Moderni päätelaitahallinta

Uusi toimisto voi fyysisesti sijaita missä vain, ja se kulkee kätevästi mukana taskussa tai repussa. Työntekijöillä on nykyään käytettävissä yrityksen omistamia tai henkilökohtaisia laitteita, joilla päästään lukemaan sähköpostit ja voidaan nopeasti muokata tiedostot 10 minuutin päästä alkavaan palaveriin. Todella kätevää, mutta miten yritykset voivat varmistua siitä, että arkaluontoista tietoa ei päädy vääriin käsiin tässä skenaariossa? Onko kaikkien laitteiden päivitykset, tietoturvaohjelmistot ja suojaukset ajan tasalla, mikäli laite katoaa tai joutuu tietomurron kohteeksi? Juuri nämä hallitsemattomat laitteet ovat ensisijaisia kohteita, joita verkkorikolliset hyödyntävät esimerkiksi yksittäisiin yrityksiin kohdennetuissa tietomurroissa.

Tietoturvan ja identiteetinhallinnan kannalta MFA eli kaksivaiheinen tunnistautuminen on hyvä alku, mutta nyt on myös hyvä aika miettiä, millä laitteilla hybridityötä tulevaisuudessa tehdään, millä laitteilla yrityksen omistamaa tietoa käsitellään ja minne arkaluontoista tietoa tallennetaan.  Keskitetty laitehallinta on tärkeä osa laajempaa Zero Trust -suojausmallia. Lisää tietoa löydät blogi-sarjan seuraavista osista.

Moderni työasemien ja mobiililaitteiden hallinta voidaan toteuttaa Microsoft Intune -palvelun avulla, joka on Microsoft 365:een ja Azure Active Directoryyn (Azure AD) integroitu pilvipohjainen päätelaitteiden hallintaratkaisu. Näin ollen kaikki käyttäjät ja heidän käytössä olevat laitteensa voidaan liittää yhden keskistetyn hallinnan piiriin, jonka jälkeen laitteisiin voidaan kohdistaa erilaisia tietoturvaa parantavia asetuksia, konfiguraatioita ja vaatimuksia. Mikä parasta, Intunen avulla voidaan hallita kaikkia organisaation laitteita ja sovelluksia yhdestä paikasta, riippumatta laitteiden fyysisestä sijainnista. Näin ollen etätyöntekijät ja haarakonttorien työntekijät saadaan samojen palveluiden piiriin.   

Microsoft Intune on osa Microsoft 365 Business Premium lisenssiä ja sen avulla voidaan hallita Windows 10/11, Apple- ja Android-laitteiden asetuksia ja ominaisuuksia.   

Pääkäyttäjän / IT-kumppanin näkökulmasta Intune-laitehallinnan käyttöönotto on melko suoraviivainen prosessi, vaikkakin muokattavia asetuksia ja konfiguraatioita on useita satoja.

Yhdessä asiakkaan kanssa käymme asetukset ja konfiguraatiot pääpiireittäin läpi, jonka lisäksi konfiguroimme Midpointedin omat ja Microsoftin suosittelemat asetukset kuntoon

Lauri Alavuo, Midpointed CTO

Suurin haaste laitehallinnan käyttöönotossa on saada kiinni kaikki laitteet, joilla loppukäyttäjät järjestelmiin kirjautuvat, ilman että työnteko suuremmin keskeytyy. Windows-laitteet saadaan helpommin liitettyä laitehallinnan piiriin kuin iOS- ja Android-laitteet, mutta hyvällä viestinnällä, porkkanalla ja vähän kepillä projektit onnistuvat hyvin. Laitehallinnan käyttöönotto kannattaakin ajoittaa esimerkiksi suurempien laitevaihtojen yhteyteen, mutta ehdollisten sääntöjen (Conditional Access) politiikoilla voidaan projektin lopuksi varmistaa, että kaikki laitteet tulevat keskitetyn hallinnan piiriin.  

10 Hyvää syytä ottaa käyttöön moderni, keskitetty laitehallinta

Parempi näkyvyys yrityksen laitekantaan 
Tämä tarkoittaa, että kaikki yrityksen laitteet on rekisteröity laitehallinnan piiriin, laite- ja ohjelmistoinventaarioiden tekeminen helpottuu ja samalla saadaan näkyvyys esimerkiksi laitteiden takuutiedoista ja tietoturvapäivitysten ajantasaisuudesta.  Ennen kaikkea voidaan varmistua, että kaikki yrityksen laitteet ovat vaatimusten mukaisia. IT-infraa on vaikea suojella, mikäli ei tiedetä millä laitteilla ja sovelluksilla sitä käytetään.  

Helpottaa sovellusjakoa 
Suurin osa yritysten käyttämistä sovelluksista voidaan jakaa työasemille keskitetyn laitehallinnan avulla. Tuettavia sovelluksia ovat Windows-, Android- ja iOS -kauppojen sovellukset, mutta myös kustomoidut liiketoimintasovellukset saadaan hyvin sovellusjakelun piiriin. Sovellusten ja päivitysten jakelu laitteille onnistuu riippumatta laitteen sijainnista.    

 
Helpottaa ylläpitoa 
Laitehallinta mahdollistaa monien ylläpitotoimien keskittämisen ja automatisoinnin. Mitä enemmän automatisoidaan, sitä vähemmän ylläpitotehtäviä jää loppukäyttäjän vastuulle. Yhtenäiset asetukset kaikissa yrityksen laitteissa varmistavat, että yllätykset yksittäisten käyttäjien ja laitteiden kohdalla harvenevat. Laitteiden asetuksia voidaan kuitenkin muuttaa keskitetysti yksittäisten käyttäjien, käyttäjäryhmien ja ylläpidon tarpeen mukaan hyvinkin nopeasti. 

