1
30. September 2015
DataOne Blog

Enterprise Mobility Management, oder die Kunst, einen sicheren, intuitiven Zugang zu Unternehmenscontent bereitzustellen

Das Geschäftsleben verändert sich. Es gibt mehr Anwendungen, mehr Endgeräte und auch mehr Daten als jemals zuvor. Neben der einfachen Verwaltung von mobilen Endgeräten spielt vor allem Datensicherheit eine immer größere Rolle. Dieser Beitrag befasst sich mit den Anforderungen rund um den Zugriff auf Unternehmensdaten sowie der Verwaltung von Endgeräten.


Die (digitale) Welt ist im Wandel. Bereits heute wird rund ein Drittel des weltweiten Internet-Traffics mobil erzeugt, Kinder und Jugendliche sammeln erste IT-Erfahrungen mit mobilen Endgeräten und aus dem privaten Alltag ist Cloud Computing nicht mehr wegzudenken.

Denken wir nur einmal 20 Jahre zurück. Ich erinnere mich noch, wie stolz ich damals war, eine Audio-CD im .wav-Format auf meinem damals hochmodernen Pentium-PC speichern zu können. Für viel mehr, als eine CD reichte die Speicherkapazität meiner Festplatte nicht aus, dennoch war es cool, per Mausklick Musik hören zu können, ohne die CD einlegen zu müssen. Heute konsumieren wir unsere Musik per Stream oder MP3-Download und synchronisieren Inhalte zwischen all unseren Endgeräten, denn wer will seine Musiksammlung schon nur im heimischen Wohnzimmer hören?  Fotos, die mit dem Smartphone aufgenommen werden, können am heimischen PC oder Notebook nahtlos weiter bearbeitet, Änderungen auf dem Tablet live verfolgt werden.

Die Veränderungen des gesellschaftlichen Umgangs mit digitaler Technologie im privaten Umfeld stellen auch Unternehmen vor die Herausforderung, sich zu wandeln, sich anzupassen, sich zu öffnen. Zu öffnen für Neues. Zu öffnen für die Cloud! Unsere Digital Natives, jene Kinder und Jugendliche, die mit moderner Technologie aufwachsen, die sich in ihrer Jugend moderne Arbeitsweisen aneignen und die moderne Tools benutzen, mit denen sie im Privatleben „produktiv“ sind, werden nach der Berufsausbildung etablierte Unternehmensprozesse nur dann vollständig akzeptieren und adaptieren, wenn sie damit ebenso produktiv sind, wie im Privatleben.

Kann ein Unternehmen dies nicht gewährleisten, werden sich Bewerber entweder für ein Unternehmen entscheiden, in dem Prozesse etabliert sind, die sich funktionell mit den Erfahrungen aus dem privaten Alltag decken, oder die Anwendungen, die Mitarbeiter privat nutzen, werden im Unternehmenskontext ohne Kontrolle durch die IT-Verantwortlichen eingesetzt. Der erste Trend führt zu einem Wettbewerbsnachteil, da sich Fachkräfte abwenden, der zweite zur Etablierung einer Schatten-IT, die Data Leakage begünstigt und die die IT-Sicherheit kompromittiert.

Ist Enterprise Mobility Management die Lösung?

Es gilt also, diesen Gefahren entschlossen gegenüber zu treten und moderne IT-Prozesse einzuführen, die einerseits sicher sind, und die andererseits intuitiv befolgt werden können. Intuitiv deshalb, weil sie sich mit den Erfahrungen aus dem privaten Alltag decken. Die Microsoft Enterprise Cloud bietet hierzu eine Vielzahl einzelner Dienste, die gemeinsam mit Komponenten im eigenen Rechenzentrum eine hybride Enterprise Mobility Management-Plattform bilden.
Enterprise Mobility

 

Im Folgenden möchte ich einige Kernfunktionen der Enterprise Mobility Management-Strategie näher beleuchten.

Identity und Access Management

Die Verwaltung von Berechtigungen und die Zugriffskontrolle sind eng mit der Sicherheit von Unternehmensressourcen verbunden. Azure AD Connect dient der Replikation von Benutzer- und Gruppenkonten nach und von Azure Active Directory. Azure Active Directory ist eine cloudbasierte IDaaS-Lösung zur Identitäts- und Zugriffsverwaltung. Benutzerkonten, denen Office 365-Dienste zugewiesen werden, sind beispielsweise in Azure Active Directory gespeichert. Gemeinsam mit Active Directory Federation Services (AD FS) im lokalen Rechenzentrum kann eine Single Sign-On(SSO)-Infrastruktur zum Zugriff auf Cloud- und OnPremise-Ressourcen implementiert werden. Azure Multi-Factor Authentication (MFA) verhindert durch Bereitstellung einer zusätzlichen Authentifizierungsebene gleichzeitig den unberechtigten Zugriff auf lokale und Cloudanwendungen.

Unified Device Management

Die Verwaltung von Endgeräten ist eine der Herausforderungen, die es zu bewältigen gilt. Um die Vielzahl an Endgerätevariationen zum mobilen Zugriff auf Unternehmensressourcen in geordnete Bahnen lenken zu können, müssen Compliance-Richtlinien definiert und gemeinsam mit Anwendungsrichtlinien auf den Endgeräten erzwungen werden können. Einem Endgerät, das nicht „compliant“ ist, muss der Zugang zu Informationen verweigert werden können.
System Center 2012 R2 – Configuration Manager ist das strategische Produkt für die Geräteverwaltung im Unternehmensnetzwerk. Neben Softwarepaketierung und -verteilung, OS-Deployment und Patch Management bietet die Software gemeinsam mit System Center 2012 R2 – Service Manager zentrales Asset Management und Intelligence. Gemeinsam mit dem Clouddienst Microsoft Intune für Mobile Device Management (MDM) und Mobile Application Management (MAM) entsteht eine integrierte Plattform für das Unified Device Management.

