20/10/2023
I dagens digitale landskab er mobile enheder som iPhones og Android-telefoner uundværlige værktøjer for medarbejdere. De giver fleksibilitet og produktivitet, men udgør samtidig en betydelig sikkerhedsrisiko, hvis de ikke administreres korrekt. En af de mest kritiske komponenter i styringen af mobil sikkerhed i et Exchange-miljø – uanset om det er on-premises Exchange eller Exchange Online (Microsoft 365) – er brugen af mobile enhedspostkassepolitikker. Disse politikker er designet til at definere, hvordan mobile enheder kan interagere med din organisations e-mailsystem og beskytte følsomme virksomhedsdata.
- Hvad er Mobile Enhedspostkassepolitikker?
- Standardpolitikken: Bekvemmelighed vs. Sikkerhed
- Skræddersyede Politikker: Løsningen på Komplekse Behov
- Konfiguration af Enhedsadgang i Exchange Admin Center (EAC)
- Ofte Stillede Spørgsmål (OSS) om Mobile Enhedspostkassepolitikker
- Hvad er en "ikke-provisionerbar enhed"?
- Hvorfor er det vigtigt at ændre standardpolitikken?
- Hvordan opretter jeg en ny mobil enhedspostkassepolitik?
- Kan jeg tildele forskellige politikker til forskellige brugere?
- Hvad sker der, hvis en enhed ikke overholder en politik?
- Påvirker disse politikker kun Exchange ActiveSync?
Hvad er Mobile Enhedspostkassepolitikker?
Mobile enhedspostkassepolitikker, tidligere kendt som ActiveSync-postkassepolitikker, er sæt af regler, der dikterer, hvordan mobile enheder som smartphones og tablets kan tilgå og bruge virksomhedens Exchange-data. Formålet er at etablere et ensartet sikkerhedsniveau og sikre, at kun godkendte enheder og brugere med de rette sikkerhedsforanstaltninger kan tilgå følsomme oplysninger. Disse politikker giver administratorer mulighed for at indstille en lang række parametre, der spænder fra adgangskodekrav til kryptering og tilladelse til at downloade vedhæftede filer.
Forestil dig et scenarie, hvor en medarbejder mister sin telefon. Uden de rette politikker kan virksomhedsdata på telefonen være fuldstændig ubeskyttet. Med en robust mobil enhedspostkassepolitik kan du potentielt fjernrydde enheden, kræve en stærk adgangskode, eller endda forhindre lagring af følsomme data på enheden i første omgang. Politikkerne anvendes på brugerniveau, hvilket betyder, at forskellige brugere eller grupper kan have forskellige adgangsregler baseret på deres roller og behov.
Administrering af disse politikker foregår primært via Exchange Admin Center (EAC) for grafisk brugerflade eller via Exchange Online PowerShell for dem, der foretrækker scriptbaseret automatisering og mere detaljeret kontrol. Muligheden for at skræddersy politikker er essentiel for at balancere brugervenlighed med nødvendig sikkerhed i en moderne arbejdsplads.
Standardpolitikken: Bekvemmelighed vs. Sikkerhed
Når du først opsætter Exchange eller Exchange Online, leveres systemet med en standard mobil enhedspostkassepolitik, ofte navngivet "Default". Denne standardpolitik er designet til at skabe mindst mulig friktion ved onboarding af nye mobile enhedsbrugere. Den mest bemærkelsesværdige indstilling i denne standardpolitik er AllowNonProvisionableDevices, som er sat til True. Dette betyder, at enheder, der muligvis ikke fuldt ud understøtter alle de politikindstillinger, du måtte ønske at implementere, stadig får lov til at oprette forbindelse til Exchange via Exchange ActiveSync.
På overfladen lyder dette måske som en fordel – alle kan nemt koble deres enheder til. Men der er betydelige sikkerhedsimplikationer forbundet med denne indstilling. Microsoft TechNet advarer specifikt om, at "Tilladelse af ikke-provisionerbare mobile enheder har sikkerhedsmæssige konsekvenser. For eksempel kan nogle ikke-provisionerbare enheder muligvis ikke implementere en organisations adgangskodekrav." Dette er en kritisk pointe. Hvis en enhed ikke kan håndhæve en kompleks adgangskode, en begrænsning for gentagne adgangskoder eller en automatisk lås efter inaktivitet, åbner det døren for uautoriseret adgang til virksomhedsdata, hvis enheden mistes eller stjæles.
Den anbefalede praksis er derfor klar og utvetydig: Det anbefales ikke at tillade ikke-provisionerbare mobile enheder i din standard mobile enhedspostkassepolitik. Dette er et fundamentalt skridt mod en mere robust mobil sikkerhedsstrategi. Selvom det kan virke som en lille ændring, har det en enorm indvirkning på den overordnede sikkerhedsstilling i din organisation.
