Microsoft Intune er en skybasert tjeneste for å administrere mobilenheter og datamaskiner som lar deg kontrollere tilgangen til applikasjoner og data i virksomheten din. Hensikten er å bidra til at arbeidsstyrken din er produktiv, samtidig som bedriftsdata er beskyttet. Med Intune kan du håndtere enheter og mobilapper og sørge for at de er i samsvar med dine sikkerhetskrav.
Beskyttelsen begynner allerede ved inngangsdøren. Mobilenheter som ikke innfrir kravene, kommer seg ikke inn i organisasjonen din. Dine ansatte kan bruke egne enheter, uten at det går utover sikkerheten. Du får dekket behovet for databeskyttelse og kan levere opplevelsen brukerne dine trenger for å yte sitt beste – uansett hvor de er og hvilken enhet de jobber fra.
Enheter, applikasjoner, beskyttelse og samsvar
Intune støtter enheter med iOS, Android, Windows og macOS. De kan være bedriftseide eller private. Jobbdata holdes strengt atskilt fra personlig informasjon. Du kan registrere enhetene i Intune eller overlate det til sluttbrukerne. Bare administrerte enheter får tilgang til bedriftsressurser. Det stenger uvedkommende ute og gir deg en oversikt over alle mobilenheter som er i bruk i virksomheten din.
Applikasjoner aksesserer data. Du definerer retningslinjer for hvem som skal få adgang til å benytte hvilke mobilapper, og tildeler dem til dine ansatte. Du kan rulle ut appene eller publisere dem i en egen firmaportal. Intune lar deg begrense handlinger som å kopiere og lagre. Du kan oppdatere applikasjonene og spore bruken av dem.
Beskyttelsen er omfattende og identitetsdrevet. Du logger deg på. Enheten kontrolleres. Basert på brukernes rettigheter og policyene som er satt opp, gis det tillatelser til å bruke applikasjoner og data. Om enheten går tapt, kan du låse den og fjernslette all jobbrelatert informasjon.
Betingelsen for at enhetene skal få tilgang til bedriftsapper og -data er at de må være i samsvar. Det gjelder typisk krav til passord eller PIN-lås, kryptering og versjonen av operativsystemet. Foruten enhetstilstand omfatter kriteriene for betinget tilgang forhold som brukerprofil, sted og følsomhet. Sånn kan du beskytte sensitive data ved å angi at de ikke kan aksesseres utenfra, kun fra ditt lokale nettverk.
Tre scenarioer for databeskyttelse med Intune
En medarbeider finner ikke sin iPad, som kan være forlagt, mistet eller stjålet. Den er registrert av bruker (Enrolled by User), er i samsvar med virksomhetens sikkerhetskrav (Compliant) og eies privat. Du er bekymret for at utenforstående kan få tilgang til bedriftsapper og -data. Det første du bør gjøre, er å klikke på Remote Lock for å låse iPaden. Så velger du Retire. Det fjerner bedriftsdata som er administrert av Intune. Brukerens personlige data berøres ikke. Dette kalles selektiv tømming.
En bruker har fått en SMS med kobling til et delt dokument på OneDrive for Business og forsøker å åpne det. Tilgangen er sperret, selv om hun har redigeringsrettigheter. Hun må først registrere sin private iPhone via firmaportalen. Så kontrolleres mobilen. Eventuelt må hun oppgradere til siste versjon av iOS og endre PIN-koden til å være sekssifret. Når enheten er i samsvar, rulles det ut en e-postprofil og administrerte mobilapper, som Office med Outlook og OneDrive. Nå får hun tilgang til filen. Samtidig har du kontroll over telefonen, uten at det griper inn i personlige apper og data.
Office 365 gir som kjent muligheten til å jobbe «når som helst, hvor som helst, fra hva som helst». En ansatt sitter på en café og arbeider på en fancy Surface Book. Maskinen er meldt inn i Azure Active Directory (AD). Påloggingen er sikret med Windows Hello og ansiktsgjenkjenning. Disken er kryptert med BitLocker. Virusdefinisjonene er oppdatert og Windows 10 Enterprise oppgradert. Den bærbare er i samsvar. Han får langt på vei gjort jobben sin, til han trenger persondata fra en intern database. Her krever tilgangen at du er på lokalnettet. Den delen av arbeidet kan ikke utføres fra et offentlig serveringssted og må vente til han er tilbake på kontoret.
