Kirjoittaja on pitkän linjan IT-ammattilainen, Centero Oy:n toimitusjohtaja ja asiantuntija, Juha Haapsaari.

MDM onkin nykyaikaisten laitteiden hallintaa

EMS-blogisarjan (Enterprise Mobility Suite) ensimmäisessä osassa kävimme pikaisesti läpi kyseisen tuoteperheen tuotteet ja alustimme tätä blogisarjaa. Tässä osassa syvennymme eri tyyppisten päätelaitteiden ja sovellusten hallintaan, jälleen muistaen sen, että olemme mahdollistamassa asioita emmekä rajoittamassa käyttäjien elämää.

MDM-termin on aikaisemmin ajateltu mobiililaitteiden hallintana (Mobile Device Management), mutta nykyään termi tunnetaan paremmin lyhenteenä sanoille Modern Device Management eli modernien laitteiden hallinta. Muutos johtuu siitä, että alun perin mobiililaitteiden hallintaan määritetty MDM-rajapinta on otettu käyttöön myös muissa kuin mobiililaitteissa, kuten Windows 10:ssä ja OS X:ssä.

Perinteisesti tietokoneita on hallittu niin, että niihin ensin asennetaan hallintajärjestelmäkohtainen sovellus, jonka avulla hallinta tapahtuu. MDM-rajapinta mahdollistaa kuitenkin sen, että hallintaa voidaan tehdä ilman erikseen asennettavaa hallintasovellusta. Tämä helpottaa laitteen ottamista hallintaan, mutta helpottaa myös hallintajärjestelmän vaihtamista.

MDM:n avulla pidetään liikkuvuuden mahdollistavat laitteet toimivina.

MDM:n avulla pidetään liikkuvuuden mahdollistavat laitteet toimivina.

Microsoft Intune on EMS-paketin hallintaratkaisu

EMS-paketissa modernien laitteiden ja sovellusten hallinta tapahtuu Microsoft Intune -palvelun avulla. Hallintaa voidaan toteuttaa usealla eri tavalla riippuen organisaation tarpeista.

 1. Voidaan tehdä perusasioita Office 365:n MDM-toiminnollisuuksilla ilman Microsoft Intunea.
 2. Voidaan hyödyntää Microsoft Intunea puhtaasti pilvipohjaisena järjestelmänä, jolloin kaikki hallintatoimenpiteet tehdään selainpohjaisen käyttöliittymän avulla Microsoftin hallintaportaalissa pilvessä.
 3. Microsoft Intune voidaan kytkeä organisaation sisäverkkoon asennettuun SCCM:ään (Microsoft System Center Configuration Manager).

Edellisistä kahdessa viimeisessä vaihtoehdossa käytetään Microsoft Intune -palvelua, mutta erona on se, mistä hallinta tehdään, ja tarvitaanko itse ylläpidettyjä palvelimia ja järjestelmiä, vai ei.

Kannattaa huomioida, että Microsoft Intune -tilaus sisältää käyttöoikeuden SCCM:n käyttöön, joten lisäkustannuksia tai -työtä SCCM-ympäristön käytöstä tulee vain itse ympäristön käyttöönotosta, sen hallinnasta ja alustoista, joita tarvitaan palvelun pyörittämiseen.

SCCM tarjoaa sellaisia ominaisuuksia, mitä stand-alone Microsoft Intune ei tarjoa, mutta nämä ominaisuudet liittyvät muihin toimintoihin kuin itse MDM-asioihin. Eräs oleellinen tällainen ominaisuus on työasemien keskitetty asennus (OS Deployment).

Miksi moderneja laitteita pitää hallita?

Koska haluamme mahdollistaa ihmisille uusia tapoja tehdä tehtäviään ajasta, paikasta ja päätelaitteesta riippumatta, tarvitsemme työkaluja tämän hallittuun toteutukseen. Siihen tarvitsemme MDM-järjestelmää, jonka toiminnallisuuden voidaan karkeasti jakaa kahteen eri osa-alueeseen:

 • Päätelaitteiden hallinta
 • Sovellusten hallinta

Näiden eri osa-alueiden sisään tipahtaa erilaisia politiikoita sekä määrityksiä, jotka mahdollistavat käyttäjien turvallisesti ja mahdollisimman helposti käyttää sovelluksia eri tyyppisillä päätelaitteilla, joilla sitten luetaan ja muokataan organisaation tietosisältöä eli dataa.

