Segurizar Office 365 con MobileIron Introducción Office 365, el paquete de productividad basado en la nube de Microsoft, incluye las versiones en línea de las soluciones más populares de Microsoft, como Exchange y SharePoint, almacenamiento a través de OneDrive y diversas aplicaciones móviles, como Word, Excel, PowerPoint, OneNote, Outlook, Publisher y Skype for Business. Office 365 resulta esencial para la estrategia de Microsoft, a medida que la empresa evoluciona para transformarse en un proveedor de software y soluciones Mobile First en la nube. Cada vez más, un gran número de clientes de MobileIron están utilizando Office 365 en sus dispositivos móviles en lugar de en los PC tradicionales. Por este motivo, segurizar e implementar Office 365 en dispositivos móviles utilizando MobileIron se está convirtiendo en un requisito común. 401 East Middlefield Road Mountain View, CA 94043 EE. UU. Tel. +1.877.819.3451 Fax +1.650.919.8006 [email protected]MKT-9926 v4.1
Transcript
Segurizar Office 365 con MobileIron
Introducción
Office 365, el paquete de productividad basado en la nube de Microsoft, incluye las versiones en línea de las soluciones más populares de Microsoft, como Exchange y SharePoint, almacenamiento a través de OneDrive y diversas aplicaciones móviles, como Word, Excel, PowerPoint, OneNote, Outlook, Publisher y Skype for Business. Office 365 resulta esencial para la estrategia de Microsoft, a medida que la empresa evoluciona para transformarse en un proveedor de software y soluciones Mobile First en la nube. Cada vez más, un gran número de clientes de MobileIron están utilizando Office 365 en sus dispositivos móviles en lugar de en los PC tradicionales. Por este motivo, segurizar e implementar Office 365 en dispositivos móviles utilizando MobileIron se está convirtiendo en un requisito común.
401 East Middlefield RoadMountain View, CA 94043 EE. UU. Tel. +1.877.819.3451Fax +1.650.919.8006 [email protected]
MKT-9926 v4.1
2
La mayoría de las organizaciones tienen una estrategia de aplicaciones multiproveedor que va mucho más allá de Microsoft para las aplicaciones de flujo de trabajo y líneas empresariales de Oracle, salesforce.com, SAP y muchos otros proveedores de aplicaciones líderes del sector. Por tanto, el departamento informático necesita un modelo de seguridad central que sea igual para todas las aplicaciones móviles, ya sean de Microsoft o no, que la empresa tenga previsto implementar bien sea a corto o a más largo plazo.
Solamente los usuarios o los dispositivos de confianza que utilicen aplicaciones de confianza deberían ser capaces de acceder a los datos corporativos. Estos datos deberían estar protegidos cuando están en reposo en el dispositivo y cuando están en movimiento desde el dispositivo hasta el servicio back end de la aplicación. Algunas veces, dicho servicio back end residirá de forma local (por ejemplo, Exchange o SharePoint tradicionales) y, en otros momentos, residirá en la nube (por ejemplo, Office 365 o salesforce.com).
Modelo de seguridad para aplicaciones MobileIron Un mismo enfoque en implementaciones con múltiples aplicaciones y múltiples SO
Distribuir las aplicaciones de forma segura
Proteger los datos en reposo de las aplicaciones
Proteger los datosen movimiento de las aplicaciones
En este documento técnico se describe el modelo de seguridad de aplicaciones de MobileIron y cómo MobileIron seguriza Office 365. Algunos aspectos contemplados en este documento podrían variar dependiendo del sistema operativo y de las características de la implementación; por este motivo, por favor póngase en contacto con su representante técnico de MobileIron si necesitara más información. Este documento refleja nuestros conocimientos en el momento de su redacción sobre cómo se integran las diferentes tecnologías, y está sujeto a cambios.
