Cloud

Intune bietet verschiedene Möglichkeiten, Ihre Geräte nach dem Enrollment zu konfigurieren. Die wichtigsten sind die Konfigurationsprofile im “Mobile Device Management” sowie die App-Schutzrichtlinien im “Mobile Application Management”

Da hier zwei grundlegend unterschiedliche technische und philisophische Ansätze zu Grunde liegen, erörten wir zuerst den Unterschied zwischen “Mobile Device Management” und “Mobile Application Management”.

Beim MDM handelt es sich um den klassichen Ansatz der Geräteverwaltung:

  • Das Gerät wird vollständig verwaltet
  • Sie können von der Verschlüsselung über die installierbaren Anwendunge bis hin zum Verbot von Screenhots alles konfigurieren und das Gerät aus der Ferne vollständig löschen.

Vorteil von MDM:

  • Vollständiger Zugriff auf das Gerät
  • Volle Konfigurationsmöglichkeiten

Nachteil:

  • Bei erlaubter Privatnutzung könnten sich private Daten sowie Firmendaten vermischen, da sie im Gleichen Kontext ausgeführt werden. Container stehen bei Intune nicht zur Verfügung.

Beim MAM hingegen werden, wie der Name schon sagt, die Anwendungen selbst verwaltet. Das Mobilgerät bleibt weitestgehend unangetastet.

Viele Anwendungen sind hierbei in der Lage, zwischen privatem und Firmenkontext zu unterscheiden.

Beispiel Outlook:

  • Firmendaten verschlüssen, unabhängig von der Verschlüsselung des Betriebssystems
  • Firmendaten nicht in privaten Mail Account kopieren
  • Daten aus dem privaten Mail Account in den Firmenaccount kopieren kann hingegen erlaubt werden
  • Anhänge aus Email dürfen mit OneDrive geteilt werden, jedoch nur:
    • Firmen Mail Account -> Firmen OneDrive
    • Privater Mail Account -> Privates OneDrive
    • erlaubt: Privater Mail Account -> Firmen OneDrive
    • Verboten wird: Firmen Mail Account -> Privates OneDrive
    •  Gleiches gilt in Richtung SharePoint, Word etc.

Das Teilen mit privaten Apps wie zum Beispiel WhatsApp wird hierdurch verhindert.

Auf Grund der Konfiguration von Microsoft 365 sowie einem ggfs. vorhandenen lokalen Exchange Server und einem speziellen Open Source Framework von Microsoft, sind die Anwendungen in der Lage, zwischen den Kontexten zu unterscheiden.

Durch MAM Richtlinien kann eine separate Umgebung geschaffen werden, wie sie in typischen Containerlösungen vorhanden ist. Sie kommt jedoch ohne die doppelte Installation der Anwendungen aus.

Wichtig hierbei: Die genutzten Anwendungen müssen das von Microsoft erstellte Framework nutzen.

Weitere Informationen finden Sie in den Microsoft Docs: App protection policies overview – Microsoft Intune | Microsoft Docs

Vorteil:

  • Bei erlaubter Privatnutzung ist keine doppelte Installation von Apps notwendig
  • Firmendaten sind von privaten Daten sauber getrennt
  • Perfekt für BYOD oder bei erlaubter Privatnutzung

Nachteil:

  • Anwendungen müssen das Microsoft Framework unterstützen
  • Keine vollständige Verwaltung des Gerätes möglich

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.