Bliżej chmury publicznej - Zarządzanie urządzeniami mobilnymi w Office 365

Jeszcze kilka lat temu mało kto przypuszczał, że dostęp do Internetu z poziomu przenośnych urządzeń stanie się standardem. Facebook, twitter czy instagram stał się częścią naszego życia – dzisiaj praktycznie każdy jest Online. Microsoft również to zauważył i udostępnił na swojej platformie narzędzia do zarządzania urządzeniami mobilnymi z poziomu, których uzyskujemy jest dostęp do zasobów firmowych. W poniższym artykule dowiemy się za pomocą jakich elementów Microsoft proponuje zarządzanie urządzeniami mobilnymi z perspektywy Office 365.

Sposoby zarządzania urządzeniami

Firma Microsoft oferuje kilka sposobów zarządzania urządzeniami mobilnymi, które dostępne są w usłudze Office 365. Mamy tutaj dostępne 3 opcje:

  • ActiveSync
  • Mobile Device Management for Office 365
  • Microsoft Intune

ActiveSync

Klasyczna metoda dostępu do poczty korporacyjnej za pomocą ActiveSync znana głównie z rozwiązań On-Premises w Exchange Server. Z poziomu urządzenia mobilnego uzyskujemy dostęp do poczty korporacyjnej za pomocą klienta pocztowego uruchomionego na urządzeniu mobilnym.

Podczas pierwszej próby podłączenia urządzenia do systemu urządzenie mobilne otrzymuje polityki, które zostały skonfigurowane przez administratora systemu pocztowego Exchange Online w Office 365. Za pomocą polityk administrator może wymusić na użytkowniku wprowadzenie blokady hasła, zaszyfrować urządzenie lub wymusić politykę haseł. W celu konfiguracji polityk ActiveSync należy zalogować się do Exchange Online za pomocą przeglądarki na adres: https://outlook.office.com/ecp. Następnie przejść do zakładki mobile -> mobile device mailbox policies i za pomocą ikony „plusa” z menu utworzyć nową politykę lub edytować domyślną - Default (Rys. 1)

Rys. 1. Konfiguracja polityk ActiveSync w Exchange Online

Zarządzanie urządzeniami mobilnymi za pomocą polityk ActiveSync sprowadza się tylko i wyłącznie do konfiguracji polityk, które opisałem powyżej. Nie ma centralnego miejsca z poziomu którego można wyświetlić wszystkie urządzenia i przeprowadzić dodatkową konfigurację.

Mobile Device Management for Office 365

Narzędzie MDM for Office 365 pozwala na zarządzanie urządzeniami mobilnymi w ramach Organizacji w Office 365. Konfiguracja odbywa się z poziomu „ubogiej” konsoli dostępnej z poziomu Office 365 Security & Compliance. Jest bezpłatnym narzędziem do zarządzania urządzeniami mobilnymi w Office 365. Wspiera platformy z systemem: iOS, Android oraz Windows Phone.

W celu uruchomienia konsoli Device Management należy zalogować się do swojej subskrypcji w Office 365 przy użyciu adresu https://protection.office.com przejść do Data loss prevention -> Device managemnt. W nowym oknie pojawi się konsola z poziomu, której można zobaczyć podłączone urządzenia mobilne do systemu (Rys. 2).

Rys. 2. Konsola – Mobile Device Management for Office 365

Konfigurację polityk wykonuje się z poziomu konsoli https://protection.office.com, gdzie należy przejść do sekcji Data loss prevention -> Device security policies (Rys. 3). Za pomocą przycisku +Create a policy tworzymy politykę i przypisujemy ją do grupy użytkowników korzystających z Office 365.

Rys. 3. Listing polityki w MDM for Office 365

Do uruchomienia funkcji MDM for Office 365 należy wykonać poniższe kroki:

  • Konfiguracja rekordów DNS dla obsługiwanej domeny w Office 365
  • Konfiguracja APN dla urządzeń iOS (w przypadku wykorzystywania urządzeń Apple)
  • Konfiguracja MFA (opcjonalnie)
  • Konfiguracja i dostosowanie polityk do wymogów bezpieczeństwa

Szczegółowy opis konfiguracji oraz wymaganych kroków do uruchomienia usługi MDM for Office 365 znajduje się w poniższym linku:

https://support.office.com/en-us/article/set-up-mobile-device-management-mdm-in-office-365-dd892318-bc44-4eb1-af00-9db5430be3cd

Microsoft Intune

Usługa Microsoft Intune jest dodatkowo płatnym produktem do zarządzania urządzeniami mobilnymi, który można uruchomić w ramach pojedynczej licencji  InTune lub w pakietach Enterprise Mobility + Security (E3, E5), Microsoft 365 (E3,E5), Microsoft 365 Business lub Microsoft 365 Education (A1, A3,A5).