3
El modelo de seguridad para aplicaciones de MobileIron permite al departamento informático:
1. Distribuir las aplicaciones de forma segura2. Proteger los datos en reposo de aplicaciones en el dispositivo3. Proteger los datos en movimiento de aplicaciones en servicios back-end4. Establecer configuraciones complementarias a través del proveedor de aplicaciones
Para Office 365, el modelo de seguridad de aplicaciones de MobileIron permite al departamento informático:
1. Distribuir aplicaciones de Office 365 de forma seguraa Configurar el correo electrónico nativo y las aplicaciones PIM en dispositivos móviles para que puedan
conectarse a Office 365.
b Distribuir de forma segura las aplicaciones de Office 365 para dispositivos móviles a través de la app store corporativa de MobileIron Apps@Work.
2. Proteger los datos en reposo de Office 365 en el dispositivoa Aplicar controles de distribución integrados del sistema operativo en contenedores, como la separación
de datos, las restricciones de «Abrir en» y el borrado selectivo, para proteger los datos de Office 365 en el dispositivo.
3. Proteger los datos en movimiento de Office 365 en Microsoft Clouda Redireccionar los datos con seguridad desde el dispositivo hasta la nube utilizando la VPN por aplicación
de MobileIron Tunnel, si fuera necesario para el cumplimiento de seguridad por parte de la empresa.
b Garantizar que solo las aplicaciones y dispositivos de confianza puedan acceder a los datos de Office 365 utilizando MobileIron Access para imponer un acceso condicional.
4. Definir configuraciones complementarias de Office 365a Establecer controles adicionales de prevención de pérdida de datos (DLP) como «Guardar como»,
«Cortar/copiar/pegar» y «Captura de pantalla» mediante la integración de MobileIron con la API de Microsoft Graph para las políticas de protección aplicaciones de Intune.
Cada elemento del modelo de seguridad para aplicaciones enumerados más arriba, tiene una sección en este documento técnico que describe:• Los requisitos de seguridad corporativos• Cómo MobileIron aborda dichos requisitos para las
aplicaciones móviles en general.• Cómo MobileIron aborda dichos requisitos para las
aplicaciones de Office 365 en particular. El objetivo de MobileIron es proporcionar un modelo de seguridad uniforme que sea igual para todas las aplicaciones móviles que una empresa implementa para sus empleados. Algunas aplicaciones serán de Microsoft, pero la mayoría serán de otros proveedores o se implementarán dentro de la empresa.
4
Distribuir aplicaciones de Office 365 de forma segura
Una app store corporativa es el mecanismo que sirve para distribuir de forma segura aplicaciones móviles a los empleados. MobileIron es innovador en este área y le han sido otorgadas diferentes patentes para administrar aplicaciones móviles.
Requisitos de seguridad del departamento informático para distribuir aplicaciones
Los empleados podrán pulsar la app store corporativa en sus dispositivos móviles para acceder al catálogo de aplicaciones cuyo uso ha autorizado la empresa. Este catálogo de aplicaciones deberá tener identificados tanto al usuario como al dispositivo.• Identificación del usuario: el catálogo
de aplicaciones deberá ser diferente para cada empleado, de acuerdo con su identidad. Por ejemplo, un director de marketing deberá ver aplicaciones diferentes en el catálogo que un ingeniero de soporte técnico.
• Identificación del dispositivo: si el dispositivo no cumple con los requisitos (si, por ejemplo, ha sido sometido a un jailbreak o descifrado), el empleado no debería poder descargar aplicaciones del catálogo.
Modelo de seguridad de MobileIron para distribuir aplicaciones
MobileIron Apps@Work es nuestra app store corporativa y proporciona al departamento informático una forma simplificada de distribuir aplicaciones:• El departamento informático
publica aplicaciones en Apps@Work a través de la consola de administración de MobileIron.
• A continuación, el departamento informático asigna cada aplicación a los grupos de usuarios o dispositivos según las políticas, de modo que esa aplicación solo aparezca en el catálogo de aplicaciones de los empleados o dispositivos que sean de confianza.
• Después, el empleado podrá descargar la aplicación de forma segura a través de Apps@Work.
Si el cliente de MobileIron está utilizando las aplicaciones de correo electrónico y PIM nativas en el dispositivo móvil, MobileIron configura de forma remota dichas aplicaciones nativas para que puedan acceder al servicio de correo electrónico back-end. Si el cliente está utilizando una aplicación de correo electrónico de terceros en el dispositivo, MobileIron distribuirá dicha aplicación a través de Apps@Work del mismo modo que lo haría con cualquier otra aplicación corporativa. En dispositivos corporativos Android, el departamento informático también puede usar Google Play administrado para distribuir aplicaciones corporativas con controles de MobileIron.
