EMS (Enterprise Mobility Suite) kolem dokola

Že jste o něm ještě neslyšeli? Popřípadě jste už něco zaznamenali, ale vlastně nebylo úplně zřejmé, co to je, kde to spí a co to žere? Tak přesně pro vás je určen tento základní přehledový článek, který se vám pokusí objasnit, co EMS vlastně je a proč zrovna pro vaši firmu nebo vaše zákazníky může být užitečné.

Není to zase tak dlouho, kdy jasným a neohroženým zástupcem manažerského telefonu a řešením pro mobilní komunikaci bylo Blackberry. Ale jak se trh IT vyvíjí, začali vedle profesionální funkčnosti uživatelé chtít mnohem více. Chtěli zařízení používat nejen pro práci, ale rovněž si s ním užívat v soukromém životě. A tak se celý tento segment začal dramaticky, velmi rychle přetvářet a měnit. Na trh dorazila zařízení jako Apple iPhone. Windows Mobile se zcela proměnil do úplně jiného mobilního operačního systému, dnes známého jako Windows Phone. Přišel Android a usadil se na nepřeberné množství zařízení, od těch úplně nejlevnějších až po ta nejdražší. Tak začalo postupné prolínání světa zařízení, která patřila do segmentu „consumer“, a druhého světa, který byl „professional“. A z toho všeho vznikl nový fenomén, dnes známý jako BYOD. Neboli Bring-Your-Own-Device. BYOD pojmenovává trend, kdy si uživatelé nosí svá vlastní zařízení, používají je nejen ke své osobní  komunikaci a povyražení, ale i pro práci. Stále častěji pak slýcháte: „Mám smartphone, chtěl bych na tom mít firemní mail.“ A tím to vlastně celé začíná.

EMS jako zkratka znamená Enterprise Mobility Suite. A je to řešení založené na třech cloudových platformách. Jmenovitě to jsou:

• Azure Active Directory Premium
• Azure Rights Management Services
• Microsoft Intune

EMS a Azure Active Directory Premium

Azure Active Directory Premium poskytuje úroveň škálování a spolehlivosti, jakou požadují velké podniky. Služba denně zvládá miliony ověření od více než 200 milionů aktivních uživatelů a poskytuje SLA na úrovni 99,9 %. Je vysoce dostupná a hostovaná v globálně distribuovaných datacentrech. Azure AD Premium se pořizuje prostřednictvím Enterprise Agreement (EA).

Edice Premium obsahuje navíc tyto sady funkcí:

• Branding and Customization – přihlašovací obrazovka se může upravit tak, aby byla v souladu s grafickou identitou společnosti a jejích dalších firemních služeb či webových stránek. Včetně nahrazení výchozího loga Azure AD značkou společnosti.
• Group Based Access Control – k federovaným aplikacím můžeme kontrolovat přístup dle skupin. Dále, uživatelé mohou žádat o přístupy požadavkem na připojení se k určité skupině, a schvalování může být provedeno přes vlastníky skupin (skrze Azure AD Access Panel). Správa skupin může být administrátory delegována.
• Self Service Password Management – možnost pro uživatele obnovit si samoobslužně heslo (pokud je mají uložené v Azure AD). Microsoft nyní již umožňuje (volitelně) nové heslo zapisovat do našeho on-premise AD.
• Multi-Factor Authentication – brání neoprávněnému přístupu k místním i cloudovým aplikacím pomocí víceúrovňového ověřování (SMS, hovor, notifikace do mobilní aplikace) během přihlašování. Díky této službě je možné využívat vícefaktorové přihlašování i v on-premise prostředí (RADIUS, IIS atd).
• FIM – Azure AD Premium také obsahuje Forefront Identity Manager Server a Client Access Licenci.
• Advanced Reporting, alerting, and analytics – chrání vaši firmu sledováním výstrah zabezpečení a sestav založených na strojovém učení, které rozpoznávají nekonzistentní vzorce přístupu uživatelů nebo zařízení a pomáhají tak odstranit potenciální rizika hrozeb. Standardně máme k dispozici reporty pro přihlášení z neznámých zdrojů, na několikátý pokus, z několika destinací. Premium dále přidává: přihlášení z podezřelých adres, nepravidelná aktivita, seznam nejvíce aktivních uživatelů, seznam zařízení použitých k přihlašování. (na TechNetu lze nalézt náhledy dalších reportů)

