Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

Microsoft Enterprise Mobility + Security

Digitaal transformeren met vrijheid en gemoedsrust? Of levert u vrijheid & gebruikerservaring in en doet u concessies uit angst voor datalekken? Faciliteert u het nieuwe werken voor uw gebruikers? Heeft u beveiligingsvragen rondom Bring your own Device (BYOD) en Choose your own Device (CYOD)? Moeite met het beheer van ‘het nieuwe werken’?

Je beveiliging staat voortdurend onder druk, raak niet achter’, zegt Microsoft. Nou, niet alleen Microsoft. Ook in het nieuws is het hot topic dat digitale veiligheid ontzettend belangrijk is en vele organisaties ver achter lopen.

PQR is van mening dat er geen concessies gedaan hoeven te worden. Wij zijn groot voorstander van digitaal transformeren met vrijheid en gemoedsrust. Dat komt omdat wij veel praktijkervaring hebben in het veilig én productief werken, mede door oplossingen van Microsoft Enterprise Mobility + Security. We laten u ook graag kennis maken met beveiliging 2.0: beveiliging op een hoger niveau zonder in te boeten op mobiliteit (en dus gebruikerservaring en -beleving).

Wat is Enterprise Mobility + Security?

Enterprise Mobility + Security, kortweg EM+S genoemd, is een SaaS oplossing van Microsoft – bestaande uit een suite producten – waarmee mobiele apparaten, applicaties en uw bedrijfsgegevens beheerd en beveiligd kunnen worden. EM+S geeft dus een antwoord op vraagstukken en uitdagingen rondom mobiliteit en beveiliging. Het zorgt ervoor dat gebruikers productief blijven op hun favoriete apparaten en applicaties, terwijl de bedrijfsgegevens veilig zijn.

EM+S bestaat uit verschillende producten, die afzonderlijk van elkaar kunnen worden afgenomen:

Azure Active Directory Premium
Met Azure Active Directory staat de identiteit van de gebruiker centraal. Het kan gebruikt worden als een volledige oplossing voor het centraal beheren van gebruikersidentiteiten en toegang, het maken van toegangsbeleid, het gemakkelijk maken van Single Sign-On met als doel om goede beveiliging, productiviteit en beheer van apparaten, gegevens, applicaties en infrastructuur mogelijk te maken.
Er kunnen diverse functies toegevoegd worden om gebruikers (en daarmee uw organisatie) te beschermen en beheer te vereenvoudigen. Denk aan voorwaardelijke toegang, multi-factor authenticatie (MFA), Self Service Management (wachtwoord of groepen en applicaties wijzigen), Privileged Identity Management (Just in Time beheerderstoegang), Role Based Access Control (RBAC), auditing en monitoring.

Azure AD is integraal onderdeel van Office 365, Azure en EM+S.

Azure Information Protection
Het beveiligen van gegevens wordt steeds belangrijker. Met Azure Information Protection (AIP) kunt u gevoelige informatie beter beveiligen. Met AIP kunnen e-mails, documenten en gevoelige gegevens worden beveiligd, zodat ze veilig kunnen worden gedeeld. Ongeacht waar u werkt, waar deze gegevens zijn opgeslagen en met wie ze worden gedeeld. Gegevens worden beschermd op basis van classificaties. Met die classificatie wordt via beleidsregels bepaald hoe en met wie gegevens gedeeld mogen worden. AIP is geïntegreerd met Office, Exchange, SharePoint, fileservers en lokale opslag.

Microsoft Intune
Met Microsoft Intune kunnen mobiele apparaten (Windows laptops, telefoons, tablets) en mobiele applicaties worden beheerd. Microsoft noemt dit Device Management (MDM) en Application Management (MAM). Microsoft Intune maakt mobiele productiviteit mogelijk op een veilige manier door beheer- en beveiligingsopties toe te voegen op de favoriete apparaten en applicaties van uw gebruikers.

Met beleidsregels kan worden gecontroleerd of een mobiel apparaat voldoet aan het bedrijfsbeleid en aan de hand daarvan toegang worden verleend of ontzegd. Er kan onder andere worden gecontroleerd of het apparaat voorzien is van een toegangscode, het wachtwoord of encryptie is ingeschakeld, antivirus is geïnstalleerd, etc. Daarnaast geeft het mogelijkheden om apparaten te blokkeren, encryptie van gegevens te forceren, apparaten te wissen of van updates te voorzien.
Met Applicatie Management kunnen middels beleidsregels beveiligingsopties worden toegepast waarmee u bedrijfsgegevens beveiligt zonder de apparaten van de gebruikers te beheren. Veel gebruikers maken gebruik van BYOD of andere apparaten waardoor het belangrijk is scheiding te brengen tussen privé- en bedrijfsgegevens.

