AirWatch Support für
AirWatch Support für Office 365 In letzter Zeit stellen Kunden immer häufiger die Frage, wie AirWatch Office 365 unterstützt. Viele fragen, ob AirWatch den Zugang zu Office 365 (O365) nicht nur auf ihren geschäftlichen Desktop-Systemen, sondern auch auf ihren Mobilgeräten steuern kann. Erfreulicherweise bietet AirWatch by VMware Organisationen enorme Unterstützung bei der Nutzung von O365 auf ihren Mobilgeräten. Unsere jüngste Integration mit VMware Identity Manager bietet ein branchenerstes adaptives Zugriffskontroll-Framework, um zu gewährleisten, dass alle geschäftlichen Apps, einschließlich O365, nur auf konformen Geräten aufgerufen und verwaltet werden. Office 365: Die Herausforderung Die Umstellung auf O365 stellt Organisationen vor jede Menge neue Herausforderungen. Da O365 über das Internet zugänglich ist, funktionieren traditionelle Zugriffskontrollmechanismen für E-Mail und Apps, die auf Netzwerk- und Perimeter-Sicherheitsmodellen basieren, hier nicht. Außerdem, anders als bei ihren Desktop- Äquivalenten, stellen mobile Büro-Apps für BYOD-Benutzer neue, komplexe Herausforderungen dar, wie Containerisierung und Remote-Wipe. Organisationen benötigen eine Methode, O365-Zugriff auf ausschließlich verwaltete und konforme Geräte ohne Abhängigkeit von Netzwerk- und Domänenmitgliedschaft zu beschränken. Darüber hinaus müssen sie gewährleisten, dass sämtliche auf dem Gerät gespeicherten Daten verschlüsselt werden und, falls das Gerät verloren geht oder gestohlen wird, diese Daten remote entfernt werden können. Dies mag anfangs belanglos erscheinen, wird aber schnell sehr komplex, wenn man die vielen Plattformen und die Komplexität bedenkt, die entsteht, wenn für Lösungen die Fähigkeit geschaffen wird, mit sowohl Enterprise Mobility Management (EMM) als auch domänenverwalteten Geräten zu koexistieren. Komplexität entsteht auch bei der Integration von EMM und domänenverwalteten Geräten mit einer vorhandenen On-Premise-Infrastruktur. Obwohl sich dieses Whitepaper speziell damit beschäftigt, wie AirWatch diese Probleme für O365 behebt, sichert die gleiche Architektur alle Unternehmens-Apps, sowohl Cloud als auch On-Premise. AirWatch O365-Integration AirWatch ermöglicht Benutzern die mühelose Nutzung von O365 durch Bereitstellung einer gemeinsamen Identität zur Authentifizierung, indem bedingte Zugriffskontrolle ermöglicht wird, um zu gewährleisten, dass nur verwaltete Geräte Zugriff haben und die Daten auf dem Gerät zu containerisieren, um zu gewährleisten, dass sie geschützt sind und remote entfernt werden können. Dies ist eine gute Nachricht für IT und Sicherheit. AirWatch ermöglicht außerdem Self-Service-Provisioning von O365-Zugriff durch Endbenutzer, um den gesamten Prozess zu erleichtern und zu automatisieren, wodurch eine Skalierung von O365 über die gesamte Organisation hinweg ermöglicht wird.
