beem docs

Deutsch

English
Français
Italiano

Deutsch

English
Français
Italiano

Appearance

🚧 In Bearbeitung

Wir arbeiten derzeit aktiv an den Inhalten dieser Dokumentation. Bitte schauen Sie bald wieder vorbei, um Updates und die neuesten Nachrichten zu erhalten.

Einheitliches Endpoint-Management

Unified Endpoint Management (UEM) in beem ist eine umfassende Lösung zur Verwaltung, Überwachung und Sicherung von Client-Geräten über verschiedene Betriebssysteme hinweg. Es stellt sicher, dass Endgeräte, egal ob Mobiltelefone, Tablets, Laptops oder Desktops, die Security Policies des Unternehmens einhalten und kontinuierlich auf Compliance und Sicherheitsstatus überprüft werden.

UEM-Tools nutzen Telemetriedaten von Identitäten, Anwendungen, Verbindungen und Geräten, um Datenschutzrichtlinien durchzusetzen, die Nutzung zu steuern und Geräte zu konfigurieren. Ausserdem können sie in Identitäts-, Sicherheits- und Fernzugriffstools integriert werden, um Zero Trust zu unterstützen.

Sobald ein beem-Kunde sich entscheidet, seine Client-Geräte zu verwalten, wird automatisch ein Mandant eingerichtet und verbunden. beem unterstützt verschiedene Client-Betriebssysteme: Windows, macOS, iOS, iPadOS und Android (Linux wird für UEM nicht unterstützt, kann jedoch ohne Agent darauf zugreifen). Diese Spezifikationen gelten sowohl für die beem App als auch für UEM. Swisscom empfiehlt, immer die aktuellste Version des Client-Betriebssystems zu verwenden. In anderen Situationen raten wir zur Implementierung zusätzlicher Sicherheitsmassnahmen, wie z. B. der Segmentierung des Netzwerks und der Beschränkung des Zugriffs auf wichtige, idealerweise nicht kritische Business-Applikationen.

beem Security Editions Basic, Plus und Premium bieten eine hochmoderne UEM-Lösung. Für mobile Benutzer wird das Device Onboarding als Self-Service-Funktion im Swisscom Cockpit angeboten. Das Swisscom Cockpit ist auch für Windows und macOS oder Geräte ohne SIM-Karte verfügbar. Für BYO-Benutzer gibt es eine Web-App mit analogen Funktionen. Für Collaborate Benutzer ist nur eine Teilmenge der UEM-Funktionen verfügbar, da Device Management nicht unterstützt wird. Im Prinzip ist die Verwendung von UEM für alle Benutzer optional. Die volle UEM-Funktionalität ist für verwaltete Client-Geräte gleichzeitig mit der beem App verfügbar.

Device Posture Management

Device Posture Management ist eine Methode zur Bewertung der Sicherheit und Vertrauenswürdigkeit von Client-Geräten. Es erleichtert die Erfassung von Geräteattributen, die dann für Zugriffsregeln verwendet werden können. Diese Regeln können verwendet werden, um den Zugriff für Clientgeräte zu beschränken, die bestimmte Sicherheitsanforderungen nicht erfüllen. Zu den Geräteattributen gehören vorgegebene Informationen wie die Version des Betriebssystems und, je nach Client-Betriebssystem, Hunderte von anderen Attributen. Insgesamt zielt das Device Posture Management darauf ab, die Sicherheit und Vertrauenswürdigkeit von Client-Geräten zu gewährleisten, bevor diese Zugriff auf Netzwerkressourcen oder Anwendungen erhalten. Bei beem unterscheiden wir zwischen "Proaktivem Device Posture Management" und "Kontinuierlichem Device Posture Management".

Proaktives Device Posture Management

Proactive Device Posture Management setzt Sicherheitsrichtlinien durch, bevor Zugriff gewährt wird. Geräte werden anhand der Betriebssystemversion, des Verschlüsselungsstatus, des Vorhandenseins von Antivirenprogrammen und weiteren Kriterien bewertet.

