APK Blog - Virtualization, Services, Datacenter, Infrastructure

Microsoft Intune چیست؟

Microsoft Intune یک سرویس مبتنی بر Cloud در فضای مدیریت پویای سازمانی (Enterprise Mobility Management) یا به اختصار EMM است که کمک می‌کند تا ضمن افزایش اثربخشی نیرو‌های کار، از داده‌های سازمان محافظت شود. Microsoft Intune همانند دیگر سرویس‌های Azure، در پورتال Azure در دسترس است. با این سرویس می‎‌توان:

  • دستگاه‌های قابل حمل ‌و رایانه‌هایی را که نیروی کاربر از آن برای دسترسی به داده‌های شرکت استفاده می‌کند، کنترل کرد.
  • برنامه‌های کاربردی دستگاه‌های قابل حمل مورد استفادة کاربر را کنترل کرد.
  • راه‌های دسترسی کاربر به اطلاعات شرکت و اشتراک‌گذاری آن را کنترل و به این ترتیب از این اطلاعات محافظت کرد.
  • اطمینان حاصل نمود که دستگاه‌ها و برنامه‌ها طبق سیاست‌های امنیتی شرکت باشند.

نحوهی کار Intune

Intune بخشی از مجموعه Enterprise Mobility + Security یا به اختصار EMS در Microsoft است که دستگاه‌های قابل‌حمل و برنامه‌های کاربردی را کنترل می‌کند. این سرویس با دیگر بخش‌های EMS مانند Azure Active Directory یا به اختصار Azure AD برای شناسایی و کنترل دسترسی و Azure Information Protection برای محافظت از اطلاعات ترکیب می‌شود. اگر از این سرویس با Office 365 استفاده شود، نیروی کار قادر به فعالیت در تمام دستگاه‌های خود خواهد بود و در عین حال از اطلاعات سازمان محافظت خواهد شد.

با توجه به نوع مشکل بوجود آمده در کسب‌وکار، روش استفاده از قابلیت‌های کنترل دستگاه و برنامه کاربردی در Intune،متفاوت خواهد بود. برای مثال:

شرکت APK (امن پایه ریزان کارن) دارای مجرب ترین تیم طراحی شبکه و نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور

  • در صورتی که یک Pool از دستگاه‌های تک منظوره مشترک بین نیروی کار شیفتی در یک فروشگاه خرده فروشی ایجاد شود،  میتوان از قابلیت کنترل دستگاه Intune به گونه‌ای موثر استفاده کرد.
  • در صورتی که اجازه داده شود نیروی کار از دستگاه‌‎های شخصی خود برای دسترسی به داده‌های سازمان استفاده کنند (BYOD)، از قابلیت کنترل  برنامه کاربردی و محافظت از اطلاعات استفاده می‌شود.
  • در صورتی که تلفن‌های سازمان میان نیروهای کار که با اطلاعات و داده سروکار دارند، رسما توزیع شود، از همة این تکنولوژی‌ها استفاده می‌شود.

قابلیت مدیریت دستگاه در Intune

مدیریت دستگاه Intune با استفاده از پروتکل‌ها یا APIهایی کار می‌کند که در سیستم‌های عامل دستگاه‌های قابل‌حمل در دسترس‌اند و وظایفی چون موارد زیر بر عهدة آن‌هاست:

  • فهرستی از  دستگاه‌های قابل‌حمل را در کنسول مدیریت دستگاه‌ها ایجاد می‌کند تا یک Inventory از دستگاه‌های قابل‌حملی که به سرویس‌های سازمان دسترسی پیدا می‌کنند، در دپارتمان IT شرکت موجود باشند.
  • دستگاه‌ها را پیکربندی می‌کند تا مطمئن شود آن‌ها مطابق استانداردهای امنیت و سلامت شرکت هستند.
  • برای دسترسی به سرویس‌های سازمان، گواهی و پروفایل Wi-Fi/VPN را فراهم می‌کند.
  • تطابق دستگاه با استانداردهای سازمان را ارزیابی و گزارش می‌کند.
  • داده‌های سازمان را از دستگاه‌های مدیریت‌شده حذف می‌کند.

بعضا افراد این طور می‌اندیشند که مدیریت دسترسی به داده‌های سازمان یکی از قابلیت‌های مدیریت دستگاه است، ولی بدلیل اینکه این قابلیت را سیستم‌های عامل دستگاه‌های قابل‌حمل فراهم نمی‌کنند، چنین تفکری درست نمی‌باشد. در واقع مدیریت دسترسی از جانب Identity Provider تامین می‌شود. Identity Provider مورد استفاده جهت مدیریت دسترسی و تشخیص هویت مایکروسافت،Azure AD می باشد.

با تلفیق Intune و Azure AD مجموعة گسترده‌ای از سناریوهای کنترل دسترسی فعال می‌گردد. برای مثال، می‌توان مشخص کرد که دستگاه‌های قابل‌حمل  پیش از دسترسی به سرویس سازمانی نظیر Exchange ، با استاندارد‌های سازمانی تعریف‌شدة سازمان تطابق داشته باشند. همچنین، می‌توان سرویس سازمانی را به مجموعة مشخصی از برنامه‌های کاربردی دستگاه‌های قابل‌حمل  محدود کرد. مثلا می‌توان Exchange Online را به گونه‌ای محدود کرد که صرفا از طریق Outlook یا Outlook Mobile قابل دسترسی باشد.

