Video: Microsoft Graph Workflows to Automate Azure AD User and Group Management 2024
Forstå prosessene for innledende levering og kontinuerlig styring av en bedriftens mobilenhet er viktig på grunn av sikkerhetspolitiske implikasjoner. Prosessene beskrevet her er de vanligste prosessene. I noen tilfeller har de blitt forenklet til bare de elementene som er direkte relevante for å forstå hvordan enheten går fra en ukjent enhet til en fullt utstyrt og håndterbar enhet.
Når du har bestemt deg for å administrere en enhet med et MDM-program (Mobile Device Management), følger du disse trinnene:
-
Koble enheten til administrasjonskonsollen eller serveren slik at den kan leveres.
Dette betyr at nettadressen til administrasjonsserveren må oppgis på enheten. Du kan bruke en av disse to metodene til å gjøre det:
-
Fortell brukeren URL-adressen eller send en e-post med en klikkbar URL til brukeren.
-
Send URL-adressen via SMS fra administrasjonsserveren til enheten.
Noen løsninger krever i utgangspunktet at brukeren laster ned et klientprogram fra smarttelefonprogrammet. Med disse programmene er strømmen lik, men i stedet for å skrive inn nettadressen i mobiltelefonbrowseren, går brukeren inn i administrasjonsklientprogrammet.
-
-
Få brukeren til å klikke på nettadressen eller skriv inn den i det aktuelle programmet og autentiser på den innloggingssiden, og verifiser brukerens identitet.
Etter fullføring av godkjenning fullfører administrasjonskonsollen typisk en registreringsprosess. På dette tidspunktet kan det verifisere hvilken policy og konfigurasjon som skal brukes på enheten basert på brukeren, deres rolle og type enhet registreres.
Administrasjonskonsollen sender deretter den riktige konfigurasjonsinformasjonen til mobilenheten. Ofte er dette i form av en konfigurasjonsfil som enheten kan tolke.
-
La brukeren godta og installere den nye konfigurasjonsfilen når du blir bedt om det.
Dette trinnet involverer sluttbrukerinngang, og det er viktig fra et sikkerhetsperspektiv. Du vil absolutt ikke at brukerne skal godta oppdaterte konfigurasjonsfiler fra rogue management-servere. Pass på at du trener sluttbrukerne på farene ved å godta ukjente konfigurasjonsfiler.
Når brukeren har akseptert den nye konfigurasjonsfilen, installerer enheten filen og oppdateres med sine nye innstillinger og retningslinjer.
Prosessen som er beskrevet her, er den typiske over-the-air-prosesseringsprosessen som brukes av styringsløsninger for mobilenhet.Det finnes andre alternativer for distribusjon av konfigurasjonsfilen til mobilenheten, inkludert
-
E-post: Konfigurasjonsfilen kan sendes til mottakeren som vedlegg, som deretter installeres på endepunktsenheten. Hvis du har håndhevet en policy som begrenser nedlasting av vedlegg fra e-post, vil dette faktisk være i konflikt med denne policyen. Sørg for at du ikke er så restriktiv at du forbyer brukerne å installere sikkerhetsprogramvaren du vil se på enhetene sine!
-
Nettbasert levering: Filen er plassert på en webserver som brukeren blader til for å installere konfigurasjonen.
-
Direkte tilkobling til en PC: Dette alternativet bruker et konfigurasjonsverktøy, for eksempel iPhone Configuration Utility. I dette tilfellet kobler brukeren fysisk enheten til en stasjonær eller bærbar PC via USB, og config-filen er installert på enheten når enheten synkroniseres med programvaren på PCen.
Når enheten har gått gjennom den første provisjonsprosessen, er den gjenstand for kontinuerlig administrasjon av MDM-serveren. Når du foretar oppdateringer og endringer i konfigurasjonen, godtar enheten disse oppdateringene med minimal ekstra sluttbrukers interaksjon.