Self-Service und sicherer SSO-Zugriff Um die Benutzererfahrung zu vereinfachen, ermöglicht Integration von AirWatch mit VMware Identity Manager Organisationen, ihre vorhandene On-Premise-Unternehmensidentität (z.b. LDAP oder Active Directory) zu föderieren und automatisches Single-Sign-On (SSO) für O365-Apps zu verwenden. Dies ermöglicht Benutzern, zu einem einzigen Webseitenportal zu navigieren, sich mit ihren geschäftlichen Anmeldedaten anzumelden und mühelos auf E-Mail, Lync und alle anderen Office-Apps zuzugreifen, ohne ihre Anmeldedaten für jede einzelne App neu eingeben zu müssen. Abgesehen von Web-basierten Apps ermöglichen AirWatch Catalog und EMM-Funktionen den Benutzern, systemeigene O365-Apps sicher herunterzuladen und E-Mail auf ihren Mobilgeräten einzurichten. Ein einzigartiger Vorteil von AirWatch und VMware Identity Manager ist die Konfiguration einer SSO- Erfahrung mit systemeigenen mobilen Apps, die ein Benutzer von Web-Apps erwartet. AirWatch kann auch digitale Zertifikate nutzen, um Benutzer automatisch bei O365 anzumelden (kennwortlose Authentifizierung). Durch Verwendung von Zertifikaten statt AD-Kennwörtern zur Authentifizierung wird nicht nur die Benutzererfahrung, sondern auch die Sicherheit optimiert. Da AirWatch das Zertifikat an einem einzigen geschützten Ort installiert, können alle Apps auf dem Gerät diese Identität zur Authentifizierung nutzen. Dies erhöht die Sicherheit aus zwei Perspektiven. Da AirWatch die Benutzeridentität zum einen an einem einzigen Ort im BS speichert, sind geschäftliche Anmeldedaten nicht gespeichert oder von anderen Apps auf dem Gerät zugreifbar. Das bedeutet, IT muss sich nicht darüber sorgen, wie die einzelnen Apps die Benutzeranmeldedaten möglicherweise speichern. Die Missbrauchsgefahr einer einzelnen App wird erheblich gemindert. Da zum anderen anstelle eines Benutzernamens und Kennworts ein digitales Zertifikat verwendet wird, wird die Sicherheit wesentlich erhöht. Falls ein Gerät gestohlen wird, kann das Zertifikat mühelos widerrufen und Zugriff auf dieses Mobilgerät verweigert werden, ohne den Benutzer zu zwingen, in sämtlichen Unternehmenssystemen und -diensten sein Kennwort zu ändern. AirWatch erleichtert und automatisiert auch den Provisioning-Prozess des Zugriffs auf verschiedene O365- Apps durch Synchronisierung vorhandener Active Directory-Benutzergruppen (LDAP). Dies gewährleistet, dass nur autorisierte Benutzer mit gekauften Lizenzen auf O365-Dienste zugreifen können, und widerruft automatisch für unbefugte Benutzer den Zugriff, ohne IT oder den Helpdesk einzubeziehen. Heutzutage sind Aktivierung und Deprovisioning-Prozess zwei entkoppelte Prozesse, bei denen Zugriff vom Identitätsverwaltungssystem widerrufen und Daten und Apps vom Endpunktgerät remote widerrufen werden. AirWatch führt diese beiden Workflows zusammen, um den Prozess zu automatisieren und zu optimieren. Bedingter Zugriff für autorisierte Benutzer und Geräte Allgemein sollte nur autorisierten Benutzern auf autorisierten Geräten Zugriff auf Unternehmens-App gewährt werden. Bei O365 heißt das, dass Dienste wie Online, OneDrive, Lync usw. auf konforme und verwaltete Geräte begrenzt sein sollten. AirWatch integriert mit sowohl O365-APIs als auch VMware Identity Manager, um bedingten Zugriff auf alle O365-Dienste zu geben.
