06 3717 8206 info@digimprove.nl
Selecteer een pagina

WAT IS MICROSOFT ENTERPRISE MOBILITY + SECURITY (EMS)?

Op dit moment wordt er veel mobiel en van thuis uit gewerkt. . Veel medewerkers van organisaties hebben hiermee te maken. Het blijkt dat dat veel mensen steeds meer met eigen apparaten zijn gaan werken. De corona maatregelen hebben daar vanzelfsprekend een enorme boost aan gegeven. Hiermee is de behoefte aan verbeterde beveiliging en eenvoudige beheermogelijkheden toegenomen, vooral op al die systemen die zich buiten de beheermogelijkheden van systeembeheerders begeven.

Daarnaast gebruiken mensen vaak meerdere accounts die ze, in verschillende mate onderhouden. In de cloud en op kantoor. Het ene account kan daarbij goed beveiligd zijn terwijl het andere account zowat op straat kan liggen. Daarbij komt het voor dat het zwakkere account toegang geeft tot het ‘sterke account’ omdat men lokaal wachtwoorden opslaat en zodat daarmee de gehele beveiliging gevaar loopt.

Door het gemeenschappelijk gebruik van apparatuur door bijvoorbeeld gezinsleden loopt data soms ook gevaar. De malware afkomstig van websitebezoek van een kind heeft effect op de bestanden van de ouder die zich op hetzelfde apparaat bevinden en de bescherming van dergelijke thuis apparaten en thuisnetwerken laat geregeld te wensen over.

Microsoft introduceerde in 2014 de zogenaamde Enterprise Mobility Suite (EMS) en was in eerste instantie vooral gericht op grote ondernemingen. Het idee was om een aantal beheerderstools voor systeembeheerders te ontwikkelen die konden worden gebruikt om pc’s en laptops op afstand te kunnen beheren. Hoewel de naam EMS nog veel gebruikt wordt, moeten we nu eigenlijk spreken over Microsoft Enterprise Mobility + Security. Inmiddels is EMS ook voor kleine ondernemingen geschikt gemaakt.

EMS werd niet voor niets een suite genoemd. Het bestaat namelijk uit verschillende producten waarvan een deel ook los af te nemen is. Afhankelijk van het pakket gaat het hierbij om producten zoals Azure Active Directory Premium, Intune, Advanced Threat Protection, en Azure Rights Management.

Wat doet Enterprise Mobility + Security?

Het hele idee achter EMS is dus het aanbieden van beheertools die mogelijkheden bieden om mobiele gebruikers en data beter te kunnen helpen en beter te kunnen beschermen. Dat doet EMS door onder andere de identiteit van gebruikers beter te laten beheren en beschermen, apparaten zoals laptops en desktops op afstand te laten beheren, data te beveiligen en bijvoorbeeld cloud applicaties zoals Office 365 goed te laten beheren.

EMS wordt tegenwoordig ook gebruikt om te kunnen voldoen aan de wetgeving die zich richt op datalekken. Het is bijvoorbeeld mogelijk om bij te houden welke cloud applicaties waarvoor worden gebruikt en om data eenvoudig te kunnen versleutelen met behulp van complexe data encryptie. Ook voor externe medewerkers die een eigen apparaat gebruiken kan het werken met EMS een uitkomst bieden. Zij kunnen hiermee toegang en/of policies toegewezen krijgen vanuit uw organisatie om daarmee zaken te kunnen doen.

Naast deze zaken is het mogelijk om voor gebruikers hun tools zo voor te bereiden dat, wanneer zij op een andere of nieuwe machine gaan werken, veel zaken automatisch worden ingesteld. Denk daarbij aan toegang tot het wifi netwerk van het bedrijf, de installatie van software en de instellingen voor hun email.

Azure AD

Azure AD is een Active Directory die in de cloud bij Microsoft wordt bewaard. In de cloud wordt Azure AD gebruikt om rechten toe te kennen aan gebruikers voor Office 365.

In Azure AD wordt niet alleen de toegang tot Office 365 geregeld. Je kunt hiermee ook Facebook benaderen of bijvoorbeeld op Google inloggen. Azure AD is dus bedoeld om in de cloud over een identiteit te beschikken.

