Microsoft Intune یک سرویس مبتنی بر Cloud در فضای مدیریت پویای سازمانی (Enterprise Mobility Management) یا به اختصار EMM است که کمک میکند تا ضمن افزایش اثربخشی نیروهای کار، از دادههای سازمان محافظت شود. Microsoft Intune همانند دیگر سرویسهای Azure، در پورتال Azure در دسترس است. با این سرویس میتوان:
- دستگاههای قابل حمل و رایانههایی را که نیروی کاربر از آن برای دسترسی به دادههای شرکت استفاده میکند، کنترل کرد.
- برنامههای کاربردی دستگاههای قابل حمل مورد استفادة کاربر را کنترل کرد.
- راههای دسترسی کاربر به اطلاعات شرکت و اشتراکگذاری آن را کنترل و به این ترتیب از این اطلاعات محافظت کرد.
- اطمینان حاصل نمود که دستگاهها و برنامهها طبق سیاستهای امنیتی شرکت باشند.
نحوهی کار Intune
Intune بخشی از مجموعه Enterprise Mobility + Security یا به اختصار EMS در Microsoft است که دستگاههای قابلحمل و برنامههای کاربردی را کنترل میکند. این سرویس با دیگر بخشهای EMS مانند Azure Active Directory یا به اختصار Azure AD برای شناسایی و کنترل دسترسی و Azure Information Protection برای محافظت از اطلاعات ترکیب میشود. اگر از این سرویس با Office 365 استفاده شود، نیروی کار قادر به فعالیت در تمام دستگاههای خود خواهد بود و در عین حال از اطلاعات سازمان محافظت خواهد شد.
با توجه به نوع مشکل بوجود آمده در کسبوکار، روش استفاده از قابلیتهای کنترل دستگاه و برنامه کاربردی در Intune،متفاوت خواهد بود. برای مثال:
- در صورتی که یک Pool از دستگاههای تک منظوره مشترک بین نیروی کار شیفتی در یک فروشگاه خرده فروشی ایجاد شود، میتوان از قابلیت کنترل دستگاه Intune به گونهای موثر استفاده کرد.
- در صورتی که اجازه داده شود نیروی کار از دستگاههای شخصی خود برای دسترسی به دادههای سازمان استفاده کنند (BYOD)، از قابلیت کنترل برنامه کاربردی و محافظت از اطلاعات استفاده میشود.
- در صورتی که تلفنهای سازمان میان نیروهای کار که با اطلاعات و داده سروکار دارند، رسما توزیع شود، از همة این تکنولوژیها استفاده میشود.
قابلیت مدیریت دستگاه در Intune
مدیریت دستگاه Intune با استفاده از پروتکلها یا APIهایی کار میکند که در سیستمهای عامل دستگاههای قابلحمل در دسترساند و وظایفی چون موارد زیر بر عهدة آنهاست:
- فهرستی از دستگاههای قابلحمل را در کنسول مدیریت دستگاهها ایجاد میکند تا یک Inventory از دستگاههای قابلحملی که به سرویسهای سازمان دسترسی پیدا میکنند، در دپارتمان IT شرکت موجود باشند.
- دستگاهها را پیکربندی میکند تا مطمئن شود آنها مطابق استانداردهای امنیت و سلامت شرکت هستند.
- برای دسترسی به سرویسهای سازمان، گواهی و پروفایل Wi-Fi/VPN را فراهم میکند.
- تطابق دستگاه با استانداردهای سازمان را ارزیابی و گزارش میکند.
- دادههای سازمان را از دستگاههای مدیریتشده حذف میکند.
بعضا افراد این طور میاندیشند که مدیریت دسترسی به دادههای سازمان یکی از قابلیتهای مدیریت دستگاه است، ولی بدلیل اینکه این قابلیت را سیستمهای عامل دستگاههای قابلحمل فراهم نمیکنند، چنین تفکری درست نمیباشد. در واقع مدیریت دسترسی از جانب Identity Provider تامین میشود. Identity Provider مورد استفاده جهت مدیریت دسترسی و تشخیص هویت مایکروسافت،Azure AD می باشد.
با تلفیق Intune و Azure AD مجموعة گستردهای از سناریوهای کنترل دسترسی فعال میگردد. برای مثال، میتوان مشخص کرد که دستگاههای قابلحمل پیش از دسترسی به سرویس سازمانی نظیر Exchange ، با استانداردهای سازمانی تعریفشدة سازمان تطابق داشته باشند. همچنین، میتوان سرویس سازمانی را به مجموعة مشخصی از برنامههای کاربردی دستگاههای قابلحمل محدود کرد. مثلا میتوان Exchange Online را به گونهای محدود کرد که صرفا از طریق Outlook یا Outlook Mobile قابل دسترسی باشد.
