Verwenden Sie Office 365 MDM, um Ihren Mandanten zu schützen

Viele Unternehmen mögen die Funktionalität der integrierten Geräteverwaltung von Exchange Online, aber es fehlen Funktionen im Vergleich zu Verwaltungsoptionen für mobile Geräte von Drittanbietern.

Microsoft bietet seine eigenen voll Mobile Geräteverwaltung (MDM) -Option über Intune, mit der Benutzer E-Mails und andere firmeneigene Anwendungen verwalten können, die auf Geräten installiert sind. Einige Unternehmen benötigen nicht alle diese Funktionen, suchen jedoch nach besseren, moderneren Steuerelementen.

Das ActiveSync-Protokoll sendet Push-E-Mails an Geräte und funktioniert am besten in Kombination mit den Quarantänefunktionen und Mobilgeräten von Exchange für mobile Geräte Fernlöschung, eine Reihe von Steuerelementen, mit denen eingeschränkt wird, welche Geräte Daten verbinden und entfernen. Richtlinien, die größtenteils in einer Zeit vor dem iPhone definiert wurden und auf Windows Mobile 6 und niedriger abzielen, wurden teilweise von modernen Smartphone-Herstellern implementiert, in der Regel jedoch nur auf grundlegende Weise – zum Beispiel zur Durchsetzung von a Pin Sperre.

Office 365 MDM kommt dort an, wo ActiveSync aufhört, bietet jedoch nicht die App-Verwaltungsfunktion von Intune von Drittanbietern. Mit IntuneOffice 365 zielt darauf ab, Ihre Office 365-Suite zu verwalten – aber sonst nichts.

Mit Office 365 MDM können Sie Office 365-Apps bereitstellen und verwalten und erweiterte Funktionen zum Schutz von Inhalten in Ihrem Mandanten verwenden. Es handelt sich um eine grundlegende Verwaltungsoption, die nicht die vollständigen Funktionsoptionen wie Intune bietet, jedoch eine einfache Ebene für den sicheren Zugriff auf Office 365-spezifische Dienste bietet. Für eine umfassendere Option ist ein erweitertes Tool erforderlich. Diese kostenlose sofort einsatzbereite Funktionalität ist jedoch vollständiger als die alleinige Verwendung von ActiveSync.

Konfigurieren Sie Office 365 MDM in Ihrem Mandanten

Office 365 MDM ist in Ihrem Mandanten verfügbar und erfordert keine spezielle Aktivierung, erfordert jedoch eine Konfiguration.
Loggen Sie sich in die ein Office 365-Portal. Wählen Mobile Geräte über das Menü auf der linken Seite im Admin-Portal. Es gibt eine Liste der registrierten Geräte und a Einstellungen verwalten Link auf der rechten Seite (Abbildung 1).

Konfigurieren Sie Office 365 MDM
Abbildung 1

Nach dem Erreichen der Einstellungen verwalten Link müssen Sie eine zusätzliche DNS-Konfiguration (Domain Name System) hinzufügen und ein Zertifikat von Apple für iOS-Geräte wie iPhones und iPads anfordern.
DNS-Konfiguration hinzufügen. Navigieren Sie für jede Domain zu Domänen auflisten und prüfen Domain-Einstellungen (Figur 2). Wenn der DNS-Verwaltung Seite wird angezeigt, wählen Sie Verwaltung mobiler Geräte für Office 365 unter dem Domain-Zweck (Abbildung 3).

DNS-Konfiguration hinzufügen
Figur 2
Wählen Sie MDM für Office 365 aus
Figur 3

Nach Auswahl von MDM für Office 365 werden zwei neue DNS-Einträge angezeigt, die in Ihr öffentliches DNS eingegeben werden sollten (Abbildung 4).
Befolgen Sie den gleichen Vorgang für jede benutzerdefinierte Domäne im Mandanten. Der DNS-CNAME-Eintrag ist für jede Domain gleich, sodass diese massenhaft erstellt werden können.

Es werden zwei neue DNS-Einträge angezeigt
Figur 4

Der nächste Schritt ist die Apple-Zertifikatanforderung, bei der Sie ein Zertifikat für Push-Benachrichtigungen auf Apple-Geräten generieren. Sie können eine Zertifikatsignierungsanforderung mit dem generieren Einstellungen verwalten Verknüpfung. Das Installieren Sie das Apple Push Notification Certificate Die Assistentenseiten werden gestartet. Wählen Laden Sie Ihre CSR-Datei herunter auf der ersten Seite.
Ein Link zum Apple Push Certificates-Portal wird angezeigt. Folgen Sie dem Link und melden Sie sich mit einer Apple ID an. Wenn Sie keine Apple-ID haben, verwenden Sie eine an ein rollenbasiertes Postfach oder eine E-Mail-Adresse angehängte ID anstelle der ID einer Person. Auf diese Weise müssen Sie diese nicht jährlich erneuern. Nach dem Hochladen der Zertifikatanforderung wird ein frisch signiertes Apple-Zertifikat angezeigt. Schließen Sie den Assistenten im Office 365-Portal ab, indem Sie das Zertifikat hochladen.

