Управление мобильными устройствами в Exchange Online (часть 2)
- Управление мобильными устройствами в Exchange Online (часть 3)
3: Настройка политик безопасности
Прежде чем мы начнем регистрировать устройства пользователей, нам нужно создать одну или несколько политик безопасности, чтобы заставить пользователей регистрировать свои устройства, чтобы мы могли управлять ими и защищать данные нашей организации. Например, чтобы предотвратить потерю данных, если пользователь потеряет свое устройство, мы можем создать политику для блокировки устройств после 5 минут бездействия и очистки устройств после 3 неудачных попыток входа.
Обратите внимание, что политики и правила доступа, которые мы создаем в MDM, переопределяют политики почтовых ящиков мобильных устройств Exchange ActiveSync и правила доступа к устройствам, созданные в Центре администрирования Exchange. После регистрации устройства в MDM любая политика почтового ящика мобильного устройства Exchange ActiveSync или правило доступа к устройству, примененные к устройству, просто игнорируются.
Если мы создадим политику для блокировки доступа на основе того, включены или нет определенные параметры, пользователям будет заблокирован доступ к ресурсам Office 365 при использовании поддерживаемого приложения. Параметры, которые могут блокировать пользователям доступ к ресурсам Office 365, относятся к следующим категориям:
- Безопасность;
- Шифрование;
- тюрьма сломана;
- Управляемый профиль электронной почты.
Допустим, мое устройство не соответствует требованиям, потому что у него нет пароля. На следующей диаграмме показано, что происходит, когда мое устройство не соответствует параметру безопасности в политике управления мобильными устройствами, которая применяется к нему. Я могу войти в приложение, которое поддерживает управление доступом с помощью MDM (например, приложение электронной почты), но мне заблокирован доступ к Office 365 в приложении, пока мое устройство не будет соответствовать параметрам безопасности:
фигура 1
Прежде чем создавать нашу первую политику безопасности, давайте кратко рассмотрим параметры, которые мы можем использовать для защиты мобильных устройств и управления ими.
Настройки безопасности
| Название настройки | Windows Phone 8.1 | iOS 7.1+ | Андроид 4+ |
| Требовать пароль | ✔ | ✔ | ✔ |
| Запретить простой пароль | ✔ | ✔ | ✖ |
| Требовать буквенно-цифровой пароль | ✔ | ✔ | ✖ |
| Минимальная длина пароля | ✔ | ✔ | ✔ |
| Количество неудачных попыток входа до очистки устройства | ✔ | ✔ | ✔ |
| Минуты бездействия до блокировки устройства | ✔ | ✔ | ✔ |
| Срок действия пароля (дни) | ✔ | ✔ | ✔ |
| Запоминание истории паролей и предотвращение повторного использования | ✔ | ✔ | ✔ |
Настройки шифрования
| Название настройки | Windows Phone 8.1 | iOS 7.1+ | Андроид 4+ |
| Требовать шифрование данных на устройствах | Windows Phone 8.1 уже зашифрован и не может быть расшифрован | ✖ | ✔ |
Джейл сломанная настройка
| Название настройки | Windows Phone 8.1 | iOS 7.1+ | Андроид 4+ |
| Устройство не может быть взломано или рутировано | ✖ | ✔ | ✔ |
Параметр управляемого профиля электронной почты
Этот параметр может заблокировать пользователям доступ к электронной почте Office 365, если они используют созданный вручную профиль электронной почты. Пользователи на устройствах iOS должны удалить созданный вручную профиль электронной почты, прежде чем они смогут получить доступ к своей электронной почте. После того, как они удалят профиль, на устройстве будет автоматически создан новый профиль.
| Название настройки | Windows Phone 8.1 | iOS 7.1+ | Андроид 4+ |
| Профиль электронной почты управляется | ✖ | ✔ | ✖ |
Облачные настройки
| Название настройки | Windows Phone 8.1 | iOS 7.1+ | Андроид 4+ |
| Требовать зашифрованную резервную копию | ✖ | ✔ | ✖ |
| Блокировать облачное резервное копирование | ✖ | ✔ | ✖ |
| Блокировать синхронизацию документов | ✖ | ✔ | ✖ |
| Блокировать синхронизацию фотографий | ✖ | ✔ | ✖ |
Системные настройки
| Название настройки | Windows Phone 8.1 | iOS 7.1+ | Андроид 4+ |
| Блокировка захвата экрана | ✔ | ✔ | ✔ (только Samsung Knox) |
| Блокировать отправку диагностических данных с устройства | ✔ | ✔ | ✖ |
Настройки приложения
| Название настройки | Windows Phone 8.1 | iOS 7.1+ | Андроид 4+ |
| Блокировать видеоконференции на устройстве | ✖ | ✔ | ✖ |
| Заблокировать доступ к магазину приложений | ✔ | ✔ | ✖ |
| Требовать пароль при доступе к магазину приложений | ✖ | ✔ | ✖ |
Настройки возможностей устройства
| Название настройки | Windows Phone 8.1 | iOS 7.1+ | Андроид 4+ |
| Заблокировать соединение со съемным носителем | ✔ | ✖ | ✖ |
| Заблокировать Bluetooth-соединение | ✔ | ✖ | ✖ |
Удаленная очистка
Если устройство потеряно или украдено, мы можем удалить организационные данные и предотвратить доступ к ресурсам Office 365, выполнив очистку в Центре администрирования Office 365 > Управление мобильными устройствами. Как мы увидим позже в этой серии статей, мы можем выполнить выборочную очистку, чтобы удалить только организационные данные, или полную очистку, чтобы удалить всю информацию с устройства и восстановить его заводские настройки.