Insgesamt bietet beem fünf Security Leveln für Geräteprofile für Client-Geräte, die die Strenge der Durchsetzung der Sicherheitsrichtlinien definieren:

Level/Security EditionBeschreibung
1 – EssentialGrundlegende Sicherheit; minimale Einschränkungen.
2 – BasicAusgewogene Sicherheit und Benutzerfreundlichkeit; Standard für mobile Betriebssysteme.
3 - PlusVerbesserte Sicherheit; Standard für Desktop-Betriebssysteme.
4 – PremiumHohe Sicherheit; kann sich auf die Benutzererfahrung auswirken.

Der Administrator kann genau eine Ebene pro Client-Betriebssystem als Standard festlegen. Dies kann implizit vorschreiben, welches der fünf Client-Betriebssysteme innerhalb der Firma verwaltet werden sollte. Optional kann der Administrator Zuweisungen über Benutzergruppen festlegen. Einer Benutzergruppe wird dann ein Zweier-Tupel zugewiesen: eine Stufe und ein Client-Betriebssystem. Die Administratoren müssen sicherstellen, dass sie Mehrfachzuweisungen vermeiden. Die erste gefundene Zuordnung ist pro Benutzer und Client-Gerät entscheidend.

Swisscom aktualisiert und dokumentiert laufend Geräteprofile für alle Client-Betriebssysteme und -Levels. Für jede Einstellung wird eine Begründung angegeben, die bei Bedarf für Endbenutzer zugänglich gemacht werden kann. In einem Geräteprofil können je nach Betriebssystem des Clients Hunderte von Parametern festgelegt werden. Die Benutzer von verwalteten Client-Geräten geben eine gewisse Autonomie in Bezug auf das Client-Betriebssystem und/oder die Geräteeinstellungen auf und erhalten im Gegenzug Zugang zu Unternehmensressourcen. Spezifische Einstellungen werden je nach gewählter Stufe zentral gesteuert.

Proaktives Management der Gerätehaltung

Die kontinuierliche Gerätekonfigurationsverwaltung ermöglicht die Überwachung des Gerätezustands und der Konfiguration in Echtzeit.

Endpoint Information Profiles (EIP) können erstellt werden, um das Netzwerk, die Ressourcen und die Daten des Unternehmens zu schützen. EIPs werden verwendet, um Zugriffsregeln zu definieren und sicherzustellen, dass die Geräte, denen Zugriff gewährt wird, die erforderlichen Sicherheitsstandards einhalten. Die verfügbaren Geräteeigenschaften werden bei Verwendung der beem App maximiert. Es gibt eine Vielzahl von Informationen über den Sicherheitsstatus des Geräts. Beispielsweise kann überprüft werden, ob die neuesten Sicherheitspatches und Antiviren-Definitionen installiert sind oder ob der permanente Speicher des Geräts verschlüsselt ist. Darüber hinaus wird die Integration mit verschiedenen Endpoint Protection Platforms (EPP) angeboten. Insbesondere werden die Antivirus- oder Anti-Malware-Tools der folgenden Hersteller unterstützt:

  • McAfee
  • Avast
  • Windows Defender
  • Trend Micros
  • panda
  • eset
  • Symantec
  • kaspersky
  • CrowdStrike
  • Carbon Black
  • SentinelOne

Für Windows und macOS sind viele Parameter für EIP verfügbar, die ständig überprüft werden können. Aufgrund einiger Einschränkungen ist die Anzahl der Parameter unter iOS, iPadOS und Android geringer. Daher ist ein proaktives Management der Geräteposition für diese Client-Betriebssysteme von entscheidender Bedeutung. beem zieht bewusst eine klare Grenze zwischen " " und "kontinuierlichem Gerätestatusmanagement", um die Komplexität zu reduzieren. Beide Funktionseinheiten ergänzen sich zwar, haben aber zwangsläufig einige Überschneidungen. Bitte beachten Sie, dass beem (derzeit) kein EPP-Modul enthält, sondern auf Lösungen von Drittanbietern angewiesen ist. Integration mit Endpunkt-Schutzplattformen (EPPs) von Drittanbietern, wie beispielsweise:

  • Microsoft Defender
  • Bitdefender
  • CrowdStrike
  • Sophos
  • Trend Micro

wird empfohlen.