微軟的企業行動化管理方案,過去經過不少變動,最早是行動裝置管控Intune產品,之後則以綜合型方案Enterprise Mobility Suite(EMS)為主,去年底開始改名為Enterprise Mobility + Security,簡稱仍是EMS,並新增加了E3與E5的不同版本選項。

EMS特別強調身分權限的管控,以Microsoft Azure Active Directory Premium為核心,搭配Intune裝置控管與Azure Information Premium資訊保護(前身為Azure Rights Management),進而做到行動裝置,以及資料上的安全管理及防護。

另外,與一般行動化管理方案相比,微軟EMS還特別加入更多安全相關的產品,提供加值應用,像是內部威脅分析系統Advanced Threat Analytics,在較高階E5方案中,又加入了Cloud App Security產品,可幫助管理公司內部使用SaaS雲端服務的安全性,同時Azure AD Premium與Azure Information Premium也將提供更進階的管理功能。只是,EMS本身沒有提供行動生產力的App,與一般行動化管理方案不同。

在建議售價方面,E3方案每人每月292元,E5方案每人每月506元,套裝內的各產品也可單獨選購。如要企業用戶想要更多生產力應用,則可額外搭配微軟自家的Office 365綜合方案。

 

【前端使用者介面】在微軟企業行動化管理Enterprise Mobility + Security(EMS)解決方案中,強調以身分認證管理服務Azure AD為基礎,搭配行動裝置管理、資料保護,也提供整合企業內部與SaaS應用程式的入口平臺,方便用戶安全存取企業應用

微軟EMS行動App總覽 

在微軟提供的Enterprise Mobility + Security企業行動化管理方案中,使用者在行動端安裝Microsoft Intune 公司入口網站App,即可檢視企業發布的應用程式,同時也能看到自己所有的受管裝置。

搭配身分識別的管理機制,微軟也提供了Microsoft Authenticator App,等於多一層帳號安全防護。其他微軟EMS相關App,還包括安全瀏覽器Intune Managed Browser,以及可方便檢視他人共用受保護檔案的Azure Information Protection。

與一般行動管理方案較不同的是,由於微軟本身也是企業郵件與Office生產力工具軟體及雲端服務供應商,因此EMS額外搭配自家Office 365平臺,就能取得這些應用的專屬App。只是,單就EMS本身來看,就沒有太多生產力相關的App可使用。

主打基於身分識別、搭配行動管理的存取管控

在微軟EMS方案之下,Azure AD Premium的搭配是一大特點,可以整合公司內部與雲端的帳號管理,並主打條件式存取控制與多因素認證。在這次測試的行動化管理產品中,微軟與VMware的EMM產品,也都針對身分驗證提供專屬系統。

像是要讓外部員工要連至公司入口網站、登入Azure平臺時,除了需輸入帳號密碼,管理者可要求經過多因素認證,輸入一組驗證碼才能登入。例如,我們在登入介面上,可以看到平臺上提供了電話語音、手機簡訊,以及利用Microsoft Authenticator的App的選項,這是Azure AD Premium內建的機制,可讓使用者可透過自身的智慧型手機來接收認證碼,多一層確保的關卡。

更重要的是,Azure AD Premium具有條件式存取的管控方式,管理者只要設定使用者存取應用程式設定時,所需的特定條件,包含像是群組成員資格、裝置平臺、位置、應用程式與風險等五大面向,一旦條件不符,即可採多因素驗證再次確認身分,或是登入位置突然從臺灣網域變成美國,即可封鎖存取。

這裡的條件設定相當彈性,像是能以白名單或黑名單方式建立不同原則,符合條件採取的動作也包含像是,不讓對方存取、觸發雙因素認證,也能限制應用程式一定要在受控且合規範的裝置上,或是已加入網域的裝置,才能允許開啟。

另外,在進階的E5方案中,Azure AD Premium P2還會增加Azure AD Identity Protection,當中可提供安全性報告,主動提供防護建議。這主要是利用機器學習方式,辨識每個存取行為是否產生風險,並自動針對帳號產生風險評估的分數,之後就能夠主動提供建議,像是要管理者啟用雙因素認證,或是強制要求使用者更換密碼。

