Microsoft Enterprise Mobility Suite beveiligt mobiele apparaten en data

Abonneer je gratis op Techzine!

Steeds meer bedrijven vragen zich af hoe ze alle mobiele apparaten binnen het bedrijf eenvoudig kunnen beheren en alle data veilig kunnen houden, werknemers lopen rond met iPads, laptops en smartphones. Op al die apparaten wordt bedrijfsdata opgeslagen die in sommige gevallen erg gevoelig is en niet op straat mag komen te liggen. Een goede beveiliging is dan ook essentieel maar niet altijd even goedkoop, ook is het beheer soms erg ingewikkeld, daar probeert Microsoft op in te spelen met de Enterprise Mobility Suite, een betaalbare oplossing die beveiliging biedt voor zowel laptops, tablets als smartphones, ongeacht het merk en het besturingssysteem.

Techzine heeft vorige week op het Mobile World Congress een presentatie bijgewoond over Microsoft’s Enterprise Mobility Suite en ook de mogelijkheid gehad om de nodige kritische vragen te stellen. Alles bij elkaar genomen denk ik dat Microsoft een goed product in elkaar heeft gezet dat voor een hele scherpe prijs is toe te passen bij enorm veel MKB’ers in Nederland.

Met de Microsoft Enterprise Mobility Suite is het mogelijk om alle apparaten die binnen een bedrijf worden gebruikt te beveiligen en restricties op te leggen. Dit zorgt er niet alleen voor dat alle apparaten ook binnen het bedrijf blijven (diefstalpreventie), maar ook dat data versleuteld wordt, veilig wordt opgeslagen en minder snel in de verkeerde handen kan vallen. Microsoft ondersteunt met zijn Enterprise Mobility Suite een diversiteit aan apparaten en besturingssystemen. Waaronder uiteraard de Windows-besturingssystemen, zowel pc’s als smartphones, maar daarnaast ook Android, iOS en sinds een paar maanden Mac OS X, waarmee het dus ook mogelijk is om alle Android-apparaten, iPhones, iPads en Mac-computers te beveiligen.

Als je als bedrijf gebruikt maakt van de Microsoft Enterprise Mobility Suite (EMS) verplaats je eigenlijk al je IT-beheer naar de cloud. Er is dus geen fysieke server meer nodig op de kantoorlocatie want steeds meer werknemers zijn toch onderweg of werken geregeld thuis en dan moeten de apparaten ook al veelal op afstand worden beheerd. Daarmee valt al een stukje beheerkosten weg maar daar staat wel tegenover dat er gezorgd moet worden voor een fatsoenlijke internetverbinding op kantoor, met een basis DSL- of kabelverbinding kan je niet tientallen werknemers laten werken. Gelukkig zijn snelle internetverbindingen, bijvoorbeeld glasvezel, steeds betaalbaarder in Nederland en België.

Alle bedrijfsnetwerken hebben een zogenaamde Active Directory (AD), daarbinnen staan alle gebruikers opgeslagen en van daaruit worden de gebruikersprofielen geladen en worden configuraties naar de apparaten van de gebruikers gepushed om hun rechten te beperken. De AD staat ook in de Microsoft Azure cloud en gebruikers loggen dus daarop in, als ze hun wachtwoord zijn vergeten kunnen ze deze ook zelf via de Azure cloud resetten, zonder dat daar een systeembeheerder aan te pas hoeft te komen.

Sommige systeembeheerders zullen zich zorgen maken of Microsoft wel is opgewassen tegen zoveel authenticaties. Microsoft zegt dat dit geen enkel probleem is, dagelijks authenticeren 1,3 miljard gebruikers zich in de Active Directory cloud en als het bedrijf ook alle andere diensten zoals de Xbox Services gaat meetellen, die gebruikers moeten ook inloggen, dan komt het bedrijf aan 4 miljard dagelijkse authenticaties.

Beveiliging bij inloggen

Hoe de gebruiker inlogt is overigens ook door de systeembeheerder te bepalen. Er kan gekozen worden voor een standaard gebruikersnaam en wachtwoord, maar ook voor "multifactor-authentication", waarbij er op meerdere manieren moet worden ingelogd. Bijvoorbeeld een gebruikersnaam, wachtwoord en SMS-code, of een gebruikersnaam, wachtwoord en een telefoongesprek naar een vastgesteld nummer waarbij een code wordt voorgelezen die moet worden ingegeven. Ook is het mogelijk om ip-adres restricties op te leggen of een combinatie te maken van al deze vormen van inloggen. Het uitlekken van een gebruikersnaam en wachtwoord, of een wachtwoord dat een werknemer ook voor al zijn prive-diensten gebruikt is daardoor minder ernstig.

Microsoft voegt daarnaast ook een hele laag toe met extra beveiligingen door middel van machine-learning. Als iemand altijd vanaf hetzelfde ip-adres inlogt en dan ineens vanaf een ander adres dan zal de gebruiker automatisch te maken krijgen met "multifactor-authentication" en meerdere gegevens moeten invullen. Dat geldt uiteraard ook als een gebruiker zich ineens over de wereld verplaatst binnen een te kort tijdbestek. Of als een gebruiker nooit inlogt op zondagavond en dan ineens wel. Als de AD-cloud vermoed dat de ingelogde gebruiker niet legitiem is kan die extra eisen gaan stellen bij het inloggen, uiteraard heeft de systeembeheerder controle over dit proces.

Verder is het ook mogelijk om apparaatrestricties op te leggen zodat gebruikers wel kunnen inloggen met hun zakelijke pc, tablet en smartphone, maar bijvoorbeeld niet met hun privé iPad. Dit om te voorkomen dat zakelijke data ook inzichtelijk wordt voor huisgenoten van werknemers.