Mobil enhets- og applikasjonsbehandling
Intune er en løsning for mobil enhetsbehandling (MDM) og mobil applikasjonsbehandling (MAM) – en type tjenester som dukket opp i kjølvannet av trenden «ta med din egen enhet». I stedet for å forby mobilenheter på arbeidsplassen gir mange organisasjoner denne fleksibiliteten, samtidig som IT-avdelingen beholder kontrollen. I forhold til tredjepartsprodukter inntar Intune en særstilling for brukere av Office 365 og Microsoft Azure ved å være dypt integrert i disse økosystemene og Office-mobilappene.
Hensikten med MDM er å støtte og beskytte mobile brukere med utgangspunkt i funksjoner som er innebygd i enhetene for å sikre dem. Med MAM administrerer du applikasjoner og tilganger for brukerne dine. Intune er dessuten et administrasjonsverktøy for Windows 10 med egenskaper som kan minne om gruppepolicyer i Windows AD og mekanismer i Configuration Manager.
Sentrale funksjoner i Intune
Med Intune styrer du enhetene dine ansatte benytter for å få adgang til bedriftsdata. Du administrer appene og sørger for at enheter og applikasjoner er i overensstemmelse med bedriftens krav til sikkerhet. Ved å kontrollere hvordan arbeidsstyrken din får tilgang til og deler data, beskytter du virksomhetens informasjon. Med Intune kan du:
- Begrense tilgangen til e-post i Exchange og dokumentbiblioteker i SharePoint basert på enhetsregistrering og samsvarspolicyer, foruten Teams og OneDrive for Business.
- Angi detaljerte retningslinjer for Office-applikasjoner der du kan hindre handlinger som kopiere, klippe og lime utenfor administrerte bedriftsapper.
- Administrere nettlesere – blant dem Edge for iOS og Android – og kontrollere aktiviteter brukere kan utføre, inkludert å tillate og blokkere for bestemte nettsteder.
- Automatisk rulle ut sertifikater og profiler for trådløst nettverk, VPN og e-post straks en enhet er registrert, så brukere får tilgang til bedriftsressurser.
- Benytte en selvbetjent firmaportal, sånn at brukere kan registrere sine egne enheter og installere bedriftsapper på de mest utbredte mobile plattformene.
- Tildele, publisere og rulle ut applikasjoner til administrerte enheter.
- Sette opp varsler, generere rapporter, kontrollere om enheter er i samsvar.
- Fjerne enheten og slette bedriftsdata fra administrerte enheter.
- Utvide beskyttelsen til bedriftsapplikasjoner med verktøyet Intune App Wrapping Tool.
- Modernisere Windows 10-administrasjonen uten egen infrastruktur.
MDM for Office 365 og Microsoft Intune
I Office 365 E3, E5 og Business følger det med en redusert versjon av Intune som omtales som Enhetsbehandling eller MDM for Office 365. Det er en ren MDM-løsning som bare støtter mobile enheter, ikke datamaskiner. Den mangler flere avanserte funksjoner, som ekstern låsing. Det er ingen selvbetjent portal for sluttbrukere for å registrere enheter. MDM 365 er uten MAM-funksjonalitet. Du kan ikke rulle ut sertifikater eller profiler for trådløst nettverk, VPN eller e-post.
Intune og Enterprise Mobility + Security
Intune inngår i sikkerhetsløsningen Enterprise Mobility + Security (EMS) og er forbundet med andre komponenter der, som Azure AD for identitets- og tilgangsstyring og Azure Information Protection for rettighetsbeskyttelse av data. Her har du også Azure MFA, som gir deg multifaktor-autentisering med betinget tilgang.
Betinget tilgang med Intune
Betinget tilgang er en mekanisme som er innebygd i Premium-lisensene for Azure AD. Du kan for eksempel jenke på kravene til multifaktor-autentisering ved pålogging på kontoret, men forlange MFA over Internett. Intune utvider denne funksjonaliteten, så du kan styre enheter og apper som har lov til å koble til e-post og bedriftsressurser.
Sånn kan vi sette opp disse betingelsene for tilgang til Exchange Online: Brukere må være medlem av gruppen Alle ansatte og benytte Outlook som klient. Vi kan differensiere mellom internt nettverk og Internett. Lokalt må enheten enten være markert som «i samsvar» i Intune, eller så må bruker logge på med multifaktor-autentisering – et unødvendig irritasjonsmoment. Utenfor lokalnettet krever vi begge deler. Om disse betingelsene ikke innfris, får bruker ikke logget seg på e-postkontoen. Dette gir et ekstra lag med beskyttelse utover pålogging med eller uten MFA.
