Moderni mobiililaitehallinta tutuksi – esittelyssä hallintamallit Android-laitteille

Nykyajalle tyypillistä on työnteon paikkariippumattomuus – töitä tehdään missä vain, milloin vain ja millä tahansa laitteella. Liikkuvan työn aikakaudella arkaluoteisen yritysdatan suojaus on aiempaa tärkeämmässä roolissa. Miten yrityksen kannattaa suojata työntekijöiden mobiililaitteet ja hallita niitä? Mitä ovat mobiililaitteiden hallintamallit?

Käyn tässä artikkelissa läpi mobiililaitteiden eri hallintamalleja, jotka ovat MDM-hallinnalla (Mobile Device Management) käyttöönotettavissa. Toimiva mobiililaitehallinta on edellytys laitteiden turvalliselle käytölle yritysmaailmassa.

Riippuen käyttöönotettavasta hallintamallista laitteiden käyttöönottoa on mahdollista helpottaa erilaisilla laiterekisteröintiohjelmilla.

Tämä artikkeli keskittyy Android-laitteiden hallintamalleihin. Mikäli haluat tutustua iOS-laitteiden hallintamalleihin, tutustu toiseen artikkeliini.

Mobiililaitehallinta Microsoftin työkaluilla

Käytän MDM-hallinnan esimerkeissä Microsoft Intunea. Microsoft-maailmassa yritysdatan suojaamiseen mobiililaitteilla on muutamia keinoja, joista oma suosikkini on ehdollinen pääsynhallinta eli Conditional Access. Toiminta perustuu siihen, että onko laite luotettu eli laitteen täytyy olla Intune-hallinnassa ja se läpäisee vaatimukset (Intunen Compliance Policyt) ja tämän perusteella tehdään päätös, päästetäänkö käyttäjä järjestelmään sisään tai kysytäänkö käyttäjältä kaksivaiheista tunnistautumista eli MFA:ta (Multi-Factor Authentication)

Esimerkkinä yrityksen sähköpostiin kirjautuminen voidaan estää, jos

a) Laite ei ole hallinnan piirissä
b) Laite on hallinnan piirissä, mutta laitteella ei ole tarpeeksi monimutkaista PIN-koodia määritelty
c) Sähköposti-sovellus ei tue modernia käyttäjätodennusta (eli legacy authentication voidaan estää)

Intunen avulla laitteista saadaan luotettuja esimerkiksi vaatimalla tarpeeksi monimutkaista PIN-koodia, laitteen kryptausta tai tiettyä käyttöjärjestelmän tasoa.

Intuneen saadaan kerättyä laitteista myös inventaariotietoja, kuten sarjanumerot ja ohjelmistoversiot. Lisäksi voidaan jaella tai poistaa sovelluksia keskitetysti.

Lisäksi varkaustapauksissa tai työsuhteen päättyessä laite voidaan tyhjentää.

Tässä artikkelissa en kerro tätä lyhyttä kuvausta enempää Conditional Accessista tai Compliance Policyistä vaan kuvailen lähinnä kuinka laitteet saadaan Intune-hallinnan piiriin.

Erityisenä huomiona, että artikkelissa käsitellään myös joitakin kirjoitushetkellä ”Public Preview” tilassa olevia tuotteita, joka tarkoittaa sitä, että Microsoft on julkaissut tämän suurelle yleisölle testaamista varten. Public Preview -tilassa olevat tuotteet on saatavilla kaikille, mutta näitä ei vielä suositella tuotantokäyttöön. Ennen suurempaa käyttöönottoa kannattaa siis odotella tämä General Available (GA) -tilaan. Jos tuote on vielä kirjoitushetkellä Public Preview tilassa, niin olen erotellut sen otsikossa – Preview! maininnalla.

Hallintamallit Android-laitteille

Android Device Administrator: Vanhentunut

Android Device Administrator on vanhentunut hallintamalli, jota ei kannata enää käyttää. Tämä hallintamalli on täysin poistumassa tuen piiristä eli jos se on vielä käytössäsi, niin tästä tulisi pyrkiä pikaisesti eroon – etenkin uusien käyttöönotettavien laitteiden osalta.

