Mobile Device Management und Mobile Application Management mit Microsoft Intune
MDM und MAM mit Intune / Endpoint Protection
Die Hackerangriffe auf Unternehmen in Deutschland nehmen weiterhin zu, daher wird die IT-Sicherheit zunehmend wichtiger für einen erfolgreichen Geschäftsbetrieb. In unserem heutigen Beitrag möchten wir Sie darauf aufmerksam machen, wie wichtig ein zentrales Gerätemanagement im Unternehmen ist und wie es bei richtigem Einsatz vor Cyber-Crime schützen kann.
In der Standardkonfiguration in M365 kann ein Anwender mit jedem Gerät und von überall auf der Welt auf die Geschäftsdaten in Microsoft 365 zugreifen, d.h.:
- Geschäftsmailbox im privaten Notebook oder Mobiltelefon einrichten
- Dateien aus Teams/SharePoint/OneDrive auf jedes Gerät runterladen
Aus Informationssicherheitssicht ist darauf zu achten, dass Geschäftsdaten in der Regel nur auf Geschäftsgeräten gespeichert werden. Dies ist nur möglich mit Microsoft Intune als Geräteverwaltung in Verbindung mit Policies für den bedingten Zugriff (Conditional Access).
Für die IT-Abteilung entstehen dadurch große Herausforderungen. Wie kann sie die Vielzahl und Vielfalt der mobilen Endgeräte und Konfigurationen unter Kontrolle bringen? Ist der Zugriff berechtigt? Wie sieht es mit dem Datenschutz oder der Trennung privater und geschäftlicher Daten aus? Wie verwaltet sie die Geräte effizient und sicher? Schließlich geraten auch mobile Geräte immer stärker ins Fadenkreuz von Angreifern, da sie Funktionen für geschäftskritische Prozesse bieten und mit dem Backend des Unternehmens verbunden sind. Hier kommt Microsoft Intune ins Spiel.
MDM und MAM mit Microsoft Intune
Microsoft Intune ist ein cloudbasierter Dienst für die Verwaltung mobiler Geräte (MDM, Mobile Device Management) und mobiler Anwendungen (MAM, Mobile Application Management). Der Service ist fester Bestandteil von Microsoft 365 (Lizenzen Microsoft 365 Business Premium + Microsoft 365 Enterprise E3, F5 und F1) und eine Komponente von Microsoft Enterprise Mobility and Security (EMS). Intune ist in Azure Active Directory (Azure AD) zur Verwaltung der Identitäten integriert sowie mit Azure Information Protection verbunden, um die Vertraulichkeit von Daten einschließlich der Verschlüsselung zu gewährleisten. Die Konfiguration und Bedienung von Intune erfolgt meist über das Microsoft Endpoint Manager Admin Center.
Über die MDM-Funktionen von Microsoft Intune erfolgen Inventarisierung und Asset Management. Zudem ist es möglich, zentral Sicherheitseinstellungen und Richtlinien für Smartphones oder Tablets festzulegen, Konfigurationen zu verändern oder Zugriffsrechte zu definieren. Verlorene oder gestohlene Geräte lassen sich sperren oder aus der Ferne löschen. MAM regelt, auf welche Anwendungen die Nutzer zugreifen dürfen, und gewährleistet, dass die Installation und der Zugriff auf alle Apps nur nach den Unternehmensrichtlinien erfolgen.
Firmen können Microsoft Intune über die Cloud für folgende Bereiche einsetzen:
- Zugriff auf Daten und Netzwerke regeln über einheitliche Richtlinien zum Schutz der Unternehmensdaten: Welche Benutzer dürfen was?
- Ressourcen steuern und Mindeststandards für kompatible Geräte und Apps (Konformitätsrichtlinien) definieren
- Bereitstellen und Authentifizieren von passenden Apps auf den Geräten
- Windows 10 bereitstellen etwa über Windows Autopilot
MDM: Verwalten von Geräten
Mit Microsoft Intune lassen sich sowohl unternehmenseigene als auch die privaten Geräte der Mitarbeiter (BYOD Bring Your Own Device) verwalten.