綜合來看,在這次測試產品當中,微軟產品提供的身分安全管理功能,顯然是比較豐富一些。

強調身分識別管理,提供3種二階段認證方式

在微軟EMS的行動管理解決方案下,Azure Active Directory Premium所提供的身份驗證服務是主要核心,可提供條件式存取管控,以及多因素認證機制。像是管理者能夠設定,當不符合企業制定的存取原則時,可觸發多因素認證機制,讓使用者要以接收簡訊、接聽撥打電話,或安裝Microsoft Authenticator App的方式,取得認證碼,並在登入介面上輸入以驗證身分。即使他人非法取得帳戶密碼,若沒有同時搭配的手機,也就無法通過驗證。

提供Azure AD的應用程式存取平臺,應用以Web與雲端服務為主

在微軟EMS方案中,其實也提供了使用者存取應用程式的單一入口My Apps(myapps.microsoft.com),讓使用者在登入平臺之後,就可存取企業提供的各式SaaS服務,也能使用公司內部的Web應用程式。

同時,由於Azure AD Premium也支援SAML認證,使用者存取上面的所有應用時,就能享有單一登入的便利,像是我們在測試環境中,從公司入口網站開啟像是Office 365郵件服務時,就可以不用再輸入密碼。

另外我們也能透過管理後臺,從資源庫將GoToMeeting等不同雲端服務,加入到企業應用程式清單中,之後在My Apps介面上,就能開啟服務直接使用。

至於公司內部Web應用的支援,管理者主要是透過設定將對外網址放到Azure平臺,也可說是由Azure代管這個對外網址,以提供單一登入與安全遠端存取。

基本上,使用者可以登入這個入口網站,或是在行動裝置上執行My Apps這款App,就能快速存取公司提供的所有應用程式。

同時,使用者在受控的行動裝置上,本來就已經從Google Play、App Store與Windows Store,下載Microsoft Inture公司入口網站(Intune Company Portal)的App,不僅是讓裝置能依循企業要求,納入管控並提升登入安全性,也能取得企業管理者從Intune發布的應用App。

文件外發管控容易,管理者並可追蹤與遠端取消存取權

基本上,EMS主要透過Intune行動裝置納管企業各式iOS、Android與Windows裝置,而在文件安全管控方面,微軟主要搭配的Azure Information Protection(AIP),也就是之前RMS的改版,提供數位版權管理E-DRM(Digital Right Management)的方式,而不是企業檔案共用及同步(EFSS)檔案同步,像是OneDrive for Business。

EMS也已經提供AIP Viewer的App,方便使用者在行動裝置上,即可瀏覽受保護的文字、PDF、圖片檔案等。

基本上,經Azure Information Protection 加密保護的資料,檔案本身就已經套用權限,可在公司內部使用者之間共用,也支援文件外發的管控,這裡的管控方式可限制資料的編輯、複製、列印、轉寄與使用期限。

較特別的是,管理者將可透過管理後臺,追蹤Azure Information Protection保護的文件。如果需要停止共用,可取消文件的存取權,之後,即使對方雖然手上有檔案,但在連線至Azure平臺驗證身分權限時,就無法開啟。

另外,在EMS進階的E5方案中,管理者在AIP上還可做出更嚴格的設定,像是文件內若含敏感資料,使用者在儲存時,就能被系統自動加密保護。

雖然EMS本身缺乏生產力工具,但可額外選購Office 365

比較起來,微軟EMS並不像Citrix與VMware這兩家產品,提供了多款行動生產力應用的App,並建構一個結合虛擬化應用、整合式的入口平臺。因此,微軟EMS在行動生產力應用上顯得單薄,而微軟自家的Azure RemoteApp相關技術,也沒有包含在EMS方案之內。

不過,因為微軟本身就是主要生產力工具的雲端服務提供者,已經提供郵件服務、Office文書應用等,若使用者想獲得這些應用,將能額外選購Office 365的綜合方案,就可直接使用服務本身的App,並搭配EMS的身分識別與資料保護機制。其實,現在各家產品也多會強調能與Office 365雲端服務搭配,而微軟的優勢就在於都是自家產品。

