Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem...

11
Absicherung von Office 365 mit MobileIron Einführung Office 365, die Produktivitäts-Suite in der Microsoft-Cloud, enthält Onlineversionen der beliebtesten Anwendungen von Microsoft, beispielsweise Exchange und SharePoint, Speicherplatz über OneDrive und mehrere mobile Apps, beispielsweise Word, Excel, PowerPoint, OneNote, Outlook, Publisher und Skype for Business. Office 365 ist der zentrale Baustein der Strategie von Microsoft, sich zum Anbieter von Mobile-First- und Cloud-First-Software und entsprechenden Lösungen zu entwickeln. Viele Kunden von MobileIron nutzen Office 365 zunehmend auf Mobilgeräten statt auf konventionellen PCs. Häufig wird daher gefordert, Office 365 auf Mobilgeräten abzusichern und mit MobileIron bereitzustellen. 401 East Middlefield Road Mountain View, CA 94043, USA Tel.: +1.877.819.3451 Fax: +1.650.919.8006 [email protected] MKT-9926 v4.1

Transcript of Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem...

Page 1: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

Absicherung von Office 365 mit MobileIron

Einführung

Office 365, die Produktivitäts-Suite in der Microsoft-Cloud, enthält Onlineversionen der beliebtesten Anwendungen von Microsoft, beispielsweise Exchange und SharePoint, Speicherplatz über OneDrive und mehrere mobile Apps, beispielsweise Word, Excel, PowerPoint, OneNote, Outlook, Publisher und Skype for Business. Office 365 ist der zentrale Baustein der Strategie von Microsoft, sich zum Anbieter von Mobile-First- und Cloud-First-Software und entsprechenden Lösungen zu entwickeln. Viele Kunden von MobileIron nutzen Office 365 zunehmend auf Mobilgeräten statt auf konventionellen PCs. Häufig wird daher gefordert, Office 365 auf Mobilgeräten abzusichern und mit MobileIron bereitzustellen.

401 East Middlefield RoadMountain View, CA 94043, USA Tel.: +1.877.819.3451Fax: +1.650.919.8006 [email protected]

MKT-9926 v4.1

Page 2: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

2

Die meisten Unternehmen verfolgen eine Strategie, die Anwendungen verschiedener Anbieter zulässt und sich nicht auf Microsoft-Anwendungen beschränkt. Sie setzen beispielsweise Workflow- und branchenspezifische Anwendungen von Oracle, salesforce.com, SAP und die jeweils besten Anwendungen vieler anderer Anbieter ein. Infolgedessen benötigt die IT ein zentrales Sicherheitsmodell, das für alle mobilen Apps konsistent ist, seien es nun Microsoft- oder Nicht-Microsoft-Anwendungen, die das Unternehmen heute und morgen bereitstellen will.

Nur vertrauenswürdige Benutzer auf vertrauenswürdigen Geräten sollten in der Lage sein, mit vertrauenswürdigen Apps auf Unternehmensdaten zuzugreifen. Die Daten sollten dann sowohl bei der Speicherung auf dem Gerät als auch bei der Übertragung vom Gerät an den Back-End-Anwendungsdienst geschützt sein. Mitunter existiert dieser Back-End-Dienst im Firmennetzwerk, beispielsweise als traditioneller Exchange-Server oder Sharepoint, mitunter auch in der Cloud (beispielsweise bei Office 365 oder Salesforce.com).

MobileIron App-Sicherheitsmodell Einheitliches Konzept für mehrere Apps und mehrere Betriebssysteme

Sichere Verteilung von Apps

Schutz der App-Daten auf dem Gerät

Schutz der App-Daten bei der Übertragung

MobileIron Apps@WorkNative Kapselung

in ContainernMobileIron AppConnect

MobileIron SentryMobileIron TunnelMobileIron Access

MobileIron + Anwendungsanbieter

Bereitstellung ergänzender Konfigurationen

VertrauenswürdigeBereitstellung über einen Unternehmens-App-Store

Bedingter ZugriffSichere Konnektivität Ergänzende DLP-Funktionen

AuthentifizierungAutorisierung Konfiguration

VerschlüsselungSchutz vor

Datenverlust (DLP)Selektives sicheres

Löschen

In diesem Whitepaper werden das App-Sicherheitsmodell von MobileIron und die Absicherung von Office 365 durch MobileIron beschrieben. Manche Konzepte in diesem Dokument unterscheiden sich je nach Betriebssystem und Art der Bereitstellung, wenden Sie sich daher bitte an Ihren technischen Vertreter von MobileIron, wenn Sie weitere Informationen benötigen. Dieses Dokument entspricht zum Zeitpunkt der Erstellung unserem Wissensstand zur Integration der verschiedenen Technologien. Änderungen bleiben jedoch vorbehalten.