قابلیت مدیریت برنامه کاربردی در Intune

منظور از مدیریت برنامه کاربردی، موارد زیر است:

  • تخصیص برنامه‌های کاربردی به دستگاه‌های قابل‌حمل کارمندان
  • پیکربندی برنامه‌های کاربردی با تنظیمات استاندارد مورد استفاده در زمان اجرای آن‌ها
  • کنترل چگونگی استفاده از داده‌های سازمانی و اشتراک‌گذاری آن در برنامه‌های کاربردی دستگاه‌های قابل‌حمل
  • حذف داده‌های سازمانی از برنامه‌های کاربردی قابل‌حمل
  • به‌روزرسانی برنامه‌های کاربردی
  • گزارش‌دهی از برنامه‌های کاربردی موجود در دستگاه‌های قابل‌حمل
  • نظارت بر میزان مصرف برنامه‌های کاربردی در دستگاه‌های قابل‌حمل

همان طور که دیده شد، منظور از عبارت کنترل برنامه کاربردی در دستگاه‌های قابل‌حمل(Mobile App Management) یا به اختصار MAM، یکی از موارد بالا یا ترکیبی از چند مورد است. به طور خاص، افراد معمولا مفهوم «پیکربندی برنامه کاربردی» و مفهوم «ایمن‌سازی داده‌های سازمانی در برنامه‌‎های کاربردی دستگاه‌های قابل‌حمل » را با هم ترکیب می‌کنند، چرا که برخی از برنامه‌های کاربردی در دستگاه‌های قابل‌حمل تنظیماتی دارند که می‌توان از طریق آن‌ها قابلیت‌های امنیت داده را پیکربندی کرد.

عبارت پیکربندی برنامه کاربردی و Intune به طور خاص به تکنولوژی‌هایی نظیر پیکربندی برنامه کاربردی مدیریت‌شده در iOS اشاره دارد.

با به‌کارگیری Intune در دیگر سرویس‌های EMS می‌توان امنیت برنامه‌های کاربردی سازمان را نسبت به امنیتی که سیستم‌های عامل دستگاه‌های قابل‌حمل و خود برنامه‌های کاربردی موبایل از طریق پیکربندی فراهم می‌کنند، بالاتر برد. برنامه‌ی کاربردی‌ که با EMS مدیریت می‌‌شود، به مجموعة گسترده‌تری از قابلیت‌های محافظت از داده‌ها و برنامه‌های کاربردی دستگاه‌های قابل‌حمل دسترسی دارد. این قابلیت‌ها شامل موارد زیراند:

  • قابلیت (Single Sign On(SSO
  •  احراز هویت چندعاملی(MFA)
  • دسترسی مشروط برنامه‌های کاربردی. به عنوان مثال، اگر برنامه کاربردی دستگاه قابل‌حمل شامل داده‌های سازمان باشد، به آن اجازة دسترسی می‌دهد.
  • جداسازی داده‌های سازمان از داده‌های شخصی درون یک برنامه کاربردی یکسان
  • سیاست محافظت از برنامه کاربردی (شامل PIN، رمزگذاری، Save-As، Clipboard و …)
  • پاک‌سازی داده‌های سازمان از برنامه کاربردی دستگاه قابل‌حمل
  • پشتیبانی از مدیریت حقوق دسترسی

امنیت برنامه کاربردی Intune

ایجاد امنیت برنامه کاربردی بخشی از مدیرت آن است، و در Intune، منظور از امنیت برنامه کاربردی دستگاه قابل‌حمل موارد زیر است:

  • جلوگیری از دسترسی واحد IT سازمان به اطلاعات شخصی
  • محدود کردن اقدامات کاربران در ارتباط با اطلاعات سازمان؛ مانند Copy، Cut/Paste، Save و View
  • حذف داده‌های سازمانی از برنامه‌های کاربردی دستگاه قابل‌حمل ، که به آن پاکسازی انتخابی یا پاکسازی سازمانی نیز گفته می‌شود

یکی از راه‌های ایجاد امنیت Intune از طریق قابلیت سیاست محافظت از برنامه کاربردی آن است. این قابلیت از Azure AD Identity برای جداسازی داده‌های سازمان از داده‌های شخصی استفاده می‌کند. از داده‌هایی که از طریق اطلاعات اعتباری سازمان قابل دسترسی هستند، محافظت سازمانی بیشتری به عمل خواهد آمد.

برای مثال، زمانی که کاربر از طریق اطلاعات کاربری سازمانی وارد دستگاه خود می‌شود،  IDسازمانی به او این توانایی را می‌دهد که به داده‌هایی دسترسی پیدا کند که با IDشخصی اجازة دسترسی به آن‌ها را ندارند. همزمان با استفادة کاربر از این داد‌ه‌های سازمانی، سیاست‌های حفاظت از برنامه کاربردی، چگونگی ذخیره‌سازی و اشتراک‌گذاری این داده‌ها را کنترل می‌کنند. زمانی که کاربر با ID شخصی وارد دستگاه می‌شود، دیگر این نوع حفاظت‌ها شامل حال او نخواهد شد. به این ترتیب، همانطور که کاربر حریم خصوصی خود را حفظ و از داده‌های شخصی خود محافظت می‍کند، دپارتمان IT نیز داده‌های سازمانی را کنترل می‌کند.

اشتراک ایمیل