Intune og Azure AD Identity Protection
Ved å kombinere Intune med Azure AD Identity Protection – som forutsetter en EMS E5-lisens – kan du ytterligere kvalifisere tilgangen og automatisere svaret på gitte forhold. Identitetsbeskyttelsen analyserer risikable hendelser som kan tyde på at påloggingsopplysningene dine er kommet i gale hender. Plutselig logger du deg på fra geografisk vidt forskjellige områder samtidig, fra uvanlige steder til uvanlige tidspunkter, fra suspekte og anonyme nettverk. Identiteten din med gyldig passord figurerer på lister til cyberkriminelle. Disse kontrollene kan alt ettersom tillate adgang, kreve MFA, tvinge frem en passord-endring, avvise tilgang eller gi begrenset adgang. Microsoft kaller denne sammensatte løsningen ID-drevet enhetlig endepunktsadministrasjon.
Intune-policyer for mobilenheter
Sentralt i Intune står retningslinjer eller policyer. Det finnes konfigurasjonspolicyer både for enheter og applikasjoner. Policyer for konfigurasjonen av enheter styrer tilgjengelige funksjoner og måten de er satt opp på. Stort sett gjelder dette sikkerhetstilpasninger. Policyer for konfigurasjonen av applikasjoner kontrollerer innstillingene som benyttes av apper på enhetene. Disse reglene beskytter tilgangen til virksomhetsdata, definerer handlingene som kan utføres på dem – som å sperre for klipping og liming – og hindrer datatap ved å blokkere for deling av følsom informasjon og videresending av e-post.
Samsvarspolicyer for enheter angir regler for hvordan de kan brukes. Eksempler omfatter passord, aktivert kryptering, om enheten er hacket (jail-broken), og versjonen av operativsystemet. Enheten må være i samsvar før tilgang innvilges. Samsvarspolicyer for applikasjoner beskytter bedriftsdata på registrerte enheter. De blokkerer for applikasjoner som ikke er tillatt, og genererer en godkjent liste over apper som kan brukes til å aksessere virksomhetsdata – som en slags mobil AppLocker eller Device Guard.
Med policyer for betinget tilgang sikrer Azure AD og Intune tilgangen til apper og tjenester. Enheten må være i samsvar. Så supplerer du det med andre forutsetninger – som plattform, sted (lokalt / på Internett), og klient-appen som benyttes til å aksessere ressurser. Her kan du også plusse på med betinget tilgang basert på enhetsrisiko og nettverkstilgangskontroll.
Policyer for ressurstilgang lar deg rulle ut innstillinger til enhetene for å konfigurere virtuelle private nettverk (VPN), trådløs tilkobling og e-post, så brukerne lettvint får tilgang til filer og ressurser i virksomheten. Det forenkler oppsettet og reduserer feilkilder.
Sette opp betinget tilgang til Exchange Online
Logg deg på Azure-portalen (https://portal.azure.com). Søk etter Intune og gå til Conditional Access – Policys. Klikk på New. Her velges en sky-app som er Office 365 Exchange Online. Vi får advarselen om at det også vil angå applikasjoner som OneDrive og Teams.
Vi ønsker bare å støtte klient-apper som håndterer moderne godkjenning, dvs. multifaktor-autentisering. Vi har inkludert alle fire nivåer for påloggingsrisiko.
Vi krever godkjennelse med flere faktorer (MFA), at enheten er i samsvar, og at e-postklienten står på Microsofts liste over godkjente apper. Det betyr her Outlook.
Sammendrag
Nettverksbaserte sikkerhetsperimetre er foreldet. Identiteten er det nye kontrollplanet. Brukere benytter enheter for å kjøre applikasjoner som gir tilgang til bedriftsinformasjon. Det er disse tre størrelsene som må beskyttes: identiteter, enheter og data. Microsoft Intune sørger for en «innhegnet hage», et lukket økosystem for dine mobilenheter, datamaskiner, applikasjoner og virksomhetsdata.
Du sikrer enhetene med mobil enhetsbehandling (MDM) og kontrollerer tilgangen til apper og data med mobil applikasjonsbehandling (MAM). Sånn hjelper du dine ansatte med å være produktive og trygge. Med Intune får du sikret dataene med fleksibilitet og kontroll, selv når du navigerer i kompliserte enhetslandskap.
Koblinger
Ekstern sletting av mobile enheter i Office 365
Beskytt brukerne dine med Azure AD Identity Protection
Beskytt data med Azure Information Protection – Del I
Beskytt data med Azure Information Protection – Del II