Page 3: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

3

Mit dem App-Sicherheitsmodell von MobileIron kann die IT:

1. Apps sicher verteilen.2. Die auf dem Gerät gespeicherten Anwendungsdaten schützen.3. Die an Backend-Dienste übertragenen Anwendungsdaten schützen.4. Definition ergänzender Konfigurationen über den Anwendungsanbieter

Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron:

1. Office-365-Apps sicher verteilena Konfiguration der nativen E-Mail- und PIM-Apps auf Mobilgeräten für eine Verbindung mit

Office 365.

b Sichere Verteilung der Office 365-Apps auf Mobilgeräte über den Unternehmens-App-Store MobileIron Apps@Work.

2. Die auf dem Gerät gespeicherten Daten für Office 365 schützena Zwangsweise Kapselung von Daten im Betriebssystem durch Kontrollen wie Datentrennung,

Beschränkung der Funktion zum Öffnen von Dateien und selektive Löschung zum Schutz der Daten von Office 365 auf dem Mobilgerät.

3. Anwendungsdaten aus Office 365 bei der Übertragung in die Microsoft-Cloud schützena Sicherer Tunnel zur Datenübertragung von dem Gerät in die Cloud über die App-spezifische VPN-

Verbindung von MobileIron Tunnel, wenn die Sicherheits-Compliance des Unternehmens dies erfordert.

b Nur vertrauenswürdige Apps und Geräte können auf die Daten von Office 365 über MobileIron Access zugreifen, d.h. es wird ein bedingter Zugang erzwungen.

4. Ergänzende Konfigurationen für Office 365 definierena Definition zusätzlicher Kontrollen zur Vermeidung von Datenverlust (DLP) für Funktionen wie

„Speichern unter“, „Ausschneiden, Kopieren und Einfügen“ sowie „Bildschirmfoto“ durch Integration der Microsoft Graph-API für die Intune App-Schutzrichtlinien in MobileIron.

Zu jedem Element des App-Sicherheitsmodells gehört in diesem Whitepaper ein Abschnitt, in dem Folgendes beschrieben wird: • Unternehmens-Sicherheitsanforderungen bestehen.• Wie MobileIron solche Anforderungen allgemein für mobile

Apps von MobileIron erfüllt.• Wie MobileIron solche Anforderungen speziell für Apps

von Office 365 erfüllt. MobileIron möchte ein konsistentes Sicherheitsmodell für alle mobile Apps anbieten, die ein Unternehmen für seine Mitarbeiter bereitstellt. Einige Apps stammen von Microsoft, die meisten jedoch von anderen Anbietern oder sind intern entwickelte Apps.

Page 4: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

4

Office-365-Apps sicher verteilen

Ein Unternehmens-App-Store ist ein Mechanismus, der mobile Apps an Mitarbeiter sicher verteilt. MobileIron ist in diesem Bereich innovativ und hat mehrere Patente für die Verwaltung mobiler Anwendungen erhalten.

IT-Sicherheitsanforderungen für die Verteilung von Apps

Mitarbeiter sollten in der Lage sein, den Unternehmens-App-Store auf ihren Mobilgeräten auszuwählen und den Katalog mit den Apps aufzurufen, die das Unternehmen für die Nutzung freigegeben hat. Dieser App-Katalog sollte sowohl Benutzer als auch Geräte unterscheiden.• Benutzerunterscheidung: Der App-Katalog sollte

je nach Identität der Mitarbeiter verschiedene Produkte zeigen. Ein Marketing Manager beispielsweise sollte andere Apps im Katalog sehen als ein HelpDesk-Ingenieur.

