Implementatie Microsoft Enterprise Mobility Suite in de praktijk

Informatie en applicaties ontsluiten, beheren en controleren op mobiele devices

In deze blog blikt Frans Oudendorp, Consultant bij PQR, terug op de implementatie van Microsoft Enterprise Mobility Suite (EMS) die hij bij één van de klanten van PQR heeft uitgevoerd. Allereerst gaat Frans in op wat Microsoft EMS is en welke producten onderdeel zijn van de suite. Vervolgens beschrijft hij hoe de implementatie verlopen is en geeft hij daarbij aan welke keuzes gemaakt zijn.

Overweegt u Microsoft EMS? Deze blog geeft u een kijkje in de keuken!

Waaruit bestaat Microsoft EMS?
Microsoft EMS is een uitgebreide cloudoplossing om uitdagingen op het vlak van het verbruik van IT, Bring Your Own Device en Software as a Service aan te pakken. De suite omvat drie Microsoft-producten:

1. Microsoft Azure Active Directory Premium;
2. Microsoft Intune;
3. Microsoft Azure Rights Management.

Microsoft Azure Active Directory Premium
Met Microsoft Azure Active Directory Premium (Azure AD) is het mogelijk om een hybride identiteit aan te maken. Het kan gebruikt worden om op diverse plaatsen te authentiseren en biedt de mogelijkheid om Identity & Access Management uit te voeren in de cloud met synchronisatie naar een on-premises omgeving.

De volgende mogelijkheden zijn er met Microsoft Azure AD:

• Self-service wachtwoord reset voor gebruikers vanuit de cloud;
• Group Management, inclusief self-service beheer van groepen;
• Op basis van groepen toegang verlenen tot honderden Software as a Service (SaaS) applicaties;
• Verschillende rapporten om log-in anomalies en andere veiligheidszaken te rapporteren;
• Synchronisatie met de on-premises omgeving (AD, Novell, etc.) inclusief het terugsynchroniseren van bepaalde zaken zoals het wachtwoord;
• Verminderen van risico’s door gebruik te maken van Multi-Factor Authentication (MFA) opties.

Microsoft Intune
Microsoft Intune wordt gebruikt om mobiele devices te beheren (Mobile Device Management ofwel MDM), om mobiele applicaties te beheren (Mobile Application Management ofwel MAM) en om PC’s te beheren vanuit een cloudomgeving.

De volgende onderdelen vinden we terug in Microsoft Intune:

• Het biedt MDM en MAM aan voor verschillende platformen, zoals Windows, Windows Phone, iOS, and Android;
• Er kan gebruik gemaakt worden van Intune-manage Office mobile apps en met de Intune app wrapper kan MAM uitgebreid worden met line-of-business apps;
• Het is mogelijk om toegang te geven tot de bedrijfsomgeving op basis van enrollment en compliance policies;
• Het beheer kan uitgevoerd worden met een management portal in de cloud of via de integratie met System Center 2012 Configuration Manager.

Microsoft Azure Rights Management
Microsoft Azure Rights Management (Azure RMS) biedt de mogelijkheid om informatie te beveiligen. De volgende zaken kunnen met Azure RMS opgepakt worden:

• Het biedt beveiliging van informatie, zoals documenten in de cloud, of data in een hybride model in de bestaande on-premises omgeving;
• Integratie van informatiebeveiliging in bestaande applicaties door middel van een Software Development Kit (SDK).

Microsoft EMS; een kijkje in de keuken
Bij een klant in de financiële sector heeft PQR onlangs Microsoft EMS geïmplementeerd. Lees mee over de keuzes die gemaakt zijn en de stappen die genomen zijn tijdens de implementatie.

Om Microsoft EMS te implementeren dienen eerst een aantal vragen beantwoord te worden:

• Gebruiken we password sync naar Azure AD of gebruiken we Active Directory Federation Services?
• Gebruiken we de password reset functie?
• Gebruiken we MFA?
• Wordt de Web Application Proxy ingezet?
• Welke extern domain wordt toegevoegd aan Azure AD?
• Welke policies voor MDM in Microsoft Intune worden ingezet?
• Waar wordt Azure RMS voor ingezet?

Vragen om vooraf goed over na te denken. In een workshop hebben we daarom deze zaken besproken en hebben we samen met de klant antwoord gegeven op de vragen. Vanuit dit startpunt is vervolgens een technisch ontwerp voor Microsoft EMS geschreven. Daarmee is de implementatie van start gegaan. De eerste stap betrof de implementatie van Azure AD Premium, daarna is Intune geconfigureerd en als laatste is Azure RMS ingericht en gekoppeld met de bestaande SharePoint-omgeving.

Stap 1: Implementatie Azure AD
Tijdens de voorbereiding werd er door de klant aangegeven dat het, omdat het een financiële instelling is, niet toegestaan is om password sync naar Azure AD uit te voeren. Hierdoor is de keuze gemaakt om een Active Directory Federation Services (ADFS) in te richten.

Er is gestart met de installatie van de Azure AD Sync tool. Tijdens de installatie zijn de parameters opgegeven waarmee gesynchroniseerd wordt. De User Principal Name (UPN) is het belangrijkste gegeven, dit is namelijk de gebruikersnaam voor de authenticatie. Omdat we Microsoft Intune gaan gebruiken moet dit overeenkomen met het e-mail adres. Dit betekent in dit geval dat we “klantnaam.nl” als extra suffix moeten opvoeren in de bestaande Windows Active Directory omgeving. Bij de installatie van de Azure AD Sync tool is aangegeven dat gebruikers die een “Custom Attribute1” ingevuld hebben met “AzureSync” gesynchroniseerd worden naar Azure AD. Hierdoor wordt ervoor gezorgd dat niet de hele on-premises omgeving gesynchroniseerd wordt naar de cloudomgeving. De geconfigureerde gebruikers worden nu zichtbaar in Azure AD en kunnen zo gebruik maken van de overige toepassing als ze geconfigureerd zijn.

