Op dit moment betekent werken met ICT vooral mobiel (van thuis uit) kunnen werken. Vrijwel alle medewerkers van organisaties hebben hiermee te maken. Microsoft heeft al een tijd geleden als missie ‘mobile-first, cloud-first’ omarmd. Een missie die niet veel meer lijkt te willen zeggen dat de focus meer op mobiel werken en werken in cloud moet komen te liggen. Een missie die vanaf de start van de corona besmettingen opeens extra belangrijk is geworden. Maar men werkte al mobiel, dus wat was dan eigenlijk nog het probleem?

Gebleken is dat veel mensen steeds meer met eigen apparaten zijn moeten gaan werken. De corona maatregelen hebben daar vanzelfsprekend een enorme boost aan gegeven. Maar tegelijkertijd is, en met recht, de behoefte aan verbeterde beveiliging toegenomen en zijn er vragen gerezen over de beheermogelijkheden van IT platformen, vooral op al die systemen die zich buiten de focus van systeembeheerders begeven.

Daarnaast gebruiken mensen vaak meerdere accounts die ze, in verschillende mate onderhouden. In de cloud en op kantoor. Het ene account kan daarbij goed beveiligd zijn terwijl het andere account zowat op straat kan liggen. Daarbij komt het voor dat het zwakkere account toegang geeft tot het ‘sterke account’ omdat men lokaal passwords opslaat en zodat daarmee de gehele beveiliging gevaar loopt.

Door het gemeenschappelijk gebruik van werkstations van bijvoorbeeld gezinsleden loopt data soms gevaar. De malware afkomstig van website bezoek van kindlief heeft effect op de bestanden van de ouder die zich op hetzelfde apparaat bevinden en de bescherming van dergelijke thuispc’s en thuisnetwerken laat geregeld te wensen over.

Microsoft introduceerde in 2014 de zogenaamde Enterprise Mobility Suite (EMS) en was vooral gericht op grote ondernemingen. Het idee was om een aantal beheerderstools voor systeembeheerders te ontwikkelen die konden worden gebruikt om werkpc’s en –laptops op afstand te kunnen beheren. Hoewel de naam EMS nog veel gebruikt wordt, moeten we nu eigenlijk spreken over Microsoft Enterprise Mobility + Security. Microsoft heeft de oude EMS versie namelijk geupgrade naar een nieuwe versie waarvan twee combinaties (EMS E3 en EMS E5) in het leven geroepen zijn. De E3 versie heeft veel overeenkomsten met de oude suite terwijl de E5 versie extra mogelijkheden heeft die vooral op de beveiliging zijn gericht. Inmiddels is EMS ook voor kleine ondernemingen geschikt gemaakt.

EMS werd niet voor niets een suite genoemd. Het bestaat namelijk uit verschillende producten waarvan een deel ook los af te nemen is. Afhankelijk van het pakket gaat het hierbij om producten zoals Azure Active Directory Premium, Intune, Advanced Threat Protection, en Azure Rights Management, waarover later meer.

Wat doet Enterprise Mobility + Security?

Het hele idee achter EMS is dus het aanbieden van beheertools die mogelijkheden bieden om mobiele gebruikers en data beter te kunnen helpen en beter te kunnen beschermen. Dat doet EMS door onder andere de identiteit van gebruikers beter te laten beheren en beschermen, apparaten zoals laptops en desktops op afstand te laten beheren, data te beveiligen en bijvoorbeeld cloud applicaties zoals Office 365 goed te laten beheren.

EMS wordt tegenwoordig ook gebruikt om te kunnen voldoen aan de wetgeving die zich richt op datalekken. Het is bijvoorbeeld mogelijk om bij te houden welke cloud applicaties waarvoor worden gebruikt en om data eenvoudig te kunnen versleutelen met behulp van complexe data encryptie. Ook voor externe medewerkers (met hun eigen werkstations) kan het werken met EMS een uitkomst bieden. Zij kunnen hiermee (eventueel tijdelijk) toegang en/of policies toegewezen krijgen vanuit uw organisatie om daarmee dingen te kunnen doen.

Naast deze zaken is het mogelijk om voor gebruikers zaken zo voor te bereiden dat, wanneer zij op een andere of nieuwe machine gaan werken, veel zaken automatisch worden ingesteld. Denk daarbij aan toegang tot het wifi netwerk van het bedrijf, de installatie van software en de instellingen voor hun email.

Azure AD

Wie over een Microsoft Windows Server netwerk beschikt (en dat zijn de meeste bedrijven) zal ook gebruik maken van Active Directory (AD). In AD staan zaken als computers en gebruikers opgesomd. Daarmee kunnen systeembeheerder rechten en instellingen bepalen in het netwerk van een organisatie. AD wordt bijvoorbeeld gebruikt om iemand wel of geen toegang te bieden tot een bepaalde map maar get geeft de gebruiker ook recht om bijvoorbeeld überhaupt in te kunnen loggen.

Azure AD is een Active Directory die in de cloud bij Microsoft wordt bewaard. Dit lijkt misschien op AD binnen het eigen netwerk, maar is feitelijk iets anders. In de cloud wordt Azure AD gebruikt om rechten toe te kennen aan gebruikers voor Office 365, maar het kent bijvoorbeeld geen registratie van servers en men kan er ook geen group policies mee toekennen. Een persoon die op kantoor werkt met Office 365 heeft daarom een account op kantoor nodig en een account in de cloud.