Modelo de seguridad de MobileIron para distribuir aplicaciones de Office 365
El departamento informático publica las aplicaciones de Office 365 independientes a través de Apps@Work tal y como se ha descrito anteriormente. Si el cliente está utilizando las aplicaciones de correo electrónico y PIM nativas en el dispositivo móvil, MobileIron configurará dichos servicios directamente mientras se distribuyen las otras aplicaciones de Office 365 a través de Apps@Work
5
Proteger los datos en reposo de Office 365 en el dispositivo
Muchas personas se refieren a estos requisitos como «contenerización» de aplicaciones o colocación de aplicaciones en contenedores. Esto se define como la posibilidad de separar los datos de aplicaciones corporativas de los datos personales en el dispositivo móvil, mitigando así el riesgo de que las aplicaciones que no sean de confianza accedan a dichos datos corporativos.
Requisitos de seguridad informáticos para los datos en reposo
1. Autenticación: imponer la autenticación del usuario para entrar en la aplicación corporativa o la obtención de aplicaciones corporativas en el dispositivo, de modo que los usuarios que no sean de confianza no puedan acceder a ellas. A menudo, se utilizan certificados del lado del cliente para hacer que el proceso sea transparente para el usuario después de la autenticación inicial.
2. Autorización: asegurarse de que la aplicación solamente funcionará si el dispositivo móvil cumple los requisitos.
3. Configuración: insertar automáticamente las variables de configuración (por ejemplo, el nombre del servidor, el idioma o las políticas) en la aplicación. Es preferible esta alternativa a que los empleados tengan que introducir manualmente información sobre la configuración, dado que se reducen los errores y las llamadas al soporte técnico. Además, las aplicaciones mal configuradas suelen generar vulnerabilidades de seguridad.
4. Cifrado: proporcionar un cifrado secundario para los datos de las aplicaciones almacenados en el dispositivo. Los sistemas operativos y dispositivos móviles modernos tienen cifrado integrado, pero es posible que algunas organizaciones requieran una capa adicional.
5. Controles de DLP: evitar la transferencia de datos desde aplicaciones de confianza hasta aplicaciones que no lo son. La prevención de pérdida de datos (DLP) es la principal preocupación de seguridad con respecto a las aplicaciones móviles. Los controles de DLP pueden incluir restricciones como los controles de «Abrir en» integrados en iOS, para evitar que las aplicaciones que no sean de confianza puedan abrir documentos corporativos o los controles de «Copiar/pegar» integrados en la versión corporativa de Android, con el fin de evitar que los empleados copien texto de una aplicación de confianza en otra que no lo es. Estos controles tienen como objetivo evitar la pérdida de datos involuntaria durante las acciones de usuarios bien intencionados. No obstante, es poco probable que estos controles bloqueen al usuario mal intencionado, que buscará otros mecanismos, como las capturas de pantalla, para copiar datos del dispositivo.
6. Borrado selectivo: borrar el archivo binario del dispositivo cuando el empleado ya no está autorizado a usar la aplicación (por ejemplo, si ha abandonado la empresa) o cuando el dispositivo no tenga autorización para ejecutar la aplicación (por ejemplo, cuando esté en riesgo o se haya perdido).
6
Modelo de seguridad de aplicaciones MobileIron para datos en reposo
MobileIron admite el marco de seguridad de seis pasos descrito anteriormente, ejecutando la política para las funciones del uso de contenedores de aplicaciones nativas del sistema operativo y, además, proporcionando controles complementarios a través del SDK y el contenedor de MobileIron AppConnect.