Firmeneigene Geräte und deren Nutzer werden grundsätzlich in Intune registriert. Damit hat die IT-Abteilung jederzeit Einblick in den Gerätebestand, die installierte Software, genutzte Lizenzen und die Zugriffe auf das Unternehmensnetzwerk. Zudem kann sie in Intune für verschiedene Plattformen (iOS, Windows, Android) Profile mit bestimmten Regeln, Einstellungen und Funktionen konfigurieren, die den Richtlinien entsprechen. Es ist beispielsweise möglich, Kennwort- und PIN-Anforderungen festzulegen, eine VPN-Verbindung zu erstellen oder den Virenschutz einzurichten. Zudem lassen sich Zertifikate per Push an Geräte übermitteln, damit Benutzer problemlos auf Ihr WLAN zugreifen oder über ein VPN eine Verbindung mit Ihrem Netzwerk herstellen können. Das entsprechende Profil wird auf das Gerät übertragen, nachdem es bei Intune registriert ist.
Dank Microsoft Intune können die Mitarbeiter auch ihre persönlichen Geräte nutzen. Hier sorgt Intune dafür, dass die Unternehmensdaten von den persönlichen Daten getrennt sind, oder gibt nur bestimmte Ressourcen frei, wenn sich der Nutzer mit seinem persönlichen Profil anmeldet. Wichtig: Persönliche Daten sind für die IT-Abteilung der Organisation nicht sichtbar. Daten, auf die der Zugriff mithilfe von Anmeldeinformationen der Firma erfolgt, erhalten zusätzlichen Sicherheitsschutz.
Wenn die Nutzer auf alle Firmen-Ressourcen zugreifen wollen, müssen sie sich mit ihrem Firmenprofil bei Intune registrieren. Wollen sie etwa nur auf E-Mail oder Microsoft Teams zugreifen, reichen App-Schutzrichtlinien, die mehrstufige Authentifizierung (Multi-Faktor-Authentication/ MFA) erfordern, um diese Apps zu verwenden.
MAM: Verwalten von Apps
Auch die Verwaltung mobiler Anwendungen (Mobile Application Management, MAM) erfolgt sowohl für unternehmenseigene als auch für persönliche Geräte. Die IT-Abteilung kann bestimmte Richtlinien konfigurieren, um Anwendungen zu steuern. Es ist möglich, Apps so zu konfigurieren, dass sie mit bestimmten Einstellungen gestartet oder ausgeführt werden. So lässt sich etwa verhindern, dass E-Mails an Personen außerhalb des Unternehmens gesendet werden, oder es lassen sich Aktionen einschränken, die Beschäftigte ausführen können, etwa Kopieren und Einfügen, Speichern und Anzeigen.
Microsoft Intune erlaubt zudem, mobile Apps bestimmten Benutzergruppen, einzelnen Nutzern und Geräten hinzufügen und zuzuweisen, vorhandene Anwendungen zu aktualisieren sowie Unternehmens-Daten selektiv aus Apps zu löschen. Zudem erzeugt Intune Berichte, welche Apps wie und wie lange verwendet werden, um die Nutzung nachzuverfolgen und eine Übersicht zu erhalten.
Für umfassenderen Schutz und mehr Sicherheit in Windows 10, Microsoft 365 und auch auf Microsoft-fremden Lösungen lässt sich Intune in Kombination mit den anderen Diensten von Microsoft EMS nutzen. Dazu gehören beispielsweise Azure Active Directory für die Identitäts- und Zugriffsverwaltung, Microsoft Endpoint Configuration Manager zur Verwaltung lokaler PCs oder Server, Azure Information Protection zum Schutz von Daten in der Cloud oder Microsoft Advanced Threat Analytics zur Abwehr von komplexen zielgerichteten Cyberangriffen
Kombination mit Windows Autopilot
In Kombination mit Windows Autopilot bildet Intune zudem ein effizientes Duo für die effiziente und sichere Bereitstellung von (mobilen) Endgeräten. Diese Aufgabe ist für die IT-Abteilung oft mit hohem manuellem Aufwand verbunden, um Windows-Images zu entwickeln, anzupassen und später auf den Geräten zu installieren. Windows Autopilot vereinfacht und automatisiert diesen Prozess weitgehend, indem er Geräte remote vorkonfiguriert und einrichtet, damit Mitarbeiter direkt damit arbeiten können. Windows Autopilot lässt sich auch zum Zurücksetzen und Wiederherstellen von Geräten verwenden.