Vervolgens wordt Active Directory Federation Services (ADFS) in combinatie met een Web Application Proxy (WAP) geïnstalleerd. Beide producten worden op basis van een Windows 2012 R2 server uitgevoerd. Dit betekent dat we de nieuwste versie van de producten kunnen gebruiken. De ADFS server wordt geïnstalleerd in het bestaande domain. Hiervoor wordt een default installatie uitgevoerd. Vervolgens wordt de WAP server geïnstalleerd. Deze wordt in het DMZ geplaatst. Op het publieke domain wordt een nieuw A record “fs.klantnaam.nl” aangemaakt. Deze wordt verwezen naar de router van de klant. SSL certificaten wordt toegevoegd en de omgeving gebruikt worden. De URL “https://fs.klantnaam.nl/adfs/ls/IdpInitiatedSignon.aspx” wordt gebruikt om de werking van ADFS te testen. Aandachtspunt is wel dat SSL offloading of packet-inpection op een firewall niet is toegestaan. Dit zorgt ervoor dat de producten niet werken.

Hiermee is Azure AD Premium inclusief authenticatie door middel van ADFS ingericht.

Stap 2: Implementatie Intune
Deze klant heeft ervoor gekozen om de Microsoft Intune oplossing te koppelen aan de huidige System Center 2012 Configuration Manager (SCCM) omgeving. Hiervoor wordt binnen de huidige SCCM omgeving een Cloud Service subscription en een Site System rol toegevoegd voor de Microsoft Intune subscription. Hierna kan de Microsoft Intune omgeving geconfigureerd worden vanuit de SCCM omgeving. Om een device aan te melden moet nog een URL geregistreerd en geconfigureerd worden. De URL “EnterpriseEnrollment.klantnaam.nl” wordt doorverwezen naar “manage.microsoft.com”, waardoor de mobiele devices geregistreerd kunnen worden.

Binnen SCCM worden policies geconfigureerd voor mobiele devices. Zaken als wachtwoord, encryptie en andere zaken worden geconfigureerd. De policies worden vervolgens gekoppeld aan een device groep waar de mobiele devices in geplaatst worden. De klant kan op deze manier mobiele devices beheren.

Mobile Application Management is een onderdeel welke binnen Microsoft Intune gebruikt kan worden. Deze is bij betreffende klant, in eerste instantie, niet gebruikt. In een vervolgtraject wordt dit geïmplementeerd.

Stap 3: Implementatie Azure RMS
Microsoft Azure Rights Management Services (RMS) wordt gebruikt om enerzijds een SharePoint library te beveiligen en anderzijds om de gebruiker de mogelijkheid te geven om eigen documenten te beveiligen. Hiervoor is het noodzakelijk dat er een RMS connector geïnstalleerd wordt. De RMS connector zorgt ervoor dat het mogelijk wordt om de on-premises SharePoint omgeving te koppelen aan de Microsoft Azure RMS omgeving. Nadat de connector geïnstalleerd is moet Microsoft SharePoint geconfigureerd worden. Binnen SharePoint moet opgegeven worden wat de RMS server is, deze laten we naar de RMS connector wijzen. Hierdoor wordt het mogelijk om in Azure RMS policies te definiëren die vervolgens binnen SharePoint gebruikt kunnen worden. Met deze policies wordt het mogelijk om documenten te beveiligen. Documenten:

• kunnen worden geprint of niet;
• kunnen beschikbaar worden gemaakt voor een bepaalde periode;
• zijn beschikbaar voor de aangegeven personen/groepen.

Door gebruik te maken van de RMS client is het mogelijk om afzonderlijke bestanden te beveiligen. Daarnaast biedt Azure RMS ook de mogelijkheid om een Exchange omgeving of een File server omgeving te beveiligen.

Conclusie
Deze klant is erg geholpen met Microsoft EMS doordat het nu de mogelijkheid heeft om beheer op mobiele devices uit te voeren en informatie te beveiligen wat binnen de SharePoint omgeving beschikbaar wordt gemaakt. Daarnaast heeft deze klant nu de mogelijkheid om dit verder uit te breiden met Applicatie Management op de mobiele devices. Ook het toepassen van Azure RMS op Exchange of een File serveromgeving is met deze implementatie mogelijk gemaakt. Daarnaast biedt Microsoft Azure AD Premium de mogelijkheid om Multi Factor Authenticatie toe te passen voor deze diensten. Ook dit kan uitgebreid worden zodat honderden (in maart 2015 zijn dat er 2460) SaaS applicaties benaderd kunnen worden met de aanmeldgegevens van het bedrijf.

Op dit moment wordt nog niet alles gebruikt, maar Microsoft EMS is dusdanig geïmplementeerd, dat alles eenvoudig gebruikt kan gaan worden. Ook de uitbreiding naar andere toepassingen vanuit Microsoft Azure is eenvoudig uit te voeren.

Overweegt u Microsoft EMS?
Wilt u meer weten over Microsoft Enterprise Mobilty Suite, of wilt u hierover eens van gedachten wisselen? Neem dan contact op met PQR. Wij denken graag met u mee.