Sicherer Unternehmenszugriff auf privaten Geräten

Geschäftsproblem

Grafik: Unternehmen stehen vor der Herausforderung, sicheren Zugriff über persönliche Geräte zu ermöglichen.

Durch die Verbreitung von Mobilgeräten hat sich die Arbeitsweise der Menschen verändert. Mitarbeiter möchten von überall aus auf Unternehmens-Apps zugreifen, sei es in einer herkömmlichen Unternehmensumgebung oder auf dem Weg zum Flughafen.

Selbst wenn Unternehmen firmeneigene Mobilgeräte zur Verfügung stellen, verwenden viele Mitarbeiter lieber ihre vertrauten Geräte – sowohl für private als auch berufliche Zwecke. Dabei handelt es sich in der Regel um ihr privates Gerät.

Unternehmen stehen vor der Herausforderung, eine mobile Arbeitsumgebung bereitzustellen, die scheinbar widersprüchlichen Anforderungen gerecht wird und Folgendes bietet:

  • Eine bequeme und produktive Umgebung für Mitarbeiter
  • Sicheren Zugriff auf Unternehmens-Apps und -daten

Ihr Unternehmen führt eine neue Richtlinie ein, um den Zugriff auf Unternehmensressourcen über private Mobilgeräte zuzulassen. Mitarbeiter können nur über ausgewählte und genehmigte Apps auf Unternehmensdaten zugreifen.

Lösungen

Mithilfe der erweiterten Mobilgeräteverwaltung können Sie Mitarbeitern auf verschiedene Arten die Unternehmens-Apps bereitstellen, die sie auf ihren privaten Geräten benötigen, und gleichzeitig Richtlinien zum Schutz von Unternehmensdaten implementieren.

Zulassungsliste für genehmigte Apps erstellen

Grafik: Eine Zulassungsliste enthält ausgewählte und genehmigte Apps.

Das Ziel einer Zulassungsliste für Apps besteht darin, Unternehmensressourcen vor potenziell schädlichen Apps zu schützen. Eine Zulassungsliste für Apps enthält Apps, die von einer IT-Abteilung ausgewählt und für die geschäftliche Nutzung genehmigt wurden.

Mit Zulassungslisten für geschäftliche Apps können Sie geschäftliche Apps auf privaten Mobilgeräten verwalten, während der Nutzer die Kontrolle über private Apps behält. Sie verteilen Apps an Nutzer in einer bestimmten Organisation oder Google Groups-Gruppe.

Sie wählen Apps aus dem Managed Play Store für Android-Geräte und dem Apple App Store für iOS-Geräte aus und setzen Sie sie anschließend auf eine Zulassungsliste. Nutzer sehen dann auf ihren Geräten einen Katalog mit Apps, die sich auf der Zulassungsliste befinden. Wird eine dieser Apps installiert, erfolgt die Verwaltung durch Ihre Organisation. Wenn ein Gerät verloren geht oder gestohlen wird, können Sie verwaltete Apps aus der Ferne vom Gerät löschen.

Arbeitsprofile auf Android-Geräten erzwingen

Grafik: Arbeitsprofile auf Android-Geräten trennen geschäftliche und privaten Daten.

Arbeitsprofile auf privaten Android-Geräten ab Version 5.0 trennen geschäftliche und private Apps, Konten und Daten. Das Unternehmen verwaltet die Unternehmens-Apps und -daten. Die Nutzer kontrollieren alles andere auf dem Gerät. Verwaltete Apps, also die genehmigten Unternehmens-Apps auf Ihrer Zulassungsliste für Android-Apps, stammen aus dem Managed Play Store.

Wenn Sie die Android-App-Verwaltung auf den Android-Geräten Ihres Unternehmens aktivieren, können Sie Mitarbeitern die Möglichkeit geben, dieser zuzustimmen, oder von Mitarbeitern verlangen, Arbeitsprofile zu verwenden. Wenn Sie Arbeitsprofile verlangen und ein Nutzer versucht, von einem Gerät ohne Arbeitsprofil auf Unternehmensressourcen zuzugreifen, wird der Nutzer zum Erstellen eines Profils aufgefordert.

