Enterprise Mobility + Security

 

Wat is Microsoft Enterprise Mobility + Security

Enterprise Mobility + Security (EMS) is een gebundelde cloudoplossing van Microsoft die bestaat uit verschillende beveiligingsproducten. Het integreert oplossingen voor Identiteits- en toegangsbeheer, Mobile Device Management, Informatiebeveiliging en Threat Management. EMS is bedoeld als uitbreiding van je Office 365 abonnement.

De moderne werknemer wil altijd en overal op een eenvoudige manier bij zijn of haar applicaties en data kunnen. Daarbij wordt er steeds mobieler gewerkt. Of dit mobiele apparaat nu door de baas wordt verstrekt  (Choose your own Device, ofwel CYOD) of dat je je eigen apparaat meeneemt (Bring your own Device, ofwel BYOD).

Deze toegenomen mobiliteit draagt bij aan productiviteitsverhoging en nieuwe organisatiemodellen, maar voor de IT-afdeling is dit een enorme complexe uitdaging. Hoe beveilig je een apparaat dat privé eigendom is? Hoe garandeer je de veiligheid als je onbekende apparaten in je netwerk toelaat? Hoe weet je of privacy- of concurrentiegevoelige data niet achteloos op een USB stick of in een particuliere Dropbox terechtkomt?

Microsoft biedt een volledige suite aan producten aan om een oplossing te bieden voor de uitdagingen rondom mobility: Enterprise Mobility + Security (EMS).

 

Overzicht van Enterprise Mobility + Security

Enterprise Mobility + Security (EMS) is een bundel van verschillende beveiligingsoplossingen van Microsoft met als doel de applicaties en data van de mobiele werknemer te beschermen. EMS bestaat uit o.a. de volgende producten :

  1. Azure Active Directory Premium (identiteitsbeheer en toegangscontrole)
  2. Microsoft Intune (beheer van mobiele apparaten en -apps)
  3. Azure Information Protection (informatiebeveiliging)
  4. Advanced Threat Analytics (geavanceerde dreigingsrapportages)
  5. Azure Advanced Threat Protection (aanvullende beveiliging, alleen beschikbaar in de E5 editie van EMS)

 

Microsoft Enterprise Mobility + Security components

Deze producten zijn ook los verkrijgbaar. Veelal kiezen organisaties echter voor EMS vanwege de voordeligere bundelprijs van circa € 7,50 per gebruiker per maand. Eén licentie is geldig voor maximaal vijf -persoonlijke- devices.

 

Identiteitsbeheer met Azure Active Directory

Waar Active Directory de plek is voor identiteitsmanagement bij traditionele lokale IT-omgevingen, is Azure Active Directory de dienst die identiteitsbeheer mogelijk maakt in de cloud. Deze twee databases kunnen gekoppeld worden zodat alle gebruikers die je lokaal hebt, automatisch gesynchroniseerd worden naar de cloud. Je hebt hiermee één login-account voor Windows, Office 365 en duizenden cloud apps van derden.

Als je voor de eerste keer een Microsoft-clouddienst aanmaakt krijg je automatisch de gratis versie van Azure Active Directory. Bij alle vervolgdiensten die je aanvraagt wordt datzelfde account gebruikt zodat je overal met dezelfde gegevens kunt inloggen. De Premium versie die onderdeel is van EMS biedt daarnaast de volgende extra functionaliteit:

  • Self-service wachtwoordherstel
  • Multi-Factor Authenticatie (MFA)
  • Misbruikdetectie door automatische gedragsanalyse met Advanced Threat Analytics (ATA)
  • Identiteitsbeheer met Microsoft Identity Manager (MIM)

De mogelijkheid om met één beveiligd account automatisch in te kunnen loggen bij al je andere (web)applicaties heeft veel voordelen. Niet alleen is dit heel gebruiksvriendelijk, maar ook veel veiliger. Minder inloggen betekent ook minder kans dat een wachtwoord ontfutselt kan worden door een hacker.

