0
(Noch nicht bewertet)
18. Mai 2015
DataOne Blog

Mobiles Arbeiten am Arbeitsplatz der Zukunft

In der heutigen mobilen Welt stehen IT-Administratoren immer häufiger vor der Herausforderung, auf ein sich änderndes Anwenderverhalten beim Zugriff auf Unternehmensressourcen zu reagieren. Zum einen sollen Informationen sicher und zum anderen von möglichst überall aus zugreifbar sein. Dieser Blogpost zeigt einige Funktionen auf, mit deren Hilfe Sicherheit und Benutzerfreundlichkeit im Unternehmen gleichermaßen adressieren können.


Sicherheitsfunktionen werden in der Regel nur dann von den Anwendern akzeptiert und genutzt, wenn sie möglichst einfach eingesetzt werden können und die Anwender nicht behindern. Im Idealfall kennt der Anwender angebotene Funktionen bereits aus dem privaten Alltag, so dass die Akzeptanz noch einmal entsprechend gesteigert werden kann.
Die Verbreitung von Mobilgeräten wie Tablets und Smartphones nimmt im privaten Umfeld immer mehr zu, der Absatz von „klassischen“ PCs und Notebooks ist rückläufig. Gleichzeitig werden in vielen Unternehmen Privatgeräte genutzt, um auf Unternehmensressourcen zuzugreifen. Bring-Your-Own-Device (BYOD) wird also heute schon gelebt, auch und gerade dann, wenn die Unternehmens-IT darauf (noch) nicht vorbereitet ist. So wird es beispielsweise in vielen mir bekannten Unternehmen zumindest geduldet, dass Anwender mit ihren privaten Smartphones via ActiveSync auf ihre Exchange-Postfächer zugreifen. Oft kommt dann nicht einmal eine einschränkende ActiveSync Mobile Device Mailbox Policy zum Einsatz, mit deren Hilfe beispielsweise detailliert festgelegt werden könnte, welche Gerätetypen zugreifen dürfen oder dass der PIN-Schutz der zugreifenden Geräte erzwungen wird.

Eine häufige Ausrede ist, dass man ja nicht in die Privatsphäre der Anwender eingreifen und das Erzwingen eines Kennwortschutzes auf Privatgeräten forcieren darf. Auch die Aussage, dass man den PIN-Schutz nicht aktivieren könne, weil der Support-Aufwand für Anwender, deren Kinder mit dem Smartphone spielen, die fünf mal die falsche PIN eingeben und deren Smartphone dann auf Werkszustand zurückgesetzt… NEIN! STOPP! Administratoren sind für den Datenschutz und die Datensicherheit innerhalb des Unternehmens verantwortlich und somit sehr wohl berechtigt, wichtige und richtige Maßnahmen zum Schutz der Unternehmensressourcen zu ergreifen. Wenn also ein Anwender mit seinem Privatgerät auf sein Unternehmenspostfach zugreifen will, dann nur, wenn er sich an (technisch erzwungene) Richtlinien hält. Smartphones, mit denen Unternehmensinformationen verarbeitet werden, sind kein Spielzeug und müssen vor unberechtigten Zugriffen geschützt werden. Häufig sind es leider die VIP-Anwender, die auf entsprechende Schutzmaßnahmen verzichten, die aber gleichzeitig die vertraulichsten Informationen des Unternehmens verarbeiten.

Workplace Join als Endgeräteauthentifizierung ohne Domänenintegration

In modernen BYOD-Szenarien muss der Administrator zunächst in der Lage sein, eine sichere Authentifizierung zwischen Endgerät und Unternehmensnetzwerk einzurichten, ohne das Gerät in die Active Directory Domain aufzunehmen. Hier kommt die Funktion Workplace Join zum Einsatz. Mithilfe von Workplace Join wird eine Endgeräteauthentifizierung über Active Directory Federation Services eingerichtet, so dass das Gerät bekannt gemacht – also authentifiziert – wird und somit der Zugriff auf interne Ressourcen gestattet werden kann. Über Workplace Join lassen sich sowohl Windows 8.1- als auch iOS-Endgeräte an das Unternehmen binden. Workplace Join adressiert in erster Linie Windows- und iOS-Tablets, aber auch „vollwertige“ private Windows 8.1-Geräte wie Notebooks oder PCs lassen sich so authentifizieren.

Work Folders als Onedrive im eigenen RZ

Mithilfe von Work Folders lassen sich Inhalte ähnlich wie bei OneDrive zwischen Endgeräten synchronisieren. Als zentraler Speicherort dient hierbei allerdings, anders als bei OneDrive, ein Windows Fileserver im eigenen Rechenzentrum. Der Administrator kann den Anwendern im Zusammenspiel mit Workplace Join somit OneDrive-ähnliche Funktionen bieten, ohne die eigenen Daten in die Cloud auslagern zu müssen.

Mobile Device Management (MDM) mit Microsoft Intune

Der Einsatz und die Verwaltung von Mobilgeräten erfordert ein Umdenken im Vergleich zur klassischen Geräteverwaltung im Unternehmensnetzwerk. Mobilgeräte müssen sich auch dann verwalten lassen, wenn keine Verwaltungssoftware auf dem Gerät installiert wurde. Zudem muss die Verwaltung auch ohne lokale Administratorenrechte im klassischen Sinn möglich sein, ohne dass die Sicherheit ausgehebelt wird. Hierbei unterstützt die MDM-Lösung Microsoft Intune. Über die Unternehmensportal-App, die für Windows und Windows Phone, iOS und Android verfügbar ist, lassen sich Mobilgeräte, auch private, an das Unternehmen binden. Zugriff auf Unternehmensressourcen, beispielweise auf die oben angesprochenen Exchange-Postfächer, wird nur noch dann gestattet, wenn das jeweilige Gerät enrolled, also am Unternehmensportal angemeldet und bekannt gemacht wurde. Über entsprechende Richtlinien lassen sich Apps auf dem Endgerät sperren oder andere automatisiert installieren. Gleichzeitig lässt sich, anders als bei der klassichen ActiveSync-Anbindung von Smartphones, bei Verlust oder Diebstahl des Gerätes nicht nur ein Full Wipe ausführen, also das Zurücksetzen des Gerätes auf den Auslieferungszustand, sondern auch ein Selective Wipe, bei dem nur die Informationen auf dem Gerät gelöscht werden, die über den Enrollmentprozess im Unternehmensportal verfügbar gemacht wurden. Alle privaten Daten, wie Fotos, Musik oder private Mailaccounts bleiben bei diesem Vorgang unangetastet. Über Richtlinien lassen sich auch weitere Endgeräte-Konfigurationen einrichten, beispielsweise VPN- oder WLAN-Verbindungen zum und im Unternehmen, ohne, dass der Anwender Kenntnis über sicherheitskritische Informationen, beispielsweise die Zugangsdaten zum Unternehmens-WLAN, erhält.

Eine Zeit, in der sich das Anwenderverhalten maßgeblich ändert, erfodert, dass Unternehmens-Administratoren vorbereitet sind. Informieren Sie sich noch heute über unsere Vision vom Arbeitsplatz der Zukunft oder kontaktieren Sie uns zur Vereinbarung eines Beratungstermins. Gerne entwickeln wir gemeinsam mit Ihnen die für Sie passende Strategie, um Ihre IT fit zu machen für mobiles Arbeiten am Arbeitsplatz der Zukunft.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.