• Gerätespezifisch: Wenn das Gerät nicht die Compliance-Anforderungen erfüllt, beispielsweise eines Jailbreak oder Root-Kit, darf es dem Mitarbeiter nicht möglich sein, Katalog-Apps herunterzuladen.

Sicherheitsmodell von MobileIron zur Verteilung von Apps

MobileIron Apps@Work ist unser Unternehmens-App-Store und bietet der IT eine rationelle Möglichkeit zur Verteilung von Apps:• Die IT veröffentlicht Apps

in Apps@Work über die Verwaltungskonsole von MobileIron.

• Die IT weist jede App dann Benutzergruppen bzw. Gerätegruppen in Abhängigkeit von der Richtlinie zu, sodass die App nur im App-Katalog eines vertrauenswürdigen Mitarbeiters mit einem vertrauenswürdigen Gerät angezeigt wird.

• Der Mitarbeiter kann die App dann sicher über Apps@Work herunterladen.

Wenn der MobileIron-Kunde die nativen E-Mail- und PIM-Apps auf dem Mobilgerät nutzt, konfiguriert MobileIron diese nativen Apps aus der Ferne so, dass sie auf den Back-end-E-Mail-Dienst zugreifen können. Wenn der Kunde eine fremde E-Mail-App auf dem Gerät verwendet, verteilt MobileIron diese App über Apps@Work genauso wie andere Unternehmens-Apps. Bei Geräten mit Android für Unternehmen kann die IT-Abteilung außerdem mit Managed Google Play Unternehmens-Apps mit den MobileIron-Kontrollen verteilen.

Das MobileIron Sicherheitsmodell für die Verteilung der Apps von Office 365

Die IT-Abteilung löscht die Apps von Office 365 wie oben beschrieben über Apps@Work. Wenn der Benutzer die native E-Mail-App und die PIM-Apps auf dem Mobilgerät verwendet, konfiguriert MobileIron diese Dienste direkt bei der Verteilung der anderen Apps von Office 365 über Apps@Work.

Page 5: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

5

Auf dem Gerät gespeicherten Daten für Office 365 schützen

Diese Anforderungen werden oft als App-Container-Kapselung bezeichnet. Darunter ist die Fähigkeit zu verstehen, Unternehmens-App-Daten von privaten Daten auf dem Mobilgerät zu trennen und so das Risiko zu minimieren, dass nicht vertrauenswürdige Apps auf Unternehmensdaten zugreifen.

IT-Sicherheitsanforderungen für gespeicherte Daten

1. Authentifizierung: Es muss sichergestellt sein, dass der Benutzer für die Unternehmens-App bzw. die Sammlung von Unternehmens-Apps auf dem Gerät authentifiziert wird, sodass ein nicht vertrauenswürdiger Benutzer nicht darauf zugreifen kann. Client-Zertifikate werden oft verwendet, um den Prozess nach der Erstauthentifizierung für den Benutzer transparent zu machen.

2. Autorisierung: Es muss sichergestellt sein, dass die App nur funktioniert, wenn das Mobilgerät die Compliance-Anforderungen erfüllt.

3. Konfiguration: Konfigurationsvariablen (wie Servername, Sprache oder Richtlinien) werden automatisch auf die App übertragen. Dies ist eine bessere Alternative als die manuelle Eingabe der Konfigurationsdaten durch die Mitarbeiter, weil dadurch Fehler und Anrufe beim Helpdesk reduziert werden. Falsch konfigurierte Apps erzeugen auch oft Sicherheitslücken.

4. Verschlüsselung: Es wird eine sekundäre Verschlüsselung für die auf dem Gerät gespeicherten App-Daten gewährleistet. Moderne mobile Betriebssysteme und Geräte arbeiten mit integrierter Verschlüsselung, manche Unternehmen benötigen jedoch ggf. eine zusätzliche Sicherheitsebene.