Risici ved Standardpolitikken
- Svage Adgangskoder: Enheder, der ikke kan håndhæve komplekse adgangskoder, gør det nemt for ubudne gæster at gætte eller brute-force adgang til e-mails og data.
- Manglende Kryptering: Visse enheder understøtter muligvis ikke enhedskryptering, hvilket betyder, at data på en mistet enhed kan læses direkte.
- Manglende Fjernrydning: Nogle ikke-provisionerbare enheder kan have begrænset funktionalitet for fjernrydning, hvilket er kritisk i tilfælde af tyveri eller tab.
- Overholdelse: Organisationer med specifikke lovmæssige eller branchemæssige overholdelseskrav (f.eks. GDPR, HIPAA) kan ikke garantere overholdelse med en politik, der tillader usikre enheder.
Skræddersyede Politikker: Løsningen på Komplekse Behov
Hvis din organisation har specifikke enheder eller applikationer, som du ønsker at tillade som undtagelser fra en strengere standardregel, er løsningen at oprette en anden mobil enhedspostkassepolitik. Denne nye politik skal ikke være standardpolitikken og kan tildeles godkendte brugere på en sag-til-sag-basis. Dette giver dig den nødvendige fleksibilitet til at imødekomme specifikke forretningsbehov uden at kompromittere den generelle sikkerhed.
For eksempel kan du have en politik for ledere, der tillader adgang til flere typer data, men med strengere adgangskodekrav og krav om enhedskryptering. Samtidig kan en anden politik for medarbejdere med mindre følsomme data være lidt mindre restriktiv, men stadig mere sikker end standardpolitikken.
Eksempler på Konfigurerbare Indstillinger
Mobile enhedspostkassepolitikker tilbyder et væld af indstillinger, der giver granulær kontrol over mobil adgang. Her er et udvalg af de mest almindelige:
| Kategori | Indstilling | Beskrivelse |
|---|---|---|
| Adgangskodekrav | Minimum adgangskodelængde | Definerer minimum antal tegn for enhedens adgangskode. |
| Adgangskodens kompleksitet | Kræver brug af store/små bogstaver, tal, symboler. | |
| Antal adgangskodehistorikker | Forhindrer genbrug af tidligere adgangskoder. | |
| Inaktivitet før lås | Tid før enheden automatisk låses og kræver adgangskode. | |
| Enhedssikkerhed | Kryptering på enheden | Kræver, at enheden er krypteret. |
| Tillad fjernrydning | Giver administratorer mulighed for at slette alle data på en enhed fjernmæssigt. | |
| Adgangskontrol | Tillad ikke-provisionerbare enheder | Kontrollerer, om enheder, der ikke kan håndhæve alle politikker, må oprette forbindelse. (Anbefales at sætte til False) |
| Tillad Bluetooth | Kontrollerer brugen af Bluetooth-forbindelser. | |
| Tillad kamera | Kontrollerer adgangen til enhedens kamera. | |
| Indholdsadgang | Tillad vedhæftede filer | Styrer, om brugere kan downloade vedhæftede filer. |
| Tillad HTML-e-mail | Kontrollerer, om e-mails kan vises i HTML-format. |
Konfiguration af Enhedsadgang i Exchange Admin Center (EAC)
Lad os tage et konkret eksempel. En virksomhed ønsker, at medarbejdere kan se og downloade vedhæftede filer i Outlook på computeren, men nægter visning og download af vedhæftede filer på mobile enheder – kun selve e-mailteksten skal være tilgængelig. Dette er et klassisk scenarie, hvor mobile enhedspostkassepolitikker er den perfekte løsning.
For at opnå dette skal du oprette eller ændre en eksisterende mobil enhedspostkassepolitik i Exchange Admin Center (EAC) eller via PowerShell. I EAC navigerer du typisk til "mobile" sektionen og derefter "mobile device mailbox policies". Herfra kan du:
- Opret en ny politik: Det er ofte bedst at oprette en ny politik, hvis du har specifikke krav, i stedet for at modificere standardpolitikken. Navngiv den f.eks. "MobilPolitik_IngenVedhæftninger".
- Konfigurer indstillinger for vedhæftede filer: Inden for den nye politik skal du finde indstillingen relateret til "Allow attachments" eller "Download attachments" og sætte den til
Falseeller deaktivere den. Du kan også overveje andre relaterede indstillinger som "Allow HTML email" for at sikre, at kun ren tekst vises, hvis det er nødvendigt for din sikkerhedspolitik. - Anvend politikken på brugere: Når politikken er konfigureret, skal den tildeles de relevante brugere eller sikkerhedsgrupper. Dette gøres typisk under brugerens postkasseindstillinger, hvor du kan vælge den specifikke mobile enhedspostkassepolitik, der skal gælde.
