Decisões tecnológicas para ativar o BYOD com o Microsoft Enterprise Mobility + Security
Ao desenvolver a sua estratégia para permitir que os funcionários trabalhem remotamente a partir dos respetivos dispositivos (BYOD), precisará de tomar decisões chave nos cenários de ativação do BYOD e proteção os seus dados empresariais. Felizmente, o EMS oferece todas as funcionalidades necessárias num conjunto completo de soluções.
Neste tópico, examinamos o caso simples de utilização da permissão de acesso BYOD ao e-mail empresarial. Vamos focar-nos em saber se precisas ou não de gerir todo o dispositivo ou apenas as aplicações, ambas são escolhas completamente válidas.
Pressupostos
- Tem conhecimentos básicos sobre o Azure Active Directory e o Microsoft Intune
- As suas contas de e-mail estão alojadas no Exchange Online
Motivos mais comuns para gerir o dispositivo (MDM)
Pode facilmente levar os utilizadores a inscreverem os seus dispositivos na gestão do dispositivo, implementando uma política de Acesso Condicional no Exchange Online. Eis os motivos pelos quais poderá querer gerir dispositivos pessoais:
Wi-Fi/VPN: se os seus utilizadores precisarem de um perfil de conectividade empresarial para serem produtivos, isto pode ser configurado sem problemas.
Aplicações: se os seus utilizadores precisarem de instalar um conjunto de aplicações nos respetivos dispositivos, isto pode ser feito sem problemas. Isto inclui aplicações que poderá precisar por motivos de segurança, como uma aplicação de Defesa Contra Ameaças para Dispositivos Móveis.
Conformidade: algumas organizações precisam de cumprir políticas de regulamentação ou outras políticas que necessitem de controlos de MDM específicos. Por exemplo, precisa da MDM para encriptar todo o dispositivo ou para criar um relatório de todas as aplicações do dispositivo.
Motivos mais comuns para gerir apenas as aplicações (MAM)
A MAM sem a MDM é muito popular em organizações que suportam o BYOD. Pode levar os utilizadores a acederem a e-mails a partir de Outlook Mobile (que suporta as proteções MAM) implementando uma política de Acesso Condicional no Exchange Online. Eis os motivos pelos quais poderá querer gerir apenas as aplicações em dispositivos pessoais:
Experiência do utilizador: a inscrição na MDM inclui muitos pedidos de avisos (implementados pela plataforma) que, muitas vezes, fazem com que o utilizador opte por não aceder ao e-mail no respetivo dispositivo pessoal. A MAM é muito menos alarmante para os utilizadores, uma vez que apenas recebem um pop-up uma vez para os informar de que as proteções da MAM estão implementadas.
Conformidade: algumas organizações precisam de cumprir políticas que exigem menos funcionalidades de gestão em dispositivos pessoais. Por exemplo, a MAM só consegue remover dados empresariais de aplicações, em oposição à MDM que consegue remover todos os dados de um dispositivo.
Saiba mais sobre os ciclos de vida da gestão de dispositivos e aplicações.
Comparação entre as funcionalidades da MDM e da MAM
Como já foi mencionado, o Conditional Access pode levar um utilizador a inscrever o seu dispositivo ou a utilizar uma aplicação gerida como Outlook Mobile. Muitas outras condições podem ser aplicadas em cada um dos casos, incluindo:
- Que utilizador está a tentar aceder
- Se a localização é de confiança ou não
- Nível de risco de início de sessão
- Plataforma de dispositivo
Ainda assim, muitas organizações têm muitas vezes riscos específicos com os que estão preocupados. A tabela abaixo lista as preocupações mais comuns e as respostas da MDM e da MAM para essas preocupações.
| Preocupação | MDM | MAM |
|---|---|---|
| Acesso a dados não autorizado | Exigir a associação a grupos | Exigir a associação a grupos |
| Acesso a dados não autorizado | Exigir a inscrição de dispositivos | Exigir aplicação protegida |
| Acesso a dados não autorizado | Exigir localização específica | Exigir localização específica |
| Conta de utilizador comprometida | Requerer MFA | Requerer MFA |
| Conta de utilizador comprometida | Bloquear utilizadores de alto risco | Bloquear utilizadores de alto risco |
| Conta de utilizador comprometida | PIN do dispositivo | PIN da aplicação |
| Aplicação comprometida ou dispositivo comprometido | Exigir um dispositivo em conformidade | Jailbreak/root check no lançamento da aplicação |
| Aplicação comprometida ou dispositivo comprometido | Encriptar os dados do dispositivo | Encriptar dados da aplicação |
| Perda ou roubo do dispositivo | Remover todos os dados do dispositivo | Remover todos os dados da aplicação |
| Dados guardados em localizações não protegidas ou partilhados acidentalmente | Restringir as cópias de segurança dos dados do dispositivo | Restringir cópias de segurança de dados org |
| Dados guardados em localizações não protegidas ou partilhados acidentalmente | Restringir a opção Guardar Como | Restringir a opção Guardar Como |
| Dados guardados em localizações não protegidas ou partilhados acidentalmente | Desativar a impressão | Desativar a impressão de dados org |
Passos seguintes
Agora é hora de decidir se vai ativar o BYOD na sua organização, focando-se na gestão de dispositivos, gestão de aplicações ou uma combinação dos dois. A escolha de implementação é sua, mas seja qual for a sua opção, pode ter sempre a certeza de que as funcionalidades de identidade e segurança do Azure AD estarão disponíveis.
Utilize o Guia de Planeamento do Intune para mapear o seu próximo nível de planeamento.