Verwaltete Apps auf iOS-Geräten erzwingen

Grafik: Verwaltete Apps auf iOS-Geräten verhindern die Dateifreigabe zwischen verwalteten und nicht verwalteten Apps.

Wenn Sie eine App auf die Zulassungsliste für iOS-Apps setzen, können Sie sie zu einer verwalteten App machen. Durch das Festlegen einer App als "verwaltet" hat das Unternehmen mehr Kontrolle über die verwaltete App und die zugehörigen Daten auf privaten iOS-Geräten. Wenn Nutzer beispielsweise ein privates Gmail-Konto haben und Sie Gmail als verwaltete App festlegen, können Nutzer nur über die verwaltete Version von Gmail auf ihre geschäftlichen E-Mails zugreifen.

Die Freigabe von Dateien zwischen verwalteten und nicht verwalteten Apps ist nicht zulässig. Nutzer können beispielsweise keine Daten von einer verwalteten Unternehmens-App in einer externen Entität wie iCloud oder iTunes sichern. Wenn ein Nutzer in einer verwalteten App für das Unternehmen ein PDF-Dokument erstellt, kann er es nicht in einer nicht verwalteten privaten App öffnen.

Wenn ein Nutzer auf seinem Gerät bereits eine nicht verwaltete Version einer verwalteten Unternehmens-App hat, erhält er eine Benachrichtigung mit der Bitte, Ihrem Unternehmen die Verwaltung der App zu gestatten. Akzeptiert er dies nicht, kann er zwar seine nicht verwaltete private App weiterhin nutzen, aber nicht mehr über dieses Gerät auf sein Unternehmenskonto und die verwalteten Apps zugreifen.

Verwaltete Konfigurationen auf Android-Geräten einrichten

Einige Android-Apps bieten Einstellungen, die Sie als verwaltete Konfigurationen speichern können. Mit verwalteten Konfigurationen lassen sich Apps für Ihre Nutzer vorkonfigurieren. Sie können auch mehrere verwaltete Konfigurationen für dieselbe App erstellen und verschiedene Konfigurationen auf verschiedene Gruppen oder Organisationen anwenden.

Administratoren können dann Apps mit komplexen Einstellungen wie VPN-Apps ganz einfach bereitstellen. Mitarbeiter müssen die Apps nicht konfigurieren. So vermeiden Sie Helpdesk-Aufrufe aufgrund von Problemen, die auf eine fehlerhafte Konfiguration zurückzuführen sind.

Genehmigte Apps automatisch auf Android-Geräte übertragen

Beim Einrichten einer Zulassungsliste können Sie festlegen, dass wichtige Unternehmens-Apps automatisch auf Android-Geräten installiert und die entsprechenden Apps bestimmten Organisationen zugewiesen werden. Nutzer haben dann die benötigten Apps, ohne sie manuell von Google Play herunterladen zu müssen.

Empfehlungen

Die erweiterte Mobilgeräteverwaltung bietet leistungsstarke Optionen zum Sichern des Zugriffs auf Unternehmensressourcen über private Mobilgeräte. Sie müssen sich für die Cloud Identity Premiumversion registrieren, um die erweiterte Mobilgeräteverwaltung nutzen zu können.

Wir empfehlen, Zulassungslisten mit genehmigten Unternehmens-Apps zu erstellen, Arbeitsprofile auf Android-Geräten zu erzwingen und verwaltete Apps auf iOS-Geräten zu verlangen.

Wenn Sie verwaltete Konfigurationen einrichten und genehmigte Apps automatisch auf Android-Geräte übertragen, kann das sowohl Administratoren als auch Nutzern viel Zeit sparen, solange diese Vorgehensweise von der jeweiligen App unterstützt wird. Die Vorgehensweise ist optional, wird aber empfohlen.

Drittanbieter

EMM-Drittanbieter

Damit Sie die erweiterte Mobilgeräteverwaltung mit Cloud Identity nutzen können, muss Google Ihr EEM-Anbieter (Enterprise Mobility Management) sein.