Jos Android Device Administrator hallintamallia yrittää ottaa tuoreeltaan käyttöön, niin portaalissa herjaillaan useaan otteeseen, että oletko nyt aivan varma, mitä olet tekemässä ja haluaisitko sittenkin siirtyä Android Enterpriseen. Näin ollen ei sitä kovin helposti enää käyttöönoteta.

Näin tarkistat, onko Android Device Administrator yrityksessäsi käytössä:

    1. Mene Intuneen: endpoint.microsoft.com

a) Devices / Android enrollment / Personal and corporate-owned devices with device administrator privileges: https://endpoint.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/DevicesAndroidMenu/androidEnrollment

b) Jos “Use device administrator to manage devices” on täpätty, niin tämä mahdollistaa Device Administrator enrollauksen Intuneen, mutta ei yksistään vielä tarkoita mitään muuta.

    1. Tarkista sallitaanko Android Device Administrator enrollment

a) Devices / Enroll devices / Enrollment restrictions: https://endpoint.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/DevicesEnrollmentMenu/enrollmentRestrictions

b) Device type restrictions alta näkyy, jos Android Device Administrator = Allow niin tarkoittaa sitä, että kaikista käsin rollattavista Android-laitteista tulee oletuksena Device Administrator -mallisia.

3. Lopuksi voit tarkistaa, paljon Intunessa on Android Device Administrator -laitteita

a) Devices / Android / Android devices: https://endpoint.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/DevicesAndroidMenu/androidDevices

b) ”OS” kolumnilta näkee hallintamallin ja samalla voit tarkistaa myös ”OS version”. Mikäli ”OS” kolumnilla löytyy Android (Device Administrator). niin näiden osalta kannattaisi harkita Android Enterprise -siirtymää.

c) Jos ympäristöstäsi löytyy paljonkin Android Device Administrator -laitteita, eikä Android Enterprise -käyttöönottoa ole vielä edes mietitty uusien laitteiden osalta, niin kannattaa toimia ripeästi!

Android Device Administratorista on myös migraatiopolku Android Enterprisen - Work Profile -malliin, jolloin ei tarvitse tehdä puhelimen factory resettiä. Hiljattain on tullut mahdollisuus estää Android Device Administrator -käyttö jopa Intunen compliance policyiden avulla, jolloin käyttäjiä ohjeistetaan tekemään Work-profiilin käyttöönotto itse. Tämä vaatii kumminkin Intunen päässä tiettyjä esivalmisteluja ja toimivuudessa voi olla eroavaisuuksia riippuen puhelinmallista ja Android-versiosta eli kannattaa testata huolellisesti.

Android Enterprise – Work Profile device (Personally-owned)

 Tässä hallintamallissa erotellaan henkilökohtaiset ja yrityksen resurssit toisistaan tekemällä laitteeseen kaksi eri profiilia työprofiili (Work Profile) ja henkilökohtainen profiili (Personal Profile). Tämä malli käy sellaisiin skenaarioihin loistavasti, jossa halutaan käyttää henkilökohtaista puhelinta, mutta henkilökohtaiset ja yrityksen asiat visusti erossa toisistaan.

Android Enterprisen hallintamalleista tämä on lähimpänä BYOD (Bring Your Own Device) -skenaariota. Käyttäjä voi tehdä päätöksen itse, mikäli hän haluaa käyttää puhelimellaan myös yrityksen resursseja, niin asentaa tällöin Intune Company Portal:n Play Storesta ja tekee käyttöönoton itse. Laiterekisteröintiohjelmia, kuten Samsung KME tai Android ZT:tä ei voida tässä mallissa hyödyntää.

Käyttöönottoprofiilin määritys Intuneen

Intunessa ei ole varsinaisesti konfiguroitavaa käyttöönottoprofiilia, vaan minimivaatimukset on määritellä Enrollment restrictions -asetukset siten, että estetään Android Device Administrator -käyttöönotot ja varmistetaan, että Work Profilen käyttöönotto on sallittu. HUOM! muutos ei koske olemassa olevia laitteita eli vain uusien laitteiden käyttöönottoa.

Suora linkki: https://endpoint.microsoft.com/#blade/Microsoft_Intune_DeviceSettings/DevicesEnrollmentMenu/enrollmentRestrictions

Käyttöönotto

Homma lähtee käyntiin sillä, että asennetaan Google Play Storesta Intune Company Portal eli Yritysportaali.