Cada sistema operativo está en una etapa diferente en su evolución; por tanto, cada uno ofrece un conjunto diferente de controles de contenerización de aplicaciones nativas. Estos controles se administran a través MobileIron:• iOS (aplicaciones administradas): Apple ha
integrado la contenerización de aplicaciones en el mismo sistema operativo. Cada aplicación tiene una memoria y almacenamiento aislados para evitar la fuga de datos desde una aplicación de confianza hacia otra que no lo sea. El marco de aplicaciones administradas de iOS permite al departamento informático utilizar MobileIron para establecer controles de seguridad para las aplicaciones corporativas en el dispositivo. Estas aplicaciones administradas se distribuyen a través de la app store corporativa de MobileIron Apps@Work. Las aplicaciones como Microsoft Outlook y Salesforce1 pueden emplear MobileIron y el inicio de sesión único (Single Sign-On, SSO) de iOS para autenticarse de forma segura en el servicio en la nube adecuado mediante Kerberos. Esto simplifica la experiencia del usuario, ya que el empleado sólo tiene que iniciar sesión una vez para autenticarse en varios servicios en la nube.
• Android (versión corporativa de Android): lanzada por Google en 2015, la versión corporativa de Android es la pila de seguridad del sistema operativo Android. La versión corporativa de Android permite al departamento informático usar MobileIron para implementar un perfil en los dispositivos que ejecuten Android 5.0 y versiones posteriores. Este perfil separa los datos personales de los profesionales, de modo que el departamento informático puede implementar y administrar las aplicaciones corporativas de forma segura mediante MobileIron.
• Android (Samsung KNOX): Samsung ha realizado importantes inversiones en seguridad de Android dentro del programa Samsung KNOX. Samsung
KNOX tiene un gran número de componentes, incluido un contenedor de aplicaciones administradas por MobileIron.
• Windows 10: Microsoft ha integrado la contenerización de aplicaciones en el sistema operativo para aplicaciones modernas. Estas aplicaciones se distribuyen a través de MobileIron Apps@Work, y las políticas de seguridad que giran en torno a los datos corporativos se establecen asímismo a través de MobileIron.
Los marcos de seguridad y configuración de aplicaciones nativas integrados en los sistemas operativos modernos son muy completos. MobileIron es miembro fundador de la comunidad AppConfig, una organización independiente de EMM y de aplicaciones que ofrece formación para desarrolladores, mejores prácticas y herramientas para usar los sistemas de iOS y la versión corporativa de Android de un modo eficaz. Para más información consulte www.appconfig.org.
Los requisitos de seguridad de algunos clientes van más allá de los controles de contenerización de aplicaciones nativas descritos anteriormente. MobileIron AppConnect proporciona controles adicionales a través de un SDK (iOS) y un contenedor (iOS y Android). Algunos ejemplos de controles de AppConnect complementarios son los siguientes:• Autenticación: imponer un código de acceso
para aplicaciones AppConnect.• Autorización: evitar que las aplicaciones
AppConnect se inicien en un dispositivo afectado.• Cifrado: proporcionar un cifrado secundario
para datos escritos en discos.• Controles de DLP: impedir la función copiar/pegar.
Recomendamos a los clientes que utilicen el modelo de seguridad de seis pasos descrito anteriormente para priorizar sus requisitos de seguridad y sus opciones de implementación:• Comience con el aislamiento en contenedores
del SO nativo, dado que MobileIron puede aplicar estos controles nativos a prácticamente cualquier aplicación corporativa en el dispositivo, como las aplicaciones de Office 365, sin requerir ninguna modificación a dicha aplicación.
• Incorpore AppConnect en aquellas aplicaciones que necesiten controles adicionales. En el caso de aplicaciones internas, el departamento informático deberá integrar el SDK de AppConnect en el código de la aplicación o encapsular la aplicación con el contenedor de AppConnect. El departa mento de informática también puede implementar el amplio ecosistema de aplicaciones de terceros que ya son compatibles con AppConnect (https://marketplace.mobileiron.com/).
Modelo de seguridad de aplicaciones MobileIron para datos en reposo de Office 365
MobileIron emplea controles de contenerización de SO nativos para asegurar los datos en reposo de Office 365:• El departamento informático establece estos
controles en la consola de administración de MobileIron y, después, se aplican automáticamente a las aplicaciones de Office 365 según el dispositivo y los grupos de usuarios.