 
Laitteiden asetusten hallinta 
Laitteissa on paljon asetuksia, jotka vaikuttavat sekä käytettävyyteen että tietoturvaan. Laitehallinnan asetusten avulla voidaan keskitetysti ajaa laitteille asetukset, jotka helpottavat käyttämistä, lisäävät toimivuutta sekä parantavat tietoturvaa. Yhtenäiset, dokumentoidut ja kontrolloidut asetukset ovat oleellinen osa yrityksen tietoturvaa. 

 
Laitteiden etälukitus ja -tyhjennys 
Laitteet sisältävät paljon liiketoimintakriittisiä tietoja. Tilanteissa, joissa laite katoaa tai varastetaan, voidaan laitehallinnasta ajaa komennot laitteen tyhjentämiseksi tai laitteen lukitsemiseksi. Laitteelta voidaan myös katkaista pääsy yhtiön resursseihin merkitsemällä laite epäluotettavaksi. 

 
Tietoturvan ylläpito ja valvonta 
Tietoturva koostuu monista osa-alueista. Se on paljon muutakin kuin laitteelle asennettu virustorjuntaohjelmisto. Tietoturva lähtee laitteiden identiteetin suojaamisesta, ehdollisesta pääsystä, laitteen pitämisestä ajan tasalla, virustorjuntaohjelmistoista sekä asetuksista, jotka estävät käyttäjää tekemästä ei-toivottuja toimenpiteitä. Kokonaisuus on monikerroksista ja limittäistä. Tietoturva ei ole pysyvä olotila, vaan se vaatii jatkuvaa liikkumista kehityksen matkassa ja uhkakuvien päivittämistä.  

Laitteiden käyttöönotto nopeutuu ja tuo kustannussäästöjä 
Uusien laitteiden käyttöönotto voidaan jatkossa toteuttaa Windows-autopilotin avulla. Laitteen yksilölliset tiedot tallennetaan laitehallintaan. Kun uusi laite kytketään verkkoon, se havaitsee kuuluvansa kyseisen organisaation alaisuuteen, jonka jälkeen laitteelle asentuu automaattisesti yrityksen määrittelemät konfiguraatiot ja sovellukset. Optimitilanteessa lähituen ei tarvitse jatkossa asentaa työasemia manuaalisesti loppukäyttäjille, mikä nopeuttaa laitteiden käyttöönottoa ja tuo kustannussäästöjä. Lisää Windows autopilotista voit lukea seuraavista blogeista.

Laitteiden hallittu päivittäminen 
Laitteisiin ja ohjelmistoihin tulee säännöllisesti erinäisiä päivityksiä. On kriittisiä tietoturvapäivityksiä, ohjainpäivityksiä, laatupäivityksiä, ominaisuuspäivityksiä sekä muita päivityksiä. Kaikki nämä päivitykset tulee olla hallinnassa ja ajan tasalla. Valitettavasti päivitysten jakelu laitteille ei aina ole aivan yksinkertainen toimenpide, mutta asioiden eteenpäin viemisessä auttaa edes tieto siitä, mitä päivityksiä laitteista puuttuu.  

Ehdollinen pääsy – Conditional Access 
Ehdollinen pääsy vie pääsynhallinnan yksittäisten laitteiden tasolle. Monet asetuksista edellyttävät laitteen olevan hallittu ja luotettu. Jotta ehdollista pääsyä voidaan toteuttaa täysimääräisesti, tarvitaan laitteiden tuonti laitehallintaan sekä ehdot, jotka laitteen tulee täyttää ollakseen luotettu. Erinäiset ehdollisen pääsyn asetukset luovat parhaimmat suojat käyttäjän tilien ja laitteiden suojaamiseksi tapauksissa, joissa käyttäjätunnus on vaarantunut. Ehdollinen pääsy ja keskitetty laitehallinta ovat oleellinen osa laajempaa Zero Trust -suojausmallia. Lisää tietoa ehdollisesta pääsystä ja  Zero Trust suojausmallista voit lukea seuraavista blogeista.

Saumaton pilvipalveluiden käyttö  
Tietojen tallennus omalle palvelimelle muuttuu koko ajan harvinaisemmaksi. Omien palvelimien ylläpitäminen voi olla paitsi kallista, myös tietoturvan ylläpitämisen kannalta haastavaa. Moni yritys onkin jo luopunut omien tai virtuaalipalvelimien käytöstä, mikäli liiketoiminnan muut seikat ovat sen mahdollistaneet.  

Tietojen tallennus Microsoftin pilvipalveluun yleistyy koko ajan. Hyvänä puolena on tietojen saaminen käyttöön ajasta ja paikasta riippumatta. Tämä sopii erityisesti etätyöntekijöille. Perinteisten VPN-yhteyksien poistuminen aiheuttaa toisenlaisia haasteita tiedon suojelemiseksi. 

Kirjautuminen käytettäviin sovelluksiin on helppoa käyttämällä kaksivaiheista tunnistautumista (MFA) ja kertakirjautumista (SSO). Tämän lisäksi tarvitaan myös Microsoft Intune -palvelu luomaan sääntöjä ja rajoituksia resursseihin pääsylle. 

Mikäli kiinnostuit, olethan yhteydessä!