Asennuksen jälkeen kirjaudutaan Company Portal -sovellukseen yrityksen tunnuksin ja naputellaan kuvakaappauksien mukaisesti käyttöönotto läpi.

Käyttöönoton jälkeen puhelimen alareunassa näkyy kaksi eri profiilia.

  • Personal = Henkilökohtaisille sovelluksille ja datoille tarkoitettu. Vapaasti kustomoitavissa.
  • Work = Yrityksen sovelluksille ja datoille tarkoitettu. Täysin yrityksen hallinnassa.

 

Käyttäjäkokemukset tässä mallissa vaihtelevat. Jotkut käyttäjät kokevat mm. ongelmallisena sen, että henkilökohtaiset ja työkontaktit on eroteltu toisistaan. Tosiaan, kun onhan ihan normaalia, että työkaverin kanssa saattaa olla tekemisissä myös muulloin kuin työasioissa, joten kontakteja täytyy tällöin hallinnoida molemmissa profiileissa.

Täytyy myös ymmärtää, että kun asennat Play Storesta sovelluksia henkilökohtaisesta profiilista, niin sovellukset eivät tule ollenkaan työprofiiliin näkyviin. Tämä johtuu siitä, että Work-puolella on erillinen Play Store, jonne saadaan näkyville vain Intunen kautta jaettuja Managed Google Play Store -appeja. Eli jos haluat Work-profiiliisi esimerkiksi Microsoft Word -sovelluksen, niin tarvitset tähän Intune-ylläpitäjäsi apuja.

Esimerkiksi työsuhteen päättyessä Work Profile voidaan puhelimesta hävittää tekemällä Intunesta ”Retire” toimenpide, jolloin vain Work Profile poistetaan kokonaisuudessaan ja laite poistuu samalla Intune-hallinnasta. Täydellistä tyhjennystä, joka koskisi myös Personal profiilia, ei voida Intunen päästä pakottaa.

Android Enterprise – Corporate-owned hallintamallit

Seuraavana esiteltävät mallit ovat normaalisti yrityksen omistamia laitteita ja näissä voidaan hyödyntää erilaisia laiterekisteröintiohjelmia, mikä onkin suotavaa käyttäjäkokemuksen suoraviivaistamiseksi.

Käyttöönottoprofiilin määritys Intuneen

Esivaatimuksena on luoda yritykselle Managed Google Play tili. Voit lukea tästä lisää toisessa artikkelissani. Tämän jälkeen määritellään varsinaiset hallintamallien käyttöönottoprofiilit:

Käyttöönotto

Kaikkien Android Enterprise – Corporate-owned -hallintamallien käyttöönotot kulkevat pitkälti samalla kaavalla. Yhtenäistä näissä on, että jokainen hallintamalli voidaan ottaa käyttöön vain tehdasasetuksien palautuksen kautta. Näin ollen tätä onkin syytä harkita otettavaksi käyttöön vain uusilla laitteilla.

Riippuen hallintamallista, laitemallista ja Androidin versiosta niin käyttöönotossa saattaa olla hieman vaihtelevuutta eli vaiheet hieman eri järjestyksessä, eri nimillä tai teksteillä. Alla on otettu yhdeltä esimerkkipuhelimelta kuvat, kun laite on tullut Samsung KME -laiterekisteröintiohjelmasta ja otetaan Fully Managed -hallintamallilla käyttöön. Vaikka vaiheita on silmämääräisesti paljon, niin vaiheet ovat hyvin opastettuja, eikä käyttöönotossa oikeastaan voi edes epäonnistua.

Mikäli laitetta ei oteta laiterekisteröintiohjelman kautta käyttöön, niin sitten periaatteessa käyttöönotossa on mahdollista ”epäonnistua”. Melko alkuvaiheessa Google sign-in -kohdassa tulee käyttäjän nimittäin kirjoittaa afw#setup, jotta laite ymmärtää, että ollaan tekemässä normaalista käyttöönotosta poikkeavaa eli jos tähän syöttää henkilökohtaisen Google-tilin niin laite ei päädy yrityksen hallintaan.

Kaikista Android Enterprisen – Corporate-owned -hallintamallin Intune-profiileista on löydettävissä QR-koodi, joka käyttöönotettavalla puhelimella skannataan. Tämän jälkeen käyttöönotto lähtee käyntiin, kuten ylemmässä laiterekisteröintiohjelman esimerkissä.