Давайте теперь начнем создавать нашу новую политику. При создании новой политики мы можем разрешить доступ и сообщить о нарушении политики, если устройство пользователя не соответствует политике. Таким образом, мы можем увидеть, сколько мобильных устройств будет затронуто политикой, фактически не блокируя их.
- В Office 365 перейдите в Центр соответствия требованиям -> Управление устройствами:
фигура 2
- Выберите Добавить + ;
- Введите имя и описание для новой политики и нажмите кнопку Далее:
Рисунок 3
- Выберите требования, которые вы хотите применить к мобильным устройствам в организации. Обратите внимание на последнюю опцию, позволяющую разрешить устройству доступ к Office 365 и сообщить о нарушении:
Рисунок 4
- Выберите любые другие конфигурации, которые вы хотите применить к мобильным устройствам, и нажмите «Далее»:
Рисунок 5
- Выберите Применить к одной или нескольким группам безопасности:
Рисунок 6
- Выберите Добавить ;
- Введите имя группы безопасности, члены которой будут тестировать политику перед ее развертыванием в вашей организации. Список будет пустым, пока мы не введем имя группы безопасности или часть имени, а затем не нажмем значок поиска. В качестве альтернативы мы можем ввести *, а затем щелкнуть значок поиска, чтобы увидеть список всех групп. Выберите имя и выберите Добавить:
Рисунок 7
- Выберите «ОК», а затем «Далее».
- Просмотрите и подтвердите сведения о новой политике устройства и нажмите Готово.
Рисунок 8
Вернувшись на страницу управления мобильными устройствами, мы можем увидеть подробности нашей новой политики безопасности, в том числе то, что она все еще создается:
Рисунок 9
Когда он будет готов к использованию, статус изменится на Вкл.:
Рисунок 10
Чтобы дополнительно защитить нашу информацию, мы можем заблокировать доступ приложения Exchange ActiveSync к электронной почте Office 365 для мобильных устройств, которые не поддерживаются MDM. Сделать это:
- В Центре соответствия требованиям перейдите в Управление устройствами ;
- Выберите Управление настройками доступа к устройствам на уровне организации:
Рисунок 11
- Выберите блок:
Рисунок 12
- Выберите Сохранить.
Мы также можем исключить некоторых пользователей из проверки условного доступа на их мобильных устройствах, чтобы к ним не применялись какие-либо политики для поддерживаемых мобильных устройств:
- В Центре соответствия требованиям перейдите в Управление устройствами ;
- Выберите Управление настройками доступа к устройствам на уровне организации:
Рисунок 13
- Выберите Добавить, чтобы добавить группу безопасности, содержащую пользователей, которых мы хотим исключить из блокировки доступа к Office 365. Когда пользователь будет добавлен в этот список, он сможет получить доступ к электронной почте Office 365 при использовании неподдерживаемого устройства;
- Войдите в группу безопасности;
- Выберите имя и выберите Добавить.
Рисунок 14
- Выберите «ОК», а затем «Сохранить».
Каждому пользователю, к которому применяется политика, политика будет отправлена на его устройство при следующем входе в Office 365 со своего мобильного устройства. Если у пользователей ранее не применялась политика к их мобильным устройствам, то после того, как мы развернем политику, они получат уведомление на свое устройство, которое включает в себя шаги для регистрации и активации MDM. Пока они не завершат регистрацию, доступ к электронной почте, OneDrive и другим службам будет ограничен. После завершения регистрации с помощью приложения Корпоративного портала (которое мы увидим в следующей статье) они смогут использовать службы, и политика будет применена к их устройствам.
Когда мы удаляем политику или удаляем пользователя из группы, в которой была развернута политика, параметры политики, профиль электронной почты Office 365 и кэшированные электронные письма могут быть удалены с устройства пользователя:
| Что удалено | Windows Phone 8.1 | iOS 6+ | Андроид 4+ |
| Управляемые профили электронной почты* | ✖ | ✔ | ✖ |
| Параметры политики | ✔ За исключением Блокировать отправку диагностических данных с устройства. | ✔ | ✖ |
*Если политика была развернута с выбранным параметром (как мы сделали выше), то управляемый профиль электронной почты и кешированные электронные письма в этом профиле будут удалены с устройства пользователя.
У каждого пользователя, к которому применялась удаленная политика, политика будет удалена с его устройства при следующей регистрации мобильного устройства в MDM. Если мы развернем новую политику, применимую к устройствам этих пользователей, им будет предложено повторно зарегистрироваться в MDM.
Вывод
В этой статье мы создали нашу первую политику безопасности. В следующей части мы начнем регистрацию мобильных устройств.
- Управление мобильными устройствами в Exchange Online (часть 3)