 

Mobile Device- en Application Management met Microsoft Intune

Microsoft Intune biedt functies voor het beheer van (mobiele) apparaten en -apps vanuit de cloud. Met Intune kunnen organisaties medewerkers via elk apparaat toegang verschaffen tot bedrijfsgegevens en tegelijkertijd deze gegevens beveiligen.

Voorbeelden van praktische toepassingen zijn het wissen van verloren of gestolen apparaten (selective wipe). Het afdwingen van toestelvergrendeling en data encryptie. Verouderde of slecht beveiligde apparaten de toegang tot mail of documenten in Office 365 ontzeggen (conditional access). Het is daarnaast mogelijk om Mobiel Applicatiebeheer (MAM) uit te voeren zonder dat het mobiele device volledig onder controle van de IT-afdeling hoeft te staan. Dit is handig als de apparaten bijvoorbeeld eigendom zijn van de werknemer of freelancer (BYOD).

Microsoft Intune Selective Wipe

Selectief wissen van bedrijfsdata en -applicaties met Intune.

 

Toegang- en informatiebeveiliging met Azure Information Protection

Zit je in een privacy- of concurrentiegevoelige markt, dan is Azure Information Protection (AIP) een essentiële dienst. Met AIP kun je controleren wat gebruikers kunnen of mogen doen met bepaalde Office 365 bestanden en -berichten. Dit maakt het een stuk moeilijker om per ongeluk of opzettelijk data te delen met andere niet geautoriseerde personen.

Azure Information Protection - Beperkingen voor e-mailcommunicatie

Verzend berichten die niet doorgestuurd of geprint mogen worden

Als organisatie bepaal je data classificatie-labels en bijbehorende beleidsregels. Bijvoorbeeld “publiek, Intern en Geheim”. Met AIP kun je vervolgens restricties plaatsen op de mogelijkheid om bestanden met een bepaalde classificatie te kopiëren, door te sturen, veranderen of te printen. Zelfs wanneer ze geopend worden op bijvoorbeeld een iPhone of Android apparaat. Wanneer een bestand wordt gekopieerd wordt naar een cloudopslag locatie die niet wordt beheerd door je IT afdeling, bijvoorbeeld je prive dropbox, zorgt ‘protect in place’ ervoor dat de bescherming bij het bestand blijft.

Niet alleen zorgt AIP ervoor dat ongeautoriseerde personen worden weerhouden van het openen of manipuleren van bestanden, ook bevat de dienst de mogelijkheid tot ‘monitoring’ van bestanden. Hiermee kun je bijhouden of en wanneer de geautoriseerde personen de bestanden hebben geopend, of ze geprobeerd hebben om ongeautoriseerde acties te verrichten zoals printen of aanpassen en of ongeautoriseerde personen geprobeerd hebben het bestand te openen.

AIP beleidsregels kunnen niet alleen worden toegepast op Azure of Office 365, maar ook op je on-premises File-, Exchange- en SharePoint servers.

 

Enterprise Mobility + Security versies

Microsoft Enterprise Mobility + Security is verkrijgbaar in twee versies, E3 (€7,40) en E5 (€12,50). De meeste MKB bedrijven zullen voldoende hebben aan E3, maar als je aanvullende eisen hebt aan Cybersecurity maatregelen inzicht en bescherming van je cloudapplicaties en automatisch classificeren van data dan heb je de E5 nodig.

Meer informatie over de verschillen en functies van beide versies.

 

Conclusie

De Enterprise Mobility + Security suite van Microsoft is een zeer compleet en competitief geprijsde oplossing voor een vraagstuk dat in de komende tijd alleen maar actueler zal worden. Waar op dit moment voornamelijk organisaties die privacy en security heel serieus nemen geïnteresseerd zijn in EMS, zal binnen een paar jaar geen enkel bedrijf meer zonder dergelijke oplossingen kunnen.

Wil je meer weten over EMS of een demonstratie zien, neem dan contact op met een van onze Office 365 specialisten (079-3637050).