5. DLP-Kontrollen: Diese verhindern Datenübertragung von vertrauenswürdigen Apps an nicht vertrauenswürdige Apps. Das Hauptsicherheitsproblem bei mobilen Apps ist die Vermeidung von Datenverlust (DLP). DLP-Kontrollen können beispielsweise Beschränkungen der Dateiöffnungsfunktion in iOS sein, um zu verhindern, dass nicht vertrauenswürdige Apps Unternehmensdokumente öffnen, oder die in Android für Unternehmen eingebetteten Kontrollen für die Kopier- und Einfügefunktion, welche verhindern, dass Mitarbeiter Text aus einer vertrauenswürdigen App in eine nicht vertrauenswürdige App kopieren. Diese Kontrollen sollen verhindern, dass Benutzer in guter Absicht unwissentlich Datenverluste verursachen. Diese Kontrollen reichen jedoch nicht aus, um Hacker auszusperren. Diese suchen nach anderen Mechanismen, beispielsweise Screenshots, um Daten von dem Gerät zu erfassen.

6. Selektives Löschen: Diese Funktion löscht die App-Binärdaten von dem Gerät, wenn der Mitarbeiter nicht mehr berechtigt ist, die App zu verwenden (weil er beispielsweise das Unternehmen verlässt) oder wenn das Gerät nicht länger autorisiert ist, die App auszuführen (wenn es beispielsweise gefährdet oder verloren gegangen ist).

Page 6: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

6

Das MobileIron-App-Sicherheitsmodell für gespeicherte Daten

MobileIron unterstützt die sechs Schritte zur Absicherung wie oben beschrieben durch eine Richtlinie für die Container-Kapselung der nativen App-Funktionen des Betriebssystems und durch ergänzende Kontrollen über die MobileIron AppConnect SDK und Wrapper.

Jedes Betriebssystem befindet sich in einer anderen Entwicklungsphase, daher bietet jedes Betriebssystem andere Kontrollen zur Kapselung der nativen Apps in Containern. Diese Kontrollen werden durch MobileIron verwaltet:• iOS (verwaltete Apps): Apple hat die Kapselung

von Apps in das Betriebssystem selbst integriert. Jede App verfügt über eigenen Speicher und Arbeitsspeicher, um einen Datenverlust aus einer vertrauenswürdigen App an eine nicht vertrauenswürdige App zu verhindern. Durch die Funktionen für verwaltete Apps in iOS kann die IT mit MobileIron Sicherheitskontrollen für die Unternehmens-Apps auf dem Gerät definieren. Diese verwalteten Apps werden über den Unternehmens-App-Store MobileIron Apps@Work verteilt. Apps wie Microsoft Outlook und Salesforce1 können mit MobileIron und iOS Single Sign-On (SSO) eine sichere Authentifizierung bei einem geeigneten Cloud-Dienst über Kerberos durchführen. Damit vereinfacht sich das Benutzererlebnis, weil der Mitarbeiter sich nur einmal anmelden muss und dann bei mehreren Cloud-Diensten authentifizieren kann.

• Android (Android für Unternehmen): Android für Unternehmen wurde von Google 2015 auf den Markt gebracht und erfüllt die Sicherheitsforderungen eines Betriebssystems für Unternehmen. Mit Android für Unternehmen kann die IT-Abteilung mit MobileIron ein Profil für Geräte mit Android 5.0 und höher bereitstellen. Dieses Profil trennt private und Unternehmensdaten, so dass die IT Unternehmens-Apps über MobileIron sicher bereitstellen und verwalten kann.

• Android (Samsung KNOX): Samsung hat im Rahmen des Samsung-KNOX-Programms erhebliche Investitionen in die Android-Sicherheit getätigt. Zu Samsung KNOX gehören viele Komponenten, beispielsweise ein App-Container, der von MobileIron verwaltet wird.

• Windows 10: Microsoft hat die App-Kapselung in Containern für moderne Apps im Betriebssystem integriert. Diese Apps werden über MobileIron Apps@Work verteilt, die Sicherheitsrichtlinien für die Unternehmensdaten werden ebenfalls über MobileIron definiert.

Die nativen App-Sicherheits- und Konfigurations-funktionen in modernen Betriebssystemen sind sehr leistungsfähig. MobileIron ist Gründungsmitglied der AppConfig Community, einer EMM- und App-neutralen Organisation, die den Entwicklern Schulungen, bewährte Methoden und Tools zur effektiven Nutzung von iOS und Android für Unternehmen anbietet. Weitere Informationen finden Sie unter www.appconfig.org.