Blogin seuraavissa osissa keskitymme siihen, miten voimme turvata sitä kaikkein tärkeintä eli organisaation omistamaa tietoa, mutta nyt tarkastelemme niiden laitteiden ja sovellusten hallintaa, joiden avulla organisaation tietosisältöön on mahdollista päästä kiinni.

Kun mietimme eri skenaarioita, minkä mukaan haluamme erilaisia politiikoita tai määrityksiä kohdistaa, voidaan ne jakaa karkeasti kahteen eri osa-alueeseen:

 1. Yrityksen omistamat laitteet (Choose You Own Device eli CYOD)
 2. Käyttäjän omistamat laitteet (Bring Your Own Device eli BYOD)

Jos mietimme, millaisia asetuksia haluamme määritellä yrityksen omistamalle laitteelle verrattuna käyttäjän omalle laitteelle, ne varmasti eroavat toisistaan. Samoin varmasti haluamme, että käytössä on eri tasoiset tietoturvaan liittyvät määrityksen riippuen siitä, käynnistääkö käyttäjä

 • organisaation sovelluksen, jolla pääsee kiinni organisaation dataan, kuten sähköpostiohjelman,
 • vai sovelluksen, jolla ei ole mitään tekemistä organisaation datan kanssa, kuten Facebookin.

Seuraavaksi käymme läpi, mitä MDM-järjestelmillä voi tehdä, ja mitä ominaisuuksia voidaan hallita Apple iOS -, Android-, Windows Phone -, sekä Windows 10 -alustoilla. Tällä hetkellä on eroja, mitä kullakin alustalla voidaan hallita, mutta tilanne tasoittuu kokoajan.

Kiteytettynä voisi sanoa, että Windows-laitteilla hallintaan liittäminen on selkeästi helpointa ja suoraviivaisinta, mutta toisaalta iOS- ja Android-laitteille voidaan tällä hetkellä tehdä huomattavasti monipuolisempaa hallintaa. Tilanne varmasti tasoittuu Windows 10 -käyttöjärjestelmän kehityksen myötä, mutta toistaiseksi Windows 10 -puhelimet ovat jäljessä hallittavuuden osalta.

Mitä tämä nykyaikaisten laitteiden hallinta mahdollistaa?

Seuraavaksi käydään läpi niitä asioita, mitä me olemme asiakkaillemme toteuttaneet Microsoft Intune -järjestelmillä. Vaikka nyt keskitymme Microsoft Intune -hallintajärjestelmään, niin samoja tai saman tyyppisiä asioita voidaan toteuttaa myös muilla MDM-järjestelmillä.

Yksi oleellinen asia on inventointi. Siihen ei tarvitse edes mitään hallintamäärityksiä laitteille, mutta saamme tietää, missä laitteissa meillä on organisaation dataa, tai mitä laitteita käyttäjät käyttävät.

Tämä vaatii joko laitteiden liittämistä hallintaan (enrollment), tai jos organisaation käytössä on Microsoft Exchange (joko Office 365, on-premises tai palvelutarjoajan ylläpitämä Exchange, jossa Exchange Connector saadaan asennettua) -sähköpostipalvelu, saadaan nopeasti inventoitua kaikki laitteet, jotka ovat olleet yhteydessä sähköpostijärjestelmään.

Kun tiedämme paremmin, millaisilta laitteilta palveluita käytetään, voidaan tavoitteen suuntaan lähteä ottamalla hallintaa käyttöön askel kerrallaan. Käytännössä tämä tarkoittaa laitteiden liittämistä MDM-hallintaan, joka voidaan tehdä

 1. ohjeistamalla käyttäjää tekemään liittäminen,
 2. pakottamalla käyttäjä tekemään liittäminen tai
 3. toteuttaa liittäminen käyttäjän puolesta joko
  1. paikan päällä tai
  2. Etätuella, mikäli etätukisovellus on hankittu ja käytössä olevat päätelaitteet tukevat sitä.