Microsoft Intune biedt ondersteuning voor iOS, Android en Windows. Daarnaast is er de Intune bedrijfsportal app, waarin bedrijfsapplicaties beschikbaar kunnen worden gesteld aan uw gebruikers.

Microsoft Cloud App Security
Microsoft Cloud App Security (CAS) geeft u zicht op de cloudapplicaties en -services die in uw organisatie in gebruik zijn, shadow IT komt hierdoor eenvoudig aan het licht. Daarnaast biedt CAS geavanceerde analytics om cyberdreigingen te verslaan en de mogelijkheid om zelf te bepalen hoe uw gegevens wordt verstuurd. Beheer en beperk met CAS de toegang tot cloudapplicaties op basis van voorwaarden en gebruikersidentiteit, apparaat en locatie. Het maakt niet uit of de cloudapplicaties van Microsoft zijn of van andere leveranciers, zoals bijvoorbeeld Dropbox of Salesforce. Er is uitgebreide controle over gegevens en het gebruik daarvan en abnormaal gedrag wordt onmiddellijk gedetecteerd.

Microsoft Advanced Threat Analytics
Met Advanced Threat Analytics (ATA) krijgt u alle beveiligingsinformatie die u nodig heeft in een  overzichtelijke realtime weergave en worden verdachte activiteiten gedetecteerd. ATA bevat intelligentie om normaal en verdacht gedrag van uw gebruikers en apparaten te analyseren, te leren en te identificeren. Dit gebeurt aan de hand van machine learning in combinatie met big data analyses. Is er verdacht gedrag dan krijgt u een melding van een beveiligingsincident. Denk bijvoorbeeld aan een gebruiker die inlogt op een apparaat vanuit een vestiging in Rotterdam. Als daarna met dezelfde gebruikersnaam wordt ingelogd – op een apparaat – in Boekarest, wordt dit gemeld. Big Data technologie analyseert gedrag, bepaalt trends, en stelt vast wat normaal gedrag is en verdacht gedrag, gedrag dat risico’s vormt. Zodoende worden beveiligingsrisico’s eerder opgemerkt.

Microsoft Identity Manager
Met Microsoft Identity Manager (MIM) kunt u identiteiten vanuit uw lokale active directory synchroniseren met Azure Active Directory. Ook is het mogelijk met MIM om uw gebruikers self service management te laten uitvoeren door bijvoorbeeld mogelijkheden te bieden om wachtwoorden te resetten (Self Service Password Reset), Azure Multi-Factor Authenticatie aan te passen en applicaties en groepen te beheren. Hiermee wordt de IT-afdeling ontlast.

Azure Advanced Threat Protection
Microsoft biedt een viertal Advanced Threat Protection (ATA) diensten, waarmee uw  bedrijfsgegevens beter beschermd kunnen worden:

  • Office 365 Advanced Threat Protection
  • Windows Defender Advanced Threat Protection
  • Azure Advanced Threat Protection
  • SQL Advanced Threat Protection

Collega Erik Stiphout heeft hier een blog over geschreven, lees hier de blog: Een veiliger gevoel met Microsoft Advanced Threat Protection.

Voordelen EM+S

De voordelen hoeven we niet meer op te sommen, u heeft kunnen lezen wat de mogelijkheden zijn met EM+S. Met eerder genoemde producten het volgende uitgevoerd kan worden:

  • modern beheer;
  • identiteits- en toegangsbeheer;
  • identiteit gedreven beveiliging;
  • voorwaardelijke toegang;
  • gegevensbeveiliging;
  • beheer van mobiele apparaten.

EM+S kan tevens ondersteunen bij uw proces om te voldoen aan de General Data Protection Regulation (GDPR), Single Sign-On en MFA voor enterprise applicaties (SaaS applicaties zoals Dropbox, Twitter, Citrix of eigen applicaties), en mogelijkheden om privé- en bedrijfsgegevens te scheiden door middel van App Protection beleidsregels.

Voorbeelden van EM+S in de praktijk

Enkele voorbeelden die we vaak tegenkomen in de praktijk benoemen we graag, zodat u ziet dat EM+S veel ongemakken wegneemt en beheer en beveiliging verbeterd.

Samenwerken in belangrijke (en gevoelige) gegevens
Voorwaardelijke toegang is met EM+S eenvoudig in te regelen waarmee toegang tot uw gegevens beperkt kan worden tot alleen de apparaten die aan de veiligheidseisen van uw organisatie voldoen. Gevoelige informatie kan extra beveiligd worden door middel van versleuteling van de informatie (hetgeen los staat van de versleuteling van het apparaat door bijvoorbeeld het gebruik van Bitlocker). U bent in controle. Deel gegevens veilig met collega’s, klanten en partners. Geef op wie toegang mag verkrijgen tot gegevens en wie wat precies met de gegevens mag doen, zoals wel bestanden bekijken en bewerken, maar niet afdrukken en doorsturen.

