Mobiele apparaten beheren met Microsoft Office 365 MDM en Intune
Microsoft heeft het Office 365-aanbod voor bedrijven dit jaaruitgebreid met functies om mobiele apparaten te beheren. Met Office 365 Mobile Device Management beheer je niet alleen toegang voor e-mailaccounts, maar ook voor documenten. Gek genoeg werkt dat beter bij apparaten met iOS of Android dan bij die met Windows Phone.
Systeembeheerders hebben de zware taak om te zorgen dat bedrijfsgegevens alleen op geautoriseerde smartphones en tablets gebruikt kunnen worden. Terwijl je notebooks met de standaard tools van het besturingssysteem prima in de bedrijfs- IT kunt opnemen en beveiligen, ligt dat bij smartphones en tablets met verschillende besturingssystemen en versies een stuk ingewikkelder.
Alleen apparaten en apps die niet verdacht zijn voor het bedrijf, moeten toegang kunnen krijgen tot de bedrijfsgegevens. Maar dat mag niet ten koste gaan van de veiligheid van die gegevens. En in geval van twijfel moet de systeembeheerder de gegevens ook weer van de apparaten kunnen verwijderen. De zaak wordt nog gecompliceerder als gevoelige bedrijfsgegevens op de apparaten naast privédata van medewerkers komen te staan. Als een medewerker het bedrijf verlaat of een mobiel apparaat verkocht of gestolen wordt, rijst de vraag hoe het bedrijf zeker kan zijn dat er geen belangrijke gegevens op het apparaat achterblijven.
Microsoft biedt Office 365-klanten drie manieren om toegang tot mail en data voor mobiele apparaten te beheren: ActiveSync, Office 365 MDM en Intune. Bij bedrijven die met Microsoft Exchange Server of Exchange Online werken, worden de mailboxen op mobiele apparaten meestal met het ActiveSync- protocol gekoppeld. Dit protocol is al een aantal Exchange-generaties beschikbaar en heeft inmiddels ook wat functies voor het beheer van mobiele apparaten. Alleen zijn die beperkt tot e-mail, agenda en contactpersonen. Toegang tot documenten bij SharePoint Online en OneDrive for Business Online kun je niet regelen met Active- Sync.
Met Office 365 Mobile Device Management (MDM) kun je zulke data wel meenemen. De MDM-functies zijn gratis beschikbaar voor alle zakelijke Office 365-klanten. De functionaliteit van het betaalde Intune is nog uitgebreider. Voor Intune-licenties betaal je naast het Office 365-abonnement elke maand nog 4,60 euro per gebruiker. In de tabel op deze pagina vergelijken we de functieomvang van ActiveSync, Office 365 MDM en Intune met elkaar.
Exchange ActiveSync
Bij het ActiveSync-protocol kan de systeembeheerder met behulp van regels aangeven welke mobiele apparaten het recht hebben om bedrijfsmailboxen te synchroniseren. Zo kun je bijvoorbeeld in één keer alle Android- apparaten uitsluiten van synchronisatie, maar ook selectief afzonderlijke apparaten vrijgeven.
Als er op een apparaat waarvoor een toegangsregel bestaat een bedrijfsmailbox wordt gekoppeld aan een van de mailapps, dan start de synchronisatie volgens de standaard instellingen meteen. Je kunt als systeembeheerder echter ook afdwingen dat een apparaat eerst in quarantaine komt. Dan kun je het van daaruit desgewenst vrijgeven. Daarvoor hoef je geen fysieke toegang tot het apparaat te hebben. Vrijgeven doe je via de beheerinterface van de Exchange-omgeving. Met behulp van postvakbeleid voor mobiele apparaten kun je ook een zekere mate van beveiliging afdwingen, bijvoorbeeld door in te stellen dat het apparaat met een sterk wachtwoord beveiligd moet zijn.
Het ActiveSync-protocol biedt ook de mogelijkheid om apparaten te resetten. Zo kunnen zowel de beheerder als de gebruiker een commando naar het apparaat sturen om alle aanwezige data te wissen. Op dat moment wordt er geen onderscheid gemaakt tussen privé- en zakelijke data. Als de systeembeheerder het wiscommando naar het apparaat van een voormalige medewerker stuurt, wordt dus niet alleen de zakelijk gebruikte mailbox met alle mails verwijderd, maar verdwijnen ook de familiefoto’s en alle andere privégegevens. Dat is niet netjes bij een privéapparaat. Met ActiveSync kun je alleen selectief wissen wanneer Microsofts eigen apps Outlook en OWA (Outlook Web App) gebruikt worden. Als de gebruiker de bedrijfsmailbox met zo’n app gekoppeld heeft, worden bij een wiscommando van de beheerder alleen de mailboxen binnen deze apps verwijderd. Zo blijven privégegevens behouden.