Wenn der IT-Admin den Client für einen Mitarbeiter vorab in der Azure Cloud registriert, erkennt das System beim ersten Start des Gerätes durch die Eingabe der Zugangsdaten automatisch, wie es über Windows Autopilot konfiguriert werden soll. Nach der vordefinierten Konfiguration kann der Nutzer direkt mit dem System arbeiten und hat Zugriff auf alle wichtigen Unternehmensanwendungen.
Microsoft Intune sorgt bei dieser cloudbasierten Bereitstellung und Verwaltung von Firmengeräten und -anwendungen für die notwendige Sicherheit durch die zentrale Durchsetzung von einheitlichen Richtlinien – mit allen oben beschriebenen Funktionen. Damit können Firmen den gesamten Lebenszyklus eines Endgeräts sicher und transparent in der Cloud abbilden – vom ersten Setup über regelmäßige Updates bis hin zum Zurücksetzen auf Werkseinstellungen.
Richtlinien
Mit dem Einsatz von Microsoft Intune realisieren Sie ein unternehmensweites und betriebssystemübergreifendes Gerätemanagement für Windows 10 und Windows 11, sowie iOS, Android, MacOS, Linux und ChromeOS. Durch den gezielten Einsatz verschiedener Richtlinien auf Endgeräte im Unternehmen wird dadurch der Zugriff auf Unternehmensdaten kontrolliert und der Schutz der Vertraulichkeit der Daten verbessert.
Konformitätsrichtlinien
Konformitätsrichtlinien legen dabei Regeln fest, nach denen ein Gerät als “compliant” oder auch “unternehmenskonform” identifiziert wird. Über Konfigurationsprofile lassen sich z. B. WLAN- und Browser Einstellungen verteilen. Über bestimmte Sicherheitsrichtlinien wird eingestellt, wie die Nutzung der Festplattenverschlüsselung (Bitlocker) erfolgt oder welche Antivirus Einstellungen bei den verschiedenen Endgeräten umgesetzt werden.
App-Schutzrichtlinien
App-Schutzrichtlinien wiederum bieten eine Möglichkeit, die Wahrscheinlichkeit des Verlustes von Daten aus verwalteten Unternehmensanwendungen zu minimieren.
Integrierte Softwareverteilung
Die in Microsoft Intune integrierte Softwareverteilung installiert automatisch zentral genehmigte Software auf allen Gerätetypen. Zusätzlich definiert der Administrator des Unternehmens/Intune die Konfiguration der Update Einstellungen.
Durch das auf den Notebooks und Smartphones installierte Microsoft Unternehmensportal (Company Portal) können Anwender zusätzlich vom Unternehmen zur Verfügung gestellte Software bei Bedarf selbstständig nachinstallieren. Zusätzlich erlaubt Intune die Konfiguration einzelner Anwendungen und die Zuweisung zu spezifischen Mitarbeitergruppen.
Microsoft Intune / Endpoint Protection / MDM / MAM
Jetzt mit Microsoft Intune durchstarten!
Interesse geweckt? Für weitere Auskünfte oder ein unverbindliches Gespräch stehen wir Ihnen gerne zur Verfügung. Ob Einführung von Intune oder Ablöse einer bestehenden MDM Lösung (Kostenersparnis!) – wir sind die richtigen Ansprechpartner.