Android Enterprise – Corporate-owned -hallintamalleissa on lisäksi sellainen ominaisuus, että oletuksena käyttöönoton jälkeen laitteella ei ole kaikkia System Appeja asennettuna. Tällöin esimerkiksi kamera löytyy, mutta yrittäessä avata kuvaa tuleekin ilmoitus, että tarvittavaa sovellusta ei löydy. Myös ainakin laskin, kalenteri ja kello puuttuvat oletuksena. Näiden asentamiseen on muutamia eri vaihtoehtoja, mutta parhaan käyttökokemuksen takaamiseksi nämä kannattaa jakaa keskitetysti Intunen kautta Android Enterprise system appeina tai Managed Google Play appeina. Jos käytetään Samsung KME -laiterekisteröintiohjelmaa, niin KME:n portaalista pystytään suoraan valitsemaan, että halutaanko System Apps -sovellukset poistaa vai jättää laitteeseen.

Android Enterprise – Fully Managed Device

Nimeensä viitaten tässä hallintamallissa koko laite on täysin yrityksen hallinnassa. Periaatteessa selkeämpi kokonaisuus kuin Work Profilessa, koska siinä ei ole erikseen työ- ja henkilökohtaista profiilia. Selkeytensä vuoksi yritykset valitsevat Androidin hallintamalleista juuri tämän vaihtoehdon ja annan tälle myös omat suositukseni, jos laitteet ovat yrityksen omistuksessa.

Työsuhteen päättyessä tai mahdollisissa varkaustapauksissa tämän tyyppiset laitteet voidaan täydellisesti tyhjentää Intunen kautta.

Käyttöönottoprofiilin määritys Intuneen

Tässä ei voi juurikaan epäonnistua: kytketään vain täppä päälle, jolloin generoituu laiterekisteröintiohjelmaa varten token tai käyttöönotto-ohjeita varten QR koodi.

Oletuksena Google Play storessa on näkyvissä vain Managed Google Play Store -sovellukset, jotka on jaettu Intunen kautta. Tällöin laite on vahvasti yrityksen hallinnassa ja kontrollissa, mitä laitteelle voidaan asentaa.

Intune-konfiguraatioiden kautta pystytään kumminkin sallimaan asennettavaksi normaalit Google Play Store -sovellukset, joka saattaa parantaa käyttäjäkokemusta:

Käyttöönotto

Käyttöönoton jälkeen yrityksen sovellukset on yhdessä ”kasassa” muiden sovelluksien kanssa.

Android Enterprise – Fully Managed Device With Work Profile – Preview!

Tässä hallintamallissa yhdistyy käytännössä Android Enteprisen hallintamallit Fully Managed ja Work Profile eli käyttöönoton helppous ja Work Profilen hyödyt (tai haasteet kuinka sen kukin näkee).

Poiketen normaalista Work Profilesta, niin tällaiset laitteet voidaan täysin palauttaa tehdasasetuksille Intunen kautta.

Käyttöönottoprofiilin määritys Intuneen

Käyttöönottoprofiilin määritys on erittäin yksinkertaista eli menee pitkälti samalla ajatuksella kuin normaalissa Fully Managed hallintamallissa: profiilin luonti, nimeäminen ja tokenin vienti esimerkiksi laiterekisteröintiohjelmaan tai QR koodin vienti käyttöohjeisiin.

Poikkeuksellista tässä on, että profiileja voi luoda useampia ja tämän myötä myöskin eri koodilla olevia tokeneita. Joskin en ole vielä keksinyt hyvää syytä, miksi näitä pitäisi luoda useampia – mutta tämä on tosiaan Preview-tilassa oleva ominaisuus, joten tämäkin voi vielä muuttua johonkin suuntaan.

Käyttöönotto

Normaali käyttöönotto höystettynä muutamin lisävalinnoin. Poikkeuksena käyttöönotossa konfiguroidaan ensin työprofiili (Work Profile) ja lopuksi pyydetään kirjautumaan myös henkilökohtaisella Google Play -tunnuksella, jota taas käytetään henkilökohtaisessa profiilissa (Personal Profile)

Työprofiilin määritys

Henkilökohtaisen profiilin määritys

Kun määrittelyt ovat valmiit, niin näkymä käyttäjälle on samanlainen kuin aiemmin esitellyssä Work Profilessa.

