Was ist EMS?
Microsoft Enterprise Mobility + Security (EMS), früher bekannt unter dem Namen Enterprise Mobility Suite, ist ein Paket aus verschiedenen aufeinander abgestimmten Produkten rund um die Verwaltung und Sicherheit Ihrer Infrastruktur und mobilen Geräte. Das Paket gibt es in den Ausführungen E3 und E5. Die Variante E3 bildet hier die Nachfolge der Enterprise Mobility Suite.
EMS E3 und E5 setzen sich aus den folgenden Produkten zusammen:
Produkte & Vorteile
1. Hybrid Identity Management – Azure Active Directory Premium
Hybrid Identity erweitert Ihre vorhandene Active Directory-Infrastruktur in die Cloud mit Hilfe von Microsoft Azure Active Directory. Mit integriert sind die Optionen zur mehrstufigen Authentifizierung und für den bedingten Zugriff. Die Ausführung P2 beinhaltet zusätzliche Sicherheitsfeatures für die Benutzer- und Administratorkonten.
Azure Active Directory bietet Funktionen zur Benutzerverwaltung, Integration mit Ihrer bestehenden Windows Server Active Directory und Single-Sign-On für über 1200 Cloud-Anwendungen wie z.B. Office 365 und zahlreiche SaaS-Anwendungen.
Azure Active Directory-Premium ist ein benutzerorientiertes Identitäts- und Zugriffsverwaltungsmanagement in der Cloud. Durch die Bereitstellung eines maßgeschneiderten Portals mit dem Logo Ihres Unternehmens, können Anwender per Single Sign-on auf alle Ihre Cloud-Anwendungen gelangen. Das People-Centric Konzept stellt hierbei den Anwender in den Vordergrund. Somit ist der Zugriff dabei nicht auf einzelne Browser, Geräte oder Plattformen beschränkt.
Mit Azure Active Directory Premium können Anwender ihre eigenen Passwörter unter Berücksichtigung der Sicherheitsanforderungen Ihrer Organisationen selbst zurücksetzen.
- Erstellen und verwalten Sie nur eine Identität für jeden Benutzer in Ihrer hybriden Umgebung, und halten Sie Benutzer, Gruppen und Geräte synchron.
- Ermöglichen Sie den Zugriff auf Ihre Anwendungen per Single Sign-On, z. B. auf Tausende vorab integrierte SaaS-Anwendungen.
- Sorgen Sie für Sicherheit beim Anwendungszugriff mithilfe der regelbasierten mehrstufigen Authentifizierung für lokale Anwendungen und Cloud-Anwendungen.
- Verbessern Sie die Benutzerproduktivität, indem Sie die Self-Service-Kennwortrücksetzung und -Anwendungsanforderung für Verzeichnisse im Rechenzentrum und in der Cloud nutzen.
- Stellen Sie den sicheren Remotezugriff auf lokale Webanwendungen per Azure AD-Anwendungsproxy bereit.
- Nutzen Sie die hohe Verfügbarkeit und Zuverlässigkeit einer Lösung für die Identitäts- und Zugriffsverwaltung, die weltweit verfügbar, für Großunternehmen geeignet und cloudbasiert ist.
- Schützen Sie Ihre Benutzer-und Administratorkonten mit Azure Active Directory Premium P2 durch zusätzliche Sicherheitsfunktionen.
2. Mobile Device Management (MDM) – Microsoft Intune
Mit der MDM-Lösung aus dem Hause Microsoft setzen Sie auf eine plattformübergreifende Verwaltung Ihrer mobilen Geräte und Applikationen. Im Zusammenspiel mit dem System Center Configuration Manager (SCCM) steigern Sie das Potenzial, indem über eine einzige Konsole Ihre lokalen und mobilen Geräte und Applikationen verwaltet werden.
Mit Microsoft Intune steuern Sie den gesamten LifeCycle Ihrer mobilen Geräte und Applikationen vom Ausrollen und Verteilen der Richtlinien, Einstellungen und Applikationen bis zum Sperren, Entfernen einzelner Tools oder dem kompletten Löschen der Devices.