Exchange Online AirWatch integriert direkt mit Exchange Online, um E-Mail zu beschränken. Dies wird durch Einrichtung einer Whitelist-Richtlinie in Exchange erreicht, wodurch standardmäßig für alle unbekannten Geräte E-Mail-Zugriff verweigert wird. AirWatch integriert dann mit Exchange Online, um automatisch verwaltete und konforme Geräte einer Whitelist hinzuzufügen, sodass diese darauf zur Synchronisierung von E-Mail autorisiert sind. Falls ein Benutzer ein neues Gerät aktiviert oder ein vorhandenes Geräte die Konformität verliert, synchronisiert AirWatch automatisch die Änderungen mit Exchange Online. AirWatch integriert direkt mit O365. Geräte können sich also über jedes beliebige Netzwerk verbinden, ohne den Datenverkehr durch ein VPN oder On-Premise-Gateway zu zwingen. O365 Apps Abgesehen von E-Mail bietet AirWatch Integration den gleichen bedingten Zugriff auf alle anderen O365- Apps. Versucht ein Benutzer den Zugriff auf O365 und Authentifizierung, so leitet O365 die Authentifizierung als Teil der föderierten Konfiguration zu VMware Identity Manager. Durch Authentifizierung wird nicht nur die Identität des Benutzers überprüft, sondern auch, dass das Gerät von AirWatch verwaltet wird und konform ist. Versucht ein Benutzer, sich mit O365 über ein nicht verwaltetes Gerät zu verbinden, so wird der Zugriff verweigert. VMware Identity Manager Validates User Identity + VMware Identity Manager
Ein wesentliches Unterscheidungsmerkmal bei dieser Architektur ist die Flexibilität, auf Grundlage von Geräteplattform und App, die den Zugriff anfordert, verschiedene Anspruchsregeln zur Authentifizierung zu verlangen. Dies ermöglicht Organisationen andere Richtlinien für Mobilgeräte als für vorhandene, in die Domäne eingebundene Unternehmens-Computer. Zum Beispiel: Systemeigene Apple ios-apps können Authentifizierung mit Zertifikaten verlangen. Systemeigene Android-Apps können Authentifizierung mit Zertifikaten verlangen. Systemeigene Windows-Apps können Domänemitgliedschaft und Authentifizierung verlangen. Auf Web-Browser basierte Sitzungen können einen begrenzten Zugriff haben und ein Unternehmens-VPN oder -Netzwerk verlangen, um auf O365 zuzugreifen. Integration mit anderen Drittanbieter-Identitätszugriffsverwaltungs-Tools AirWatch bietet nahtlose Integration mit VMware Identity Manager und ist in den AirWatch Blue und Yellow Management Suites enthalten. Darüber hinaus ist AirWatch auch mit bereits vorhandenen Identitätslösungen integrierbar. Dies gewährleistet, dass momentane Konfigurationen sowie Richtlinien für föderierte Authentifizierung bestehen bleiben können und gleichzeitig ein besseres Framework für SSO und bedingten Zugriff für mobile und verwaltete Geräte geboten wird. Folgendes Diagramm stell dar, wie die gleichen Konfigurationen mit den vorhandenen Drittanbieter-Identitäts-Tools einer Organisation (Ping, Okta, ADFS, Azure AD usw.) koexistieren können. ADFS AD VMware Identity Manager Existing Identity Provider Active Directory
Daten containerisieren und schützen Unternehmen müssen nicht nur über gemeinsame Identität, SSO, Erfahrung und bedingten Zugriff auf ausschließlich verwaltete Geräte verfügen, sondern auch den Schutz von O365-Daten auf dem Gerät selbst sicherstellen. Dies umfasst die Gewährleistung, dass das Gerät verschlüsselt ist, Richtlinien zur Verhinderung von Datenlecks angelegt sind und O365-Daten im Fall von Verlust oder Diebstahl remote vom Gerät entfernt werden können. Durch den Einsatz von O365-Apps über AirWatch Catalog erzwingt AirWatch mit systemeigenen Plattformsteuerelementen die Containerisierung dieser