Пять плюсов EMS

Вопрос безопасности данных на мобильных устройствах решается, как правило, значительным ограничением их функционала (ограничение доступных приложений, блокировка портов и каналов связи и другие жесткие политики безопасности). Но такой подход возможен только для устройств, которые компания выдает сотрудникам. Если же речь идет о личных устройствах, то службе безопасности часто приходится приходиться ограничиться общими правилами и инструкциями по безопасности и заниматься расследованиями уже по факту произошедших инцидентов. Совершенно другой подход предлагает Microsoft. 

Решение EMS, построенное на продуктах вендора, обеспечивает управление мобильностью и безопасность корпоративных данных. EMS состоит из 5 компонентов,каждый из которых решает определенный набор задач. Все они тесно связаны и интегрированы друг с другом, а также с другими продуктами Microsoft, например, с Office 365 и Windows10. 

Защищенный доступ ккорпоративным приложениям 

Сервис на базе Azure Active Directory Premium позволяет предоставить пользователям защищенный доступ к корпоративным приложениям и сервисам с мобильных устройств. С его помощью можно организовать сценарии двухфакторной авторизации и single signon (SSO). Все приложения, необходимые пользователям,можно опубликовать на специальном портале, для доступа к которому пользователю необходимо подтвердить свою личность вторым фактором (СМС-паролем, ответом на контрольный вопрос или одноразовым паролем). Когда сотрудник попадает на портал своих приложений, то получает доступ к каждому из них уже без дополнительной авторизации. 

Пользователи могут сбрасывать забытый или потерянный доменный пароль, используя дополнительные факторы проверки. Это снимает часть нагрузки с сотрудников ИТ. Таким образом, этот подход удобен для всех. А если устройство потеряно либо сотрудник покидает компанию, администратору достаточно просто отключить доступ пользователя к его порталу. 

Управление мобильными устройствами и приложениями 

Microsoft предлагает разграничивать личные и корпоративные сервисы путем создания закрытого контейнера для рабочих данных и приложений с помощью Intune. Это централизованное управление обновлениями и политиками безопасности, мониторинг и поддержка пользователей.

При таком сценарии создается список управляемых корпоративных приложений, внутри которых пользователь может комфортно работать и безопасно передавать информацию. Например,сотрудник может скопировать информацию из корпоративной почты и вставить в документ Word, а вот вставить ее в личную почту или социальную сеть он уже не сможет.  Не сработает скриншот и функции вставки, перетаскивания. Также Intune позволяет запретить открывать определенные типы файлов сторонними приложениями, предоставляя пользователям защищенный и управляемый браузер. При этом не ограничиваются функции личных приложений. 

Защита и безопасность файлов и корпоративной почты 

Azure Rights Management Service (ARMS) делает рабочую переписку безопасной, применяя разные сценарии защиты для входящих и исходящих писем. Например, если письмо содержит важное вложение, которое необходимо защитить, его можно зашифровать, указать пользователей, которые будут иметь доступ к ключу шифрования, а также назначить срок действия доступа. Можно управлять возможностями получателя по работе с вложением: разрешить только чтение документа, запретив пересылку, копирование на жесткий диск, функцию скриншота или трансляцию через средства видеосвязи. При этом получателю совершенно не обязательно иметь в своей инфраструктуре сервис ARMS! Этот сценарий особенно полезен при переписке с партнерами и контрагентами, т.к. позволяет обеспечить защиту документов за периметром компании. 

Запуск компьютеров и приложенийWindows на любом устройстве

Azure RemoteApp упрощает виртуализацию компьютеров и приложений. Их можно запускать на самых разных устройствах: ноутбуках, планшетах и телефонах и работать, даже находясь в дороге. Это экономически эффективно, т.к. не тратятся средства на создание локальной инфраструктуры и управление ею. А данные безопасно хранятся в ЦОДе или в облаке. 

Мониторинг подозрительной активности и киберугроз

Облачный сервис Advanced Treat Analytics (ATA) выявляет и предотвращает различные кибератаки, а также возможные утечки корпоративных данных. Он анализирует поведение пользователей в корпоративной инфраструктуре, и на основе сложных алгоритмов машинного обучения Azure Machinelearning определяет, является ли поведение нормальным или подозрительным. Сервис проводит сравнение различных ситуаций поведения пользователей с аналогичными ситуациями из базы знаний, которые когда-то уже приводили к неблагоприятным результатам. 

Например, по регламенту компании, сотрудник обычно работает по будням, с 9 до 18, с офисного ПК, использует корпоративную почту, CRM и папку «Маркетинг» на SharePoint.Такое поведение считается нормальным. Если этот же сотрудник по ночам начнет с неизвестного устройства пытаться открыть корпоративную 1С или закрытую папку бухгалтерии – ATA позволит обнаружить это на самом раннем этапе.