- Führen Sie die Bereitstellung und Verwaltung von Apps für viele verschiedene Plattformen, z. B. iOS-, Android-, Windows- und Windows Phone-Geräte, über eine zentrale Verwaltungskonsole durch.
- Vereinfachen Sie die administrativen Aufgaben, indem Sie erforderliche Apps automatisch während der Registrierung bereitstellen und Benutzern das einfache Installieren von Unternehmens-Apps über das Self-Service-Unternehmensportal ermöglichen.
- Steigern Sie die Produktivität mit den mobilen Office-Apps, mit denen Ihre Mitarbeiter vertraut sind, und schützen Sie Unternehmensdaten, indem Sie Aktionen wie Kopieren/Ausschneiden/Einfügen/Speichern in der verwalteten App-Umgebung einschränken. Erweitern Sie diese Funktionen auf vorhandene Branchen-Apps.
- Stellen Sie Zertifikate, WLAN, VPN und E-Mail-Profile automatisch bereit, sobald ein Gerät registriert ist. So ermöglichen Sie Benutzern den nahtlosen Zugriff auf Unternehmensressourcen mit den entsprechenden Sicherheitskonfigurationen.
- Stellen Sie eine umfangreiche Einstellungsverwaltung für mobile Geräte bereit, z. B. Remoteaktionen wie das Zurücksetzen des Kennworts, Gerätesperre und Datenverschlüsselung.
- Löschen Sie Unternehmensdaten und -anwendungen, wenn die Registrierung eines Geräts aufgehoben wird oder wenn es nicht kompatibel ist, verloren geht, gestohlen wird oder außer Betrieb genommen wird.
- Erweitern Sie Ihre vorhandene System Center Configuration Manager-Infrastruktur durch eine Microsoft Intune-Integration, und ermöglichen Sie eine einheitliche benutzerfreundliche Verwaltung auf allen Geräten – lokal und in der Cloud.
Durch den Einsatz von Microsoft Intune können Sie die Anwendungs- und Geräteverwaltung komplett über die Cloud oder per Integration in System Center 2012 Configuration Manager bereitstellen – alles über eine zentrale Verwaltungskonsole.
Außerdem hat Microsoft Funktionen für Verwaltung und Datenschutz direkt in die mit Intune verwaltete mobile Office-Apps integriert, um die Produktivität zu steigern. Gleichzeitig ist es möglich, diese Verwaltungsfunktionen mit dem Intune App Wrapping Tool auf Ihre Branchen-Apps auszuweiten.
Geschäftliche und private Daten trennen
Um immer und überall produktiv sein zu können, wünschen sich Benutzer, dass sie mit allen Geräten auf die Unternehmensressourcen zugreifen können. Die geschäftlichen Anforderungen ändern sich ständig, da Unternehmen sich im Wettbewerb behaupten müssen. IT-Experten müssen nicht nur die Unterstützung unterschiedlicher Geräte sicherstellen, sondern auch die Unternehmensdaten schützen und für Compliance sorgen. Microsoft Intune bietet Ihnen die Möglichkeit die Kommunikation zwischen Ihren geschäftlichen Applikationen und Ihren privaten Applikationen zu trennen. So bleiben Ihre Unternehmensdaten in Ihrem geschützten und verwalteten Bereich.
3. Data Protection – Azure Information Protection Premoum P1/P2
Mit dem Azure Information Protection Premium Service teilen Sie ihre Dokumente mit anderen und haben die Sicherheit, dass die Empfänger diese auf allen gängigen Endgeräten nutzen können. Dabei werden sämtliche Datei-Formate von den gebräuchlichen Office-Formaten über Bilddateien, PDF und XML auf den aktuellen Plattformen (Windows, Windows Phone, Windows 10 Mobile, Mac OS/X, iOS und Android) unterstützt.