Het is wel mogelijk om Azure AD met het AD op kantoor te synchroniseren. Met een eenvoudige gratis tool van Microsoft kunnen beide systemen hiermee bijvoorbeeld passwords synchroniseren. Iets wat handig kan zijn voor gebruikers. Het basisprincipe hiervan is dat de systeembeheerder tegen deze tool vertelt welke account on premise zijn password moet uitwisselen met welk account in de cloud. Verder hebben deze accounts naar weinig met elkaar te maken. Daarom, als de synchronisatie uitvalt, blijven beide account gewoon (en onafhankelijk) van elkaar bestaan.

In Azure AD wordt niet alleen de toegang tot Office 365 geregeld. Je kunt hiermee ook Facebook benaderen of bijvoorbeeld op Google inloggen. Hiermee kun je met Azure AD andere dingen doen dan met het lokale AD. Het AD on premise is bedoeld voor toegang op kantoor ICT diensten, Azure AD om in de cloud over een identiteit te beschikken. Het een vervangt dus niet het ander.

Aan Azure AD worden ook de EMS licenties gekoppeld. Vandaar dat Azure AD nodig is voor EMS, en EMS dus een Azure AD onderdeel bevat. Dit is altijd nodig, al maakt men geen gebruik van bijvoorbeeld Office 365.

Microsoft Intune

Een ander onderdeel van EMS is Microsoft Intune. Dit cloud-based product is bedoeld om apparatuur mee te kunnen beheren. Intune gebruikt Azure AD om onder andere te kunnen achterhalen welke apparaten door welke gebruiker worden gebruikt. Daarbij beperkt het zich niet tot Windows machines alleen. Het kan ook overweg met bijvoorbeeld een Apple iPad of een Android SmartPhone. Het beheer van al deze apparaten vindt plaats door gebruik te maken van een webportaal door de systeembeheerder.

Als een apparaat is geregistreerd (gebruikers kunnen hun apparaten zelf ook opgeven) dan kan de systeembeheerder informatie van dat apparaat opvragen. Denk daarbij aan bijvoorbeeld de technische specificaties. Met Intune kan de systeembeheerder verder software uitrollen naar deze machine, instellingen daarvan veranderen en zelfs de machine op afstand wissen, wat handig kan zijn bij een diefstal van het apparaat. Hij kan ook eisen stellen aan het apparaat. Bijvoorbeeld dat het moet zijn voorzien van een bepaalde versie van het besturingssysteem. Voldoet hij daar niet in, dan kan hij het apparaat de toegang tot het netwerk verbieden.

Microsoft Advanced Threat Protection

Met Advanced Threat Protection (ATP) wordt een technologie uitgerold waarmee cyberaanvallen en bedreigingen van binnenuit kunnen worden aangepakt. ATP doet dit door het netwerkverkeer te controleren. Het kijkt daarnaast naar logboeken zoals die worden aangemaakt op de AD servers om te onderzoeken wat er allemaal gebeurt.

In hoofdlijnen kijkt ATP naar drie zaken: of het bedrijf wordt aangevallen, of er bijzondere beveiligingsrisico’s bestaan en of er abnormaal gedrag plaatsvindt. Via een dashboard wordt de systeembeheerder op deze zaken geattendeerd.

Als een mobiele gebruiker is ingelogd op het netwerk en dingen doet die als ‘vreemd’ worden beschouwd, bijvoorbeeld omdat hij probeert in allerlei mappen te komen waar hij geen rechten toe heeft, dan zal ATP dat kunnen melden. Vanzelfsprekend moet ATP wel eerst weten wat normaal en abnormaal gedrag van de gebruiker is. Daarom leert het met kunstmatige intelligentie van wat er op het netwerk gebeurt. Hoe langer het draait, hoe adequater het daarom beschermd.

Microsoft Azure Rights Management

De Microsoft Rights Management Services (RMS) is als onderdeel van EMS E5 bedoeld om data te kunnen beschermen, ook (en misschien juist wel vooral) buiten het eigen netwerk om. Wanneer een gebruiker een Word document maakt, stelt RMS hem in staat om te bepalen wie het document mag lezen, hoe lang het mag blijven bestaan en of het document bijvoorbeeld afgedrukt mag worden. Met AD RMS kan daarom het intellectuele eigendom van een organisatie worden beschermd.

Interessant is ook dat men met Azure RMS data kan labelen. Dit is iets waar naar verwachting in de komende jaren steeds meer gebruik van gemaakt zal gaan worden. Denk bijvoorbeeld aan een case waarbij men binnen een bedrijf de policy afspreekt dat het CV van een sollicitant niet langer dan 3 maanden bewaard mag blijven. Een dergelijk CV kan dan doorgestuurd worden met het label ‘verwijder na drie maanden’. Ongeacht waar dit CV zich dan bevindt, bijvoorbeeld in de mail, zal dit dan automatisch na drie maanden worden verwijderd. Een technologie die bijvoorbeeld naadloos aansluit bij de nieuwe wetgeving waarbij is vastgelegd hoe lang bepaalde persoonsgegevens bewaard mogen blijven.

Conclusie

Microsoft EMS beschikt over onderdelen die het mobiele werken beter mogelijk maken. Het beheer van de machines en software wordt ondersteund, de beveiliging van data kan worden geregeld en de identiteit van gebruikers kan beter worden beschermd.