HUOM! Android 11 -versiossa tämä hallintamalli ei ole enää nykyisessä muodossaan tuettu, vaan tilalle on tullut “Work profile on company-owned devices”. Muutoksessa tuodaan lisää yksityisyyttä käyttäjälle.  Personal profiilista ei esimerkiksi enää kerätä niin paljon dataa kuin ennen ja myös koko laitetta koskevia hallintamahdollisuuksia on rajoitettu.

Tarkemmin lisää koko laitetta koskevista rajoituksista löytyy Samsungin dokumentaatiosta:

https://docs.samsungknox.com/admin/knox-platform-for-enterprise/android-policies-in-personal-profile.htm

https://docs.samsungknox.com/admin/knox-platform-for-enterprise/knox-policies-in-personal-profile.htm

Muutoksella ei pitäisi olla loppukäyttäjän näkökulmasta vaikutuksia eli käyttöliittymä on samanlainen kuin ennenkin, mutta ylläpitäjille tämä aiheuttaa hieman päänvaivaa.

Jos laite on käyttöönotettu vanhanmallisella Android Enterprise - Fully Managed with Work Profile -hallintamallilla, niin esimerkiksi päivittämällä Android 10 -> Android 11 niin laitteesta tulee automaattisesti Work Profile on Company-Owned Devices -mallinen.

Uusien laitteiden osalta, jos laitteet otetaan käyttöön esimerkiksi Samsung KME:n kautta, niin tulee profiiliin määritellä ”Let MDM choose to enroll as a Device Owner or Profile Owner” Muussa tapauksessa laitteesta tulee normaali Fully Managed eli hallintamalli ilman työ/henkilökohtaisten profiilien erottelua.

Microsoft Intunen osalta dokumentaatio on vielä jokseenkin vajavainen, että mihin muutos konkreettisesti vaikuttaa. Dokumentaatiosta on kumminkin löydettävissä, että jos Android 11 on käyttöönotettavalla puhelimella käytössä, niin afw#setup käyttöönotto ei tämän hallintamallin kanssa ole enää tuettua. Näin ollen tämän myötä laiterekisteröintiohjelman käyttöönotto tulee myös pakolliseksi. Jos yrittää ajaa afw#setup ja vaikka skannaa oikean QR-koodin, niin laitteesta tulee lopulta normaali Fully Managed.

Android Enteprise – Dedicated Device

Tämä hallintamalli on tarkoitettu pääsääntöisesti kioski-tyyppisiin käyttötarkoituksiin. Koska laitetta ei ole tarkoitettu varsinaisesti kenellekään nimetylle käyttäjälle ja yhteiskäyttöiseksi laitteeksi vain tietyin reunaehdoin, niin käyttöskenaariot ovat jokseenkin rajoittuneita ja käyttötarkoitus tuleekin miettiä tarkasti.

Koska laitteella ei ole erillisiä tunnuksia ja jos laitetta käytetään usean käyttäjän kesken niin en voi suositella henkilökohtaisten tietojen käsittelyä tälläisella laitteella.

Ainakin kolmenlainen erilainen käyttöskenaario tulee nopeasti mieleen:

  • Esimerkiksi yrityksen sisääntulon aulaan laite, johon kirjataan vierailijat. Tällöin määritetään laite suorittamaan ”single app” -moodissa vain yhtä tehtävää - vaikkapa vain yhtä sovellusta
  • Työpaikan taukotilaan internet-selailua varten (esim. tehdas, jossa omat laitteet eivät ole sallittuja). Määritetään laite suorittamaan ”multi app” -moodissa Microsoft Managed Home Screenin kera muutamia sovelluksia, kuten Microsoft Edge, Google Chrome ja Mozilla Firefox, jolloin käyttäjä saa valita lempiselaimensa.
  • Kauppojen hyllyille demo-laitteiksi.Jätetään Microsoft Managed Home Screen pois, jolloin käyttöliittymä on suhteellisen normaalin näköinen. Rajataan kuitenkin asetuksia, mihin laitteella ei pääse - esimerkiksi estetään asetuksiin pääseminen ja sitä myötä tehdasasetuksien palautus.

Käyttöönottoprofiilin määritys Intuneen

Profiilia luodessa valitaan “Token type: Corporate-owned dedicated device (default)”.