Aan Azure AD worden ook de EMS licenties gekoppeld. Vandaar dat Azure AD nodig is voor EMS, en EMS dus een Azure AD onderdeel bevat. Dit is altijd nodig, al maakt men geen gebruik van bijvoorbeeld Office 365.

Microsoft Intune

Een ander onderdeel van EMS is Microsoft Intune. Dit cloud-based product is bedoeld om apparatuur mee te kunnen beheren. Intune gebruikt Azure AD om onder andere te kunnen achterhalen welke apparaten door welke gebruiker worden gebruikt. Daarbij beperkt het zich niet tot Windows machines alleen. Het kan ook overweg met bijvoorbeeld een Apple iPad of een Android SmartPhone. Het beheer van al deze apparaten vindt plaats door gebruik te maken van een webportaal door de systeembeheerder.

Als een apparaat is geregistreerd (gebruikers kunnen hun apparaten zelf ook opgeven) dan kan de systeembeheerder informatie van dat apparaat opvragen. Denk daarbij aan bijvoorbeeld de technische specificaties. Met Intune kan de systeembeheerder verder software uitrollen naar deze machine, instellingen daarvan veranderen en zelfs de machine op afstand wissen, wat handig kan zijn bij een diefstal van het apparaat. Hij kan ook eisen stellen aan het apparaat. Bijvoorbeeld dat het moet zijn voorzien van een bepaalde versie van het besturingssysteem. Voldoet hij daar niet in, dan kan hij het apparaat de toegang tot het netwerk verbieden.

Microsoft Advanced Threat Protection

Met Advanced Threat Protection (ATP) wordt een technologie uitgerold waarmee cyberaanvallen en bedreigingen van binnenuit kunnen worden aangepakt. ATP doet dit door het netwerkverkeer te controleren. Het kijkt daarnaast naar logboeken zoals die worden aangemaakt op de AD servers om te onderzoeken wat er allemaal gebeurt.

In hoofdlijnen kijkt ATP naar drie zaken: of het bedrijf wordt aangevallen, of er bijzondere beveiligingsrisico’s bestaan en of er abnormaal gedrag plaatsvindt. Via een dashboard wordt de systeembeheerder op deze zaken geattendeerd.

Als een mobiele gebruiker is ingelogd op het netwerk en dingen doet die als ‘vreemd’ worden beschouwd, bijvoorbeeld omdat hij probeert in allerlei mappen te komen waar hij geen rechten toe heeft, dan zal ATP dat kunnen melden. Vanzelfsprekend moet ATP wel eerst weten wat normaal en abnormaal gedrag van de gebruiker is. Daarom leert het met kunstmatige intelligentie van wat er op het netwerk gebeurt. Hoe langer het draait, hoe adequater het daarom beschermd.

Microsoft Azure Rights Management

De Microsoft Rights Management Services (RMS) is als onderdeel van EMS E5 bedoeld om data te kunnen beschermen, ook (en misschien juist wel vooral) buiten het eigen netwerk om. Wanneer een gebruiker een Word document maakt, stelt RMS hem in staat om te bepalen wie het document mag lezen, hoe lang het mag blijven bestaan en of het document bijvoorbeeld afgedrukt mag worden. Met AD RMS kan daarom het intellectuele eigendom van een organisatie worden beschermd.

Interessant is ook dat men met Azure RMS data kan labelen. Dit is iets waar naar verwachting in de komende jaren steeds meer gebruik van gemaakt zal gaan worden. Denk bijvoorbeeld aan een case waarbij men binnen een bedrijf de policy afspreekt dat het CV van een sollicitant niet langer dan 3 maanden bewaard mag blijven. Een dergelijk CV kan dan doorgestuurd worden met het label ‘verwijder na drie maanden’. Ongeacht waar dit CV zich dan bevindt, bijvoorbeeld in de mail, zal dit dan automatisch na drie maanden worden verwijderd. Een technologie die bijvoorbeeld naadloos aansluit bij de nieuwe wetgeving waarbij is vastgelegd hoe lang bepaalde persoonsgegevens bewaard mogen blijven.

Conclusie

Microsoft EMS beschikt is een tool die het mobiele werken beter mogelijk maakt, het beheer van de machines en software ondersteund, de beveiliging van data regelt en de identiteit van gebruikers beschermd.