MDM Policy
Überlegungen zu Endgeräte-Richtlinien zwischen Privat, BYOD, MAM und MDM mit Firmengeräten. Die meisten Firmen stehen vor der Wahl, welche Endgeräte welche Daten unter welchen Bedingungen erreichen dürfen. Ich habe daher einen Vorschlag erarbeitet, den Sie als Basis für eigene Überlegungen gerne nutzen können. Der Schwerpunkt liegt erst einmal auf Exchange Online.
Geräteklassen
Zuerst schaue ich mir die Besitzer der Geräte an. Da gibt es eigentlich nur wenige Optionen:
- Privatbesitz
Das Gerät gehört dem Anwender und er nutzt es freiwillig, um auf das Firmenpostfach zuzugreifen. Er muss nicht aber wenn er mag, kann die Firma das zulassen. Allerdings nur im Rahmen der Sicherheitsrichtlinie der Firma. Exchange selbst kennt hier ActiveSync-Policies und kann aus der Ferne ein Gerät auch "zurücksetzen". Das wird der Anwender aber nicht tolerieren, dass die Firma das Gerät samt aller privater Daten löscht. Als Firma sollten Sie das auch nicht einrichten, denn die rechtlichen Folgen können auch für die Firma teuer werden.
Allerdings gibt es hier die Option, dass nur einzelne Apps besonders geschützt oder in einem Container ausgeführt werden. - Firmengerät
Das Gerät wird von der Firma gestellt. Vom Management her kann und sollte die Firma das Gerät kontrollieren. Der Anwender muss es ja nicht für private Daten nutzen aber die Firma kann es zulassen. Das Risiko ist aber nicht nur beim Anwender, der damit seine privaten Daten vielleicht der Firma zugänglich macht. Auch die Firma hat ein Risiko, wenn eine private App über das Smartphone auf Firmendaten zugreift und diese ausleitet.
Es sind also entsprechende Regeln zu definieren und auch umzusetzen.
Client Software
Nun stellt sich noch die Frage, mit welcher Client-Software der Anwender auf die Daten zugreift. Sowohl Android als auch IOS sprechen mittlerweile "ActiveSync" und können mit ihrer nativen Mail-App auch ein Exchange Postfach öffnen. Ob Sie als Firma das aber wollen, steht auf einem anderen Blatt.
Von Microsoft gibt es auch noch eine eigene App für die Zusammenarbeit mit Exchange. "Outlook for IOS" und "Outlook for Android" sind zwei spezielle Apps von Microsoft für den Einsatz auf Mobilegeräten. Der Vorteil dabei ist, dass die App auf beiden Smartphone-Typen ziemlich gleich aussieht und der Anwender schon vom Layout damit "Privat" von "geschäftlich" unterscheiden kann. Die mobile Outlook-Version kombiniert auch Mail, Kontakte und Termine in einer App und kann als "Kontainer" betrieben werden.
Über Conditional Access kann ich in Exchange Online mit "Azure AD P1"-Lizenz die Applikation steuern, die auf die Daten zugreifen kann. Die Applikation muss sich dazu natürlich per OAUTH anmelden und nicht mehr nach dem alten Verfahren mit Benutzername/Kennwort. Aber ich kann solche "Legacy Apps" natürlich einfach komplett aussperren und damit nur die moderne Anmeldung mit aktuellen Apps erzwingen.