قابلیت مدیریت برنامه کاربردی در Intune
منظور از مدیریت برنامه کاربردی، موارد زیر است:
- تخصیص برنامههای کاربردی به دستگاههای قابلحمل کارمندان
- پیکربندی برنامههای کاربردی با تنظیمات استاندارد مورد استفاده در زمان اجرای آنها
- کنترل چگونگی استفاده از دادههای سازمانی و اشتراکگذاری آن در برنامههای کاربردی دستگاههای قابلحمل
- حذف دادههای سازمانی از برنامههای کاربردی قابلحمل
- بهروزرسانی برنامههای کاربردی
- گزارشدهی از برنامههای کاربردی موجود در دستگاههای قابلحمل
- نظارت بر میزان مصرف برنامههای کاربردی در دستگاههای قابلحمل
همان طور که دیده شد، منظور از عبارت کنترل برنامه کاربردی در دستگاههای قابلحمل(Mobile App Management) یا به اختصار MAM، یکی از موارد بالا یا ترکیبی از چند مورد است. به طور خاص، افراد معمولا مفهوم «پیکربندی برنامه کاربردی» و مفهوم «ایمنسازی دادههای سازمانی در برنامههای کاربردی دستگاههای قابلحمل » را با هم ترکیب میکنند، چرا که برخی از برنامههای کاربردی در دستگاههای قابلحمل تنظیماتی دارند که میتوان از طریق آنها قابلیتهای امنیت داده را پیکربندی کرد.
عبارت پیکربندی برنامه کاربردی و Intune به طور خاص به تکنولوژیهایی نظیر پیکربندی برنامه کاربردی مدیریتشده در iOS اشاره دارد.
با بهکارگیری Intune در دیگر سرویسهای EMS میتوان امنیت برنامههای کاربردی سازمان را نسبت به امنیتی که سیستمهای عامل دستگاههای قابلحمل و خود برنامههای کاربردی موبایل از طریق پیکربندی فراهم میکنند، بالاتر برد. برنامهی کاربردی که با EMS مدیریت میشود، به مجموعة گستردهتری از قابلیتهای محافظت از دادهها و برنامههای کاربردی دستگاههای قابلحمل دسترسی دارد. این قابلیتها شامل موارد زیراند:
- قابلیت (Single Sign On(SSO
- احراز هویت چندعاملی(MFA)
- دسترسی مشروط برنامههای کاربردی. به عنوان مثال، اگر برنامه کاربردی دستگاه قابلحمل شامل دادههای سازمان باشد، به آن اجازة دسترسی میدهد.
- جداسازی دادههای سازمان از دادههای شخصی درون یک برنامه کاربردی یکسان
- سیاست محافظت از برنامه کاربردی (شامل PIN، رمزگذاری، Save-As، Clipboard و …)
- پاکسازی دادههای سازمان از برنامه کاربردی دستگاه قابلحمل
- پشتیبانی از مدیریت حقوق دسترسی
امنیت برنامه کاربردی Intune
ایجاد امنیت برنامه کاربردی بخشی از مدیرت آن است، و در Intune، منظور از امنیت برنامه کاربردی دستگاه قابلحمل موارد زیر است:
- جلوگیری از دسترسی واحد IT سازمان به اطلاعات شخصی
- محدود کردن اقدامات کاربران در ارتباط با اطلاعات سازمان؛ مانند Copy، Cut/Paste، Save و View
- حذف دادههای سازمانی از برنامههای کاربردی دستگاه قابلحمل ، که به آن پاکسازی انتخابی یا پاکسازی سازمانی نیز گفته میشود
یکی از راههای ایجاد امنیت Intune از طریق قابلیت سیاست محافظت از برنامه کاربردی آن است. این قابلیت از Azure AD Identity برای جداسازی دادههای سازمان از دادههای شخصی استفاده میکند. از دادههایی که از طریق اطلاعات اعتباری سازمان قابل دسترسی هستند، محافظت سازمانی بیشتری به عمل خواهد آمد.
برای مثال، زمانی که کاربر از طریق اطلاعات کاربری سازمانی وارد دستگاه خود میشود، IDسازمانی به او این توانایی را میدهد که به دادههایی دسترسی پیدا کند که با IDشخصی اجازة دسترسی به آنها را ندارند. همزمان با استفادة کاربر از این دادههای سازمانی، سیاستهای حفاظت از برنامه کاربردی، چگونگی ذخیرهسازی و اشتراکگذاری این دادهها را کنترل میکنند. زمانی که کاربر با ID شخصی وارد دستگاه میشود، دیگر این نوع حفاظتها شامل حال او نخواهد شد. به این ترتیب، همانطور که کاربر حریم خصوصی خود را حفظ و از دادههای شخصی خود محافظت میکند، دپارتمان IT نیز دادههای سازمانی را کنترل میکند.