Apps, um Datenverlust zu verhindern. Jedes BS unterstützt verschiedene Steuerelemente zur Containerisierung: Apple ios: AirWatch ist mit Apples verwalteter App-Containerisierungstechnologie integrierbar und verhindert so Datenverlust von geschäftlichen und privaten Apps. Unter anderem wird verhindert, dass Exchange Online-E-Mails vom geschäftlichen in das private Konto verschoben werden. Außerdem werden die Steuerelemente Öffnen in so verwaltet, dass E-Mail-Anlagen nicht in privaten Apps gespeichert werden können. Die gleichen Richtlinien funktionieren für alle O365-Apps. Android (Android for Work): Android for Work ist ein neuer Sicherheits-Container für bestimmte Android- Geräte, der den Einsatz von O365-Apps und E-Mail innerhalb eines App-Containers über AirWatch ermöglicht. Dies gewährleistet, das O365-Daten verschlüsselt und verwaltet werden und remote entfernt werden können. Datenlecks zwischen geschäftlichen und privaten Apps werden vermieden. Des Weiteren werden DLP-Kontrollen, wie Beschränkung von Bildschirmaufnahme und Kopieren/Einfügen, erzwungen. Windows: AirWatch ermöglicht flexible Einsatzoptionen mit entweder AirWatch Inbox (Windows 8.1) oder dem systemeigenen E-Mail-Client (Windows Phone 8.1) und gewährleistet damit, dass die E-Mail- Einrichtung auf dem Gerät auf verwaltete Geräte beschränkt ist und remote vom Gerät entfernt werden kann. Mit Windows 10 gibt es eine extra EDP-Schutzschicht (Enterprise Data Protection) für moderne Apps. Es wird dabei verhindert, dass O365-Daten für private Apps freigegeben und Befehle wie Kopieren/ Einfügen zwischen geschäftlichen und privaten Apps verwendet werden. Weitere O365-Sicherheitseinstellungen O365 verfügt über einige App-Konfigurationen, die Kopieren/Einfügen verhindern, eine PIN zum Start der App erfordern und Speichern als in andere, nicht die Arbeit betreffende Speicherorte (z.b. Dropbox) von innerhalb der O365-Apps selbst deaktivieren. So wie eine soziale Netzwerk-App gegebenenfalls Einstellungen für das App-Verhalten sowie Funktionen zum Ein- und Ausschalten enthält, sind diese Einstellungen App-spezifische Steuerelemente, die Microsoft in die Software integriert hat. Heutzutage sind diese Steuerelemente und Einstellungen nicht auf Drittanbieter-Verwaltungssysteme und -Tools zur Konfiguration erweiterbar. Sie müssen deshalb über die App selbst konfiguriert werden. Diese Einstellungen müssen mit Intune als Verwaltungs-Tool konfiguriert werden. Viele andere ISVs (Salesforce, Box, Cisco usw.) wählen Standardkonfigurationsansätze, wie Nutzung ios-verwalteter App-Konfigurationen. Wir sind zuversichtlich, dass Microsoft die O365-Einstellungen in Zukunft auf anderweitige Konfiguration ausdehnt und zwar direkt durch AirWatch, sodass Organisationen über ein konsistentes Framework verfügen, mit dem sie für alle Unternehmens-Apps Konfigurationen und Einstellungen verwalten können.
Weitere Ressourcen Weitere Informationen erhalten Sie hier: www.air-watch.com/solutions/windows. Um AirWatch kostenlos zu testen, besuchen Sie bitte http://www.air-watch.com/lp/de/free-trial/ AirWatch Hauptsitz 1155 Perimeter Center West Suite 100 Atlanta, GA 30338 United States T: +1 404 478 7500 E: sales@air-watch.com Über AirWatch by VMware AirWatch by VMware ist die führende Kraft im Bereich des Enterprise Mobility Management, mit einer Plattform, die branchenführende Verwaltungslösungen für Mobilgeräte, E-Mail, Apps, Inhalte und Browser umfasst. AirWatch, das im Februar 2014 von VMware akquiriert wurde, hat seinen Firmenhauptsitz in Atlanta und kann online unter www.air-watch.com gefunden werden.