Synchronizace

V Azure AD se sice dají vytvářet uživatelé jeden po druhém na portálu, anebo importovat přes CSV, Graph API nebo AAD Powershell module, ale pro větší podniky s tisíci účtů by to bylo dost nepraktické. Proto Microsoft poskytuje možnosti synchronizace účtů a skupin z podnikových AD domén či forestů.

Pro tuto integraci jsou zde 3 možnosti:

• Azure Active Directory Synchronization Tool (DirSync)
• Azure Active Directory Synchronization Services (AAD Sync)
• Forefront Identity Manager 2010 R2 (použitelný i na jiné adresářové služby, např. Novel, Notes, openLdap)

Nastavení synchronizace Azure AD Directory bude pro většinu organizací snadné, a to přes Next>Next wizard s minimálními vstupy. Organizace s více než 50 000 AD objektů (uživatelé, skupiny, kontakty) už mohou potřebovat plnou verzi Microsoft SQL Server.

Pokud se budete rozhodovat, který nástroj použít, na TechNetu je přehledná tabulka funkcí a možností jednotlivých nástrojů.

Typické scénáře užití

Jedním z příkladů může být nasazení Azure Access Control Service (ACS) k autentizaci uživatelů dalších identit (jako FaceBook, Google, Yahoo) uvnitř naší sítě.

Prvním klasickým příkladem je např. Dropbox. Pokud máme předplacenou službu Dropbox for Business a chceme využívat výhod jednotného přihlášení či udělování oprávnění do této služby, můžeme využít před-konfigurovanou federaci s touto službou.

S nasazením a rozšířením o další služby nám může pomoci utilita Cloud App Discovery. Umí sbírat data ze zařízení ve vaší společnosti a najít služby, které zaměstnanci používají a které jsou v galerii aplikací Azure. Poté můžeme tyto uživatele přidat do skupiny Azure (určená pro předplatné Dropbox), která bude vázána na jejich firemní ID. Pokud uživatel v budoucnu odejde, přístup k Drop­boxu a firemním datům bude ukončen zároveň s jeho firemním účtem.

Druhým příkladem nasazení může být připojení na účet Twitter přes skupinu Azure, ve které mohou být třeba firemní účty lidí zodpovědných za vztahy s veřejností. Tito zaměstnanci pak mohou publikovat statusy jménem našeho firemního účtu Twitter. Zároveň bude i snáze dohledatelné, kdo vložil jaký příspěvek. Budeme-li mít Azure AD Premium, můžeme delegovat kontrolu nad touto skupinou například na vedoucího PR oddělení.

EMS a Azure Rights Management Services

Slovo Azure napovídá, že se budeme dále bavit o cloudové službě. S Rights Management Services se totiž můžeme setkat i v prostředí, které organizace provozují ve svých serverovnách. Od Windows Server 2008 je totiž služba Active Directory RMS plně integrována jako serverová role operačního systému. A co to tedy je? Nástroj z oboru IRM (Information Rights Management), který poskytuje ochranu dokumentům proti neoprávněnému užití a řídí nakládání s informacemi uvnitř tohoto dokumentu. Pár příkladů:

1. Organizace chce, aby její dokumenty byly šifrovány = RMS
2. Organizace chce, aby ochrana dokumentu měla stejnou letenku jako dokument. Tedy, aby ochrana byla nezávislá na tom, jestli byl dokument někam vykopírován = RMS
3. Organizace chce zamezit určitému způsobu nakládání s dokumentem (tisk, print screen, Ctrl+C…) pro určité skupiny lidí = RMS
4. Organizace chce, aby chráněný dokument byl čitelný jen do nějaké doby = RMS
5. Organizace chce, aby chráněný dokument nešlo číst offline = RMS
6. Organizace chce šifrovat jakýkoliv typ dokumentu = RMS
7. Organizace chce, aby mohla sdílet chráněná data s dalšími organizacemi = RMS

