MDM בשירות Office 365

שירות Mobile Device Management זמין בשירות Office 365!

כיום ארגונים רבים מאפשרים למשתמשים לחבר מכשירים חכמים או טאבלטים אל שירותי רשת ומשאבים בתוך ארגון בין אם זה שירות דואר ארגוני או משאבים אחרים, כגון: מסמכים, אתרים וכו.

הצורך של משתמשים להתחבר לארגון מצריך מהארגון לאפשר את החיבור בדרכים שונות ומגוונות שיאפשרו יכולות ניהול ותווך מאובטח מול הארגון.

כיום טכנולוגיות כגון: Mobile Device Management או Enterprise Device Management ומושגים, כגון: BYOD אינם מוזרים לנו ורובנו לפחות מתעסקים בטכנולגיות אילו ביומיום, מאז שנחשפנו לטכנולוגיה של MDM הטכנולוגיות עברו המון שינויים, גם בצד המשתמשים וגם בצד הטכנולוגיה שעומדת לרשותינו.
אם נביט לרגע על מה המאפיינים שהשתנו נוכל למנות את השינויים למספר קטגוריות:

מכשירים חכמים – המכשירים החכמים כיום בעלי חומרה חזקה יותר ומערכות ההפעלה מציעות מגוון שיפורים עם יכולות מתקדמות
משתמשי קצה – המשתמשים דורשים גישה למשאבי החברה נוספים, כגון: אתרים פנימיים, אפליקציות ייעודיות של הארגון, מסמכים פנימיים ועוד.
אבטחת מידע – הדרישות לאפשר תווך מאובטח כבר לא מספיקות ואנו נדרשים להפעיל קונטיינר ייעודי, כניסה מבוססת תעודה דיגיטלית ועוד.
טכנולוגיות ניהול – בהתאם ליכולות המכשירים אנו יכולים מתוך MDM לבצע ניהול מתקדם ועשיר יותר עם תפריטים ופעולות רחבות יותר.

כאשר אנו מיישמים EDM עולות מספר שאלות, בין היתר:

– האם בארגון שאתם נמצאים בו מאפשרים סנכרון של מכשירים לארגון, ואם כן מה ניתן לסנכרן?
– האם אתם מאפשרים הבאת מכשירים פרטיים ?
– האם ישנה תמיכה בכל מערכות ההפעלה?
– מהי האכיפה בארגון והאם ישנה מדיניות ארגונית בנוגע לסנכרון מכשירים?
– מה חשוב יותר ניהול או אבטחת מידע?

אומנם ישנם שאלות נוספות אך אלה הם השאלות המרכזיות שעולות בכל פעם שעושים דיון בנוגע לחיבור מכשירים מול הארגון.

כיום ישנם אינספור טכנולוגיות, כגון: Enterprise Mobility Suite שכולל בתוכו שילוב של Microsoft Intune ויכולות Azure נוספות, Mobile Iron, AirWacth, Net Scalar וכן טכנולוגית נוספות.
במאמר זה נרחיב על יכולות MDM בשירות Office 365.

Mobile Device Management for Office 365

עד כה יכלנו בשירות הענן של Office 365 לחבר מכשירים, לסנכרן מיילים ולאפשר יכולות פוליסי מסוימות באמצעות רכיב ActiveSync.
רכיב ActiveSync מאפשר חיבור לכל המכשירים החכמים וכן מכשירים ישנים יותר עם אפליקצית מובנית במכשיר או אפליקציה צד שלישי, רכיב ActiveSync קיים כבר מגרסת Exchange 2003 ומאפשר בכל גרסת שרת/עדכון SP יכולות מסוימות.
ברבעון הראשון של 2015 יצא שירות נוסף בשירות הענן של Office 365 והוא Mobile Device Management המאפשר ניהול מכשירים, אכיפת פוליסי, ויכולות חיבור חדשות.
השירות מאפשר חיבור מול מערכות הפעלה הבאות: Windows Phone, iOS, Android וכן Windows 8.1.
בכל אחת מהמערכות הפעלה ניתן ליישם חיבור מאובטח ועם גישה למשאבים, כגון: OneDrive, Office Mobile וסנכרון מיילים.
המטרה של שירות Mobile Device Management היא לתת לארגונים אפשרויות ניהול מול מכשירים חכמים עם שירות Office 365 הקיים וכן לחשוף חלק קטן מאד מיכולות Microsoft Intune.

