So schützen Sie Unternehmensdaten in BYOD -Szenarien in Windows 10 und Windows 11

Wie schützen Sie Unternehmensdaten, wenn Sie nicht das Gerät besitzen oder verwalten, mit dem darauf zugegriffen und gespeichert wird? Wie gehen Sie mit Geräten um, die von Geschäftspartnern, Auftragnehmern und Besuchern verwendet werden, die eine legitime Bedürfnis haben, mit Ihren Teams zusammenzuarbeiten und auf Ihre Ressourcen zuzugreifen. Sie können jedoch keine Richtlinien für die Geräteverwaltung durchsetzen oder Agenten auf sie einsetzen?
In diesem Artikel werden wir die Risiken und Auswirkungen von persönlich besessenen oder nicht verwalteten Geräten auf die Informationssicherheit und die praktischen Schritte untersuchen, die Sie unternehmen können, um sicherzustellen, dass der entsprechende Schutz angewendet wird. Wir werden die wichtigsten Überlegungen für Geräteauswahl, Eigentümer und Management diskutieren. Wir werden auch die verschiedenen verfügbaren Optionen untersuchen, um Ihre sensiblen Daten über alle Gerätetypen hinweg zu schützen. Wir werden die folgenden Themen speziell diskutieren:
Bringen Sie Ihr eigenes Gerät mit:

• Was ist BYOD?
• Wählen Sie Ihr eigenes Gerät
• Schlüsselüberlegungen

• Identitäts- und Zugangsmanagement
• Gerätekonfiguration
• Anwendungsmanagement
• Informationsschutz

Für den Fall, dass all diese Optionen nicht ausreichen, um Ihre Anforderungen zu erfüllen, werden wir einige der verfügbaren alternativen Optionen überprüfen, um eine sichere Zusammenarbeit zu gewährleisten und das Risiko zu verringern.
Alternative Optionen:

• Aktivieren Sie Remote/Virtual Desktops (RDS/VDI)
• Aktivieren Sie virtuelle private Netzwerke
• Bewerbungen über Proxy veröffentlichen
• Endbenutzerverhaltensanalyse (EUBA)
• OneDrive für Geschäft
• Arbeitsordner

Bringen Sie Ihr eigenes Gerät mit

In diesem Abschnitt werden wir die Verwendung von Geräten untersuchen, die nicht den Standardvorschriften für Unternehmen entsprechen, wie z. B. Hardware für Verbraucherqualität, persönlich besessene Geräte und Geräte, die zum Zugriff auf Unternehmensressourcen verwendet werden, die von der IT-Abteilung nicht verwaltet werden.

Was ist BYOD?

Dieser Begriff entstand im Rahmen der Verbraucherung von IT und dem Wunsch, die neuesten Technologien zu nutzen, um eine Zunahme von Mobilität und Produktivität zu erzielen.
Die Benutzer wurden nicht mehr von der begrenzten Auswahl der von Unternehmensabteilungen vorgesehenen Geräten kontrolliert und fanden ihre eigenen technologischen Lösungen für ihre spezifische Arbeitsumgebung und -aufgaben. Wenn sie ihre E -Mails auf einem Telefon oder Tablet zu Hause überprüfen können, warum nicht auf Reisen oder mit Kunden?
Als der Markt wuchs, stieg die Reichweite und die Fähigkeiten von Geräten und bieten eine höhere Rechenleistung zu günstigeren Preisen, kombiniert mit Touchscreen -Funktionen und der Einfachheit der Installation von Apps aus einem App Store.
Nicht jedes Unternehmen nahm diesen Ansatz an und begann stattdessen, ihre Fähigkeiten zu blockieren, indem er den Zugriff auf Dienste wie E -Mail beseitigte. Leider können Benutzer sehr technisch versiert und kreativ sein, und sie finden im Allgemeinen einen Weg um die auferlegten Einschränkungen, z. .
Während dies als benutzerorientierte Bewegung begann, die es unter Druck stieß, um sie zu unterstützen, können wir jetzt zum gegenseitigen Nutzen verwenden. Wenn Benutzer bereit sind, ihre eigenen Geräte zu verwenden und sie in der Lage zu sein, sie selbst zu unterstützen, sollte die IT-Abteilung weniger belastet werden.
Eine weitere wichtige Überlegung ist die Verwendung von Bring Ihr eigenes Gerät (BYOD) für externe und Drittanbieter oder vorübergehende Mitarbeiter. Es gibt viele Situationen, in denen Sie mit Einzelpersonen und anderen Unternehmen zusammenarbeiten müssen, möchten jedoch nicht eines Ihrer Geräte ausstellen, um Zugriff auf Ihre Systeme und Informationen zu erhalten.
Unternehmen haben die Möglichkeit, BYOD zu blockieren, es über Mobile Device Management (MDM) -Lösungen (Mobile Device Management) zu steuern oder ihren Benutzern ein breiteres Spektrum an Unternehmensbesitzgeräten anzubieten.