• MobileIron borra de forma selectiva los datos y las aplicaciones de Office 365 del dispositivo cuando este o el usuario infringen los requisitos. Esta función permite a MobileIron proteger los datos de Office 365 en dispositivos propiedad del empleado (BYOD) sin que ello afecte a su privacidad.
Segurizar Office 365 en iOS:• MobileIron configura el correo electrónico/PIM
nativo en el dispositivo iOS para conectarse a Office 365.
• MobileIron designa el correo electrónico/PIM como cuenta administrada y todas las aplicaciones de Office 365 como aplicaciones administradas.
• MobileIron ejecuta el control de DLP «Abrir en» para las aplicaciones de correo electrónico/PIM y Office 365, incluida la aplicación Outlook, para evitar que los documentos de Office 365 se abran en aplicaciones que no sean de confianza.
• MobileIron aplica el control de DLP para múltiples identidades a través de una configuración de aplicaciones administradas de iOS para impedir que los usuarios puedan abrir documentos profesionales en cuentas personales dentro de aplicaciones de Office 365 que admitan las múltiples identidades.
• MobileIron borra de forma selectiva todos los datos profesiones del correo electrónico/PIM y las aplicaciones de Office 365 del dispositivo móvil si el empleado se va de la empresa o si el dispositivo se pierde, es robado o infringe los requisitos. De este modo, se borran los datos corporativos sin borrar los datos personales.
Segurizar Office 365 en Android con la versión corporativa de Android:• MobileIron configura el correo electrónico y PIM
en el perfil profesional de la versión corporativa de Android para conectarse a Office 365.
• MobileIron configura el perfil profesional de la versión corporativa de Android (propiedad de la empresa o BYOD), que también contiene las aplicaciones de Office 365, con los controles adecuados de DLP, como la captura de pantalla y copiar/pegar.
• MobileIron borra de forma selectiva el perfil de trabajo, eliminando el correo electrónico de Office 365, PIM y las aplicaciones si el empleado se va de la empresa o si el dispositivo se pierde, es robado o infringe los requisitos. De este modo, se borran los datos corporativos sin borrar los datos personales del dispositivo.
• MobileIron desactiva el perfil de trabajo como medida de cuarentena temporal si el dispositivo infringe los requisitos.
Definir configuraciones complementarias de Office 365
La mayoría de los proveedores de aplicaciones corporativas, como Box, Oracle, Salesforce y SAP, utilizan los sistemas nativos de iOS (Configuración de Aplicaciones Administradas) y de la versión corporativa de Android (Configuración Administrada) para configurar sus aplicaciones móviles. El uso de marcos nativos permite a los departamentos informáticos de las empresas configurar las aplicaciones de una misma forma para todos los proveedores de aplicaciones y para todas las soluciones como MobileIron. Consulte www.appconfig.org para conocer las mejores practicas sobre el uso de los marcos nativos por parte de la comunidad de desarrolladores.
Sin embargo, Microsoft no está utilizando marcos nativos, y ha creado en su lugar un conjunto de controles de configuración registrados que son específicos para las aplicaciones de Office 365. Creemos que el motivo es la intención de Microsoft de minimizar su dependencia técnica de Apple y Google, que son la competencia de Microsoft en los mercados de sistemas operativos, dispositivos, productividad e identidad. Estos controles patentados específicos de Microsoft se pueden definir mediante la integración de MobileIron con la API de Microsoft Graph API para las políticas de protección de aplicaciones de Intune. Microsoft Intune se utiliza como capa de middleware para definir las políticas de las aplicaciones de Microsoft a través de MobileIron. El uso de esta integración requerirá de todos modos tener licencia de Microsoft EMS o Intune.
Segurizar Office 365 en Windows 10:• MobileIron configura el perfil de correo electrónico
nativo para conectarse a Office 365 en dispositivos móviles y de sobremesa.