Richten Sie die Standardeinstellungen für die Einstellungen für den mobilen Zugriff ein

Wenn Sie mit einem neuen Mandanten beginnen, möchten Sie möglicherweise den gesamten Zugriff auf mobile Geräte deaktivieren – es sei denn, eine Richtlinie deckt die Geräte ab – oder einige Benutzer ausschließen und langsam hochfahren. Wenn Sie nur den mobilen Zugriff über MDM zulassen, verfügen Sie nicht über nicht verwaltete Geräte. Wenn Sie zulassen, dass Benutzer Geräte hinzufügen, bevor Sie MDM implementieren, müssen Sie diese Geräte neu konfigurieren.
In diesem Beispiel möchten wir alle Geräte blockieren, es sei denn, der Endbenutzer ist Mitglied einer bestimmten Gruppe. Wir haben in Azure Active Directory (AD) eine Gruppe mit dem Namen “ExcludedFromMDM” erstellt. Wählen Verwalten von Gerätesicherheitsrichtlinien und Zugriffsregeln Klicken Sie auf der Office 365 MDM-Startseite auf, um diese Gruppe zu konfigurieren (Abbildung 5).

Konfigurieren Sie die Azure AD-Gruppe
Abbildung 5

Als nächstes sehen Sie eine Geräteverwaltung Seite im Compliance Center. Auf dieser Seite können wir die Standardeinstellungen verwenden und bestimmte Richtlinien erstellen. Wählen Gerätezugriffseinstellungen verwalten um die Standardaktion für Geräte zu definieren.
Dies zeigt Einstellungen für die gesamte Organisation an. Wir haben alle ausgeschlossenen Endbenutzer aus unserem Pilotprojekt zur Richtlinie “ExcludedFromMDM” hinzugefügt und dann nicht unterstützte Geräte mit Ausnahme der in der Gruppe enthaltenen blockiert.
Speichern Sie Ihre Änderungen und stellen Sie sicher, dass ein Standard-Sicherheitsmodell für die Durchsetzung vorhanden ist. Schließen Sie jedoch die Gruppe der Endbenutzer aus, die davon nicht betroffen sein sollte.

Erstellen Sie Geräteprofile

Der nächste Schritt besteht darin, Geräteprofile für Endbenutzer zu erstellen. Ein Geräteprofil ist eine Gruppe von Einstellungen, die steuern, was Endbenutzer auf dem Gerät tun können und was nicht. Geräteprofile legen auch Mindeststandards fest, die das Gerät vor der Verwendung mit Office 365 erfüllen muss. Diese Standards umfassen: Funktionen wie den Zugriff auf den App Store oder die Kamera; Sicherheitseinstellungen, z. B. Sicherstellen, dass eine PIN erzwungen oder das Gerät verschlüsselt wird; und Berichterstattung darüber, ob das Gerät manipuliert wurde – falls ein Endbenutzer dies getan hat Jailbreak das Gerät.
Wählen Sie vor dem Erstellen eines Profils eine Gruppe von Endbenutzern aus, für die das Profil gelten soll. Wir haben in Azure AD eine “EnforcedMDM” -Gruppe erstellt.
Um das erste Profil zu erstellen, wählen Sie die Hinzufügen (+) Schaltfläche in der Mobile Geräteverwaltung Abschnitt des Compliance-Centers. Mit dem Assistenten können Sie Einstellungen einschränken und einen Standard für Endbenutzer im Bereich der Richtlinie festlegen – entweder blockieren oder mit einer Warnung zulassen, wenn sie die Richtlinienanforderungen nicht erfüllen (Abbildung 6).

Neue Sicherheitsrichtlinie für Geräte
Abbildung 6

Speichern Sie die Einstellungen und die Richtlinie wird wirksam.
Über den Autor:
Steve Goodman ist ein Exchange MVP und Leiter der Unified Communications beim führenden britischen Office 365-Partner. Er ist seit 16 Jahren in der IT-Branche tätig und arbeitet seit Version 5.5 intensiv mit Microsoft Exchange zusammen. Goodman ist Autor einer Reihe von Büchern über Exchange, präsentiert regelmäßig auf Konferenzen, moderiert den Podcast von The UC Architects und bloggt regelmäßig über Exchange Server, Office 365 und PowerShell unter www.stevieg.org.

Similar Posts

Leave a Reply