Einige Kunden haben Sicherheitsanforderungen, die mit der oben beschriebenen Kapselung nativer Apps nicht erfüllt werden. MobileIron AppConnect bietet ergänzende Kontrollen über ein SDK (für iOS) und Wrapper (für iOS und Android). Einige Beispiele für die zusätzlichen AppConnect-Kontrollen:• Authentifizierung: Es wird ein Passwort für

AppConnect-Apps erzwungen.• Autorisierung: AppConnect-Apps auf einem

gefährdeten Gerät können nicht gestartet werden.• Verschlüsselung: Auf dem Datenträger

geschriebene Daten werden nochmals verschlüsselt.

• DLP-Kontrollen: Kopieren und Einfügen werden unterbunden.

Wir empfehlen Kunden das oben beschriebene sechsstufige Sicherheitsmodell, um Prioritäten für ihre Sicherheitsanforderungen und Implementierungsoptionen zu definieren:• Beginnen Sie mit einer Kapselung in Containern

im nativen Betriebssystem. MobileIron kann diese nativen Kontrollen für fast jede Unternehmens-App auf dem Gerät verwenden, beispielsweise für die Apps von Office 365, ohne dass eine Modifikation der App selbst erforderlich ist.

Page 7: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

7

• Ergänzen Sie AppConnect für die Apps, die zusätzliche Kontrollen benötigen. Bei Inhouse-Anwendungen muss die IT entweder die AppConnect SDK in den App-Code integrieren oder die App mit dem AppConnect- Wrapper kapseln. Die IT kann auch ein umfassendes Ökosystem fremder Apps bereitstellen, die bereits AppConnect-fähig sind (https://marketplace.mobileiron.com/).

Das App-Sicherheitsmodell von MobileIron für gespeicherte Office 365-Daten

MobileIron nutzt die Kontrollen zur Containerkapselung des nativen Betriebssystems, um gespeicherte Daten für Office 365 abzusichern:• Die IT-Abteilung definiert diese Kontrollen in der

Verwaltungskonsole von MobileIron. Sie werden dann unter Berücksichtigung des Geräts und der Benutzergruppen automatisch für die Apps von Office 365 angewendet.

• MobileIron löscht Daten und Apps von Office 365 selektiv von dem Gerät, wenn das Gerät bzw. der Nutzer die Compliance-Anforderungen nicht mehr erfüllt. Mit dieser Fähigkeit kann MobileIron Daten von Office 365 auf privaten (BYOD-)Geräten schützen, ohne die Privatsphäre des Mitarbeiters zu verletzen.

Absicherung von Office 365 für iOS:• MobileIron konfiguriert native E-Mail- und PIM-

Anwendungen auf dem iOS-Gerät zur Verbindung mit Office 365.

• MobileIron kennzeichnet native E-Mail/PIM als verwaltetes Konto und alle Apps für Office 365 als verwaltete Apps.

• MobileIron erzwingt eine Kontrolle zur Vermeidung von Datenverlust für die Funktion „Öffnen in“ für E-Mails und PIM-Apps sowie Apps von Office 365, beispielsweise Outlook, damit Dokumente aus Office 365 nur in vertrauenswürdigen Apps geöffnet werden können.

• MobileIron erzwingt einen Schutz vor Datenverlust für mehrere Identitäten in der von iOS verwalteten Appkonfiguration, damit Benutzer keine Arbeitsdokumente in privaten Konten für Apps von Office 365 öffnen können, die mehrere Identitäten unterstützen.

• MobileIron löscht selektiv alle Arbeitsdaten in E-Mails und PIMs sowie Apps von Office 365 von dem Mobilgerät, wenn der Mitarbeiter das Unternehmen verlässt oder das Gerät verloren geht, gestohlen wird oder die Compliance-Anforderungen nicht mehr erfüllt. Dabei werden betriebliche Daten gelöscht, private Daten bleiben davon unberührt.

Absicherung von Office 365 auf Android-Geräten mit Android für Unternehmen:• MobileIron konfiguriert E-Mail und PIM in dem

Arbeitsprofil für Android für Unternehmen zum Verbindungsaufbau mit Office 365.

• MobileIron konfiguriert das Arbeitsprofil für Android für Unternehmen (bei unternehmenseigenen oder BYOD-Geräten), u.a. auch für die Apps für Office 365 sowie die entsprechenden DLP-Kontrollen beispielsweise für Funktionen wie Bildschirmfotos sowie Kopieren und Einfügen.