• MobileIron instala de forma silenciosa aplicaciones Win32 y Universal Windows Platform (UWP) en el dispositivo. Como el usuario ya está inscrito en Azure Active Directory (AAD), el dispositivo puede autenticarse de forma segura en aplicaciones de Office 365 sin necesidad de una segunda autenticación. MobileIron cuenta también con integración directa con el proveedor de servicios de configuración o CSP (configuration service provider) de Office para una sencilla implementación mediante la Office Deployment Tool (ODT). Esto permite a los administradores especificar las opciones de la instalación de Microsoft Office ProPlus, que incluye las aplicaciones, el canal y las configuraciones. Para aquellas empresas que hagan uso de Office 2010 y 2013, MobileIron tiene compatibilidad integrada para rellenar automáticamente Outlook con el fin de simplificar la configuración por parte del usuario final.
• El cliente utiliza MobileIron como la plataforma de EMM para segurizar y administrar su cartera completa de dispositivos y aplicaciones, incluidas las aplicaciones de Office 365.
• El cliente también utiliza MobileIron para definir configuraciones complementarias de las aplicaciones de Office 365, como las siguientes:
- Restringir copias de seguridad en la nube - Restricción de cortar/copiar/pegar - Desactivar «Guardar como» - Restringir transferencia de datos hacia/
desde aplicaciones administradas - Cifrar datos de las aplicaciones - Restringir contenido web al navegador
administrado - Desactivar la impresión - Desactivar la sincronización de contactos - Desactivar la captura de pantalla - Bloquear el acceso en dispositivos con
jailbreaks o descifrados - Borrar después de un tiempo prolongado
sin conexión
- PIN/huella digital para el inicio de sesión• Estas configuraciones complementarias
no serán relevantes para todas las organizaciones, pero sí pueden resultar útiles para aquellas que dispongan de requisitos de seguridad específicos. Conviene tener en cuenta que se deben cumplir los siguientes requisitos previos para poder utilizar la EMM de MobileIron, con el fin de definir configuraciones complementarias de Office 365:
- Los usuarios deben tener cuentas de Microsoft Azure AD
- Los usuarios deben tener una licencia de Microsoft EMS o Intune asignada a la cuenta de Azure AD
- Los usuarios deben iniciar sesión en una aplicación de Office utilizando su cuenta de Azure AD
- Aquí podrá encontrar una lista completa de las aplicaciones admitidas: https://www.microsoft.com/cloud-platform/microsoft-intune-apps
1. MobileIron distribuye las aplicaciones de la empresa a través de su app store corporativa y define las políticas de seguridad para la protección de los datos.
2. MobileIron Access bloquea los dispositivos y las aplicaciones no autorizadas para que no puedan acceder a los servicios en la nube de Microsoft.
3. MobileIron establece configuraciones complementarias para las aplicaciones de Office 365 mediante su integración con las API de Microsoft Graph para las políticas de protección de la aplicación Intune.
4. Azure establece un control complementario para las aplicaciones de Office 365.
Nota: Microsoft aplica las configuraciones complementarias a las aplicaciones de Office. Los clientes tienen que seguir teniendo una licencia válida para hacer uso de su servicio de Intune de Microsoft.
Seguridad de MobileIron para aplicaciones de Office 365
Proteger los datos en movimiento de Office 365 en Microsoft Cloud
Los datos de Office 365 residen en Microsoft Cloud, que es seguro, pero la ruta del dispositivo hasta la nube suele atravesar redes que no son de confianza. El tercer elemento del modelo de seguridad de las aplicaciones MobileIron es la protección de los datos en movimiento.
Requisitos de seguridad informáticos para los datos en movimiento
• El departamento de informático debería ser transparente y tener el control total sobre los dispositivos que se conectan a ActiveSync para acceder al correo electrónico.
• Asimismo, el departamento de informática debería tener poder evitar ataques de intermediarios (man-in-the-middle) en la conexión entre los dispositivos móviles y los servicios back-end.
• El departamento informático debería tener la capacidad de definir las políticas de acceso condicional que impiden que los dispositivos móviles y las aplicaciones accedan a servicios de correo electrónico back-end o a aplicaciones.
Modelo de seguridad de aplicaciones MobileIron para datos en movimiento
MobileIron Sentry es la puerta de enlace inteligente a través de la cual pasa todo el tráfico de ActiveSync.• Sentry ofrece al departamento informático
visibilidad total sobre los dispositivos que se conectan a ActiveSync.
