BYOD en COD met Microsoft Intune
Met Intune van Microsoft worden mobiele devices beheerd met als doel om de medewerkers productief te laten zijn en tegelijkertijd bedrijfsgegevens te beschermen. Intune een cloud-dienst, dus is het niet nodig om binnen de organisatie servers en/of andere apparaten te introduceren.
Onder mobiele devices verstaan we smarthpones zoals iPhones, Android- en Windowsphones, maar ook Windows 10 laptops. Deze apparaten worden door medewerkers gebruikt om toegang te krijgen tot bedrijfsapplicaties zoals e-mail of specifieke businessapplicaties. Tegelijkertijd willen zij het device ook privé gebruiken voor persoonlijke e-mail, foto’s, etc.
In dit artikel worden twee soorten mobile devices toegelicht, te weten: Bring Your Own Device (BYOD) en Company Owned Devices (COD) en worden de termen MAM en MDM wat duidelijker.
BYOD of COD
Bij het gebruik van Intune kan voor twee opties gekozen worden of een mix ervan: Bring Your Own Device (BYOD) of Corporate Owned Devices (COD). Bij BYOD neemt een medewerker zijn privé device mee naar het werk om naast privezaken, ook bedrijfsapplicaties en/of data te gebruiken op het device. Het bedrijf heeft in dit geval het beheer over het bedrijfsdeel op de telefoon. Bij COD voorziet het bedrijf de medewerker van een device en heeft volledige controle over het device.
Bring Your Own Device (BYOD)
Intune maakt op BYOD devices een onderscheid tussen privé en bedrijfsdata. De gebruiker gebruikt zijn privé telefoon zoals hij/zij gewend is, voor bellen, WhatsApp, foto’s, etc, en ook voor bedrijfsapplicaties, waarbij de bedrijfsdata veilig blijft. De bedrijfsapplicaties werken in een zogenoemde ‘bubbel’, die gescheiden werkt van de rest van de telefoon. De bedrijfsapplicatiedata is versleuteld opgeslagen op het device. Mocht een medewerker uit dienst gaan, kan alleen het bedrijfsdeel op de telefoon worden gewist. Het bedrijf heeft dus controle over de bedrijfsapplicaties en data, maar niet over het privédeel van het device.
De voordelen van BYOD worden vaak naar voren gehaald, zoals het eigen, vertrouwde device blijven gebruiken, privé en zakelijk gebruik met hetzelfde device en kostenbesparing door minder training en het niet hoeven aanschaffen van devices. Maar nadelen zijn er ook. Zo hebben medewerkers uiteenlopende devices, zoals iOS, Android, Windows etc., en al deze soorten moeten wel ondersteund worden. Dit kan problemen veroorzaken, want niet alle soorten ondersteunen dezelfde instellingen, dus potentieel veel compatibiliteitsproblemen. En, omdat het device in de privésfeer wordt gebruikt, is de kans op verlies en diefstal relatief groot met kans op verlies van bedrijfsinformatie tot gevolg.
BYOD-devices worden binnen Intune met Mobile Application Managment (MAM) beheerd. Via de Intune Portal stelt een beheerder applicaties beschikbaar aan gebruikers. Per applicatie wordt ingesteld hoe de applicatie benaderd worden, bijvoorbeeld dat een gebruiker eerst een pincode moet invullen voordat de applicatie gebruikt kan worden. Op deze manier blijft het privédeel van de telefoon ‘gewoon’ zonder PIN te gebruiken, maar zodra de bedrijfsapplicatie start, komt de beveiliging wel naar voren. Daarbij kan afgedwongen worden dat data van bedrijfsapplicaties niet gekopieerd kunnen worden naar persoonlijke applicaties.
Met Microsoft Intune kan ingesteld worden welke (bedrijfs-) applicaties geinstalleerd mogen worden op het device. De organisatie bepaalt wie toegang krijgt tot welke applicatie en de applicatie kan beveiligd worden zodat het kopieren van data tussen applicaties niet mogelijk is.
Company Owned Devices (COD)
Het bedrijf bepaalt welk type device en platform (iOS / Android of anders) wordt gebruikt en beheerd. De organisatie heeft volledige controle over het device waardoor gegevens op het device veilig opgeslagen zijn, de kans op verlies van bedrijfsgegevens hierdoor kleiner is en zij kan eventuele privézaken die erop staan wissen. Door zelf te bepalen welke platformen ondersteund worden, is het beheer eenvoudiger met minder kans op compatibiliteitsproblemen.
De organisatie zal moeten investeren in devices en training in het gebruik ervan. Daarnaast zullen medewerkers zeer waarschijnlijk minder tevreden zijn, omdat een mix tussen werk en privé niet mogelijk is.
Binnen Microsoft Intune wordt COD beheerd met Mobile Device Management (MDM). MDM zit standaard in Office 365 subscriptie, maar de mogelijkheden zijn hier beperkt. Met Intune zijn meer instelmogelijkheden beschikbaar, zie hieronder voor een vergelijk tussen MDM vanuit Office 365 en vanuit Intune.
Afwegingen en conclusie
Microsoft Intune biedt volop mogelijkheden om mobiele devices te beheren, of dit nu devices van medewerkers zelf zijn (BYOD) of eigendom van het bedrijfs zijn (COD).
Van beide opties zijn voor- en nadelen te noemen. Om Intune met MDM en of MAM te implementeren is het raadzaam om vooraf goed te bedenken hoe de organisatie met de mobiele devices om wil gaan. Wil men absolute controle (MDM) of toestaan dat medewerkers zelf hun mobiele device gebruiken om bedrijfsapplicaties te gebruiken en wel op een veilige manier (MAM).
Daarnaast speelt het kostenaspect een rol. Met BYOD en MAM bespaart men kosten omdat er geen devices aangeschaft hoeven te worden, maar is men weer meer kwijt aan beheerkosten. Met COD / MDM is dit andersom; wél de kosten voor aanschaf, maar minder kosten voor het beheer.
Het laatste aspect is gebruikersvriendelijkheid. Met COD/MDM heeft de medewerker een afgesloten device, en zal dus minder ‘plezier’ beleven aan het device. Ook omdat de medewerker het apparaat privé niet gebruikt. Met BYOD/MAM kan de gebruiker wel privé en zakelijk combineren, zonder dat hij/zij de organisatie toegang geeft tot privézaken op het device.
Uiteraard is een combinatie van al deze zaken met Intune mogelijk. Maar nadat de keuze is gemaakt, rol die dan uit naar een kleine groep gebruikers met weinig instellingen om ervaren hoe het werkt en wat het doet. Als gelijk alle instellingen worden ‘aangezet’ en iets werkt niet zoals verwacht, dan is het veel moeilijker te achterhalen waar het mis gaat.
