Microsoft Enterprise Mobility Security (EMS)

Het hele idee achter EMS is om beheertools te bieden die mogelijkheden bieden om mobiele gebruikers en gegevens beter te ondersteunen en te beschermen. EMS doet dit door gebruikers in staat te stellen hun identiteit beter te beheren en te beschermen, apparaten zoals laptops en desktops op afstand te beheren, gegevens te beschermen en cloudapplicaties zoals Office 365 op de juiste manier te beheren.

EMS wordt nu ook gebruikt om te voldoen aan de wetgeving inzake datalekken. Zo kunt u bijvoorbeeld nagaan welke cloud-apps voor welk doel worden gebruikt en gegevens eenvoudig versleutelen met geavanceerde data-encryptie. Werken met een EMS kan ook een oplossing bieden voor externe werknemers (met hun eigen werkstations). Zij kunnen (eventueel tijdelijke) toegang krijgen en/of het beleid van uw organisatie om bepaalde dingen te doen.

Naast deze dingen kunt u alles instellen voor gebruikers, zodat wanneer ze op een andere of nieuwe machine gaan werken, veel dingen automatisch worden ingesteld. Denk aan toegang tot het wifi-netwerk van het bedrijf, software-installatie en e-mailinstellingen.

EMS wordt niet voor niets een suite genoemd. Het bestaat uit verschillende producten, waarvan sommige ook afzonderlijk kunnen worden gekocht. Afhankelijk van het pakket omvat het producten zoals Azure Active Directory Premium, Intune, Advanced Threat Protection en Azure Rights Management, die hieronder in meer detail worden besproken.

Azure AD

Wie een Microsoft Windows Server netwerk heeft (zoals de meeste bedrijven), gebruikt ook Active Directory (AD). In AD staan zaken als computers en gebruikers. Hiermee kunnen systeembeheerders machtigingen en instellingen op het netwerk van de organisatie instellen. AD wordt bijvoorbeeld gebruikt om toegang tot een bepaalde map te verlenen of te weigeren, maar geeft een gebruiker ook het recht om überhaupt in te loggen.

Azure AD is de Active Directory directory die is opgeslagen in de cloud van Microsoft. Het lijkt misschien op AD op je eigen netwerk, maar het is eigenlijk iets anders. In de cloud wordt Azure AD gebruikt om rechten toe te kennen aan gebruikers voor Office 365, maar het registreert bijvoorbeeld geen servers of kent geen groepsbeleid toe. Een persoon die met Office 365 werkt, heeft dus een office-account en een cloud-account nodig.

Het is echter wel mogelijk om Azure AD te synchroniseren met AD op kantoor. Met een eenvoudig gratis programma van Microsoft kunnen de twee systemen bijvoorbeeld wachtwoorden synchroniseren. Iets dat nuttig kan zijn voor de gebruikers. Het basisprincipe is dat de systeembeheerder dit hulpmiddel vertelt welke on-premises account een wachtwoord moet uitwisselen met welk account in de cloud. Voor het overige hebben deze accounts weinig met elkaar gemeen. In geval van een synchronisatiefout blijven de twee accounts dus onafhankelijk van elkaar bestaan.

Azure AD beheert niet alleen de toegang tot Office 365. U kunt het ook gebruiken om toegang te krijgen tot Facebook of in te loggen bij Google, bijvoorbeeld. Hierdoor kunt u andere dingen doen met Azure AD dan met on-premises AD. AD on premise is voor toegang tot kantoor-ICT-diensten, terwijl Azure AD is voor identiteit in de cloud. Daarom vervangt het een het ander niet.

EMS-licenties zijn ook gekoppeld aan Azure AD. Dit is de reden waarom Azure AD noodzakelijk is voor EMS en waarom EMS een Azure AD component bevat. Het is altijd nodig, zelfs als u bijvoorbeeld geen Office 365 gebruikt.

Microsoft Advanced Threat Protection

Advanced Threat Protection (ATP) introduceert technologie die cyberaanvallen en bedreigingen van binnenuit kan tegengaan. ATP doet dit door het netwerkverkeer te monitoren. Het onderzoekt ook de logboeken die op AD-servers worden gegenereerd om te bepalen wat er gebeurt.

In wezen kijkt ATP naar drie dingen: of het bedrijf wordt aangevallen, of er specifieke veiligheidsrisico’s zijn, en of er sprake is van abnormaal gedrag. Het dashboard brengt de systeembeheerder op de hoogte van deze problemen.

Als een mobiele gebruiker verbonden is met het netwerk en dingen doet die als “vreemd” worden beschouwd, zoals proberen in te loggen in mappen waartoe hij geen rechten heeft, kan de ATP dit melden. Natuurlijk moet het ATP eerst bepalen wat normaal en wat abnormaal gedrag van de gebruiker is. Zo leert het, dankzij kunstmatige intelligentie, van wat er op het netwerk gebeurt. Hoe langer ATP draait, hoe beter het beschermt.

Microsoft Azure Rights Management

De Rights Management Services (RMS) van Microsoft, die deel uitmaken van EMS E5, zijn ontworpen om gegevens ook (en misschien vooral) buiten het eigen netwerk te beschermen. Wanneer een gebruiker een Word-document aanmaakt, kan hij in RMS specificeren wie het document mag lezen, hoe lang het mag bestaan, en of het bijvoorbeeld mag worden afgedrukt. Daarom kan AD RMS worden gebruikt om het intellectuele eigendom van een organisatie te beschermen.

Interessant is dat Azure RMS ook de mogelijkheid biedt om gegevens te taggen. Verwacht wordt dat deze technologie in de komende jaren steeds meer zal worden gebruikt. Neem bijvoorbeeld het geval waarin een bedrijf een beleid heeft waarbij het cv van een kandidaat niet langer dan drie maanden mag worden bewaard. Deze cv’s kunnen worden verstuurd met een “verwijder na drie maanden” stempel. Ongeacht waar het cv zich bevindt, bijvoorbeeld in de post, wordt het na drie maanden automatisch verwijderd. Technologie die bijvoorbeeld perfect past in de nieuwe wetgeving die een tijdslimiet stelt aan de opslag van bepaalde persoonsgegevens.

Intune

Voor meer informatie over Intune verwijzen we je graag door naar het naar het artikel wat is Microsoft Intune.

💬 Hulp nodig?