Organizace toho chtějí mnoho. Pravdou ale je, že v mnoha a mnoha organizacích se ochrana dat stále ještě řeší jen na úrovni zabezpečení souborového systému. Tedy pomocí práv NTFS. Jenže to má svoje poměrně zásadní nedostatky. Opět použijme fantazii a příměr. S NTFS řešíte zabezpečení tak, že se zaměřujete jen na vstupní vrata od garáže. Má anebo nemá dotyčný právo vstoupit. Ano, pravda, pak lze ještě trochu práva granulovat (čtení/změna/zápis), ale to vše platí, jen když je dokument v garáži. Jakmile ho vykopírujete do vedlejší garáže, už je to váš dokument s právy vlastníka a tadáá, můžete si v dokumentu sochat, co chcete. A to není v pořádku. Zejména, pokud by se pak zase našel způsob, jak editovaný dokument vrátit na původní uložiště, že? Naopak s RMS se ochrana dokumentu realizuje tak, že se samotný dokument zašifruje a přístup k němu mají pouze ti, kdo byli uvedeni v seznamu oprávněných. A ochrany se nezbavíte tím, že dokument vykopírujete do jiného uložiště. Ba co více, i když má někdo k dokumentu právo jej číst, můžete pomocí speciálních RMS práv definovat, co přesně onen člověk (či skupina) může s dokumentem dělat. U zmíněného práva „číst“ totiž můžete zabránit také, aby dotyčný dokument mohl vytisknout nebo obsah kopírovat přes Ctrl+Cizí a Ctrl+Vlastní. Samozřejmě zakázat print screen a další věci. Pak už zbývá jen mobil s foťákem a kopírka s monitorem. Ale odneste takhle třísetstránkovou výroční zprávu :-).

Toto je ochrana pomocí RMS a její základní odlišnosti oproti NTFS u dokumentů. Ale to není vše. Azure RMS je možné integrovat s dalšími nástroji, jako je Exchange Server i Exchange Online, SharePoint lokální i SharePoint Online nebo váš lokální souborový server, který provozujete na Windows Serveru.

Samozřejmě se ptáte, jaký druh dokumentů se dá vlastně chránit s Azure RMS. V základu jsou to dokumenty Word, Excel, PowerPoint, InfoPath a Outlook. A také PDF, JPG, GIF, TIFF, TXT a další. Přes aplikaci RMS Sharing a tzv. „Generic protection“ se pak dá chránit libovolný typ dokumentu. Ty jsou ovšem chráněny tak, že jsou součástí zašifrovaného souboru, ale není možné u nich nastavovat nějaká detailní práva.

EMS a Microsoft Intune

Intune je cloudová služba pro Mobile Device Management (MDM) a Mobile Application Management (MAM). Stručně řečeno, slouží ke správě počítačů a mobilních zařízení, která nemáte v rámci on-premise světa (Active Directory) pod úplnou kontrolou. Tedy ta zařízení, na kterých uživatelé pracují, přistupují k firemním datům a aplikacím, ale zároveň nejsou v doméně, tudíž je nemůžete centrálně řídit a spravovat.

Oblast MDM prošla od prvních verzí, tehdy ještě Windows Intune, značnou proměnou. Pokud jste Windows Intune používali v minulosti, tak určitě víte, že strádal především omezeným počtem nastavení, která šla na cílovém zařízení vynutit. A mnohá z těchto nastavení bylo možné aplikovat pouze na jednu platformu, nejčastěji iOS. Dále zde například zcela chyběla podpora pro platformu Android. Dnes je však situace zcela jiná.