שירות Mobile Device Management זמין לכל החבילות המוגדרות כחבילות: Business, , Enterprise, EDU.

כאשר אנו מתחברים לפורטל הניהול של Office 365 אנו יכולים לראות מה הסטטוס של השירות וכן אפשרות לגישה של הממשק שממנו מנהלים את שירות Mobile Device.

image

שירות Mobile Device Management בשירות Office 365 הינו שירות לכל דבר והינו חלק משירות Microsoft Intune המאפשר רק חלק קטן מתוך השירות עם מספר יכולות.
כאשר אנו מחברים מכשיר אל שירות Mobile Device Management אנו למעשה מתחברים לשרתים שמוגדרים מול דומיין וכתובת manage.microsoft.com או לתתי דומיינים וכתובות ספציפיות כדוגמת: p.manage.microsoft.com או m.manage.microsoft.com.
החיבור אל השירות נעשה בפורט 443 ועם TLSv1 בלבד, השירות יושב מאחורי CDN כמו רוב שירותי הענן שאליהם אנו ניגשים כיום.

הגישה שנעשית אל השירות היא באמצעות רשומות DNS קיימות וכן רשומות DNS נוספות, כגון: EnterpriseEnrollment, EnterpriseRegistration.
רשומות אלה מאפשרות למכשירים לבצע רישום וכן ניהול של המכשירים באמצעות Office 365 MDM.

בנוסף אנו מגדירים APN של Apple בכדי לאפשר חיבור מאובטח בין המכשיר ובין שירות הענן לאחר מבצעים את החיבור ישנו חיבור אמין ו-Token בין המכשיר לשירות.

בכל שירותי הענן השונים של Office 365 ישנם ממשק סטטוס ובריאות המערכת ולכן גם כאן אנו יכולים לקבל ממשק בריאות מערכת וסטטוס שירות, אנו יכולים לראות את הסטטוס באמצעות ממשק הניהול של Office 365 או ממשק הניהול של Microsoft Intune.

image

יכולות מול מכשירים חכמים

בשירות Office 365 MDM ניתן לחבר את המכשירים עם מערכות ההפעלה הבאות:

Windows Phone 8.1
iOS 6  ומעלה
Android 4 ומעלה
Windows 8.1
Windows 8.1 RT

כאשר אנו מחברים את המכשירים אנו יכולים להפעיל פוליסי מול האפליקציות הבאות:

Windows Phone – אפליקצית ActiveSync ואפליקצית Exchange Mail
iOS – אפליקצית OneDrive, אפליקצית Office, אפליקצית ActiveSync ואפליקצית Exchange Mail
Android – אפליקצית OneDrive, אפליקצית Gmail, אפליקצית Office, אפליקצית ActiveSync ואפליקצית Exchange Mail

image
נלקח מאתר TechNet

איך מפעילים שירות MDM

הפעלת שירות MDM מחולקת לשלושה שלבים:

– הפעלה והגדרת השירות
– הגדרת פוליסי וחוקים
– חיבור מכשירים

הפעלה והגדרת מכשירים

בכדי להפעיל את שירות Mobile Device Management אנו צריכים לוודא שאפשרות Mobile Device קיימת בשירות שעימו אנו עובדים ולאחר מכן נוכל לבצע הפעלה ראשונית של השירות.