Management Status
Neben der App zum Zugriff und dem Besitz kann ich zwischen mehreren Zuständen des Geräts selbst unterscheiden:
- Unmanaged
Das Gerät ist überhaupt nicht "verwaltet". Der Status gilt für die meisten Privat-Geräte. Der Anwender kann alles machen aber sie als Firma haben keine Kontrolle über das Geräte. Privatgeräte, die per Apple Family oder Google Family-Link verwalten werden, betrachte ich hier nicht weiter - EAS-Managed
Allein über Exchange ActiveSync (EAS) können Administrator einfache Richtlinien umsetzen. Sie können z.B. eine PIN zum Entsperren oder eine Geräteverschlüsselung erzwingen. Das war lange Zeit die Lösung für Firmengeräte, wenn keine MDM-Software parallel genutzt wurde. Primäres Ziel sind hier aber "Richtlinien" und keine Verwaltung. Es gibt also keine Software-Verteilung oder Inventarisierung. ActiveSync kann sogar "Remote Wipe" aber das betrifft immer das gesamte Gerät. Insofern ist diese Option für private Geräte nicht sinnvoll nutzbar. - MDM-Managed
Eine umfangreiche Kontrolle samt Einblick in die Software und Konfiguration erhalten Sie durch den Einsatz einer MDM-Lösung wie Intune, MobileIron, u.a. Sie können z.B. Einstellungen und Profile verteilen, Software installieren oder sperren und Inventarisierungen abrufen. Mit einer vollwertigen MDM-Lösung haben Sie das Gerät sicher eingebunden. Allerdings wird auch hier kaum ein Anwender sei privates Endgerät solch einer Software unterwerfen - MAM-Managed
Als Mittelweg für "Bring our own device (BYOD)" und Firmenrichtlinien bietet sich eine applikationsbezogene Verwaltung an. Das geht mit Exchange, Teams, OneDrive relativ elegant, da diese Apps alle von Microsoft kommen und entsprechende Richtlinien annehmen. Ein Anwender kann sein privates Gerät nehmen aber muss Outlook Mobile installieren, um auf das Firmenpostfach zuzugreifen. Die native Mail-App des Mobilsystems oder andere Apps kann ein Administrator per Conditional Access einfach sperren. Die Microsoft Komponenten können sich getrennt gesichert werden.
Beispiel-Policy
Basierend auf diesen unterschiedlichen Geräten, Besitzverhältnissen und dem Management Status gibt können Sie dann überlegen, welche Zugänge erlaubt sind. Hier eine Beispielkonfiguration.
Mobil |
Managed |
Wipe |
Android Mail |
Outlook for IOS |
Teams |
OneDrive |
Private Apps | |
---|---|---|---|---|---|---|---|---|
Privat |
Nein |
|
Nein |
Ja | ||||
Privat |
EAS |
|
Device |
Nein mit Conditional Access |
Ja mit Conditional Access |
Ja mit Conditional Access |
Ja mit Conditional Access |
Ja mit Verlust beim Wipe |
Privat |
MAM |
|
Nur App |
Nein mit Conditional Access |
Ja mit Conditional Access |
Ja mit Conditional Access |
Ja mit Conditional Access |
Ja |
Privat |
MDM |
|
Device! |
Ja (EAS) |
Ja |
Ja |
Ja |
Ja mit Verlust beim Wipe |
Firma |
Nein |
|
Aus meiner Sicht sollten Sie Firmengeräte ohne Management nicht tolerieren. |
Ja | ||||
Firma |
EAS |
|
EAS kann nur das gesamte Gerät löschen aber sonst keinen Schutz bieten. Ein Ausleiten von Daten aus dem Firmenkonto über ein privates Konto ist möglich. Wen Sie dies erlauben, dann hat das Gerät den Status einen Privatgeräts |
|||||
Firma |
MAM |
|
Theoretisch könnte man über MAM nur die Firmen-Apps steuern. Wenn Sie kein volles MDM haben, könnte das ein Zwischenschritt sein. Ich rate dennoch davon ab. |
Ja mit Verlust beim Wipe | ||||
Firma |
MDM |
|
Device/App |
Ja (EAS) |
Ja |
Ja |
Ja |
Nein |
Für Firmengeräte sind die Policy sogar noch strenger. Ein Firmengerät ohne Management ist aus meiner Sicht wie ein Privatgerät zu behandeln. Auf Firmengeräte kann ich ein MDM einsetzen und damit dem Benutzer alle Funktionen geben, die er nutzen möchte aber eben auch nur diese. Für ein Firmengerät muss ich mich aber auch nicht auf MAM beschränken da ich ein MDM habe.
Diese Richtlinien sind natürlich nur ein Beispiel. Wenn Sie Firmengeräte aber keine MDM-Lösung einsetzen können, dann müssen Sie wohl oder übel die Richtlinien etwas lockern, damit Anwender arbeiten können. In dem Fall "könnte " die oben beschrieben "Light-Version" mit ActiveSync ein Zwischenschritt sein.