• MobileIron löscht selektiv das Arbeitsprofil, entfernt E-Mails aus Office 365, PIM sowie Apps, wenn der Mitarbeiter das Unternehmen verlässt oder das Gerät gestohlen wird, verloren geht oder die Compliance-Anforderungen nicht mehr erfüllt. Betriebliche Daten werden dabei gelöscht, private Daten bleiben davon unberührt.

• MobileIron deaktiviert das Arbeitsprofil als temporäre Quarantänemaßnahme, wenn das Gerät die Compliance-Anforderungen nicht mehr erfüllt.

Page 8: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

8

Definition ergänzender Konfigurationen für Office 365

Die meisten Anbieter von Unternehmensanwendungen wie Box, Oracle, Salesforce und SAP nutzen native Frameworks von iOS (die verwaltete App-Konfiguration) und Android für Unternehmen (die verwaltete Konfiguration) zur Konfiguration ihrer mobilen Apps. Durch Verwendung nativer Funktionen kann die IT-Abteilung des Unternehmens die Apps für die Anbieter der Anwendung und EMM-Lösungen wie MobileIron konsistent konfigurieren. Unter www.appconfig.org finden Sie Tipps, wie die App-Entwicklergemeinde native Funktionen einsetzt.

Microsoft dagegen verwendet die nativen Frameworks nicht, sondern entwickelte stattdessen einen Satz proprietärer Konfigurationskontrollen speziell für die Apps von Office 365. Unserer Ansicht nach hat Microsoft diesen Weg gewählt, um seine technische Abhängigkeit von Apple und Google zu minimieren, da diese für Microsoft Wettbewerber im Bereich der Betriebssysteme, Geräte, Produktivitätsanwendungen und Identitätsprüfung sind. Die proprietären, Microsoft-spezifischen Kontrollen können über die Integration von Microsoft Graph-API für die Intune App-Schutzrichtlinien innerhalb von MobileIron definiert werden. Microsoft Intune wird als Middleware-Layer zur Definition von Richtlinien für Microsoft-Apps über MobileIron verwendet. Bei Verwendung dieser Integration ist trotzdem eine Lizenzierung von Microsoft EMS oder Intune erforderlich.

Absicherung von Office 365 unter Windows 10:• MobileIron konfiguriert das native E-Mail-Profil

so, dass eine Verbindung mit Office 365 über Mobilgerät und Desktops möglich ist.

• MobileIron installiert Win32 sowie die Apps der Universal Windows Plattform (UWP) auf dem Gerät. Da der Benutzer bereits in Azure Active Directory (AAD) registriert ist, kann sich das Gerät sicher bei Apps von Office 365 authentifizieren, ohne dass eine zweite Authentifizierung erforderlich ist. In MobileIron existiert außerdem eine direkte Integration von Office CSP (einem Konfigurationsdienstanbieter), um die Bereitstellung mit den Office Deployment Tool (ODT) zu erleichtern. Administratoren können damit die Optionen für die Installationen von Microsoft Office ProPlus mit Apps, Kanal und Konfigurationen festlegen. Unternehmen, die Office 2010 und 2013 umfassend einsetzen, bietet MobileIron den integrierten Support zur automatischen Vorkonfiguration von Outlook, um das Setup für den Endbenutzer zu vereinfachen.

Page 9: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

9

So funktioniert es:

• Der Kunde nutzt MobileIron als EMM-Platform zur Absicherung und Verwaltung seines gesamten Geräte- und App-Portfolios, d. h. auch zur Verwaltung und Absicherung der Apps von Office 365.