• Sentry permite al departamento informático definir reglas para imponer qué dispositivos se pueden conectar a ActiveSync y qué posición deben adoptar para poder conectarse. Dos ejemplos de reglas serían los siguientes:
- Solo los dispositivos administrados de forma activa por MobileIron deben recibir correo electrónico corporativo.
- Los dispositivos afectados o en riesgo, aunque estén administrados, nunca deben recibir correo electrónico corporativo.
• Sentry garantiza la conexión al correo electrónico mediante autenticación en dos fases, utilizando una combinación de certificados del cliente y la identidad del usuario para proteger la conexión de dispositivos que se conecten al correo electrónico a través de redes que no sean de confianza.
MobileIron Tunnel es una aplicación del dispositivo que proporciona servicios seguros de túnel de VPN por aplicación para casi cualquier aplicación corporativa en iOS, la versión corporativa de Android y Windows 10. No necesita modificar ninguna aplicación.
MobileIron Access proporciona acceso condicional que impide que los dispositivos y las aplicaciones que no sea de confianza puedan acceder a los servicios corporativos en la nube. No necesita modificar ninguna aplicación.
Las tres soluciones utilizan la infraestructura de puerta de enlace Sentry.
Modelo de seguridad de aplicaciones MobileIron para datos en movimiento de Office 365
MobileIron Access solo permite la autenticación en los servicios en la nube de Office 365 desde dispositivos y aplicaciones autorizados. Este modelo es igual tanto en aplicaciones en la nube de Microsoft como para las que no lo son.
Si la política de seguridad del cliente requiere una VPN para el tráfico de Office 365, MobileIron Tunnel también proporcionará un servicio de túnel seguro de VPN por aplicación.
Cómo funciona MobileIron Access Todo el tráfico de autenticación de Office 365 desde el dispositivo es redireccionado a MobileIron Access. • Access se configura para interceptar el tráfico
a ADFS o a otros proveedores de identidad.
11
• Cuando el empleado intenta iniciar la sesión, la solicitud de autenticación es redirigida a la puerta de enlace de Access.
• Access garantiza que el dispositivo cumpla con los requisitos y que la aplicación sea administrada antes de trasladar la autenticación a ADFS.
• En ADFS, el empleado presenta sus credenciales y, si la autenticación se realiza con éxito, el empleado es redirigido a Office 365 con el token de acceso adecuado.
• Como siguiente paso, Office 365 otorga acceso al dispositivo. Ni los dispositivos ni las aplicaciones que no son de confianza pueden acceder a la nube de Office 365, puesto que Access bloquearía la ruta de autenticación hasta ADFS.
• Si el empleado está intentando usar una aplicación de Office 365 que se descargó desde la app store pública en lugar de desde Apps@Work, la solicitud de autenticación no podrá llegar hasta ADFS porque Access la bloqueará. Por tanto, el empleado podría iniciar sesión en una cuenta personal de Office 365 pero no en una cuenta corporativa de Office 365.
• Access también ofrece inicio de sesión único (SSO, Single Sign On) en las aplicaciones de Office 365 y ajenas a Office 365 en el dispositivo para hacer que la autenticación sea tanto segura como fluida para el usuario final.
• Y, lo que es más importante, el modelo de seguridad de MobileIron Access es el mismo para el acceso condicional y para el SSO de la aplicación, tanto en los servicios en la nube de Microsoft como en los que no son de Microsoft.
Conclusión
Office 365 es un completo paquete que se ha convertido en parte esencial de la estrategia de productividad de nuestros clientes.
En MobileIron, nuestro objetivo es proporcionar la mejor solución de seguridad para Office 365 y para el ecosistema completo de aplicaciones móviles que nuestros clientes implementan para sus empleados. Algunas de estas aplicaciones serán de Microsoft y otras serán de otros proveedores o se implementarán dentro de la empresa.
Este documento técnico describe el modelo de seguridad de aplicaciones MobileIron y cómo aplicarlo específicamente para Office 365. A medida que vayan surgiendo nuevas funciones y modelos de implementación, iremos actualizando este documento con el fin de que refleje las prácticas recomendadas para segurizar Office 365 con MobileIron.