Configuraties afdwingen

De Microsoft Enterprise Mobility Suite bestaat eigenlijk uit meerdere onderdelen die door Microsoft gecombineerd worden aangeboden. Allereerst is dat Azure Active Directory Premium, deze heb ik zojuist behandeld, verder vallen Microsoft Intune, Azure Rights Management en Microsoft Advanced Threat Analytics daar ook onder.

Met Microsoft Intune kan de systeembeheerder configuraties afdwingen op alle apparaten binnen het bedrijf. Zo kan hij bepalen welke apps er geïnstalleerd moeten zijn of zelfs apps pushen naar de apparaten, maar ook updates installeren op de apparaten. Verder kan de systeembeheerder zien waar de apparaten zich bevinden op basis van hun laatste of huidige internetverbinding, deze kunnen vervolgen ook op afstand worden vergrendeld of zelfs worden gewist om er zeker van te zijn dat bedrijfsdata niet in de verkeerde handen valt. Standaard zorgt Intune er al voor dat alle data is versleuteld.

Intune kan er ook voor zorgen dat gebruikers hun bedrijfsbestanden allemaal centraal opslaan in een cloudomgeving of de bestanden daarmee worden gesynchroniseerd zodat deze altijd voor het bedrijf toegankelijk zijn en eventueel ook voor collega’s die daar rechten toe hebben. Door alle data centraal op te slaan kan een bedrijf ervoor zorgen dat de data altijd in het bezit is van het bedrijf en niet verspreidt staat over allemaal apparaten.

Hoewel het met Intune mogelijk is allerlei restricties op te leggen, laat Microsoft weten dat het op Android niet altijd even goed werkt. In een normale Android-omgeving kan de eindgebruiker namelijk via de instellingen al die restricties uitzetten en alsnog buiten het boekje treden. Zodra de gebruiker de keer daarna weer inlogt zal Intune alle configuraties terugzetten zodat alles weer veilig is, maar dan kan de gebruiker deze opnieuw weer allemaal uitzetten. Er is echter wel een uitzondering op Android en die geldt voor een aantal Samsung-smartphones die voorzien zijn van Samsung’s eigen veilige zakelijk Knox-omgeving. Microsoft biedt ondersteuning voor Knox en stelt dan ook dat Samsung-toestellen op dit moment beter te beveiligen zijn dan standaard Android-toestellen. Iets om rekening mee te houden. Techzine heeft in het verleden ook uitgebreid aandacht besteed aan Knox.

EMS biedt ook mogelijk waarbij je wel mag inloggen met je persoonlijke iPad maar je alleen toegang hebt tot je data via de bedrijfsapplicaties en dat je daar niks uit kan kopiëren en plakken naar bijvoorbeeld je persoonlijke e-mailclient, maar wel naar andere zakelijke applicaties. Met Azure Rights Management gaat Microsoft daarin nog een paar stappen verder.

Wat wel en niet mag met Azure Rights Management

Azure Rights Management is misschien wel de meest indrukwekkende tool van Microsoft. Zojuist schreef ik al dat Microsoft kan voorkomen dat je data vanuit een zakelijke app niet kan kopiëren en plakken naar persoonlijke apps, zoals bijvoorbeeld een persoonlijke notitie-app of e-mailclient. Met Azure Rights Management (ARM) gaat Microsoft nog veel verder. ARM werkt namelijk niet zozeer op applicatieniveau maar zelfs op documentniveau. Zo kan bijvoorbeeld worden ingesteld dat bepaalde of alle (financiële) documenten niet mogen worden geprint en er zelfs geen screenshots van gemaakt mogen worden. Uiteraard vallen standaard zaken als bekijken, bewerken en verwijderen daar ook onder maar die spreken voor zich. Alle documenten die in Microsoft-producten worden gemaakt zoals Word, Excel, Powerpoint en dergelijke kunnen ook automatisch worden gekoppeld aan Azure Rights Management, waarbij je kan opgeven dat alleen de directie, financiële afdeling of een bepaalde gebruiker deze mag bekijken. Mocht je het document dan per ongeluk naar de verkeerde persoon mailen dan kan deze het document nog steeds niet inzien.

Microsoft Advanced Threat Analytics

Het laatste onderdeel in de Enterprise Mobility Suite zijn de Advanced Threat Analytics deze zitten al deels verweven in de eerder beschreven producten, maar bieden een systeembeheerder allerlei inzichten in het gebruik van een apparaat en informeren de systeembeheerder wanneer er verdacht gedrag wordt gedetecteerd op een apparaat. Volgens Microsoft duurt het gemiddeld zo’n 200 dagen voordat malware pas wordt gedetecteerd op een systeem. Door vooral veel preventiemethodes toe te passen, maar ook te letten op afwijkend gedrag hoopt Microsoft het aantal dagen fors te verlagen bij gebruikers die EMS gebruiken.

Totaalplaatje

Alles bij elkaar is EMS in mijn optiek voor veel bedrijven een zeer interessante optie om al hun mobiele apparaten te beveiligen en hun data veilig te stellen. Ook kunnen zij beter inzicht krijgen in hoe hun apparaten worden gebruikt, welke werknemers mogelijk minder veilig omgaan met hun apparaten, maar bovenal kunnen ze werknemers dwingen om allerlei veilige methodes te gebruiken, zoals bijvoorbeeld multifactor authentication.

Uiteraard hangt er ook een kostenplaatje aan deze dienst en die is volgens Microsoft ook erg competitief en ook wij schrokken er niet van. Microsoft vraagt 8,75 dollar per gebruiker per maand en dus niet per apparaat. Dat maakt namelijk een groot verschil in de kosten. Voor alles wat het bedrijf levert en de kosten die kunnen worden bespaard op een lokale server geen onredelijk bedrag.