מתוך ממשק Office 365 נבחר באפשרות Mobile Device ולאחר מכן נבחר באפשרות Get Started, לאחר מכן תחל ההפעלה שאורכת מספר דקות.

image

image

בסיום נקבל את השירות ומכאן נתחיל בהגדרות Mobile Device

באפשרות Manage Settings נקבל חלון של ההגדרות הבאות:

Configure domain for MDM – באפשרות זאת נוכל להגדיר רשומות DNS לצורך רישום והפעלה של מכשירים חכמים

Configure an APNs Certificate for iOS devices – באפשרות זאת נגדיר תעודה דיגיטלית מול חשבון Apple בכדי שהתווך בין המכשיר לבין השירות יהיה בצורה מאובטחת

image

בכדי להגדיר DNS נבצע את הפעולות הבאות:

רשומות DNS – בספק ה-DNS נגדיר את הרשומות הבאות:

image

לאחר עדכון הגדרת רשומות DNS הסימון של הגדרת Configure domain for MDM ישתנה לסימון ירוק, ללא הגדרה זאת מכשירים לא יוכלו לבצע רישום ולא ניהול של מכשירים.

הערות:

במידה ועובדים עם דומיין onmicrosoft.com הגדרה זאת תתבצע בצורה אוטומטית ללא צורך בהגדרות כלשהן.
במידה ועובדים עם דומיין custom יש לוודא את ההגדרות מתוך ממשק Domain

הגדרת APN

בכדי להגדיר לבצע הגדרות APN ולעבוד מול Apple APN יש לבצע את הפעולות הבאות:

מתוך אפשרות Manage Settings נבחר באפשרות Configure an APNs Certificate for iOS devices ולאחר מכן נקבל ממשק להגדרת תעודה דיגטלית
מתוך הממשק נוריד את הבקשה של התעודה מתוך Download your CSR file

image

לאחר מכן ניגש לאתר של Apple מתוך אפשרות Apple APNS Portal

image

בפורטל של Apple נבצע לוגין עם שם משתמש וסיסמא של Apple

image

מתוך הממשק נבחר באפשרות Create a Certificate

image

image

לאחר מכן נבחר את הבקשה שהורדנו מתוך ממשק Office 365 ונבצע Upload

image

image

לאחר מכן נוריד את התעודה הדיגיטלית שהפקנו ונחזור לממשק Office 365

image

בממשק נבחר את התעודה הדיגיטלית ונסיים את הדרישה

image

בסיום נוודא שהגדרות MDM הוגדרו בצורה תקינה

image

הגדרת פוליסי

לאחר שהגדרנו את השירות אנו צריכים להגדיר פוליסי מול המשתמשים לפי הפעולות הבאות:

מתוך ממשק Office 365 נבחר באפשרות Manage device security policies and access rules או שניגש ישירות לממשק Compliance Center

image

image

מתוך ממשק Mobile device Management נוכל ליצור, להגדיר ולערוך את הפוליסי הארגוני.

בכדי ליצור פוליסי נבצע את הפעולות הבאות:

בחירה באפשרות של יצירת פוליסי

image

באפשרות Access Requirements נוכל להגדיר דרישה לסיסמאות, חסימת מכשירים, מניעת של חיבור מכשירים פרוצים ועוד.

image

באפשרות Configurations נגדיר ונחסום אפשרות שונות, כגון: חסימה למדיה חיצונית, ביטול צילום מסך ועוד

image

לאחר מכן נבחר את הקבוצה שעליה נחיל את הפוליסי

image

image

image

בסיום נמתין מספר דקות שהפוליסי יכנס לתוקף.

לאחר שנגדיר את הפוליסי משתמשים יקבלו מייל לביצוע הפעלה ראשונית

image

בממשק Mobile Device נוכל להציג את כל המכשירים המוגדרים

image

מידע נוסף

Overview built-in Mobile Device Management for Office 365
Announcing the GA of MDM in Office 365

להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s