Office 365 MDM biedt de beheerder de mogelijkheid om alleen de bedrijfsgegevens op afstand te wissen.
Office 365 MDM
Het afgelopen april geïntroduceerde Office 365 MDM is speciaal toegesneden op de Microsoft-cloud. De dienst maakt onderdeel uit van alle Office 365-licentietypen voor bedrijven en hoeft niet apart betaald te worden. Ook in de Office 365-omgevingen van bestaande klanten moeten de MDM-beheerfuncties inmiddels beschikbaar zijn. Daarmee kun je de toegang regelen voor zowel Exchange Online-mailboxen als documenten bij SharePoint Online en OneDrive voor Bedrijven Online. Voorwaarde is wel dat de bestanden benaderd worden met de OneDrive-app van Microsoft of met de voor touch geoptimaliseerde Office-apps. Deze apps zijn beschikbaar voor iOS 7.1 en hoger en voor Android 4.4 en hoger.
Apps moeten voorbereid zijn op het gebruik met MDM. Met apps waarbij dat niet het geval is kan de gebruiker niet bij de bedrijfsgegevens. Behalve de apps van Word, Excel, PowerPoint en OneNote voor het lezen en bewerken van documenten kan inmiddels ook de Outlook-app met behulp van Office 365 MDM beheerd worden. Datzelfde geldt voor alle mail-apps die met het ActiveSync-protocol toegang hebben tot Exchange Online-mailboxen, in het bijzonder de met iOS, Android en Windows Phone meegeleverde e-mail-apps, maar bijvoorbeeld ook de Mail-app van Windows 8.1. De klassieke Outlook-clients voor Windows en OS X kun je dan weer niet met Office 365 MDM beheren. In de tabel rechtsonder zie je welke apps op welke platforms door Office 365 MDM ondersteund worden.
Apparaten die worden opgenomen in het mobiele beheer van Office 365 wijzen de gebruiker erop dat deze de controle van belangrijke instellingen overgeeft aan de systeembeheerder.
MDM-componenten
Office 365 MDM heeft drie componenten: instellingen en beperkingen toepassen, mobiele toegang beheren en bedrijfsgegevens wissen. Via het toegangsbeheer geeft de beheerder voorwaarden aan waar een apparaat aan moet voldoen om toegang tot de bedrijfsgegevens te krijgen. Daar zitten dingen bij als een pincode, actieve versleuteling van het apparaat en een verbod op gejailbreakte en geroote apparaten. Deze voorwaarden worden niet alleen bij de eerste keer aanmelden gecontroleerd, maar regelmatig. Mocht aan een bepaalde voorwaarde niet meer worden voldaan, dan wordt de toegang tot gegevens geblokkeerd. Zo kan de beheerder er zeker van zijn dat een gebruiker nadat hij zijn apparaat gejailbreakt heeft niet meer bij de bedrijfsdata kan.
Wat beperkingen betreft kun je als beheerder instellingen vastleggen waar de gebruiker niet omheen kan zodra het apparaat in Office 365 MDM geïntegreerd is. Zo kun je verwisselbare opslagmedia en de screenshotfunctie blokkeren. Er zitten ook instellingen bij waar gebruikers met een privéapparaat niet zo blij mee zullen zijn, zoals het deactiveren van de camera en de app-store. Dat laatste werkt overigens alleen voor iOS. Daar wordt het icoontje van de App Store dan niet weergegeven. Bij Android-apparaten kan de Play Store niet gedeactiveerd worden. Microsoft heeft een Technet-pagina gemaakt met alle mogelijke instellingen per platform. Zie daarvoor de link aan het eind van dit artikel.
Op het moment dat de gebruiker een apparaat inschrijft bij Office 365 MDM wordt diegene gevraagd om de beheerder te activeren. Accepteert hij of zij dat, dan worden de instellingen van de beheerder actief. Zodra de beheerder of de gebruiker het apparaat weer uit Office 365 MDM verwijdert, vervallen ook alle beperkingen – maar de toegang tot de bedrijfsgegevens wordt dan ook geblokkeerd.
Je zou denken dat Microsoft bij de ontwikkeling voorrang geeft aan het eigen mobiele besturingssysteem en dat dus beter integreert in Office 365 MDM, maar momenteel is precies het tegenovergestelde het geval. Voor iOS en Android zijn veel opties beschikbaar, maar de mogelijkheden om Windows Phone te beheren zijn nog beperkt. Dat moet gaan veranderen met Windows 10 Mobile.