Microsoft Intune jest „kombajnem” z poziomu, którego można zarządzać urządzeniami z systemem iOS, Android, Windows czy macOS. Zarządzanie urządzeniami mobilnymi wykonuje się w poziomu konsoli (Rys. 4) która jest dostępna pod adresem https://portal.azure.com.

Rys. 4. Konsola do zarządzania urządzeniami mobilnymi - Microsoft Intune

Z poziomu konsoli konfigurujemy urządzenie, które na początku musi spełnić szereg wymagań (sekcja - Device compliance) przez podłączeniem do zasobów firmowych, gdzie następnie za pomocą polityk konfiguracyjnych (sekcja - Device Configuration) zarządzamy urządzeniami mobilnymi. Na koniec z poziomu konsoli Microsoft InTune można wykonywać deployment aplikacji (sekcja - Mobile apps) oraz skonfigurować dostęp (sekcja Conditional access).

Polityki zgodności (Device compliance) konfiguruje się per platforma mamy tutaj do dyspozycji: Android, Android for Work, iOS, macOS, Windows Phone 8.1, Windows 8.1 and later oraz Windows 10 and later. Przykładowo przy wyborze platformy Android for Work można sprawdzać stan zdrowia urządzenia (np. czy nie jest rooted), wprowadzić dla jakiej wersji OS dana polityka działa i na końcu sprawdzić takie elementy jak hasło do urządzenia, szyfrowanie czy blokowanie aplikacji z nieznanych źródeł.

Tryb Android for Work (Rys. 5) jest bardzo ciekawą funkcją, która tworzy dedykowaną „przestrzeń” na urządzaniu mobilnym w której instalowane są aplikacje zarządzane z poziomu systemu Microsoft Intune. W celu podłączenia urządzenia do systemu Microsoft Intune (oraz MDM for Office 365) z systemem Android wymagana jest instalacja aplikacji Intune – portal firmy ze sklepu Google Play.

Rys. 5. Android for Work

Polityki konfiguracyjne (Device Configuration) tak jak w przypadku polityk zgodności konfiguruje się per platforma. Z tego poziomu wprowadzamy ograniczenia na urządzeniach mobilnych oraz wymuszamy pewne zasady. Przykładowo dla platformy Android for Work możemy wymusić politykę haseł, która będzie wymagana podczas próby uruchomienia aplikacji z poziomu „przestrzeni” Android for Work (Rys. 6)

Rys. 6. Device Configuration – Android for Work

Co wybrać?

Opcje mamy trzy 😊 tradycyjna odpowiedź to zależy… głównie od tego czy chcemy dopłacać do Microsoft Intune i wykorzystywać opcje takie jak deployment aplikacji, posiadać dobrą konsole z perspektywy administratora do zarządzania, czy z perspektywy użytkownika końcowego mieć możliwość zmiany/resetu hasła passcode na urządzeniu mobilnym w przypadku zapomnienia hasła – co w przypadku wykorzystania ActiveSync lub MDM for Office 365 wiązałoby się z wyczyszczeniem urządzenia do ustawień fabrycznych.

Podsumowanie

Systemy do zarządzanie urządzeniami mobilnymi stają się coraz bardziej popularne w związku z tym organizacje coraz częściej się zastanawiają nad ich wykorzystaniem.

Powyższy artykuł opisywał produkty do zarządzania  urządzeniami mobilnymi z perspektywy firmy Microsoft. Natomiast jakiś czas temu robiłem szerszy przegląd rynku pod kątem produktów MDM. W związku z tym myślę, że dodatkowo warto sprawdzić co konkurencja w tym temacie do powiedzenia.

/Bartłomiej Prokocki