Vaak is het een vereiste om als gebruiker op een door de organisatie verstrekt apparaat te werken, mocht deze toegang willen tot applicaties en bedrijfsgegevens
Geef uw gebruikers de vrijheid om gebruik te maken van BYOD/ CYOD, zodat ze vanaf elk apparaat en elke locatie kunnen werken. Met EM+S krijgt de gebruiker op een veilige en eenvoudige manier toegang tot applicaties, bedrijfsgegevens en printers vanaf ieder apparaat.

Gebruikers moeten naar kantoor komen om hun (BYOD/ CYOD) apparaat te (laten) installeren
Vanuit de doos kan iedere nieuwe laptop gemakkelijk op afstand geïnstalleerd en geconfigureerd worden met behulp van Windows AutoPilot. De mogelijkheden worden met Windows 10 & Windows AutoPilot continu uitgebreid. De gebruiker hoeft enkel zijn apparaat aan te melden bij uw organisatie (feitelijk logt de gebruiker met Active Directory accountgegevens in op Windows) en de laptop wordt ingesteld, applicaties worden geïnstalleerd, veiligheidseisen gecontroleerd, beleidsregels toegepast en de gebruiker kan aan ’t werk. Ook kan de gebruiker zijn apparaat via een app (iOS of Android) aanmelden.

Gebruiksgemak en beveiliging zijn vaak in strijd met elkaar. Noodzakelijke Multi-Factor Authenticatie (MFA) wordt vaak als lastig en gebruiksonvriendelijk ervaren
Dat wachtwoorden vaak niet veilig genoeg zijn mag duidelijk zijn. Multi-Factor Authenticatie, als aanvullende authenticatiemethode, is dan een uitkomst. Met EM+S kan MFA naar wens worden ingesteld en kunnen er condities aan worden verbonden. Bijvoorbeeld alleen het afdwingen van de tweede factor als er buiten uw organisatie wordt gewerkt of specifieke gegevens worden opgevraagd. MFA is mogelijk via SMS, (Push Notificatie) via een app of door middel van een smartcard.

“Hoe kan ik toch al mijn wachtwoorden onthouden?”
Deze uitspraak moet u bekend in de oren klinken. Of u herkent vast de Post-IT’s met wachtwoorden die op de beeldschermen zijn geplakt. Gebruikers gebruiken van alles om de vele wachtwoorden die ze hebben te onthouden. LinkedIN, Twitter, Dropbox en allerlei andere websites en cloud applicaties. U kunt met EM+S de gebruikers een handje helpen (en de beveiliging verhogen) door Single Sign-On richting deze applicaties te regelen, waardoor gebruikers automatisch ingelogd worden op betreffende websites of cloud applicaties (aan de hand van hun Active Directory accountgegevens). Uiteraard kan hier ook MFA worden toegepast.

Gebruikers raadplegen vaak de Servicedesk of ICT Helpdesk als ze hun wachtwoord zijn vergeten
Deze komen we in de praktijk ook vaak tegen. Ontlast uw Servicedesk/ ICT Helpdesk door gebruik te gaan maken van Self Service Management! Gebruikers kunnen dan zelf – via een browser of het startmenu – op een veilige manier hun wachtwoord resetten (Self Service Password Reset). Dit geeft – los van de tijdsbesparing voor de Servicedesk/ ICT Helpdesk – meer gebruikersgemak.

Conclusie

Heeft u weleens nagedacht over gegevensbeveiliging in de cloud of heeft u een sparringpartner nodig? Heeft u al Office 365 maar alleen gedacht aan de functionele inrichting? Breid de beheer- en beveiligingsmogelijkheden van Office 365 eenvoudig uit met EM+S. Heeft u al EM+S: benut het dan volledig! Wacht niet langer om de beveiliging naar een hoger niveau te tillen.

EM+S is beschikbaar in twee varianten, E3 en E5. Op de website van Microsoft is een duidelijk overzicht te vinden van de opties: https://www.microsoft.com/nl-nl/cloud-platform/enterprise-mobility-security-pricing.

In de komende maanden laten wij u graag verder kennis maken met EM+S, de verschillende onderdelen en hoe het uw organisatie verder kan helpen. Houd daarom onze blogs in de gaten, we zoomen daar verder in op de genoemde onderwerpen.

Meer weten? Kennis maken met EM+S? Extra advies nodig? Neem contact met ons op!