• Der Kunde verwendet MobileIron auch zur Definition ergänzender Konfigurationen für die Apps von Office 365, beispielsweise:

- Beschränkung von Cloud-Datensicherungen - Beschränkung der Funktionen zum

Ausschneiden, Kopieren und Einfügen - Deaktivierung der Funktion

„Speichern unter“ - Beschränkung des Datentransfers an bzw.

aus verwalteten Apps - Verschlüsselung der App-Daten - Beschränkung des Web-Contents auf den

verwalteten Browser - Deaktivierung der Druckfunktion - Deaktivierung der Kontaktesynchronisation - Deaktivierung von Screenshots - Zugriffssperre für Geräte mit Jailbreak

oder Root - Löschung nach längerer Offline-Zeit

- PIN/Fingerabdruck für die Anmeldung• Diese ergänzenden Konfigurationen

sind nicht für alle Unternehmen relevant, spielen jedoch möglicherweise eine Rolle für Unternehmen mit spezifischen Sicherheitsanforderungen. Beachten Sie, dass bei Verwendung von MobileIron EMM zur Definition ergänzender Konfigurationen für Office 365 die folgenden Voraussetzungen erfüllt sein müssen:

- Die Benutzer müssen über Konten für Microsoft Azure AD verfügen.

- Die Benutzer müssen eine Lizenz für Microsoft EMS oder Intune besitzen, die dem Azure AD-Konto zugewiesen ist.

- Die Benutzer müssen sich bei der Office-App mit dem Azure AD-Konto anmelden.

- Eine komplette Liste der unterstützten Apps finden Sie hier: https://www.microsoft.com/cloud-platform/microsoft-intune-apps.

1. MobileIron verteilt Unternehmens-Apps durch einen eigenen Unternehmens-App-Store und definiert entsprechende Sicherheitsrichtlinien zum Schutz der Daten.

2. MobileIron Access verhindert, dass nicht autorisierte Geräte und Apps auf die Microsoft-Cloud-Dienste zugreifen.

3. MobileIron definiert durch seine Integration der Microsoft Graph-APIs für die Intune-App-Schutzrichtlinien ergänzende Konfigurationen für die Apps von Office 365.

4. Microsoft Azure definiert eine ergänzende Kontrolle für Office 365-Apps.

Hinweis: Microsoft verwendet für die Office-Apps ergänzende Konfigurationen. Kunden müssen dennoch eine gültige Lizenz für Microsoft Intune besitzen.

Sicherheit mit MobileIron für Apps von Office 365

Page 10: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

10

Anwendungsdaten aus Office 365 bei der Übertragung in die Microsoft-Cloud schützen

Daten für Office 365 liegen in der sicheren Microsoft Cloud, der Zugriff vom Gerät auf die Cloud erfolgt jedoch in der Regel über nicht vertrauenswürdige Netzwerke. Das dritte Element des App-Sicherheitsmodells von MobileIron ist der Schutz der Daten während der Übertragung.

IT-Sicherheitsanforderungen für Daten während der Übertragung

• Für die IT-Abteilung sollte voll transparent sein, welche Geräte eine Verbindung mit ActiveSync aufbauen, um E-Mails abzurufen, und die IT sollte dies kontrollieren können.

• Die IT sollte Man-in-the-Middle-Angriffe über die Verbindung zwischen Mobilgeräten und Back-End-Diensten verhindern können.

• Die IT sollte in der Lage sein, Bedingungen für Zugriffsrichtlinien zu definieren, damit nicht vertrauenswürdige Mobilgeräte und Apps nicht auf Back-End-E-Mail-Dienste oder Anwendungsdienste zugreifen können.

Das App-Sicherheitsmodell von MobileIron für Daten während der Übertragung

MobileIron Sentry ist ein intelligentes Gateway, über das der gesamte ActiveSync-Traffic läuft.• Mit Sentry wird für die IT vollständig transparent,

welche Geräte eine Verbindung mit ActiveSync aufbauen.

• Mit Sentry kann die IT Regeln definieren, welche Geräte eine Verbindung mit ActiveSync aufbauen dürfen und welche Sicherheitsanforderungen sie für einen Verbindungsaufbau erfüllen müssen. Hier zwei Beispiele:

- Nur aktiv durch MobileIron verwaltete Geräte dürfen Unternehmens-E-Mails empfangen.

- Gefährdete Geräten dürfen, selbst wenn sie verwaltet werden, niemals Unternehmens-E-Mails empfangen.

• Sentry sichert die E-Mail-Verbindung durch eine zweistufige Authentifizierung mit einer Kombination aus Client-Zertifikaten und Benutzeridentität ab. Dadurch wird verhindert, dass die Geräte eine Verbindung zum E-Mail-Server über nicht vertrauenswürdige Netzwerke aufbauen.