Jos halutaan, että käyttäjät liittävät itse laitteet hallintapalveluun, se voidaan toteuttaa helposti, jos organisaatiolla on käytössä

 1. Sharepoint Online Office 365 kautta tai
 2. Exchange-sähköpostijärjestelmä. (Samat vaatimukset kuin sähköpostipalveluun liittyvässä inventoinnissa)

Tällöin määritetään halutuille käyttäjille ehdollinen politiikka, joka vaatii käyttäjää liittämään laitteen hallintaan, mikäli haluaa jatkossakin lukea sähköposteja päätelaitteella tai päästä Sharepoint Online -palveluun.

Kannattaa myös lukea erillinen blogimme siitä, miten helppoa minkäkin alustan rekisteröiminen hallintapalveluun on, jos se pitää tehdä käyttäjän toimesta.

Käytännössä Sharepoint Online -vaihtohehdossa on kyse OneDrive for Business -palvelusta, joka pohjautuu Sharepoint Online teknologiaan.

Sähköpostin osalta homma toimii niin, että kun ehdollinen politiikka on otettu käyttöön, tulee käyttäjän sähköpostiin ainoana viestinä pyyntö liittää päätelaite hallintaan. Viesti sisältää myös linkin jonka avulla käyttäjä saa prosessin käyntiin. Tämä tietysti siis vain silloin, jos laitetta ei vielä ole liitetty hallintaan.

Kun päätelaitteita on saatu hallinnan piiriin, päästään sitten varsinaisesti mahdollistamaan käyttäjille pääsyä organisaation dataan. Tässä voidaan hyödyntää esimerkiksi

 • langattomien verkkojen asetusten vientiä laitteille,
 • VPN-yhteyksien määritystä laitteille,
 • sertifikaattien vientiä laitteille ja
 • toki myös sitten säännöstöjen vientiä laitteille, joilla saadaan tietoturva laitteissa halutulle tasolle.

Näiden lähinnä yhteyksiä mahdollistavien ominaisuuksien lisäksi eräs tärkeä asia, on tarjota käyttäjälle asennettavaksi sovellukset, joiden avulla käyttäjä sitten saa pääsyn dataan, kun laitteelle on tarvittavat yhteysasetukset saatu vietyä.

Kaikki nämä asetukset toki mietitään sen mukaan millaisesta laitteesta/käyttäjästä on kyse. Käyttäjän omistamiin laitteisiin ei välttämättä haluta tuoda organisaation langatonta verkkoa tarjolle, kun taas organisaation omistamiin laitteisiin se ehkä halutaan tarjota.

Kaikki vaiheet mitä MDM-järjestelmällä mahdollistetaan, voidaan kohdistaa halutuille laitteille tai käyttäjille, joten maltti on valttia ja kannattaa viedä kaikki uudet asiat aina testiryhmän kautta tuotantoon. Tällöin saadaan myös ne erittäin tärkeät ohjeistukset tehtyä käyttäjille, sekä varmistettua että prosessi ja toiminta ovat tavoitellun kaltaista.

Nykyään käytäntöjä (policy), joilla pääsääntöisesti määritellään organisaation tietoturvaan liittyviä asioita, kohdistetaan laitteiden sijaan sovelluksiin, ja niissäkin käytännöt näkyvät vasta silloin, kun oikeasti aletaan käsittelemään organisaation dataa. Tällöin ne asetukset, jotka saattaisivat vaikuttaa käyttäjäkokemukseen, kohdistuvat vain toimenpiteisiin, joissa organisaation tietosisältöä käsitellään, mutta muuten päätelaitteen käyttö on hyvin vapaata – tietysti riippuen siitä, kuka laitteen omistaa.

Nykyään nämä politiikat voidaan määritellä tietyille sovelluksille, kuten vaikka Microsoft Outlookille, myös silloin kun laitetta ei varsinaisesti ole liitetty hallintaan. Tämä mahdollistaa esimerkiksi organisaation kumppaneille mahdollisuuden lukea sähköposteja organisaation tietoturvaa vaarantamatta.

Kaiken kaikkiaan alati kasvavista hallintaominaisuuksista oleellisinta on käyttää niitä, joiden avulla oma organisaatio voisi mahdollistaa riittävällä tietoturvatasolla pääsyä dataan, vieläpä eri tyyppisiltä laitteilta, vaikka ne organisaation oman verkon ulkopuolella olisikin.

