Mobilní zařízení jsou dnes nedílnou součástí našeho každodenního života, tudíž i života firemního. Menší firmy často neřeší zabezpečení přístupu k podnikovým datům z mobilních zařízení.
Zde se setkáváme zejména se zařízeními typu Bring Your Own Device (BYOD). V tomto případě musíme brát největší zřetel zejména na uživatelskou přívětivost a ohleduplnost. Pokud chceme svá, případně i uživatelská, data ochránit, tak můžeme v prostředí Office 365 vybírat z jednu z těchto možností:
- Exchange ActiveSync nastavení přístupu
- Mobile Device Management pro Microsoft 365
- Intune
Exchange ActiveSync politika nám umožní zabezpečit přístup k datům Exchange Online, zejména k poštovním zprávám, kontaktům a kalendářovým položkám. Přístup můžeme řídit na úrovni organizace (povolit/blokovat, karanténa – uvolnění z karantény je řízeno administrátory), případně na úrovni operačního systému nebo typu zařízení. Lze určit jednoduché politiky a celé zařízení vymazat při nahlášení ztráty, což je v případě BYOD zařízení s osobními daty poměrně nešetrný zásah.
Obrázek 1 Příklad ActiveSync politiky
Mobile Device Management (MDM) pro Microsoft 365 umožňuje zabezpečit a spravovat mobilní zařízení pro hlavní dostupné platformy pro licencované Microsoft 365 uživatele. Je možné vytvářet politiky ke správě přístupů do vaší organizace, které jsou aplikované na uživatele či skupiny. Výhodou oproti ActiveSync politikám je zejména zabezpečení jak emailů tak i dokumentů, možný selective wipe, kde jsou při splnění podmínek (například počet neúspěšných pokusů o přihlášení či při ukončení pracovního poměru) odstraněny pouze firemní data. Také můžeme kontrolovat přítomnost jailbreaku či rootu zařízení. Detailní možnosti MDM pro Microsoft 365 nalezneme v článku Capabilities of built-in Mobile Device Management for Microsoft 365.
MDM je nutné nejprve v Office 365 tenantu povolit. Toto provedeme přes tento link Nastavení Správy mobilních zařízení pro Office 365, pakliže MDM ještě není zapnuté, tak se zobrazí následující obsah. V případě některých předplatných je možné MDM zapnout pomocí průvodce při nastavení O365 tenantu.
Obrázek 2 Nastavení Správy mobilních zařízení pro Office 365
Pokud se stále rozhodujete, tak si můžete prohlédnout video v odkaze či pokračovat na článek pro zapnutí. Vlastní zprovoznění MDM provedete proklikem odkazu „Pojďme na to“. Oznámení „Nastavujeme vám všechno potřebné. Může to trvat několik hodin, vraťte se sem prosím později…“ nám oznamuje případnou delší dobu zprovoznění. Běžně máme po několika minutách nastaveno, ale některé prokliky a odkazy nemusí být plně funkční, či zafungují až na druhý pokus. Pokud použijeme dříve použitý odkaz Nastavení Správy mobilních zařízení pro Office 365 a nastavení je hotovo, tak se zobrazí pouze odkaz Správa zařízení. Zde zatím žádné zařízení neuvidíme, ale můžeme pokračovat v nastavení politik (platnost hesla 1 – 255 dní může být celkem limitující).
Níže v obrázku je uvedené nastavení pro srovnání s ActiveSync politikami, na které se dostaneme přes odkaz Zásady zařízení. V případě nefunkčního linku se pro vás možnost MDM stále nastavuje (poprvé je nutné spustit 2x). Zde před vámi čeká rozhodnutí, jak budete politiky aplikovat a po prokliku na odkaz „Spravovat nastavení přístupu k zařízení pro celou organizaci“ lze globálně vybrat chování pro celou organizaci.
Obrázek 3 MDM – nastavení zásad
V dalších krocích veškerá podobnost s ActiveSync politikami končí. Lze blokovat některá nastavení, vyžadovat šifrované zálohování a v posledním kroku můžeme politiku aplikovat na některou ze skupin či jen uložit pro pozdější použití.