MobileIron Tunnel ist eine geräteseitige App, die eine sichere, App-spezifische VPN-Tunnelverbindung für fast jede Unternehmens-App in iOS, Android für Unternehmen und Windows 10 bereitstellt. Es ist keine Modifikation der App erforderlich.

MobileIron Access bietet einen bedingten Zugriff, der verhindert, dass nicht vertrauenswürdige Geräte und nicht vertrauenswürdige Apps auf Cloud-Dienste des Unternehmens zugreifen. Es ist keine Modifikation der App erforderlich.

Alle drei Lösungen nutzen die Infrastruktur des Sentry-Gateways.

Das App-Sicherheitsmodell von MobileIron für die Übertragung von Daten für Office 365

MobileIron Access gestattet eine Authentifizierung bei den Cloud-Diensten von Office 365 nur durch autorisierte Geräte und Apps. Dieses Modell eignet sich sowohl für Cloud-Apps von Microsoft als auch für andere Cloud-Apps.

Wenn die Sicherheitsrichtlinie eines Kunden eine VPN-Verbindung für den Traffic mit Office 365 vorschreibt, stellt MobileIron Tunnel eine sichere, App-spezifische VPN-Tunnelverbindung zur Verfügung.

Funktionsweise von MobileIron Access Der gesamte Traffic zur Authentifizierung bei Office 365 vom Gerät wird über MobileIron Access geleitet. • MobileIron Access ist so konfiguriert, dass es Traffic

an ADFS oder andere Identitäts-Provider abfängt.• Wenn der Mitarbeiter versucht sich anzumelden,

wird die Authentifizierungsanfrage an das Access-Gateway umgeleitet.

Page 11: Absicherung von Office 365 mit MobileIron...Für Office 365 kann die IT mit dem App-Sicherheitsmodell von MobileIron: 1. Office-365-Apps sicher verteilen a Konfiguration der nativen

11

• MobileIron Access prüft, ob das Gerät kompatibel und die App verwaltet ist, bevor die Authentifizierung an ADFS weitergeleitet wird.

• In ADFS erhält der Mitarbeiter seine Anmeldeinformationen und wird nach der Authentifizierung mit dem entsprechenden Zugriffs-Token an Office 365 weitergeleitet.

• Office 365 gewährt dann Zugriff für das Gerät. Nicht vertrauenswürdige Geräte und nicht vertrauenswürdige Apps können auf die Office 365-Cloud nicht zugreifen, da MobileIron Access den Authentifizierungspfad zu ADFS blockieren würde.

• Wenn ein Mitarbeiter versucht, eine App aus Office 365 zu verwenden, die er aus dem öffentlichen App-Store und nicht von Apps@Work heruntergeladen hat, kann die Authentifizierungsanfrage keine ADFS erhalten, da diese von MobileIron Access blockiert wird. Das heißt, der Mitarbeiter könnte sich bei einem privaten Office 365-Konto anmelden, nicht jedoch bei einem Office 365-Konto des Unternehmens.

• MobileIron Access unterstützt außerdem Single Sign On (SSO) für alle Apps von Office 365 sowie andere Apps auf dem Gerät und erlaubt damit eine sichere und problemlose Authentifizierung für den Endbenutzer.

• Vor allem aber erlaubt das Sicherheitsmodell von MobileIron Access einen bedingten Zugriff und ein App-weites SSO für Microsoft Cloud-Dienste und andere Cloud-Dienste.

Fazit

Office 365 ist ein überzeugendes Produktpaket, das zum Kernbestandteil der Produktivitätsstrategien unserer Kunden geworden ist.

MobileIron möchte seinen Kunden die beste Sicherheitslösung für Office 365 und das komplette Ökosystem mobiler Apps anbieten, damit die Kunden diese für ihre Mitarbeiter bereitstellen können. Einige dieser Apps stammen von Microsoft, andere werden von anderen Anbietern oder intern entwickelt.

Dieses Whitepaper erläutert das App-Sicherheitsmodell von MobileIron und dessen spezifische Anwendung für Office 365. Sobald neue Funktionen und Bereitstellungsmodelle verfügbar sind, aktualisieren wir dieses Dokument und erläutern bewährte Methoden zur Absicherung von Office 365 mit MobileIron.