Wählen Sie Ihr eigenes Gerät

Einige Unternehmen realisieren die potenziellen Vorteile einer breiteren Reihe von Geräten mit einem leichteren Verwaltungsansatz und haben die Möglichkeit übernommen, dass Benutzer ihr eigenes Gerät basierend auf Mindestanforderungen auswählen können, die dann mithilfe einer MDM -Lösung verwaltet werden. Es wird weiterhin erwartet, dass der Benutzer die Richtlinien für die akzeptable Nutzung befolgt, das Gerät jedoch auch für einen persönlichen Gebrauch verwenden kann. Diese Option bietet ein Gleichgewicht zwischen Endbenutzermobilität und Informationssicherheit, lindert jedoch nicht die Kostenlast, die BYOD bereitstellen kann.
Benutzerkonto -Administration, eines der größten Risiken für jedes IT -System ist, wenn ein Benutzer einen lokalen administrativen Zugriff auf seinen Computer hat und Software installieren oder Konfigurationsänderungen vornehmen kann, die die Sicherheit und Integrität des Systems entweder absichtlich, versehentlich oder durch schwächen können bösartige Absicht.
Anstatt Anstrengungen unternommen zu haben, um die Menschen zu ermutigen, sich an die Veränderungen anzupassen und die Technologie einzusetzen, kann der IT -Fachmann nun mit ihren geschäftlichen Kollegen zusammenarbeiten, um innovative Möglichkeiten zu finden, um diese neuen Funktionen zu nutzen, um echte Ergebnisse zu erzielen. Dies löst eines der größten Probleme mit jeder IT -Bereitstellung, das Engagement des Endbenutzers. Die Kosten können auch gesenkt werden, wenn die richtigen Richtlinien vorhanden sind, um den Unterstützungs- und Lebenszyklus von Geräten zu verwalten.
BYOD und wählen Sie Ihre eigenen Geräte (CYOD) -Geräte (CYOD) mit einigen Herausforderungen, die angegangen werden müssen, um die entsprechenden Steuerelemente anzuwenden, um sicherzustellen, dass der Benutzer produktiv bleibt, während die Unternehmensdaten sicher bleiben.

Schlüsselüberlegungen

Es gibt mehrere wichtige Bereiche, die Überprüfung und Berücksichtigung erfordern, um die Anforderungen und Risikofaktoren zu bewerten. In den folgenden Abschnitten werden die Überlegungen zur Auswahl, des Eigentums und der Verantwortung des Managements erörtert.

Geräteauswahl

In einer verwalteten Umgebung kann die Auswahl der Geräte auf einige Standardoptionen beschränkt sein. Dies erleichtert es einfacher, Betriebssystembilder, Treiber und Kompatibilität von Zubehör bereitzustellen, was die Gesamtkosten des Eigentums senkt.
Mit BYOD hat der Benutzer jedoch die Wahl zwischen Hunderten von Optionen, abhängig von persönlichen Vorlieben und Budget. Es wird empfohlen, ein Mindeststandard zu veröffentlichen, um sicherzustellen, dass Benutzer wissen, nach welchen Geräten sie suchen sollten, z. B. die Betriebssystemversion, die Browserauswahl und die Möglichkeit, Sicherheitsfunktionen wie Bitlocker zu unterstützen.
Stellen Sie Ihren Benutzern eine Liste von Beispielgeräten zur Verfügung, die diese Standards entsprechen, um die Kompatibilität mit Unternehmenssystemen zu gewährleisten, und erläutern Sie die Vorteile der verschiedenen Auswahlmöglichkeiten und warum sie möglicherweise ein Gerät über ein anderes auswählen. Es ist auch eine gute Idee, eine Liste von Geräten zu veröffentlichen, von denen bekannt ist, dass sie inkompatibel sind, und die Benutzerprobleme verursachen, wenn sie versuchen, sie für die Arbeit zu verwenden.