Miten kannattaa lähteä liikkeelle?

Ensimmäisenä kannattaa miettiä organisaation omat tarpeet ja tavoitteet. Päätetään ensin ylätasolla seuraavat perusperiaatteet:

 • Sallimmeko BYOD-mallin kaltaista käyttäjien omien laitteiden käyttöä lainkaan?
 • Jos emme salli, sallimmeko tai haluammeko edes minkään henkilökohtaisen sovelluksen käyttöä?
 • Jos taas sallimme, miten haluamme hallitta erityyppisiä laitteita (yrityksen omistamat, käyttäjien omistamat) ja sovelluksia?

Suunnitelman yksinkertainen runko voisi olla esimerkiksi jotain tämän tyyppistä:

Yrityksen omistamat laitteet Käyttäjien omat laitteet Kumppaneiden laitteet
Liittäminen MDM-hallintaan Kyllä, tehdään IT tuen toimesta Kyllä, mikäli halutaan käyttää muita kuin selain pohjaisia sovelluksia Ei
Ehdollinen pääsy Kyllä Kyllä Kyllä
WLAN-profiili Sisäinen SSID Vierailija SSID Ei
VPN-profiili Kyllä Ei laitteelle, mutta tietyissä sovelluksissa kyllä Ei
Sisäinen sertifikaatti luotetuksi Kyllä Kyllä Ei
Sisäinen laitesertifikaatti Kyllä Ei Ei
Pakotetut sovellukset

Outlook

OneDrive

Skype

Adobe Reader

SAP

Ei Ei
Tarjolla olevat sovellukset

Excel

Word

Powerpoint

Yammer

Outlook

OneDrive

Skype

Adobe Reader

SAP (avaa sovelluskohtaisen VPN yhteyden)

Excel

Word

Powerpoint

Yammer

Ei
Organisaation hallittujen sovellusten politiikka
  • Vaatii PIN-koodin
  • Tiedostoja saa tallentaa laitteelle
  • Vaatii PIN-koodin
  • Data salattava
  • Tiedostoja ei saa tallentaa laitteelle
  • Laite ei saa olla ”murrettu”
  • Vaatii PIN-koodin
  • Data salattava
  • Tiedostoja ei saa tallentaa laitteelle
Laitteen politiikat
  • Laitteen kaikki data salattava
  • Laite ei saa olla ”murrettu”
  • PIN-koodi vaaditaan laitteen käyttämiseen
  • Laite lukittuu 2 min käyttämättömänä olon jälkeen
Prosessi jos laite häviää tai poistuu käytöstä Koko laite palautetaan tehdasasetuksiin Organisaation omistama data tyhjennetään Organisaation omistama data tyhjennetään

 

Tämä taulukko on siis esimerkki siitä, millaisia asioita perusasioita MDM-käyttöönoton ja tulevaisuuden tahtotilan hahmottamisessa kannattaa mietiskellä.

Laiteprofiileja varsinkin organisaation omistamien laitteiden kategoriassa voi olla useita ja niillä erilaisia sääntöjä. Jos vaikka miettii koulun opiskelijoille oppitunnilla annettavia koulun omistamia tabletteja, niin niissä on varmasti paljon tiukemmat säännöt, kuin saman koulun opettajien tableteissa. Samoin aikataulut kannattaa miettiä ja lähteä pureskelemaan kakkua riittävän pienissä paloissa ja testauksen kautta.

Erittäin tärkeässä roolissa on myös MDM-osaaminen. Kannattaakin käyttää osaavia kumppaneita sparraamaan oman MDM-tavoitteen kirjaamisessa, ympäristöjen käyttöönotossa ja hallinnassa.

Tätä kaikkea löytyy Centerolta joten, ottakaa ihmeessä yhteyttä, mikäli haluatte päästä jouhevasti MDM-hallinnassa alkuun. Kannattaa muistaa, että tulevaisuudessa myös tietokoneiden hallinta tulee siirtymään yhä enemmän MDM-pohjaiseksi, joten nyt on korkea aika ottaa järjestelmät haltuun ja miettiä suunnitelma!