Azure Information Protection Premium steht als SaaS-Lösung über die Microsoft Azure-Cloud zur Verfügung. Dabei hat Microsoft selbst keinen Zugriff auf die Inhalte Ihrer Daten. Die dokumentenspezifischen Schlüssel können dabei auch über Ihre lokale IT verwaltet werden („Bring Your Own Key“).
Mit Data Loss Prevention (DLP) können Sicherheitsrichtlinien erstellt werden, sogenannte Templates, welche granuliert festlegen, was für Daten über welchen Weg und von wem weitergegeben werden dürfen.
Mit Azure Information Protection Premium werden Ihre Dateien in der Cloud verschlüsselt, können verschlüsselt abgelegt werden und garantieren eine sichere Zusammenarbeit im Team beim Versenden von Dateien über das Internet oder per E-Mail. Die Verschlüsselung ist dabei an die Benutzeridentität gebunden und kann auch verwendet werden ohne das Azure Information Protection Premium für das Unternehmen aktiviert worden ist.
- Verschlüsselungsrichtlinie auf Dateiebene, mit der das Dokument innerhalb und außerhalb Ihrer Organisation verfolgt wird, z.B. E-Mails unabhängig vom E-Mail Dienst des Empfängers.
- Erhöhte Sicherheit bei der Zusammenarbeit durch Schutz für nahezu alle Dateitypen auf jeder Geräteplattform, z.B. aus Anwendungen wie SharePoint, Office oder Exchange durch leicht konfigurierbare Berechtigungsregeln.
- Sicherer Austausch von Dateien per E-Mail oder über Ihren bevorzugten Cloud-Speicherdienst, z. B. Microsoft OneDrive oder Dropbox.
- Wahlmöglichkeit zwischen flexiblen, lokalen und cloudbasierten Bereitstellungsoptionen je nach Anforderungen Ihres Unternehmens.
- Der dokumentenspezifische Schlüssel kann von der eigenen IT verwaltet werden.
- Kontrolle über die eigenen Daten (on-premise, hybrid oder cloud).
4. Microsoft Advanced Threat Analytics (ATA)
Was ist ATA?
Microsoft Advanced Threat Analytics (ATA) ist eine führende On-Premise-Lösung im Bereich Analysieren von Benutzer- und Entitätsverhalten, mit der IT-Sicherheitsexperten einer Organisation diese vor erweiterten gezielten Angriffen sowie Bedrohungen von innen schützen können. Durch automatisches Analysieren, Lernen und Identifizieren von normalem und ungewöhnlichem Verhalten von Entitäten (Benutzer, Geräte und Ressourcen) mithilfe erweiterter Machine Learning-Technologie ermöglicht ATA, bekannte böswillige Angriffe und Techniken sowie Sicherheitsprobleme und Risiken zu erkennen. Auf Basis von Informationen und Einblicken erstklassiger Sicherheitsforschung hilft diese innovative Technologie Unternehmen dabei, Sicherheitslücken zu identifizieren, bevor diese Schaden anrichten.
Wie funktioniert ATA?
ATA erkennt:
- Erweiterte permanente Bedrohungen (Advanced Persistent Threats, APTs) früh in der Angriffskette, bevor diese Schaden anrichten
- Bedrohungen von innen
Bösartige Angriffe
Die Diagnose Engine erkennt bekannte Angriffsmethoden beinahe in Echtzeit.
Abnormales Verhalten
Die verhaltensbasierende Analyse nutzt maschinelles Lernen, um fragwürdige Aktivitäten und abnormales Verhalten aufzudecken.
Sicherheitsprobleme und Risiken
ATA identifiziert bekannte Sicherheitsprobleme und Risiken anhand der Arbeit der weltweit führenden Sicherheitsexperten.
ATA hilft Ihnen, echte verdächtige Aktivitäten vom „Rauschen“ zu trennen, damit Sie sich auf die kritischen Dinge konzentrieren können.