Eigentum

Eine der wichtigsten Kosteneinsparungskomponenten in einer BYOD -Strategie ist die Übertragung von Kosten und damit das Eigentum an den Benutzer. Einige Unternehmen werden sich dafür entscheiden, einen festgelegten Geldwert zu liefern, den sie zu den Kosten des Geräts beitragen, basierend auf einer Lebensdauer von 2 bis 3 Jahren (und die geltenden Steuergesetze).
Dies ermöglicht eine einfachere Budgetierung für die IT -Abteilung und beseitigt die Belastung durch Abschreibungen und Entsorgung am Ende des Lebens für das Gerät. Außerdem kann der Benutzer ein Gerät innerhalb des Budgets auswählen oder sich entscheiden, um ein höheres Spezifikationsgerät zu zahlen, das ihren persönlichen Vorlieben sowie jedem Zubehör entspricht, um die Produktivität zu verbessern. In jedem Fall ist das Gerät am Ende der 2-3-jährigen Lebensdauer.
Dies ist der Hauptunterschied zwischen einem persönlich gehörten BYOD -Gerät und einem von Unternehmen gesponserten BYOD -Gerät. Ein Benutzer kann zugänglich sein, dass sein persönlich besessenes BYOD -Gerät in vollem Umfang steuert, wenn er dafür bezahlt hat und daher vom Unternehmen nicht verwaltet werden sollte, während ein von Unternehmen gesponserter BYOD -Gerät erst nicht vollständig zum Benutzer gehört Das Ende eines vereinbarten Servicezeitraums zur Deckung der Kosten des Geräts (überlegen Sie, was passiert, wenn der Benutzer das Unternehmen innerhalb von 12 Monaten nach Erhalt der Zulage verlässt).
Im Gegensatz dazu werden Cyod -Geräte im Unternehmen gekauft und gehören. Sie können es dem Benutzer ermöglichen, das Gerät am Ende seines Lebenszyklus zu behalten oder zurückzukaufen, aber ansonsten wird es genauso wie jedes andere Unternehmensvermögen behandelt.

Managementverantwortung

Während der Benutzer das Gerät für seine persönlichen Anforderungen ausgewählt hat, kann er es erwerben und sogar besitzen, aber er erwartet möglicherweise nicht, dass die Konfigurations- und Sicherheitsmanagementanforderungen beibehalten werden müssen. Einige Benutzer möchten oder benötigen möglicherweise lokale Administratorrechte, um das Gerät an ihre Anforderungen anzupassen, während andere erwarten, dass die IT -Unterstützung das Gerät aus der Ferne verwalten und konfigurieren kann. Das Verständnis und zustimmen, wer für die Verwaltung des Geräts verantwortlich ist, ist der Schlüssel, um sicherzustellen, dass das angemessene Sicherheitsniveau angewendet wird.
Diese Überlegungen definieren dann das entsprechende Vertrauensniveau für jedes Gerät. Wenn der Benutzer beispielsweise lokale Verwaltungsrechte auf dem Gerät hat, können er die Konfiguration ändern, die Software installieren und das Risikoprofil im Allgemeinen erhöhen. Ein Benutzer, der sich bei diesem Gerät anmeldet, hat daher ein geringes Vertrauensniveau als ein Gerät, das von Unternehmensrichtlinien eingeschrieben und verwaltet wird und die lokalen Administratorrechte des Benutzers entfernen.