Erityisenä huomiona, että käyttöönottoa varten tarvittava token on voimassa vain 3kk luontihetkestä. Tämän jälkeen se tulee uusia, sillä muuten uusien laitteiden käyttöönotto ei enää toimi. Ylläpitäjän tulee siis olla aika ahkeraan uusimassa tokenia.

Käyttöönottoprofiilin lisäksi tulee toki konfiguroida haluamansa Intune-asetukset riippuen minkälaiseen moodiin laitteen haluaa asettaa. Alla esimerkkinä multi-app kiosk moodin Configuration Profile -asetukset. Samat listatut sovellukset sekä lisäksi halutessaan Microsoft Managed Home Screen tulee jakaa pakotettuna laitteelle, jota varten kannattaakin luoda dynaaminen Azure AD -ryhmä.

Microsoftin dokumentaatio antaa hieman tulkinnan varaa, että ovatko tällaiset laitteet virallisesti Conditional Accessin kanssa tuettu. Laitteella ei ole varsinaisia käyttäjiä, kun taas Conditional Access -säännöt sekä Compliance policyt kohdistetaan käyttäjiä vasten... Kumminkin testaamalla selvisi, kun kohdistaa Compliance policyt dynaamista Azure AD -ryhmää vasten, niin laite saadaan tällä tavoin luotetuksi. Tätä kannattaa ennen käyttöönottoa hieman tarkemmin testata ja voisinkin suositella, että vähintäänkin puskee halutut PIN-koodivaatimukset yms. näille laitteille varmuuden vuoksi myös suoraan configuration profiilien kautta.

Käyttöönotto

Koska laitteella ei ole varsinaista käyttäjää, niin käyttöönotto on erittäin yksinkertainen ja menee maaliin asti ilman käyttäjätunnuksien syöttämistä sekä ilman henkilökohtaista Google-tiliä. Valitse kieli, hyväksy käyttöehdot, yhdistä WLAN ja homma on käytännössä katsoen valmis.

Esimerkki laitteesta, jossa on Microsoft Managed Home Sceen appi ja päänäkymässä vain Chrome, Edge ja Firefox asennettuna:

Android Enterprise – Dedicated Device with Azure AD Shared Device Mode – Preview!

Lokakuussa 2020 julkaistu erittäin mielenkiintoiselta vaikuttava uusi hallintamalli, jolle voisi hyvinkin löytyä käyttöä esim. tuotanto- tai tehdastyöläisten joukosta. Toisin kuin perinteiden Dedicated Device on lähinnä kioski-tyyppisille laitteille, niin tämä hallintamalli on tarkoitettu usean käyttäjän kesken jaettavaksi yhteiskäyttöiseksi laitteeksi.

Käyttöönottoprofiilin määritys Intuneen

Profiilia luodessa valitaan Token type: Corporate-owned dedicated device with Azure AD shared mode (preview). Kuten Dedicated Device (default), niin token on voimassa vain 3kk käyttöönotosta.

Koska laite on oikeasti usean käyttäjien kesken jaettava yhteiskäyttöinen laite, jossa käytetään jopa henkilökohtaisia sovelluksia, niin oikeanlainen konfigurointi astuu tietoturvasyistä yhä tärkeämpään rooliin.

Hallintamalli keskiössä on Microsoft Managed Home Screen -sovellus, joka voidaan taustakuvilla ja logoilla kustomoida enemmän oman organisaation näköiseksi. Konfigurointi vaatii kumminkin hieman osaamista, sillä tämä täytyy tehdä App Configuration policyillä JSON-formaatissa. Jos ei tarvitse hirveän kustomoitua, niin Configuration Designerin kautta voi konfiguroida myös jonkin verran asetuksia. Microsoftin omasta dokumentaatiosta löytyy kumminkin hyvä esimerkki, jolla pääsee alkuun: https://docs.microsoft.com/en-us/mem/intune/apps/app-configuration-managed-home-screen-app

Käyttöönotto

Käyttöönotto on tässäkin hallintamallissa tehty erittäin yksinkertaiseksi. Valitse kieli, hyväksy käyttöehdot, yhdistä WLAN ja homma on käytännössä katsoen valmis.

