Správa mobilních zařízení pomocí Microsoft Intune

Intune Mobile Aplication Management (MAM)

Úplně na začátku je dobré si ujasnit, zda bude uživatelům umožněno používat svá soukromá mobilní zařízení pro přístup k firemním datům prostřednictvím nainstalovaných aplikací. Takovou typickou aplikací může být jakýkoliv poštovní klient například MS Outlook připojený k firemnímu Exchange severu, případně komunikační klient MS Teams, či OneDrive uložiště. V těchto případech máme omezené možnosti správy soukromého zařízení jako takového, nicméně je zde možnost podmínit přístup k firemním datům pomocí Intune App protection politiky. V aplikační politice je pak možné definovat, co přesně musí zařízení splňovat, aby se uživatel dostal např. k firemní poště. Navíc je zde i možnost definovat, jak s firemními daty může nebo nemůže uživatel nakládat. Například můžeme vynutit:

• Zašifrování uložiště
• PIN, či heslo o konkrétní délce, či složitosti
• Biometriku místo PINu
• Timeout při definované neaktivitě
• Reset PINu po uplynutí konkrétní doby
• Apod.

Zároveň jsme schopni zabezpečit, či zamezit například:

• Odesílání firemních dat mimo schválené aplikace
• Ukládání dat na uložiště zařízení
• Provádění zálohy dat
• Synchronizaci dat s nativními aplikacemi daného zařízení
• Apod.

Těchto nastavení existuje samozřejmě daleko více a je možné si je projít v následujícím odkazu: https://docs.microsoft.com/en-us/mem/intune/apps/app-protection-policy

Výše popsaná možnost správy nese označení Mobile Application Management (MAM) a dle mého názoru se jedná o nejjednodušší a nejrychlejší možnost, jak povolit a zároveň ochránit firemní data na takzvaných Bring Your Owned Device (BYOD) zařízeních.

Nevýhodou tohoto řešení může být horší podpora starších, zejména Android zařízení. Nemusí vždy podporovat konkrétní API, jenž jsou pro jednotlivé konfigurace nezbytná. Další podstatná nevýhoda tohoto režimu správy je, že na zařízení nelze nasadit běžné Intune konfigurační profily, např. nejsme schopni doručit Wifi, či VPN konfigurace a podobně.

Intune Mobile Device Management (MDM)

V předchozích odstavcích jsem popisoval správu aplikací na nespravovaných zařízeních, která byla aktivována jako soukromá. Nyní se podíváme na kompletní správu mobilních zařízení, která jsou skutečně firemním majetkem i z pohledu MDM.

Rozdíl mezi MDM a MAM

Zde je důležité se zaměřit na způsob aktivace zařízení jako takového. Pokud firma nakoupí nové mobilní zařízení, předá ho zaměstnanci a ten si jej aktivuje pod svým Apple ID/Google účtem, byť na firemní emailové adrese, tak zařízení je, z pohledu správy vždy bráno jako soukromé. Existuje zde sice možnost enrollmentu zařízení do MDM jako celku, ale nikdy se nebude jednat o plně spravovaný tzv. Supervised režim.

Jak tedy dostat mobilní zařízení do onoho plně spravovaného režimu?

Zde nastíním, velmi zjednodušeně, základní možnosti enrollmentu pro obě platformy.

Platforma Apple

U platformy Apple máme v podstatě dvě možnosti.

1. Manuální – pro tento způsob je potřeba Apple MacOS zařízení s nainstalovanou aplikací Apple Configurator v.2. Skrze tuto aplikaci lze zařízení nakonfigurovat a případně definovat MDM (Intune), do kterého bude zařízení zaenrollováno.
2. Automatická – zde je potřeba spolupráce s certifikovaným prodejcem hardware Apple, který nám přiřadí nově zakoupená mobilní zařízení do Apple Business Manageru (ABM) prostřednictvím Apple device enrollment programu (DEP). V ABM je poté už jen potřeba dokonfigurovat propojení s MS Intune.

Platforma Android

U platformy Android je situace velmi podobná.

1. Manuální – prvně je potřeba aktivovat jeden z enrollment profilů pro Android zařízení v MS Intune a vygenerovat Enrollment token. Token má podobu osmimístného kódu a je možné nechat si jej zobrazit v podobě QR kódu. Při prvním zapnutí mobilního telefonu, je zde možnost vyvolat aktivaci zadní kamery přístroje a sejmout tak vygenerovaný QR kód, kterým se zařízení enrolluje do Intune a nastaví se požadovaným způsobem.
2. Automatická (Android zero-touch) – v tomto případě je opět potřeba vyhledat certifikovaného dodavatele Android zařízení, který pro nás zaregistruje portál, do kterého následně zakoupené přístroje odesílá. V portálu je poté už jen potřeba vytvořit propojení do aktuálního MDM.

Díky propojení portálů od Applu, nebo Googlu s certifikovaným prodejcem a následně s MDM, se zakoupené zařízení nejenže dostane automaticky do Intunu, ale zároveň je na ně možné aplikovat enrollment profile a následně další konfigurační profily, které zařízení nastaví přesně tak, jak firma potřebuje. V tomto režimu je zařízení skutečně plně spravované firmou v tzv. Supervised režimu.

V praxi si to můžeme představit takto: Firma objedná nové zařízení a jako adresu doručení určí soukromou adresu zaměstnance, například proto, že zaměstnanec se nachází dlouhodobě na “homoffice“. Zaměstnanec vybalí zařízení z krabice, zapne jej a přihlásí se svým firemním účtem, zařízení se samo enrolluje do Intune a nastaví se přesně jak firma definovala, včetně aplikací, VPN profilu a všech bezpečnostních prvků.

Zde je, dle mého, vidět největší přidaná hodnota tohoto řešení – vůbec není potřeba zásahu lokálního IT.