Schutzoptionen

Es stehen mehrere Optionen zur Verfügung, um geeignete Sicherheitskontrollen für BYOD -Szenarien bereitzustellen. Der beste Weg, diese Optionen zu erklären, besteht darin, einen geschichteten Ansatz zu verfolgen. Sie können dann feststellen, welche Kombination von Optionen für Ihre spezifischen Geschäftsanforderungen, technischen Funktionen und Endbenutzerszenarien erforderlich ist.
Die folgenden Themen werden in diesem Abschnitt behandelt, insbesondere solche, die sich auf BYOD- und CYOD -Szenarien beziehen:

• Identitäts- und Zugangsmanagement
• Gerätekonfiguration
• Anwendungsmanagement
• Informationsschutz

Identitäts- und Zugangsmanagement

In einem Szenario, in dem das Gerät mit der Anzeigendomäne des Unternehmens verbunden ist und nach Gruppenrichtlinien und Konfigurationsmanager verwaltet wird, wird die Identität und den Zugriffsmanagement im Allgemeinen von AD kontrolliert. In einem BYOD -Szenario kann das Gerät jedoch mehr Zeit im Netzwerk verbringen, und der Endbenutzer möchte möglicherweise nicht die restriktiven Richtlinien, die auf diese Weise angewendet werden können.
Wenn das Gerät eines Benutzers nicht mit der AD -Domäne verbunden ist, verlieren sie letztendlich bestimmte Vorteile, z. Der Benutzer wird aufgefordert, seine Unternehmensanmeldeinformationen bei jedem Versuch, auf Ressourcen zuzugreifen, wie Office 365 einzugeben.
Es stehen verschiedene Optionen zur Verfügung, um ein einzelnes STAR-On-Erlebnis (SSO) zu ermöglichen und Anmeldeinformationen vor Missbrauch zu schützen:

• Verbinden Sie sich mit Arbeit oder Schule
• Microsoft Pass
• Windows Hallo
• Anmeldeinformationen

Verbinden Sie sich mit Arbeit oder Schule

Wenn ein Benutzer sein erstes Anzeichen für einen Windows 10 -Computer erstellt hat, erhalten er die Wahl, ein persönliches Microsoft -Konto (z. B. @Outlook.com) oder ein lokales Konto zu verwenden (Benutzer -ID und Kennwort existieren nur in Windows. auf der lokalen Maschine gespeichert). Keines dieser Konten hat Zugriff auf Unternehmensressourcen.
Die einfachste Methode, um eine nahtlose Anmeldung mit ihren Unternehmensanmeldeinformationen zu ermöglichen, besteht darin, sie mit dem vorhandenen Anmeldung des Benutzers zu verbinden. Wenn sich ein Benutzer auf diese Weise anmeldet, wird er möglicherweise weiterhin aufgefordert, seine gespeicherten Anmeldeinformationen auszuwählen, wenn er eine Verbindung zu einigen Unternehmensressourcen herstellt, jedoch weniger Eingabeaufforderungen für sein Passwort und andere Anmeldeinformationen danach erhalten.
Um diese Option zu konfigurieren, kann der Benutzer in das Startmenü gehen und nach Zugriffsarbeit oder Schule suchen:

Klicken Sie dann auf Connect und geben Sie ihre Firmenanmeldeinformationen ein, wenn Sie aufgefordert werden:

Der Vorgang registriert dann das Gerät und verknüpft die Anmeldeinformationen des Benutzers:

Mit dieser Option kann das Gerät bei Azure AD (Workplace Join) zu einer anerkannten Einheit registriert werden. Auf diese Weise kann dem Gerät im Rahmen der bedingten Zugriffsrichtlinien und der Multi-Faktor-Authentifizierung vertrauen.
Sobald das Konto angeschlossen ist, kann der Benutzer seinen persönlichen Anmeldung weiterhin verwenden und mit einem verknüpften Konto Zugriff auf Unternehmensressourcen erhalten.
Wenn das Gerät auch mit der Firma MDM -Lösung eingeschrieben ist, kann es so eingestellt werden, dass das Gerät automatisch mit Azure AD (Domain Join) angemeldet ist. Auf diese Weise kann sich der Benutzer mit seinen Unternehmensanmeldeinformationen bei Windows anmelden, anstatt sein persönliches Konto zu verwenden. Dies ist der Benutzererfahrung einer Maschine sehr ähnlich, die mit einer lokalen Anzeigendomäne verbunden wird und eine bessere SSO-Erfahrung ermöglicht.