De beheerder kan mobiele apparaten die met Office 365 MDM beheerd worden – net als bij ActiveSync – volledig resetten. Maar anders dan bij ActiveSync kun je er ook voor kiezen alleen selectief data te wissen. Dan worden alleen de apps gereset die Office 365-diensten benaderd hebben en worden de bijbehorende gegevens gewist. Alle andere data, zoals foto’s en privémails blijven dan op het apparaat staan. De MDM-compatibele apparaten maken daarbij zelfs onderscheid tussen toegang tot privé- en bedrijfsgegevens. Met de OneDrive-app kun je bijvoorbeeld parallel toegang gebruiken voor de zakelijk gebruikte OneDrive voor Bedrijven Online en voor een privé gebruikte OneDrive. Bij selectief wissen worden alleen de data van de zakelijk gebruikte OneDrive for Business Online verwijderd.
Opzetten
Het opzetten van Office 365 MDM kost nauwelijks moeite. In ieder geval hoef je niks aan te passen aan de lokale infrastructuur, omdat het een pure clouddienst is. Standaard is hij gedeactiveerd en activeren duurt een paar uur. Ondertussen wordt op de achtergrond Microsoft Intune opgezet. Dat is een aparte, betaalde clouddienst van Microsoft. Een deel van de bijbehorende functies om mobiele apparaten te beheren is nu in de vorm van MDM gratis geïntegreerd in de bedrijfsabonnementen van Office 365. Als je als beheerder alleen deze functies gebruikt, hoef je ook niet te wisselen naar de beheerinterface van Intune. Als je iOS-apparaten via Office 365 MDM wilt beheren, heb je nog een push-certificaat nodig. Dat kun je bij Apple gratis krijgen. Voor Android- en Windows Phone-apparaten heb je zo’n certificaat niet nodig. Na het activeren van de dienst kan de beheerder het apparaatbeveiligingsbeleid instellen. Daarin komen de voorwaarden voor toegang en de instellingen voor de apparaten samen. Zoals zo vaak krijg je daarbij meer opties wanneer je de PowerShellcommandline gebruikt dan via de grafische interface. Zo kun je de camera van een mobiel apparaat alleen met de commandline deactiveren.
Vervolgens wijs je het beleid toe aan zogeheten beveiligingsgroepen waar de gebruikersaccounts van de medewerkers lid van zijn. Dat beleid wordt dus niet gekoppeld aan apparaten, maar aan gebruikersaccounts. Daarmee werkt het beleid ook als een gebruiker vanaf verschillende apparaten inlogt.
Stel dat een gebruiker de OneDrive-app op een nieuw gekocht apparaat downloadt of via de Word-app een document bij SharePoint Online probeert te benaderen. Dan moet hij daarvoor eerst inloggen bij Office 365. Daarbij stelt het systeem vast dat het apparaat in de omgeving nog niet bekend is en start dan automatisch een proces om het apparaat te registreren. Onder iOS en Android betekent dit dat de gebruiker de Microsoft-app Bedrijfsportal moet installeren. De app leidt diegene daarvoor naar de betreffende app-store. Bedrijfsportal is niet speciaal voor Office 365 MDM ontwikkeld, maar wordt met Intune al langer gebruikt. De app zorgt er nu voor dat in de Azure Active Directory (AAD), de toegangsdienst van Office 365, een object wordt aangemaakt voor het nieuwe apparaat. Dat object zelf wordt door de Office 365-diensten bevraagd om te achterhalen of het voldoet aan de toegangsvoorwaarden. Die voorwaarden worden regelmatig door de app gecontroleerd en opgeslagen in het AAD-object. Als het apparaat aan alle voorwaarden voldoet en succesvol geregistreerd is, kan de gebruiker nu de bedrijfsgegevens benaderen.
Met apparaat-beveiligingsbeleid legt de systeem-beheerder de toegangs-voorwaarden en de apparaat-instellingen vast.
Bij het toevoegen van een Exchange Online- postvak gaat dat een beetje anders. De standaard mail-apps benaderen Exchange met het ActiveSync-protocol. In dit geval grijpt MDM in bij de synchronisatie via ActiveSync. Daarom wordt in eerste instantie niet de eigenlijke inhoud van het postvak overgezet, maar alleen een e-mail met een configuratiehandleiding. Onder iOS en Android krijgt de gebruiker in deze mail het verzoek om de Bedrijfsportal-app te installeren en het apparaat daarmee te registreren. Vervolgens moet diegene nog op een link klikken waarmee mailtoegang vanaf het gebruikte apparaat wordt geactiveerd. Pas daarna wordt de inhoud van het postvak gesynchroniseerd.
