Outlook Mobil og Adgangskontrol

Navigering i Adgangskontrol til Office 365 på Personlige Enheder

I takt med at flere medarbejdere bruger deres personlige enheder til arbejdsrelaterede opgaver, opstår der et stigende behov for at sikre virksomhedens data. Mange organisationer tillader brug af visse applikationer, som f.eks. Outlook Mobile, på disse enheder, mens de ønsker at begrænse adgangen til webbaserede tjenester som OneDrive og Office 365 webapps. Dette rejser et centralt spørgsmål: Hvordan kan man effektivt administrere og begrænse adgangen på tværs af forskellige platforme og applikationer? Er oprettelse af en Conditional Access-politik i Microsoft Intune den bedste løsning?

Lad os dykke ned i de udfordringer, en virksomhed stod overfor, hvor en bruger stadig kunne tilgå Office 365 webapps fra en iPhone, selv efter implementering af en Conditional Access-politik. Hvad gik galt, og hvad kan man gøre for at rette op på det?

Forståelse af Conditional Access og Intune

Microsoft Intune er en cloud-baseret tjeneste til administration af mobile enheder og applikationer. Den giver organisationer mulighed for at styre, hvordan deres medarbejdere tilgår virksomhedens data og applikationer. En af de mest kraftfulde funktioner i Intune, i samarbejde med Azure Active Directory (Azure AD), er Conditional Access. Conditional Access giver IT-administratorer mulighed for at definere politikker, der styrer, hvem der kan tilgå hvilke ressourcer, og under hvilke betingelser.

Disse politikker kan baseres på en række faktorer, herunder:

• Brugeridentitet: Hvilken bruger eller gruppe af brugere politikken gælder for.
• Applikation: Hvilken applikation eller ressource der tilgås (f.eks. Office 365, SharePoint Online).
• Enhedsplatform: Hvilket operativsystem enheden kører på (f.eks. iOS, Android, Windows).
• Enhedstilstand: Om enheden er administreret af Intune, eller om den er personlig/uadministreret.
• Placering: Hvor brugeren befinder sig geografisk.
• Realtid og risikoscore: Baseret på brugerens eller sessionens risikoprofil.

Formålet med en Conditional Access-politik er at sikre, at adgangen til følsomme data kun sker fra godkendte og sikre enheder og under kontrollerede forhold.

Analyse af den Oprindelige Politik

Lad os se nærmere på den politik, der blev oprettet:

Politikken var rettet mod 'User1' og havde til formål at kontrollere adgangen til Office 365-apps fra iOS-enheder, der var markeret som 'Personlig'. Målet var at blokere webadgang, mens Outlook Mobile skulle tillades.

Hvorfor Politiken Måske Ikke Virkede Som Forventet

Der er flere grunde til, at denne politik muligvis ikke har opnået det ønskede resultat:

1. Granularitet af Målressourcen: Selvom politikken inkluderede Office 365, Exchange Online og SharePoint Online, er det vigtigt at forstå, hvordan disse ressourcer tilgås. Webapps som Outlook Web App (OWA) og OneDrive-websitet er typisk en del af den bredere Office 365-pakke. Hvis politikken ikke specifikt blokerede adgangen til Office 365-portal eller Microsoft Entra ID (tidligere Azure AD) login-flowet, kunne brugeren potentielt stadig logge ind via browseren.
2. Applikationsspecifik Kontrol: Conditional Access politikker kan også målrettes mod specifikke klientapplikationer. Hvis politikken ikke eksplicit udelukkede Outlook Mobile appen fra at blive påvirket af blokeringen, eller hvis den ikke specifikt tillod den under bestemte betingelser, kunne den utilsigtet have påvirket alle iOS-apps. Omvendt, hvis formålet var at blokere webbrowsere, skulle dette eksplicit adresseres.
3. Enhedsejer / Enhedsregistrering: Intune bruger information om enhedens registreringsstatus. En 'Personlig' enhed er defineret som en enhed, der ikke er registreret i Intune. Politikken anvendte betingelsen 'Enhedsejerskab = Personlig'. Hvis User1's iPhone ikke var korrekt markeret som 'Personlig' i Intune (eller hvis der var en fejl i synkroniseringen), ville politikken ikke blive anvendt korrekt. Det er også muligt, at den specifikke iOS-version eller den måde, browseren interagerede med Azure AD, ikke matchede politikens betingelser præcist.
4. Brug af 'Client Apps' Betingelsen: For at differentiere mellem mobile apps og webbrowsere er det ofte nødvendigt at bruge 'Client apps' betingelsen i Conditional Access. Her kan man specifikt vælge 'Mobile apps and desktop clients' eller 'Browser'. Ved at målrette politikken mod 'Browser' og anvende en 'Block' kontrol, mens man eksplicit tillader 'Mobile apps and desktop clients' (eller specifikt Outlook Mobile), kunne man opnå den ønskede differentiering.