Microsoft Pass

Um Benutzeridentitäten und Benutzeranmeldeinformationen zu schützen, bietet Microsoft Passport Optionen wie Biometrie oder PIN -Nummer an, um die Verwendung eines Kennworts zu ersetzen. Im Rahmen einer starken Zwei-Faktor-Authentifizierung werden diese alternativen Anmeldeinformationen durch Hardware oder Software geschützt und können auf Zertifikaten oder lokalen Schlüssel basieren.
Microsoft Passport kann auch von Microsoft Intune verwaltet werden. Mit eingeschriebenen Geräten kann Intune Zertifikate bereitstellen, um Benutzer zu authentifizieren. Intune kann auch die Richtlinieneinstellungen für Pin-, Biometrie- und Trusted Platform Modul (TPM) -Anfordernis verwalten.
Eine gute Empfehlung ist, dass der Benutzer ein hochkomplexes Kennwort für sein Anmeldung in Konto erstellt und dann eine 6-8-stellige PIN konfiguriert hat, um die Anmeldung zu erleichtern und gleichzeitig sehr sicher zu sein. Wenn das Gerät nicht mit Domain verbunden ist und nicht in eine MDM -Lösung eingeschrieben ist, können Benutzer ihre eigenen Optionen auswählen, z. B. Windows Hello (siehe nächster Abschnitt) oder eine PIN, um sich bei Windows anzumelden. Um diese Optionen zu konfigurieren, gehen Sie zum Kontenmenü und wählen Sie Anmeldeoptionen:

Der Benutzer kann dann seine PIN einstellen oder ändern:

Wenn sie sich das nächste Mal bei Windows anmelden, können sie ihr Zeichen in der Methode auswählen und die PIN auswählen. Dies wird dann zum Standardzeichen in der Option für alle nachfolgenden Versuche:

Windows Hallo

Windows Hello ermöglicht die biometrische Unterstützung als Teil des Zeichens. Die verfügbaren Optionen basieren auf der auf dem Gerät installierten Hardware und können einen oder mehrere der folgenden enthalten:

• Fingerabdruckleser
• Gesichtserkennung
• Iris -Leser

Diese Annehmlichkeiten ermöglichen es den Benutzern, komplexere Passwörter zu erstellen, da sie wissen, dass sie sie nur in den seltensten Anlässen verwenden. Die Möglichkeit, sich bei der Verwendung eines Fingerwischs oder eines lächelnden Lächelns in der Kamera zu unterscheiden, ist Grund genug, um diese Funktion zu aktivieren. Nur der Benutzer kann Windows Hello konfigurieren, da die eindeutigen biometrischen Details als Teil des Setup -Prozesses erfasst werden müssen.
Um die Optionen zu konfigurieren, führen Sie den Benutzer an, um zur Seite der Konten zu gehen und dann Optionen anzumelden. Wenn das Gerät kompatible Hardware hat, wird der Benutzer die Optionen zur Konfiguration von Windows Hello angezeigt:

Eine neue Funktion ist jetzt verfügbar, wenn Windows erkennt, wenn der Benutzer nicht vom Gerät ist. Dies ist als Dynamic Lock bekannt und verfügt über zwei Konfigurationsoptionen:

• Die Bluetooth -Paarung mit einem Telefon: Einmal gepaart, wenn der Benutzer sein Telefon von seinem PC wegnimmt, wird die Bildschirmschloss kurz nach dem Handy aktiviert
• Windows Hello Companion App: Diese App ist nur im Windows Store für Windows -Telefone verfügbar

Anmeldeinformationen

Die Anmeldeinformat Guard ist eine der Windows 10 -Funktionen, die nur in der Enterprise Edition verfügbar sind. Dies erstellt eine kleine, hochspezialisierte virtuelle Maschine, die als Virtual Secure Modus (VSM) bezeichnet wird, und isoliert sie, um kritische Prozesse zu isolieren, um die Integrität der Authentifizierungsgeheimnisse sicherzustellen. Das Aktivieren dieser Funktionalität erfordert eine erweiterte Konfiguration sowohl auf dem Gerät als auch auf der Verwaltungslösung, entweder AD -Gruppenrichtlinien oder einer MDM -Lösung.

