskennis van Azure Active Directory en Microsoft Intune
- Uw e-mailaccounts worden gehost in Exchange Online
Veelvoorkomende redenen om het apparaat te beheren (MDM)
U kunt gebruikers eenvoudig aan het werk zetten om hun apparaten in te schrijven voor apparaatbeheer door een beleid voor voorwaardelijke toegang te implementeren op Exchange Online. Dit zijn de redenen waarom u mogelijk persoonlijke apparaten wilt beheren:
WiFi/VPN: als uw gebruikers een bedrijfsconnectiviteitsprofiel nodig hebben om productief te zijn, kan dit naadloos worden geconfigureerd.
Toepassingen: als uw gebruikers een set apps nodig hebben om naar hun apparaat te worden geduwd, kunnen deze naadloos worden geleverd. Dit geldt ook voor toepassingen die u mogelijk nodig hebt voor beveiligingsdoeleinden, zoals een Mobile Threat Defense-app.
Naleving: sommige organisaties moeten voldoen aan wettelijke of andere beleidsregels waarin specifieke MDM-besturingselementen worden besturingselementen aanroepen. U hebt bijvoorbeeld MDM nodig om het hele apparaat te versleutelen of om een rapport te maken van alle apps op het apparaat.
Veelvoorkomende redenen om alleen de apps te beheren (MAM)
MAM zonder MDM is erg populair voor organisaties die BYOD ondersteunen. U kunt gebruikers toegang geven tot e-mail vanaf Outlook Mobile (dat MAM-beveiliging ondersteunt) door een beleid voor voorwaardelijke toegang op Exchange Online. Dit zijn de redenen waarom u mogelijk alleen apps op persoonlijke apparaten wilt beheren:
Gebruikerservaring: MDM-registratie bevat veel waarschuwingsprompts (afgedwongen door het platform) die er vaak toe leiden dat de gebruiker besluit dat hij of zij toch liever geen toegang heeft tot zijn of haar e-mail op zijn of haar persoonlijke apparaat. MAM is veel minder ongerust voor gebruikers, omdat ze slechts één keer een pop-up krijgen om ze te laten weten dat MAM-beveiligingen zijn op hun plaats.
Naleving: sommige organisaties moeten voldoen aan beleidsregels waarvoor minder beheermogelijkheden nodig zijn op persoonlijke apparaten. Mam kan bijvoorbeeld alleen bedrijfsgegevens uit de apps verwijderen, in tegenstelling tot MDM dat alle gegevens van het apparaat kan verwijderen.
Meer informatie over levenscyclus van apparaatbeheer en app-beheer.
Vergelijking van MDM- en MAM-mogelijkheden
Zoals al is vermeld, kan Voorwaardelijke toegang een gebruiker aan het werk stellen om zijn of haar apparaat in te schrijven of een beheerde app te gebruiken zoals Outlook Mobile. In beide gevallen kunnen veel andere voorwaarden worden toegepast, zoals:
- Welke gebruiker de toegang probeert
- Of de locatie nu vertrouwd of niet-vertrouwd is
- Aanmeldingsrisiconiveau
- Apparaatplatform
Toch hebben veel organisaties vaak specifieke risico's waar ze zich zorgen over maken. In de onderstaande tabel vindt u een overzicht van de algemene problemen en de reactie van MDM versus MAM op die zorg.
| Zorg | MDM | MAM |
|---|---|---|
| Niet-geautoriseerde gegevenstoegang | Groepslidmaatschap vereisen | Groepslidmaatschap vereisen |
| Niet-geautoriseerde gegevenstoegang | Apparaatinschrijving vereisen | Beveiligde app vereisen |
| Niet-geautoriseerde gegevenstoegang | Specifieke locatie vereisen | Specifieke locatie vereisen |
| Gecompromitteerd gebruikersaccount | MFA vereisen | MFA vereisen |
| Gecompromitteerd gebruikersaccount | Gebruikers met een hoog risico blokkeren | Gebruikers met een hoog risico blokkeren |
| Gecompromitteerd gebruikersaccount | Apparaatpinpin | App-pincode |
| Gecompromitteerd apparaat of app | Een compatibel apparaat vereisen | Jailbreak/root check on app launch |
| Gecompromitteerd apparaat of app | Apparaatgegevens versleutelen | App-gegevens versleutelen |
| Verloren of gestolen apparaat | Alle apparaatgegevens verwijderen | Alle app-gegevens verwijderen |
| Per ongeluk gegevens delen of opslaan op onbeveiligde locaties | Back-ups van apparaatgegevens beperken | Back-ups van organisatiegegevens beperken |
| Per ongeluk gegevens delen of opslaan op onbeveiligde locaties | Save-as beperken | Save-as beperken |
| Per ongeluk gegevens delen of opslaan op onbeveiligde locaties | Afdrukken uitschakelen | Afdrukken van organisatiegegevens uitschakelen |
Volgende stappen
Nu is het tijd om te bepalen of u BYOD in uw organisatie wilt inschakelen door u te richten op apparaatbeheer, app-beheer of een combinatie van deze twee. De implementatiekeuze is aan u, waar u er zeker van kunt zijn dat de identiteits- en beveiligingsfuncties die beschikbaar zijn met Azure AD, ongeacht hun mogelijkheden beschikbaar zijn.
Gebruik de Intune-planningshandleiding om uw volgende planningsniveau in kaart te brengen.