MDM Policy

Überlegungen zu Endgeräte-Richtlinien zwischen Privat, BYOD, MAM und MDM mit Firmengeräten. Die meisten Firmen stehen vor der Wahl, welche Endgeräte welche Daten unter welchen Bedingungen erreichen dürfen. Ich habe daher einen Vorschlag erarbeitet, den Sie als Basis für eigene Überlegungen gerne nutzen können. Der Schwerpunkt liegt erst einmal auf Exchange Online.

Geräteklassen

Zuerst schaue ich mir die Besitzer der Geräte an. Da gibt es eigentlich nur wenige Optionen:

  • Privatbesitz
    Das Gerät gehört dem Anwender und er nutzt es freiwillig, um auf das Firmenpostfach zuzugreifen. Er muss nicht aber wenn er mag, kann die Firma das zulassen. Allerdings nur im Rahmen der Sicherheitsrichtlinie der Firma. Exchange selbst kennt hier ActiveSync-Policies und kann aus der Ferne ein Gerät auch "zurücksetzen". Das wird der Anwender aber nicht tolerieren, dass die Firma das Gerät samt aller privater Daten löscht. Als Firma sollten Sie das auch nicht einrichten, denn die rechtlichen Folgen können auch für die Firma teuer werden.
    Allerdings gibt es hier die Option, dass nur einzelne Apps besonders geschützt oder in einem Container ausgeführt werden.
  • Firmengerät
    Das Gerät wird von der Firma gestellt. Vom Management her kann und sollte die Firma das Gerät kontrollieren. Der Anwender muss es ja nicht für private Daten nutzen aber die Firma kann es zulassen. Das Risiko ist aber nicht nur beim Anwender, der damit seine privaten Daten vielleicht der Firma zugänglich macht. Auch die Firma hat ein Risiko, wenn eine private App über das Smartphone auf Firmendaten zugreift und diese ausleitet.

Es sind also entsprechende Regeln zu definieren und auch umzusetzen.

Client Software

Nun stellt sich noch die Frage, mit welcher Client-Software der Anwender auf die Daten zugreift. Sowohl Android als auch IOS sprechen mittlerweile "ActiveSync" und können mit ihrer nativen Mail-App auch ein Exchange Postfach öffnen. Ob Sie als Firma das aber wollen, steht auf einem anderen Blatt.

Von Microsoft gibt es auch noch eine eigene App für die Zusammenarbeit mit Exchange. "Outlook for IOS" und "Outlook for Android" sind zwei spezielle Apps von Microsoft für den Einsatz auf Mobilegeräten. Der Vorteil dabei ist, dass die App auf beiden Smartphone-Typen ziemlich gleich aussieht und der Anwender schon vom Layout damit "Privat" von "geschäftlich" unterscheiden kann. Die mobile Outlook-Version kombiniert auch Mail, Kontakte und Termine in einer App und kann als "Kontainer" betrieben werden.

Über Conditional Access kann ich in Exchange Online mit "Azure AD P1"-Lizenz die Applikation steuern, die auf die Daten zugreifen kann. Die Applikation muss sich dazu natürlich per OAUTH anmelden und nicht mehr nach dem alten Verfahren mit Benutzername/Kennwort. Aber ich kann solche "Legacy Apps" natürlich einfach komplett aussperren und damit nur die moderne Anmeldung mit aktuellen Apps erzwingen.

Management Status

Neben der App zum Zugriff und dem Besitz kann ich zwischen mehreren Zuständen des Geräts selbst unterscheiden:

  • Unmanaged
    Das Gerät ist überhaupt nicht "verwaltet". Der Status gilt für die meisten Privat-Geräte. Der Anwender kann alles machen aber sie als Firma haben keine Kontrolle über das Geräte. Privatgeräte, die per Apple Family oder Google Family-Link verwalten werden, betrachte ich hier nicht weiter
  • EAS-Managed
    Allein über Exchange ActiveSync (EAS) können Administrator einfache Richtlinien umsetzen. Sie können z.B. eine PIN zum Entsperren oder eine Geräteverschlüsselung erzwingen. Das war lange Zeit die Lösung für Firmengeräte, wenn keine MDM-Software parallel genutzt wurde. Primäres Ziel sind hier aber "Richtlinien" und keine Verwaltung. Es gibt also keine Software-Verteilung oder Inventarisierung. ActiveSync kann sogar "Remote Wipe" aber das betrifft immer das gesamte Gerät. Insofern ist diese Option für private Geräte nicht sinnvoll nutzbar.
  • MDM-Managed
    Eine umfangreiche Kontrolle samt Einblick in die Software und Konfiguration erhalten Sie durch den Einsatz einer MDM-Lösung wie Intune, MobileIron, u.a. Sie können z.B. Einstellungen und Profile verteilen, Software installieren oder sperren und Inventarisierungen abrufen. Mit einer vollwertigen MDM-Lösung haben Sie das Gerät sicher eingebunden. Allerdings wird auch hier kaum ein Anwender sei privates Endgerät solch einer Software unterwerfen
  • MAM-Managed
    Als Mittelweg für "Bring our own device (BYOD)" und Firmenrichtlinien bietet sich eine applikationsbezogene Verwaltung an. Das geht mit Exchange, Teams, OneDrive relativ elegant, da diese Apps alle von Microsoft kommen und entsprechende Richtlinien annehmen. Ein Anwender kann sein privates Gerät nehmen aber muss Outlook Mobile installieren, um auf das Firmenpostfach zuzugreifen. Die native Mail-App des Mobilsystems oder andere Apps kann ein Administrator per Conditional Access einfach sperren. Die Microsoft Komponenten können sich getrennt gesichert werden.

Beispiel-Policy

Basierend auf diesen unterschiedlichen Geräten, Besitzverhältnissen und dem Management Status gibt können Sie dann überlegen, welche Zugänge erlaubt sind. Hier eine Beispielkonfiguration.

Mobil
Gerät

Managed

 

Wipe
bei Exit

Android Mail
IOS Mail

Outlook for IOS
Outlook for Android

Teams

OneDrive

Private Apps

Privat

Nein

 

Nein

Ja

Privat

EAS

 

Device

Nein mit Conditional Access

Ja  mit Conditional Access

Ja  mit Conditional Access

Ja  mit Conditional Access

Ja mit Verlust beim Wipe

Privat

MAM

 

Nur App

Nein mit Conditional Access

Ja  mit Conditional Access

Ja  mit Conditional Access

Ja  mit Conditional Access

Ja

Privat

MDM

 

Device!

Ja (EAS)

Ja

Ja

Ja

Ja mit Verlust beim Wipe

Firma

Nein

 

Aus meiner Sicht sollten Sie Firmengeräte ohne Management nicht tolerieren.

Ja

Firma

EAS

 

EAS kann nur das gesamte Gerät löschen aber sonst keinen Schutz bieten. Ein Ausleiten von Daten aus dem Firmenkonto über ein privates Konto ist möglich. Wen Sie dies erlauben, dann hat das Gerät den Status einen Privatgeräts

Firma

MAM

 

Theoretisch könnte man über MAM nur die Firmen-Apps steuern. Wenn Sie kein volles MDM haben, könnte das ein Zwischenschritt sein. Ich rate dennoch davon ab.

Ja mit Verlust beim Wipe

Firma

MDM

 

Device/App

Ja (EAS)

Ja

Ja

Ja

Nein

Für private Geräte habe ich vorgegeben, dass Sie ohne Management oder Policies gar nicht zugreifen dürften. Wenn Sie das Gerät einer kompletten MDM-Policy der Firma unterwerfen, dann können Sie auch mit den native Apps arbeiten. Aber kaum ein Anwender wird ein Löschen aus der Ferne auf das Gerät erlauben. Die Beschränkung auf von der Firma unterstützter Apps, die eigene Richtlinien für die jeweilige App umsetzen, könnte ein Mittelweg für BYOD sein.

Für Firmengeräte sind die Policy sogar noch strenger. Ein Firmengerät ohne Management ist aus meiner Sicht wie ein Privatgerät zu behandeln. Auf Firmengeräte kann ich ein MDM einsetzen und damit dem Benutzer alle Funktionen geben, die er nutzen möchte aber eben auch nur diese. Für ein Firmengerät muss ich mich aber auch nicht auf MAM beschränken da ich ein MDM habe.

Diese Richtlinien sind natürlich nur ein Beispiel. Wenn Sie Firmengeräte aber keine MDM-Lösung einsetzen können, dann müssen Sie wohl oder übel die Richtlinien etwas lockern, damit Anwender arbeiten können. In dem Fall "könnte " die oben beschrieben "Light-Version" mit ActiveSync ein Zwischenschritt sein.

Weitere Links