MDM můžeme zejména kvůli přehlednosti rozdělit do několika skupin:

Konfigurace a zabezpečení zařízení

Od počátku vzniku MDM bylo zabezpečení zařízení jednou z hlavních priorit. V současné verzi Microsoft InTune najdete nepřeberné množství bezpečnostních nastavení, mezi nejzajímavější patří:

• nastavení hesla pro odemčení zařízení, včetně zapamatování historie hesel;
• nastavení šifrování zařízení a jejich datových úložišť;
• nejrůznější systémová nastavení v závislosti na dané platformě, například vynucení automatických aktualizací (Windows 8.1) či přístup k notifikacím z uzamčené obrazovky (iOS);
• povolení přístupu k webovým prohlížečům;
• povolení přístupu k obchodu s aplikacemi;
• nastavení hardwaru – přístup k Wi-Fi, vytváření hotspotu, přístup ke kameře.

Na platformě iOS je pak horkou novinkou vytváření zcela vlastních bezpečnostních nastavení pomocí nástroje Apple Configurator. Následně je lze do konzole Microsoft InTune naimportovat.

Novinkou je také podpora Kiosk módu, tedy definice toho, jaké funkce jsou na zařízení aktivní. Zde můžeme například omezit použití tlačítek hlasitosti, zoom obrazovky a další.

Správa aplikací

V dřívějších verzích Microsoft Intune bylo možné v rámci správy aplikace pouze vypublikovat na portál, odkud si je uživatelé následně nainstalovali, případně byli přesměrováni do obchodu aplikací pro danou platformu. Dnes je možné na některé mobilní platformy aplikace instalovat bez intervence uživatelů, dále pak zjistit seznam nainstalovaných aplikací a porovnat je se seznamem povolených aplikací v rámci organizace. Správa aplikací šla však ještě dále a nově umožňuje omezovat fungování aplikací samotných – například omezit sdílení dat mezi jednotlivými aplikacemi, či v prostředí webových prohlížečů definovat povolené webové stránky.

Přístup k firemním zdrojům

Pomocí Microsoft Intune můžete nově na koncová zařízení distribuovat VPN profily, Wi-Fi profily, e-mailové profily či certifikáty. To bylo samozřejmě možné i v dřívějších verzích, nicméně pouze ve spojení s SCCM 2012 SP1.

Inventář a reporting

Hardwarový a softwarový inventář a reporting koncových zařízení je opět závislý na konkrétní platformě. Novinkou napříč platformami je ale například zjištění toho, zda je zařízení přehráno neoriginálním firmwarem, tzn. zda došlo k jailbreaku či rootu zařízení.

Správa počítačů

Microsoft Intune dále navazuje na předchozí generace i co se týče správy počítačů, i když novinek zde nenajdeme tolik, jako na poli mobilních zařízení. Vyjmenujme si proto základní možnosti při správě počítačů, mezi které patří:

• konfigurace aktualizací operačního systému;
• nastavení firewallu;
• instalace, konfigurace a monitoring anti-malware ochrany v podobě Intune Endpoint Protection;
• vzdálená pomoc;
• distribuce aplikací;
• hardwarový a softwarový inventář;
• reporting.

Novinky na platformě PC tedy mají charakter spíše kosmetických vylepšení, mezi něž patří podpora nejnovějších verzí operačních systémů a další drobnosti.

EMS a Microsoft Office

Microsoft Office se na mobilních zařízeních zabydlel už dávno, ale jen na těch s mobilním operačním systémem Windows Phone. Do celkové strategie společnosti Microsoft a produktu Enterprise Mobility Suite však zapadá poskytnutí tohoto balíku aplikací i na zařízení s operačním systémem iOS nebo Android. Jak známo, pro oba tyto mOS už je Microsoft Office k dispozici a společnosti mohou spravovat aplikace Office Mobile přímo z Intune. Dále se podpora v Intune rozšířila i o velmi populární OneNote pro iOS.

EMS vás bude určitě zajímat, chcete-li bezpečně a jednoduše provozovat mobilní zařízení a strategie BYOD a CYOD (Choose-Your-Own-Device).

Jan Pilař, KPCS CZ