Externe Identitätsanbieter

Sie können die erweiterte Mobilgeräteverwaltung auch nutzen, wenn Sie einen externen Identitätsanbieter (Identity Provider, IdP) verwenden. In diesem Fall erfolgt die Nutzerauthentifizierung größtenteils über den externen Identitätsanbieter (die Geräteregistrierung ist die Ausnahme). Nutzer melden sich mit den Anmeldedaten des externen Identitätsanbieters an oder geben ein Passwort für ihre Cloud Identity-Konten ein.

So verwalten Sie den Zugriff auf geschäftliche Apps auf Mobilgeräten mithilfe der erweiterten Mobilgeräteverwaltung:

  • Erstellen Sie Cloud Identity-Konten für Ihre Nutzer.
  • Wenn Nutzer ihre Geräte zur Verwaltung registrieren, müssen sie ihre Cloud Identity-Anmeldedaten und nicht die Anmeldedaten des externen Identitätsanbieters eingeben.

Beispiel

Grafik: Unternehmen können die erweiterte Mobilgeräteverwaltung nutzen, um Unternehmensdaten auf privaten Geräten zu schützen.

Unternehmen A schätzt, dass mindestens 40 % seiner Mitarbeiter über Mobilgeräte auf Unternehmensressourcen zugreifen. Das Unternehmen entscheidet sich dagegen, dass Mitarbeiter firmeneigene (und kontrollierte) Geräte verwenden müssen. Letzteres wäre kostspielig und Mitarbeiter ziehen es vor, ihre vertrauten privaten Geräte sowohl für private als auch für berufliche Zwecke zu verwenden.

Da Unternehmen A eine nutzerfreundliche Arbeitsumgebung fördern möchte, beschließt es, seinen Mitarbeitern die Verwendung privater Mobilgeräte für berufliche Zwecke zu erlauben. Allerdings nicht zulasten der Unternehmenssicherheit. Daher plant Unternehmen A, mithilfe der erweiterten Mobilgeräteverwaltung eine Richtlinie für Mobilgeräte zu implementieren, die private und Unternehmensdaten schützt.

Im Folgenden sehen Sie, wie Unternehmen A seine mobile Umgebung einrichtet.

Für die Cloud Identity Premiumversion registrieren

Da die Features der erweiterten Mobilgeräteverwaltung in der Google-Mobilgeräteverwaltung nur in der Premiumversion von Cloud Identity verfügbar sind, registriert sich Unternehmen A für die Cloud Identity Premiumversion.

Nutzerkonten erstellen und Organisationen bestimmte Apps zuweisen

Wenn die IT-Abteilung Nutzer in Cloud Identity aufnimmt, werden die einzelnen Nutzer außerdem als Mitglied einer bestimmten Organisation festgelegt. Die IT-Abteilung weist bestimmten Organisationen die entsprechenden Apps zu, zum Beispiel:

  • Apps zur Benachrichtigung (Messaging), für Personaldienstleistungen und zur Zusammenarbeit für die allgemeine Organisation und damit für alle
  • Customer-Relationship-Management (CRM) für den Vertrieb
  • Kundensupport-App für die Supportabteilung

Grafik: Zuweisung geeigneter Apps zu bestimmten Organisationseinheiten

Erweiterte Mobilgeräteverwaltung einrichten

Die IT-Abteilung aktiviert die erweiterte Verwaltung. Dazu wird die Android-App-Verwaltung für Android-Nutzer aktiviert und ein iOS-Push-Zertifikat für iOS-Nutzer eingerichtet.

Das Einrichten von Gerätegenehmigungen ist optional, aber Unternehmen A entscheidet sich für ihre Implementierung. Nutzer haben Probleme mit Unternehmens-Apps gemeldet, wenn auf ihren Mobilgeräten keine aktuelle Betriebssystemversion ausgeführt wird. Die IT-Abteilung möchte dafür sorgen, dass alle Mobilgeräte auf dem neuesten Stand sind.