與Office結合緊密,並提供以檔案為主的資料保護機制

在微軟EMS方案之下,我們也不難看出與Office 365或Office應用程式的結合很緊密,例如,在安裝Azure Information Protection(AIP)用戶端程式的電腦上,當我們開啟像是Excel等Office應用程式時,可以看到AIP相關的防護設定,用戶選擇Personal、Public等標籤,方便在必要時,能自動保護其文件和電子郵件。此外,使用者也能設定存取對象與權限,限制編輯、複製、列印、轉寄、可使用期間等操作。

額外提供多種安全相關加值應用

與一般行動化管理解決方案相比,微軟EMS還有其他不同之處,像是包含了幾個安全相關的加值應用,提供內部威脅分析系統Advanced Threat Analytics,而且在進階E5方案中,又加入了Cloud App Security,可針對內部雲端應用程式監控與管理。

雖然這些功能並不算是企業行動化管理的核心功能,但這些不同面向的防護也很特別,像是Microsoft Advanced Threat Analytics,主要利用機器學習技術,針對企業內部AD的行為偵測與監控,像是分析使用者或裝置的存取行為與可疑操作記錄,目的是增加網路安全性,減少針對性地攻擊行為。

至於Cloud App Security,更讓應用EMS的企業不只是提供企業SaaS應用,還能做到更全面的SaaS應用管控,可建立有關雲端應用程式的存取、行動、資料共用等政策,防止資料外洩,並能在發現使用者有安全性風險時,控制使用者的存取權限。

後臺管理以Azure平臺為核心,整合潛力最佳

在微軟EMS的後臺管理方面,算是這次測試3家方案裡面最集中的,畢竟以雲端方案為主,像是Azure AD與Azure Information Protection的管控後臺,本就是基於Azure平臺。近期,微軟也開始把原本獨立的行動管理後臺Intune整入Azure,讓管理者只要登入Azure平臺,就能夠對管控身分、裝置與資料。

在Azure AD與Intune管理項目的介面上,也都提供各自的儀表板,方便管理者快速檢視用戶與裝置狀態,設定介面也都以Azure一致風格呈現,對於熟悉Azure的管理者來說,比較容易。

基本上,微軟幾乎將所有應用集中於Office 365與Azure平臺之上,使用者要將EMS與Office 365快速整合也容易。

至於方案中的其他加值應用,像是Cloud App Security與Advanced Threat Analytics,目前還是獨立的管理介面,尚未有進一步整合。

微軟Enterprise Mobility + Security

 管理後臺特色一覽 

內建條件式存取的身分驗證管理設定,強化帳號安全

在微軟EMS管理方案中,Azure AD Premium提供的身分認證管是控最被強調的部分,介面上提供條件式存取的設定,可依據使用者的屬性、連線裝置、應用程式、地點與風險建立原則,像是一旦出現登入異常狀況,就能強制執行多因素認證。

提供行動裝置管理後臺Intune,並與Azure平臺開始整合

微軟EMS所包含的行動裝置管理Intune,納管範圍包含Android、iOS與Windows裝置等,並可依據使用者指定存取公司的應用程式、資料和資源,以及保護公司資訊安全。特別的是,原本獨立的Intune管理介面,近期也已開始整併至Azure管理介面。

具有文件外發管理機制,並提供後臺可追蹤文件軌跡

在EMS提供的Azure AIP文件管控下,也提供文件外發的權限管控能力,且管理者還能夠追蹤這些外發文件存取的軌跡,介面上也整合Bing地圖的顯示,如果發現外發文件對象是在臺灣,文件卻有在其他區域被開啟的記錄,即可執行撤銷存取權限。

進階方案能盤點所有企業內部正在使用的SaaS服務

微軟EMS的管控範疇,不只是提供企業SaaS應用,還能做到更全面的內部SaaS應用管控。在進階的E5方案之中,特別提供了Cloud App Security,管理者可監視企業內所有 SaaS 應用程式的使用狀況,並即時對異常行為發出警示,像是多次登入失敗、從多個地點登入與大量下載等。

 

 產品資訊 

微軟Enterprise Mobility + Security(EMS)

● 原廠:微軟0800-008-833

● 網址:www.microsoft.com

● 支援平臺:Android 4.0、iOS 8.0、Windows 10與Web介面

● 部署方式:大部分產品皆以雲端服務方式提供,僅Microsoft Advanced Threat Analytics需企業自建

● 計價方式:E3方案每人每月292元,E5方案每人每月506元,套裝內的各產品也可單獨選購

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

熱門新聞

Advertisement