Gerätekonfiguration

Um sicherzustellen, dass ein BYOD -Gerät den erforderlichen Sicherheitsstandards entspricht, sollten Sie sicherstellen, dass es in AD eingeschrieben ist, oder die Benutzer in der MDM -Lösung einschreiben. Diese Optionen ermöglichen eine zentrale Konfiguration der erforderlichen Sicherheit. Einige Cloud -Dienste, wie z. B. Azure AD, können dann bedingte Zugriffsrichtlinien verwenden, um sicherzustellen, dass der Zugriff nur an bestimmte Dienste gewährt wird, wenn das Gerät konform ist und/oder Domäne verbunden ist.
Die Anforderungen an die Gerätekonfiguration können von einem Unternehmen zu einem anderen variieren. Zu den grundlegenden Konfigurationen, die erzwungen werden sollten, gehören jedoch:

• BitLocker Full Drive Encryption: Wenn Sie sicherstellen
• Geräteschutz: Stellen Sie sicher, dass die Hardware- und Softwarekomponenten das System schützen können
• Sichere lokale Verwaltung: Stellen Sie sicher
• Sichere Authentifizierung: Aktivieren und erzwingen Sie Mindestanforderungen für die Sicherheit der Authentifizierung wie Microsoft Passport und Windows Hello
• Windows Defender: Diese oder andere Lösung für Virus- und Bedrohungsschutz sollte aktiviert, aktualisiert und aktiv geschützt werden und das Betriebssystem, die Anwendungen und die Daten aktiv schützt
• Software -Patches: Diese müssen sehr bald nach ihrer Verfügung gestellt werden

Anwendungsmanagement

Es gibt verschiedene Optionen, um Apps auf Windows 10 -Geräten bereitzustellen. Die häufigste Methode ist die Verwendung von Configuration Manager. Für die Geräte, die nicht Teil des Unternehmensnetzwerks sind (dh sie werden nicht von AD verwaltet), müssen jedoch alternative Methoden finden. Wenn das Gerät in eine MDM -Lösung eingeschrieben ist, kann dies zur Einrichtung von Unternehmensanwendungen verwendet werden. Wenn das Gerät jedoch nicht eingeschrieben ist, können Benutzer weiterhin auf eine der folgenden Arten zugreifen.

Bereitstellungspakete

Abhängig von Ihrer Anwendungsbereitstellung können Sie Ihren Benutzern Softwarepakete zur Verfügung stellen, die sie auf ihrem BYOD -Gerät installieren können. Diese Pakete können auf einer Dateifreigabe oder einem Cloud -Speicher gespeichert oder über USB -Speicherstick verteilt werden.

Windows Store for Business

Dies bietet eine flexible Möglichkeit, kostenlose und kostenpflichtige Apps auf Windows 10 -Geräte in Volumen zu finden, zu kaufen, zu verwalten und zu verteilen. IT-Administratoren können Windows-Store-Apps und private Apps der Geschäftslinie in einem Inventar verwalten, um sicherzustellen, dass Lizenzen nicht verschwendet werden.

Mobile Anwendungsverwaltung

Eine Lösung wie Windows Intune kann verwendet werden, um Anwendungssteuerungsprofile zu erstellen. Wenn der Benutzer die Software installiert und in der Verwendung seines Unternehmenskontos unterschreibt, kann die MAM -Richtlinie (Mobile Application Management) bestimmte Beschränkungen durchsetzen, um sicherzustellen, dass die Anwendung sicher verwendet wird (z. B. Durchsetzung eines PIN oder einer lokalen Festplattenverschlüsselung). Wenn das Gerät nicht konform ist, kann die Anwendung nicht verwendet werden und alle Unternehmensdaten können ohne Auswirkungen anderer Anwendungen und Daten auf dem Gerät entfernt werden. All dies ist ohne Domain -Join oder MDM -Registrierung möglich.

Informationsschutz

Es stehen viele Optionen zur Verfügung, um Informationen zu schützen, die auf dem BYOD -Gerät gespeichert sind.