Microsoft Authenticator menee tässä mallissa suoraan Azure AD Shared Device modeen, kun aiemmin tämä on ollut toki mahdollista tehdä, mutta vain manuaalisin toimenpitein per laite.

Oikeanlaisella konfiguroinnilla Microsoft Managed Home Screen pyörähtää käyntiin hetken kuluttua ja tämän kautta hoidetaan myös käyttäjäkohtainen kirjautuminen laitteelle. Ensimmäisellä kirjautumisella on aina pakko määritellä salasana, minkä lisäksi voidaan myös antaa käyttöön sessiokohtainen PIN-koodi, joka on voimassa vain kyseisen session pituuden ajan. Session pituudelle voidaan antaa aikaraja ja automaattinen uloskirjautuminen suoritetaan, mikäli laitetta ei ole käyttänyt vaikkapa 10 minuutin aikana.

Kirjoitushetkellä Microsoft Managed Home Screenin ohella ainut varsinainen sovellus on Microsoft Teams, joka tukee natiivisti Azure AD Shared Device modea. Tuki tarkoittaa sitä, että sovellusta käynnistäessä kirjaudutaan automaattisesti käyttäjän tunnuksin sisään ”device-wide sign-in” ja kun sovelluksesta kirjaudutaan ulos niin kirjaudutaan samalla ulos koko sessiosta ”device-wide sign-out”. Uloskirjautumisen yhteydessä tyhjennetään kaikki käyttäjäkohtainen data ja palaudutaan takaisin kirjautumisruutuun seuraavan käyttäjän kirjautumista varten.

Microsoft Managed Home Screeniin on myös mahdollista yhdistää ”Customer Facing Folder” ominaisuus, joka on käytännössä näytöllä oleva erillinen kansio tai kansioita, jonne voidaan viedä sovelluksia, jotka eivät tue Azure AD Shared Device modea. Tämän kansion avulla nykyinen käyttäjä voi tietoturvallisemmin jakaa puhelimen toiselle käyttäjälle oman sessionsa aikana - esimerkkiskenaariona kesätyöntekijä, jolla ei ole omia tunnuksia. Kun kesätyöntekijä ei enää käytä kansiossa olevia sovelluksia ja haluaa täältä ulos, niin pyydetään kirjautuneen käyttäjän session PIN-koodia, jonka tietääkin vain varsinainen käyttäjä. Näin kesätyöntekijä ei pääse suoraan näkemään esim. Teamsissa olevaa sisältöä varsinaisesta sessiosta.

 

Tämä malli tukee virallisestikin myös Compliance-policyjä, kunhan kohdistukset vain tehdään laiteryhmää vasten. Tosin verrattuna normaaleihin laitteisiin, niin laitteelle asetettuja vaatimuksia, kuten kryptaus tarkistetaankin ”System”-tunnuksin. Tämä tarkoittaa kumminkin sitä, että yritysresursseihin kirjautumisia voidaan suojata ehdollisella pääsynhallinnalla eli Conditional Accessilla.

Yhteenveto

Artikkelin myötä varmastikin huomasit, että hallintamallin valinta ei ole aina kovinkaan yksinkertaista. Mikäli et vielä artikkelin luettuasi osaa tehdä valintaa, mikä hallintamalleista olisi juuri sinun yrityksellesi paras tai konfiguroinnit ei vain tahdo onnistua, niin hallintamallien käyttöönotot sopivat erittäin hyvin Elisan työpajamalliin. Lue lisää työpajoistamme ja päätelaite- ja loppukäyttäjäpalveluista.

Lähteet

https://docs.microsoft.com/en-us/mem/intune/enrollment/android-enroll

https://bayton.org

https://bloggerz.cloud

 

Kirjoittanut

Kirjoittaja työskentelee Elisalla Senior Technical Consultant -roolissa erilaisissa päätelaitehallinnan projekteissa. Mika omaa yli 10 vuoden kokemuksen päätelaitteiden hallinnasta ja on työskennellyt pitkään mm. Microsoft Endpoint Manager Configuration Manager (MEMCM) ent. SCCM, AD / Group Policy hallinnan, sovelluspaketoinnin ja näiden logiikoiden parissa. Viime vuosina tekeminen on painottunut yhä enemmän modernin päätelaitehallinnan puolelle, kuten ConfigMgr Co-Management, Windows Autopilot ja Intune-hallinnan muodossa.