Den Korrekte Tilgang: Specifikke Politikker for Web vs. Mobil

For at opnå det ønskede scenarie – tillade Outlook Mobile på en enkelt, uadministreret enhed, men blokere webbrowsere – skal man oprette separate, mere granulære Conditional Access-politikker.

Politik 1: Tillad Outlook Mobile på Personlige iOS-enheder

Denne politik skal sikre, at Outlook Mobile kan bruges:

• Brugere: Alle brugere (eller den relevante gruppe).
• Målressourcer: Office 365 Exchange Online, Office 365 SharePoint Online (eller specifikke apps som Outlook, OneDrive).
• Betingelser:
• Enhedsplatform: iOS
• Klientapplikationer: Vælg 'Mobile apps and desktop clients'
• Enhedstilstand: Vælg 'Hybrid Azure AD joined' og 'Azure AD joined' (hvis enhederne skal være administrerede) ELLER 'Unmanaged' (hvis de ikke behøver at være administrerede). Vælg også 'Device ownership' = 'Personal' hvis det er relevant for dit setup.
• Adgangskontrol: Tillad adgang. (Eventuelt kræv Multi-Factor Authentication (MFA) for øget sikkerhed).

Politik 2: Bloker Webbrowseradgang til Office 365 på Personlige iOS-enheder

Denne politik skal forhindre brug af webbrowsere:

• Brugere: Alle brugere (eller den relevante gruppe).
• Målressourcer: Office 365 (denne dækker de fleste webbaserede tjenester).
• Betingelser:
• Enhedsplatform: iOS
• Klientapplikationer: Vælg 'Browser'
• Enhedstilstand: Vælg 'Unmanaged' og 'Device ownership' = 'Personal'.
• Adgangskontrol: Bloker adgang.

Ved at anvende disse to politikker sikrer man, at kun den mobile applikation (Outlook Mobile) får adgang, mens webbrowser-adgangen blokeres for personlige iOS-enheder.

Vigtige Overvejelser og Fejlfinding

Når man arbejder med Conditional Access, er der flere ting, man skal være opmærksom på:

• Testmiljø: Implementer altid nye politikker i et testmiljø eller på en lille gruppe brugere, før de rulles ud bredt. Brug Azure AD's 'What If'-værktøj til at simulere effekten af politikkerne.
• Navngivning af Politikker: Brug en klar og beskrivende navngivning for dine politikker, så det er nemt at identificere deres formål (f.eks. "Block O365 Web Access - Personal iOS", "Allow O365 Mobile Access - Personal iOS").
• Synkroniseringstid: Ændringer i politikker kan tage tid at synkronisere på tværs af alle Microsoft 365-tjenester. Giv det lidt tid efter oprettelse eller ændring af en politik.
• Brugerrapportering: Overvåg brugerrapporter i Azure AD og Intune for at se, hvilke politikker der anvendes, og om der opstår fejl. Logfiler kan give værdifuld indsigt.
• Enhedsadministration: Selvom politikken tillader brug af uadministrerede enheder, kan der være scenarier, hvor det er nødvendigt at kræve, at enheden er Intune-kompatibel eller Hybrid Azure AD joined for at få adgang. Dette giver et højere sikkerhedsniveau.
• Applikationsspecifikke begrænsninger: For visse applikationer kan man også anvende politikker, der tillader appen, men kræver app-beskyttelsespolitikker (App Protection Policies) i Intune. Disse politikker kan styre, hvordan data håndteres inden i selve appen, f.eks. forhindre kopiering/indsættelse eller kræve en PIN-kode for at åbne appen. Dette er en stærk anbefaling for uadministrerede enheder.

Ofte Stillede Spørgsmål (FAQ)

Konklusion

At styre adgangen til Office 365-ressourcer på personlige enheder kræver en nuanceret tilgang. Mens den oprindelige Conditional Access-politik var et godt første skridt, var den sandsynligvis ikke specifik nok til at differentiere mellem webbrowsere og mobile applikationer. Ved at implementere separate politikker, der specifikt målretter mod 'Browser' og 'Mobile apps and desktop clients' klientapplikationer, kan organisationer opnå den ønskede balance mellem brugervenlighed og datasikkerhed. Husk altid at teste grundigt og overvåge politikkerne for at sikre, at de fungerer som forventet og beskytter virksomhedens værdifulde data.

Hvis du vil læse andre artikler, der ligner Outlook Mobil og Adgangskontrol, kan du besøge kategorien Mobil.