BLOG
Wissenstransfer von IT-Spezialisten

Teil 5 – Sichere Bereitstellung von Unternehmensdaten auf privaten mobilen Endgeräten mit Microsoft Endpoint Manager Intune

Herzlich willkommen zu Teil fünf der Reihe rund um modernes Arbeiten mit sicheren gemanagten Geräten.

In den letzten Blogposts habe ich auf verschiede Arten vorgestellt, wie Firmengeräte sicher und modern verwaltet werden können. Fast jedes Szenario lässt sich mit den beschriebenen Methoden abbilden.

Im heutigen Blogpost möchte ich auf das Szenario „Nutzung privater mobiler Geräte zum sicheren Zugriff auf Unternehmensdaten“ eingehen.

Private Endgeräte und sicherer Firmenzugriff – Diese Kombination hört sich zunächst einmal widersprüchlich an. Lassen Sie mich Ihnen zeigen, wie der Widerspruch mit Hilfe von Intune aufgelöst werden kann!

Nicht erst seit ein paar Monaten wollen mehr und mehr BenutzerInnen „mal eben Mails checken“ oder „den Teams-Call mit den KollegInnen aus den USA“ Abends zu Hause erledigen, ohne dafür das Notebook starten zu müssen. Aber nicht jede/r hat ein Smartphone, dass von der Firma zur Verfügung gestellt wird. Da liegt es doch Nahe, die vorhandenen privaten iPhones, iPads oder Android-Geräte der AnwenderInnen direkt zu nutzen. Aber diesen Geräten einfach Zugriff auf Unternehmensdaten geben? Ein NoGo!

 

Mobile Application Management

Die einfachste Lösung für diese Aufgabe mit Intune sind Application Protection Policies und Application Configuration Policies. Beide zusammen werden typischerweise als „Mobile Application Management“ (MAM) bezeichnet und sind sowohl mit iOS als auch mit Android nutzbar.

Applikationen, die Mobile Application Management unterstützen, erlauben die Trennung von geschäftlichen und privaten Daten innerhalb der Applikation.

In der folgenden Darstellung ist ersichtlich, dass innerhalb von Word mobile zwei separierte Bereiche vorhanden sind: Bereich eins für persönliche Daten, der verschlüsselte Bereich zwei für geschäftliche.

 

Quelle: App protection policies overview – Microsoft Intune | Microsoft Docs

Durch die Separierung der Daten innerhalb der Applikation kann beispielsweise sichergestellt werden, dass Firmen-Emails nicht mit einem privaten E-Mail Account versendet werden, oder Inhalte der E-Mails versehentlich nach WhatsApp & Co. kopiert werden können.

Im Gegensatz zum klassischen Mobile Device Management benötigt die Firma keinen administrativen Zugriff auf dem genutzten Endgerät um Firmendaten zu schützen – langwierige Debatten um Rechte und Pflichten der IT auf den privaten Endgeräten entfallen somit.

Soll der Zugriff auf die Unternehmensdaten entzogen werden, werden die auf dem Gerät gespeicherten Daten einfach remote gelöscht, ohne private Daten oder Einstellungen zu verändern. Dies macht Mobile Application Management auch zur idealen Lösung für externe MitarbeiterInnen.

 

Android Work Profile

Eine weitere interessante Möglichkeit auf Android-Geräten ist das Work-Profile. Mit dem Work-Profile werden Unternehmensdaten innerhalb eines eigenen Containers auf dem Gerät gespeichert.

Im Gegensatz zu Mobile Application Management geht es hier nicht um die Separierung der Daten innerhalb der Applikation, sondern auf einer höheren Ebene.

So ist es zum Beispiel auch möglich, Applikationen, die MAM nicht unterstützen, sicher im Work-Profile zu betreiben.

Verwaltete Applikationen lassen sich im Work-Profile auch über Intune auf dem Gerät installieren, ohne den privaten Play Store Account der MitarbeiterInnen zu nutzen. So installierte Applikationen werden mit einem Aktenkoffersymbol abgelegt.

Quelle: Android 9 Pie: Improving productivity, security, and digital wellbeing for the enterprise (blog.google)

Soll der Zugriff auf Unternehmensdaten entfernt werden, wird das Work-Profile mit sämtlichen Unternehmensdaten entfernt. Die privaten Daten und die Konfiguration des Android-Geräts sind davon nicht beeinträchtigt.

Auch für iOS-Geräte gibt es eine Vielzahl an Optionen die an Ihre Bedürfnisse angepasst werden können.

Sie sehen, von Bring Your Own Device bis fully managed – mit Microsoft Endpoint Manager gibt es eine breite Palette an Möglichkeiten zur Verwaltung Ihrer Endgeräte.

Viele Unternehmen haben Microsoft Endpoint Manager über M365 bereits lizensiert, schöpfen ihre Möglichkeiten aber noch nicht aus. Um einen Überblick über den Funktionsumfang von Microsoft Endpoint Manager zu erhalten, melden Sie sich gerne bei sales@sepago.de