Gaten dichten
Met Office 365 MDM kun je zoals beschreven de toegang tot data door bepaalde apps beheren. Maar je mag de Outlook-app niet verwisselen met de Outlook Web App oftewel OWA voor mobiele apparaten. Met allebei kun je wel Exchange-postvakken benaderen, maar alleen bij de OWA-app zijn speciale Office 365-functies, zoals Office 365-groepen beschikbaar. In tegenstelling tot de Outlook-app ondersteunt OWA nog geen beveiliging via Office 365 MDM, maar laat hij toegang tot de postvakken in Exchange Online ongehinderd toe. Beheerders die Office 365 MDM willen gebruiken, moeten daarom gebruik van OWA blokkeren met het volgende PowerShell-commando
Set-CasMailbox -Identity [Alias] -OWAforDevicesEnabled $False
Om dat voor elkaar te krijgen wordt met de lokaal geïnstalleerde PowerShell een remote sessie naar Exchange Online opgebouwd. Als beheerder hoef je daarvoor niet te weten op welke servers je omgeving concreet staat. Als gebruikers hun postvak via IMAP of POP benaderen, grijpt de beveiliging via Office 365 MDM ook niet in. Daarom is het aan te raden ook deze twee protocollen uit te schakelen:
Set-CasMailbox -Identity [Alias] -ImapEnabled $False
Set-CasMailbox -Identity [Alias] -PopEnabled $False
Deze configuratie heeft alleen effect op de het Exchange Online-postvak. Privé mailaccounts blijven dus wel gewoon toegankelijk via IMAP en POP. Bij Windows Phone 8.1 is de Bedrijfsportal-app niet nodig. Daarbij wordt vanaf het apparaat een zogeheten Workplace Join doorgevoerd. Dat is geen speciale functie van Office 365, maar onderdeel van het besturingssysteem en het werkt ook op notebooks met elke variant van Windows 8.1 van Home tot Enterprise.
Intune
Met Office 365 MDM is het wel mogelijk om de toegang tot Office 365-data voor bepaalde apparaten en apps te beperken, maar als beheerder heb je er geen invloed op wat gebruikers vervolgens met die data op hun apparaat doen. Stel bijvoorbeeld dat een gebruiker op de iPad met de Excel-app een werkblad opent met de berekening voor een nieuw product. De iPad is al in Office 365 MDM geregistreerd en voldoet aan alle voorwaarden, dus wordt er toegang verleend. Nu zou de gebruiker de data van het werkblad kunnen kopiëren en in een willekeurige andere app kunnen plakken. Daarmee is de beveiliging van de data niet meer gegarandeerd. Zelfs als je het apparaat selectief wist, blijven de gegevens bij apps die niet door Office 365 MDM ondersteund worden gewoon op het apparaat staan.
Intune biedt met Mobile Application Management (MAM) uitgebreidere beveiliging voor dergelijke gevallen. Met Intune kun je apps vrijgegeven voor zakelijk gebruik en de toegang tot bedrijfsgegevens op de vrijgegeven apps beperken. Gegevens die beschikbaar zijn voor vrijgegeven apps kunnen dan ook alleen uitgewisseld worden met andere vrijgegeven apps. Zo voorkom je als systeembeheerder bijvoorbeeld dat bedrijfsgegevens terechtkomen op Dropbox, Facebook en dergelijke.
Net als bij MDM geldt dat dit niet met willekeurige apps werkt. De volgende apps zijn voorbereid voor beheer met Intune: OneDrive, Word, Excel, PowerPoint, One- Note en Outlook, plus de standaard mail-apps van iOS en Android. Andere apps moeten eerst in een speciale container gekoppeld worden. Die voegt dan beveiligingsfuncties toe. Dat is echt een ingewikkelde procedure, waarvoor je de ‘Intune App Wrapping Tool’ voor iOS en Android nodig hebt. De manier van aanpassen verschilt per mobiel besturingssysteem. Documentatie vind je via de link aan het eind van dit artikel. Aangepaste apps kan de gebruiker niet meer via de app-store van het betreffende besturingssysteem downloaden, maar komen dan binnen via de Bedrijfsportal-app. Daarmee kunnen beheerders eigen bedrijfs-apps automatisch dan wel op aanvraag van de gebruiker op de apparaten installeren.
Naast MAM kan Intune echter ook gebruikt worden om VPN- en wifiprofielen in te stellen en certificaten te installeren. Bovendien heeft Intune functies voor het beheer van Windows-clients, inclusief onderhoud en softwaredistributie.
(Markus Widl is Microsoft MVP voor Office 365. Hij adviseert bedrijven en schrijft vakboeken over Office 365, Windows en BizTalk.)