Bitlocker und Gerätestift

Stellen Sie sicher, dass alle Geräte mit sicheren Anmeldeinformationen und Bitlocker -Antriebsverschlüsselung geschützt sind. Geben Sie den Benutzern einfache Anweisungen zur Aktivierung dieser Funktion auf den lokalen Festplatten ihrer Computer sowie alle abnehmbaren Speichergeräte, mit denen größere Dateien übertragen werden können.

Windows -Informationsschutz

Die WIP -Lösung (Windows Information Protection) ist in die Windows 10 Anniversary Edition (1607) integriert und bietet die Isolierung von Unternehmensdaten aus personenbezogenen Daten. Es ermöglicht dem Administrator, eine Richtlinie zu definieren, die angibt, welche Anwendungen zulässig sind und welche befreit sind. Alle als erlaubten Anwendungen können nach den Richtlinieneinstellungen Daten auf dem lokalen Gerät sicher speichern und teilen. Alle als als ausgenommenen Anwendungen können ohne Einschränkungen auf Unternehmensdaten zugreifen. Alle anderen Anwendungen werden vom Zugriff auf Unternehmensdaten blockiert. Der Administrator kann Microsoft Office -Apps, Speichern von Apps und Windows -Desktop -Apps angeben. Der Administrator kann wählen, ob er den Zugriff auf Unternehmensdaten auf einem oder vielen Geräten, die mit MDM eingeschrieben sind, widerrufen und gleichzeitig die personenbezogenen Daten bestehen.

Klassifizierung und Verschlüsselung der Dokumente

Die Dokumentverschlüsselung ist die sicherste Möglichkeit, Dokumente zu schützen, die auf Geräte außerhalb der vollständigen Kontrolle der IT -Abteilung verteilt sind, wie z. B. USB -Sticks, E -Mail-, Dropbox- und BYOD -Geräte, die nicht verwaltet werden. Beginnen Sie mit der Klassifizierung des sensibelsten Inhalts, um sicherzustellen, dass er eindeutig identifiziert und angemessen behandelt wird.

Datenverlustprävention

Reife Produktivitätslösungen wie Microsoft Exchange und SharePoint unterstützen die integrierten Datenverlustprävention (DLP), die alle Inhalte scannen können, wenn sie in das System übertragen werden. Mit den entsprechenden Klassifizierungs- und Identifizierungsregeln können Inhalte, die sehr empfindlich sind, beschränkt werden, um ein versehentliches Teilen oder eine böswillige Absicht zu verhindern.

Alternative Optionen

Bisher haben wir den Schutz von Unternehmensdaten auf Geräten erörtert, indem wir die verwendete Identität, das Gerät und die Anwendungen verwalten und den Inhalt selbst schützen, falls er über eine unsichere Plattform geteilt wird. Wenn diese Optionen nicht genügend Schutz bieten und Sie immer noch besorgt über die Integrität und Vertraulichkeit Ihrer Unternehmensdaten sind, müssen Sie einige andere Optionen berücksichtigen.

Aktivieren Sie Remote/Virtual Desktops - RDS/VDI

Diese Lösung gibt es schon seit mehreren Jahren und ist die beliebteste Option, um Remote -Mitarbeiter zu ermöglichen, Zugang zu internen Ressourcen zu erhalten. Die Lösung kann konfiguriert werden, um zu verhindern, dass der Benutzer alle Dokumente herunterlädt und sicherstellt, dass alle Daten innerhalb des kontrollierten Umfangs verbleiben. Diese Option kann teuer implementieren und komplex zu verwalten, und die Benutzererfahrung ist nicht so gut wie die nativen Apps und Daten auf dem lokalen Gerät. Sie ist jedoch die sicherste Option für Remote -Arbeiten.

Aktivieren Sie virtuelle private Netzwerke

Wenn Sie das Gerät verwalten und vertrauen, können Sie ein virtuelles private Netzwerke (VPN) konfigurieren oder DirectAccess verwenden, um einen sicheren Tunnel zwischen dem Gerät des Benutzers und Ihrem Unternehmensnetzwerk zu erstellen. Dies stellt sicher, dass Informationen nicht im Netzwerk abgefangen werden können (z. B. in einem öffentlichen Wi-Fi-Hotspot). Alle auf dem Gerät kopierten und gespeicherten Daten sind jedoch immer noch anfällig für lokale Angriffe gegen dieses Gerät.

