Få nu flyttet de personlige konti til portaler over til en fælles boks
Dette indlæg henvender sig til dem, der administrerer forskellige systemer og portaler i virksomheder og organisationer.
Det kunne være portaler til fx.
- Apple Business Manager (ABM)
- Apple School Manager (ASM)
- Apple Volume Purchase Program (VPP)
- Programmet Apple Device Enrollment Program (DEP), snart ADE (Automatic Device Enrollment)
- Samsung Knox portalen, herunder bl.a. Knox Mobile Enrollment (KME)
- Android Enterpris, herunder Zero Touch Enrollment (ZTE)
- Google Play Store
- og mange flere.
Ovenstående portaler benyttes i forbindelse med MDM løsninger.
Mine mange års erfaring har vist, at adgangen til disse portaler ofte er blevet oprettet med administrators email adresse, som login til portalen.
Men nu hænder det, at folk skifter job, går på pension eller går bort; og hvad så?
Tag nu fx. Apple Push Notification Service (APNS), som er en service, der er vital for, at en MDM, EMM eller UEM løsning kan kommunikere med en Apple enhed, fx. iPhone eller iPad. I forbindelse med den initielle konfigurering af organisations nye MDM løsning, så SKAL der oprettes dette certifikat. Jeg har set mange installationer, hvor dette certifikat er blevet tilknyttet system administrators email adresse.
Et år efter SKAL dette certifikat fornyes! Apple sender en email til den tilknyttede emailadresse, der minder om dette. Men hvad sker der, når system administrator har skiftet arbejdsplads? I værste fald, så bliver certifikatet ikke fornyet, og det kan have den meget uheldige konsekvens, at alle de enheder, som MDM løsningen har administrere, skal genindrulles på løsningen.
Jeg har oplevet skoler hvor vi taler om flere tusinder af iPad, der skulle genindrulles, alene fordi ingen fik denne reminder fra Apple.
Ovenstående eksempel er et af de slemme eksempler på budskabet i dette indlæg. En god IT-organisation har oprettet en fælles-email konto, som flere kan tilgå, og som overvåges måske dagligt. Nogle har måske oprettet “alias”-konti under denne fælles konto, så det er unikke konti til de forskellige portaler.
Til nogle portaler kan man herefter tilføje andre personlige emailadresser, så folk kan benytte deres egen email adresse som login.
Det er efter min mening af største vigtighed for en sikker IT-drift, at alle adgang til portaler, værktøjer, mv. altid er tilknyttet fælles emailbokse, og aldrig kun en personlig emailadresse.
Ønsker en virksomhed at være/blive ISO 27001 compliant, så er håndtering af adgange til virksomhedens vitale IT-systemer et fokusområde.