Det er vigtigt at bemærke, at denne politik kun påvirker mobilenheder, der synkroniserer via Exchange ActiveSync. Desktop Outlook-klienter på computere fungerer anderledes og påvirkes ikke af disse specifikke mobile enhedspostkassepolitikker, hvilket opfylder virksomhedens krav om differentieret adgang.
Ofte Stillede Spørgsmål (OSS) om Mobile Enhedspostkassepolitikker
Hvad er en "ikke-provisionerbar enhed"?
En "ikke-provisionerbar enhed" er en mobil enhed, der ikke er i stand til at håndhæve alle de sikkerhedsindstillinger, der er defineret i din mobile enhedspostkassepolitik. Dette kan skyldes enhedens operativsystemversion, hardwarebegrænsninger eller manglende understøttelse af specifikke ActiveSync-funktioner. Hvis din politik f.eks. kræver en 10-tegns adgangskode med symboler og tal, men en ældre enhed kun understøtter en 4-cifret PIN-kode, er den "ikke-provisionerbar" i forhold til den pågældende politik.
Hvorfor er det vigtigt at ændre standardpolitikken?
Standardpolitikken er konfigureret til at tillade "ikke-provisionerbare enheder" (AllowNonProvisionableDevices: True). Dette skaber en bekvem, men potentielt usikker adgang til virksomhedsdata. Ved at ændre denne indstilling til False i din standardpolitik tvinger du alle tilsluttede enheder til at overholde dine fulde sikkerhedskrav, såsom stærke adgangskoder og enhedskryptering. Det er et kritisk skridt for at minimere sikkerhedsrisici og beskytte følsomme oplysninger.
Hvordan opretter jeg en ny mobil enhedspostkassepolitik?
Du kan oprette en ny politik via Exchange Admin Center (EAC) eller Exchange Online PowerShell. I EAC navigerer du til "mobil" og derefter "mobile device mailbox policies". Her kan du klikke på "+" for at oprette en ny politik, give den et navn og konfigurere de ønskede indstillinger for adgangskoder, kryptering, vedhæftede filer og mere. I PowerShell bruges cmdlet'en New-MobileDeviceMailboxPolicy.
Kan jeg tildele forskellige politikker til forskellige brugere?
Ja, absolut! Dette er en af de store fordele ved mobile enhedspostkassepolitikker. Du kan oprette flere politikker med forskellige sikkerhedsniveauer og tildele dem til individuelle brugere eller sikkerhedsgrupper baseret på deres roller og adgangsbehov. Dette giver dig mulighed for at implementere en differentieret sikkerhedsstrategi, hvor brugere med adgang til mere følsomme data kan underlægges strengere regler.
Hvad sker der, hvis en enhed ikke overholder en politik?
Hvis en enhed forsøger at oprette forbindelse, men ikke overholder den tildelte politik (f.eks. ved at have en for svag adgangskode, når en stærk adgangskode kræves), vil Exchange typisk blokere enhedens adgang. Brugeren vil ofte modtage en meddelelse om, hvorfor adgangen er blokeret, og hvilke trin der skal tages for at overholde politikken (f.eks. indstille en stærkere adgangskode). Dette er en mekanisme til at håndhæve sikkerhedsstandarder.
Påvirker disse politikker kun Exchange ActiveSync?
Primært ja. Mobile enhedspostkassepolitikker er designet til at styre enheder, der forbinder via Exchange ActiveSync, som er den protokol, de fleste smartphones bruger til at synkronisere e-mail, kalender og kontakter med Exchange. Andre adgangsmetoder, såsom Outlook på en desktop-computer eller webbaseret Outlook Web App (OWA), styres af separate politikker og indstillinger.
At implementere en gennemtænkt strategi for mobile enhedspostkassepolitikker er ikke blot et spørgsmål om IT-sikkerhed; det er en afgørende del af en robust virksomhedsstrategi. Ved at tage kontrol over, hvordan mobile enheder interagerer med dine virksomhedsdata, beskytter du ikke kun fortrolige oplysninger, men sikrer også overholdelse af potentielle lovkrav og opretholder din organisations integritet. Start med at gennemgå din standardpolitik, og overvej derefter, hvordan skræddersyede politikker kan styrke din mobile sikkerhed yderligere.
Hvis du vil læse andre artikler, der ligner Sikker Mobiladgang: Forstå E-mailpolitikker, kan du besøge kategorien Teknologi.