Bewerbungen über Proxy veröffentlichen

Eine weitere beliebte Option zur Bereitstellung von Remote -Zugriff auf interne Systeme und Daten besteht darin, das interne System über Proxy -Dienste zu veröffentlichen. Dieser Service führt die Authentifizierung und die bedingten Zugriffsprüfungen durch, bevor der Zugriff auf die interne Ressource gewährt wird. Dies ist eine gute Alternative zu einem VPN, da keine lokale Konfiguration oder Software -Installation auf dem Gerät des Benutzers erforderlich ist. Der Verkehr verschlüsselt jedoch nicht, es sei denn, HTTPS ist angegeben.

Endbenutzerverhaltensanalyse

Durch die Überwachung von Aktivitäten in den Protokollen können wir ein anomales und verdächtiges Benutzerverhalten entdecken und das potenzielle Risiko bestimmter Aktivitäten bewerten, z. Dann können wir entscheiden, ob sie blockiert oder zumindest für eine alternative Authentifizierungsanforderung (MFA) aufgefordert werden sollten. Microsoft bietet diese Funktionalität im Rahmen von Office 365 E5 -Lizenzen (Advanced Security Manager) und der E5 -Suite von Enterprise Mobility & Security (Microsoft Cloud App Security) an.

OneDrive für Geschäft

Diese Lösung ist ein zentraler Bestandteil der Office 365 -Plattform und bietet eine Cloud -Speicher- und Sharing -Lösung. Es stehen verschiedene Optionen zur Verfügung, um sicherzustellen, dass Daten geschützt sind. Wenn Benutzer beispielsweise nur ihre OneDrive -Ordner auf autorisierten Geräten synchronisieren können, wenn das Gerät nicht mit Domäne verbunden ist oder konform (z. . Bedienelemente können auch so eingestellt werden, dass der Benutzer seine Inhalte von OneDrive an interne oder externe Dritte weitergeben kann.
Dieser Screenshot zeigt die verfügbaren Sync -Konfigurationsoptionen in Office 365:

Es ist auch möglich, Zugriff auf der Grundlage von Gerätespezifikationen zu regeln, z. B. die Möglichkeit, den Zugriff auf der Grundlage der IP -Adresse und der Unterstützung der modernen Authentifizierung einzuschränken. Wenn der Abschnitt "Mobile Application Management" (gemäß dem folgenden Bild) ausgegraut ist, werden die Einstellungen stattdessen von Microsoft Intune gesteuert:

Arbeitsordner

Für diejenigen Unternehmen, die noch nicht bereit sind, eine öffentliche Cloud zu übernehmen, können Sie die Funktionsordner bereitstellen, die Teil von Windows Server 2012 R2 und später sind. Diese Funktion ermöglicht den sicheren Zugriff auf Dateien und Ordner über das Internet. Der Geräteunterstützung umfasst Windows (10, 8.1 und 7), Android und iOS. Geräterichtlinien können konfiguriert werden, um sicherzustellen, dass Geräte bestimmte Anforderungen entsprechen, bevor sie eine Verbindung zu Dateien herstellen können. Alle Daten können auch auf dem Gerät verschlüsselt werden, auch wenn Bitlocker nicht aktiviert wurde.

Zusammenfassung

In diesem Artikel haben wir die wichtigsten Überlegungen zur Entscheidung behandelt, welche Arten von Geräten von Ihren Benutzern sowie die Risiken und Vorteile jeder Option verwendet werden können. Unabhängig davon, ob Sie sich für die Durchsetzung von MDM für die Verwaltung externer Geräte entscheiden oder sich für eine MAM-Option entscheiden, gibt es zahlreiche Möglichkeiten, den Zugriff auf Ressourcen zu sichern und die nicht autorisierte Verteilung sensibler Daten zu verhindern und gleichzeitig die Zusammenarbeit zwischen internen und externen Teams zu ermöglichen.