(Device Based) Conditional Access

Bring your own device(BYOD)-Szenarien sind für Unternehmen in vielerlei Hinsicht nicht wünschenswert. Chose your own device, also die Möglichkeit für den Anwender, seine Endgeräte aus einer Art Unternehmens-Shop auszuwählen und vom Unternehmen bereitstellen zu lassen, haben aber eine positive Wirkung sowohl auf die Corporate IT, weil nur definierte Endgeräte verwaltet, also „supported“ werden müssen, als auch auf den Anwender, der seine Wunschausstattung, zumindest in Grundzügen, selbst bestimmen kann. Sobald Corporate Content aber für den Mobilzugriff vorbereitet wird, ist es wünschenswert, die Zugriffe auf Managed Devices, also Geräte, die der Hoheit des Unternehmens unterliegen, einzuschränken. Intune bietet bereits eingebaute Conditional Access-Funktionen für Exchange Server, Exchange Online und SharePoint Online. Geräten, die nicht über Intune verwaltet werden, wird ein Zugang zu den genanntent Diensten nicht gestattet. Doch wie geht man mit anderen, lokalen oder cloudbasierten Unternehmensdaten um?
AD FS bietet, gemeinsam mit Azure Active Directory und Workplace Join / Azure AD Join die Möglichkeit, Zugriffe auf die Geräte einzuschränken, die in Active Directory bekannt sind. Somit dient das Unternehmens-Endgerät als zusätzliche Authentifizierungsebene neben Benutzernamen, Kennwort und MFA.

Unified Content Store

Die sichere Dokumentenablage und die Möglichkeit, Inhalte mobil bearbeiten und wieder speichern zu können, sind essentiell für einen funktionierenden Arbeitsplatz der Zukunft. Microsoft SharePoint und One Drive for Business erfüllen diese Anforderungen und können als Unified Content Store für interne und mobile Zugriffe dienen.

Content Publishing und User Self-Service

Die Veröffentlichung von Unternehmensinformationen lässt sich über Azure AD Application Proxy abbilden. Web-Applikationen, wie SharePoint und Outlook WebApp werden zentralisiert im MyApps-Portal verfügbar gemacht. Gleichzeitig haben Anwender hier die Möglichkeit, Ihre Kennwörter zu ändern oder zurücksetzen zu lassen, ohne den Helpdesk zu involvieren.

Und WhatsApp?

Messaging-Dienste haben SMS im privaten Alltag längst abgelöst und auch E-Mails verlieren in diesem Zusammenhang immer weiter an Bedeutung, gerade, wenn es darum geht, Informationen schnell und unkompliziert auszutauschen. Was für Schnappschussfotos einwandfrei funktioniert, kann doch für Angebotstexte und Verträge nicht falsch sein. Oder doch?
Die IT-Verantwortlichen in Unternehmen stehen an dieser Stelle vor einer echten Herausforderung. Ist es möglich, alle Speicherorte vor unberechtigten Zugriffen zu schützen? Was ist mit USB-Sticks? DVD-Brennern? E-Mail-Kommunikation? Web Services? Mobilgeräten? Grundsätzlich lässt sich immer eine technische Möglichkeit finden, Zugriffs- und Speichermöglichkeiten einzuschränken, die aber in der Regel immer mit einer Bevormundung der Anwender und dementsprechend mit wenig Akzeptanz derjenigen einhergehen.
Aus unserer Sicht muss somit der Ansatz, die Datei selbst, nicht den Speicherort zu reglementieren, verfolgt werden. Aus diesem Grund bietet sich die Implementierung von Azure Rights Management (RMS) an. Hierbei wird die schützenswerte Datei basierend auf einer Vorlage verschlüsselt. Selbst beim Versand über einen Messaging-Dienst oder per E-Mail oder beim Speichern auf einen USB-Datenträger bleibt die Datei geschützt und kann nur dann geöffnet werden, wenn der Benutzer dazu berechtigt ist. Dies kann nicht nur manuell, sondern auch automatisiert beim Speichern der Datei auf einem FileServer oder in einer SharePoint-Bibliothek, basierend auf Eigenschaften der Datei oder des Inhalts erfolgen. Technische Details zu Azure RMS finden Sie in meinem Blogpost vom Frühjahr dieses Jahres.

Enterprise Mobility Management ist die Lösung!

Unsere Vision des modernen Arbeitsplatzes der Zukunft ist ein innovatives Konzept, das auf der Integration von Diensten aus den Bereichen Business Productivity und Core Infrastructure beruht, auf dem Verschmelzen von lokalen und Cloudanwendungen. Enterprise Mobility Management, also die Verwaltung mobiler Zugriffe auf Unternehmensressourcen, egal ob in der Cloud oder lokal, bildet hierbei einen zentralen Bestandteil. Unternehmen, denen es gelingt, Lösungen bereitzustellen, die sicher, intuitiv bedienbar, mobil nutzbar und dazu geeignet sind, die Zusammenarbeit zu verbessern, sind bereit für die Zukunft.

Das könnte Sie auch interessieren:

Ein Gedanke zu „Enterprise Mobility Management, oder die Kunst, einen sicheren, intuitiven Zugang zu Unternehmenscontent bereitzustellen“

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.