Mithilfe von Gerätegenehmigungen prüft die IT-Abteilung Merkmale von Geräten wie das Modell oder Betriebssystem und legt damit fest, welche Geräte ein Mitarbeiter verwenden kann. Merkmale können manuell, programmatisch mit einer API oder mithilfe von Regeln geprüft werden. Regeln bieten weniger detaillierte Steuerungsmöglichkeiten als die API, sind aber einfacher zu implementieren. Die IT-Abteilung verwendet Regeln, um nur Geräte zu genehmigen, auf denen aktuelle Versionen von Betriebssystemen ausgeführt werden. Nutzer müssen ihre Geräte konform halten, um auf Unternehmensressourcen zugreifen zu können.

Geschäftliche Apps erzwingen, die sich auf der Zulassungsliste befinden

Die IT-Abteilung erstellt Zulassungslisten mit Unternehmens-Apps, die von den Mitarbeitern von Unternehmen A verwendet werden sollen, z. B. Apps für Messaging, Zusammenarbeit und Konferenzen. Dazu werden Apps aus dem Google Play Store und dem App Store ausgewählt und einer Zulassungsliste hinzugefügt (einer für Android- und einer für iOS-Geräte).

Es reicht Unternehmen A allerdings nicht, seinen Nutzern Unternehmens-Apps nur zu empfehlen. Von Mitarbeitern soll verlangt werden, dass sie für den Zugriff auf Unternehmensressourcen ausschließlich genehmigte Unternehmens-Apps verwenden. Die IT-Abteilung beschließt daraufhin, Arbeitsprofile auf Android-Geräten zu erzwingen. Nutzer können Unternehmensdaten nur dann synchronisieren, wenn sie das Arbeitsprofil akzeptieren. Eine Deaktivierung ist nicht möglich. Wenn ein Android-Gerät ohne Arbeitsprofil bereits für die Verwaltung registriert ist, wird der jeweilige Nutzer aufgefordert, das Profil zu erstellen.

Die IT-Abteilung legt außerdem fest, dass verwaltete Apps auf iOS-Geräten erforderlich sind. Die erweiterte Mobilgeräteverwaltung erkennt, wenn sich eine nicht verwaltete Version einer App auf einem Mobilgerät befindet. Der Nutzer muss die Verwaltung für die App aktivieren, um auf Unternehmensressourcen zugreifen zu können.

Komplexe Apps für Android-Geräte vorkonfigurieren

Damit Supportanrufe aufgrund von Problemen mit der VPN-Konfiguration vermieden werden, beschießt Unternehmen A den Umstieg auf eine VPN-App, die die verwaltete Konfiguration auf Android-Geräten unterstützt. Die IT-Abteilung plant, mit ihren App-Anbietern zusammenzuarbeiten, sodass ihre anderen Apps Einstellungen enthalten, die Administratoren als verwaltete Konfigurationen speichern können.

Genehmigte Apps auf Android-Geräte übertragen

Zur Vereinfachung für Nutzer überträgt die IT-Abteilung die genehmigten Unternehmens-Apps für jede Organisation an die Nutzer in dieser Organisation. Das spart auch der IT-Abteilung Zeit, da potenzielle Supportanrufe von Nutzern beim Suchen und Herunterladen von Apps vermieden werden.

Nutzer benachrichtigen

Die IT-Abteilung informiert Mitarbeiter darüber, dass ihre Mobilgeräte verwaltet werden. Die Mitarbeiter werden aufgefordert, ihre Geräte mithilfe ihrer Cloud Identity-Anmeldedaten bei der erweiterten Verwaltung zu registrieren.

Nutzer mit einem Android-Gerät installieren zur Registrierung die Google Apps Device Policy-App und ein Arbeitsprofil. Nutzer mit iOS-Geräten installieren die Google Device Policy-App und ein Device Policy-Profil. Die App und das Profil prüfen, ob das Gerät den von der IT-Abteilung festgelegten Richtlinien entspricht. Nur registrierte Geräte können Unternehmensdaten synchronisieren.