Obrázek 4 MDM – nastavení zásad další nastavení
Pro možnost zápisu zařízení do MDM musíme vypublikovat DNS záznamy pro uživatelské domény. Pokud dosud doménu používáte například pouze pro Exchange, tak je nutné přidat následující dva DNS záznamy
| Host name | Record type | Address | TTL |
|---|---|---|---|
| EnterpriseEnrollment | CNAME | EnterpriseEnrollment.manage.microsoft.com | 3600 |
| EnterpriseRegistration | CNAME | EnterpriseRegistration.windows.net | 3600 |
Tabulka 1 MDM DNS záznamy
V případě požadavku správy iOS zařízení je nutné nakonfigurovat APN certifikát, touto problematikou se však nebudeme v dnešním článku zabývat.
Pokud máme vše nastaveno a politika pro Android zařízení je již v tenantu dostupná, budou Android zařízení kontrolovat, zda jsou řízena pomocí MDM pro Microsoft 365. Pokud ne, tak je uživatel vyzván k zápisu zařízení do MDM. Tato registrace je reprezentována požadavkem na instalaci „Portál firmy Microsoft Intune“ z Google Play obchodu. Po jeho instalaci, zapsání zařízení do MDM, lze službu nadále používat či v případě nového požadavku aplikaci nakonfigurovat na použití služby. Nastavení pomocí politik MDM pro Microsoft 365 má přednost před nastaveními získaných z Exchange ActiveSync politik.
Nyní máte možnost zařízení „spravovat“ v Security admin centru v části „Ochrana před únikem informací“ a následně „Správa zařízení“, kde vidíte uživatele, typ zařízení, stav a operační systém. Odtud můžete odstranit pouze podniková data či vymazat celé zařízení.
Pokud vám tato zjednodušená správa nepostačuje, tak lze v rámci licenčních plánů, které obsahují Microsoft Intune zapnout tuto nejdokonalejší alternativu.
Licenční plány, které jsou k povolení Intune nutné (uvádím pouze Business a Enterprise licenční plány)
- Microsoft 365 E5
- Microsoft 365 E3
- Enterprise Mobility + Security E5
- Enterprise Mobility + Security E3
- Microsoft 365 Business Premium
- Microsoft Intune
Pokud použijeme zejména licence Microsoft 365 Business Premium, tak v úvodní konfiguraci tenantu, lze využít průvodce pro nastavení zabezpečení mobilních zařízení v organizaci. Po zapnutí této možnosti pomocí „Vytvořit zásadu správy mobilních aplikací“ již není potřebné MDM v tenantu zapínat ani nastavovat politiky pro Android ani iOS zařízení. Mějte ale na paměti, že tyto politiky jsou aplikovány na všechny uživatele.
Obrázek 5 Průvodce Intune v Microsoft 365
V případě dostupnosti těchto licencí v tenantu se vám zobrazí větev zařízení v „Zařízení“ v Microsoft 365 admin centru, kde můžeme vytvářet zjednodušeně zásady pro
- Správa aplikací pro Android
- Správa aplikací pro iOS
- Správa aplikací pro Windows 10
- Konfigurace zařízení s Windows 10
Obrázek 6 Intune zásada
Pokud chcete tyto politiky nastavit podrobněji (například přidat další aplikace), tak lze přes admin portál zvolit „Správce koncového bodu“ či přímý proklik na „Zásady ochrany aplikací“, kde při vybrání zásady a její vlastnosti lze nastavit další možnosti dostupné v Microsoft Intune.
Intune není jen o zásadách a základním nastavení dodržování předpisů, ale můžete vybírat z široké škály dalších možností jako je podmíněný přístup, instalace aplikací na zařízení, konfigurace těchto aplikací i vlastního zařízení a mnoho dalších. Jen popis možností by vydal na více dalších článků a případnou inspiraci s detailním nastavením Intune můžete hledat dokumentovém rozcestníku pro Microsoft Intune.