Das Erkennungsmodul von ATA nutzt Machine Learning, verschärfte Paketinspektionen im Entitätenkontext, Protokollanalysen und Informationen aus Active Directory (AD), um Benutzer- und Entitätsverhalten zu analysieren.
ATA führt tiefgreifende Analysen des Datenverkehrs Ihrer Organisation aus und erstellt mithilfe von Machine Learning eine Übersicht über die normalen Aktivitäten, den Datenverkehr und die Nutzung in Ihrer Organisation. Anschließend erfasst ATA von der Norm abweichendes Verhalten und benachrichtigt Sie in diesem Fall. Dies wird erreicht, indem Microsofts DPI-Technologie (Deep Packet Inspection) ausgeführt wird, die Paketprüfung im Entitätenkontext auf tieferer Ebene der Netzwerkdatenverkehrsanalyse ermöglicht, sodass ATA alle Ebenen Ihres Netzwerkverkehrs analysieren kann.
Darüber hinaus erfasst ATA relevante Ereignisse von SIEM-Systemen und Domänencontrollern. Nach der Analyse erstellt ATA eine dynamische, fortlaufend aktualisierte Ansicht aller Personen, Geräte und Ressourcen innerhalb einer Organisation. Mithilfe dieser umfassenden Ansicht kann ATA bekannte Angriffe wie Pass-the-Hash-, Pass-the-Ticket-, Reconnaissance-Angriffe und weitere erkennen sowie nach allen Auffälligkeiten im Verhalten von Entitäten in Ihrem Netzwerk suchen.
Sobald eine verdächtige Aktivität erkannt wird, löst ATA eine Warnung aus. Die Anzahl der falsch positiven Ergebnisse, die Sie erhalten, wird minimiert, indem erweiterte Algorithmen für die Aggregation und Kontextüberprüfung verwendet werden.
Nach welchen Bedrohungen sucht ATA?
ATA ermöglicht die Erkennung der folgenden verschiedenen Phasen eines erweiterten Angriffs: Reconnaissance, gefährdete Anmeldeinformationen, seitliche Verschiebung, Berechtigungsausweitung, Domänendominanz und mehr. Damit sollen erweiterte Angriffe und interne Bedrohungen erkannt werden, bevor sie Schaden in Ihrer Organisation anrichten.
Die Erkennung von jeder Phase führt zu mehreren verdächtige Aktivitäten, die für die betreffende Phase relevant sind, wobei jede verdächtige Aktivität mit verschiedenen Varianten möglicher Angriffe korreliert.
Lizenzierung
Es ist einfach, Microsoft Enterprise Mobility-Produkte zu kaufen und Verwaltungssoftware für Mobilgeräte zu Ihrem Unternehmen hinzufügen. Der Einfachheit halber wird jedes Produkt pro Benutzer abgerechnet, nicht pro Gerät.
Produkt
Features
Preise (pro Benutzer / Monat)
Azure Active Directory Premium
- Self-Service-Kennwortrücksetzung zur Reduzierung der Helpdesk-Anrufe
- Optionen für mehrstufige Authentifizierung für höhere Sicherheit
- Gruppenbasierte Bereitstellung und Single Sign-On für Tausende von SaaS-Apps
- Auf Machine Learning basierende Berichte zur Überwachung und Erkennung von Sicherheitsbedrohungen
- Stabile Synchronisierungsfunktionen für Ihre Cloudverzeichnisse und lokalen Verzeichnisse
$6
Microsoft Intune
- Mobile, geräteübergreifende Anwendungsverwaltung
- Umfassender Gerätesupport für iOS-, Android-, Windows- und Windows Phone-Geräte
- Selektive Zurücksetzung von Apps und Daten für höhere Sicherheit
- Verwendung von System Center 2012 R2 Configuration Manager und Endpoint Protection **
$6
Azure Rights Management
- Informationsschutz in der Cloud oder in einem Hybridmodell mit der vorhandenen lokalen Infrastruktur
- Integration in Ihre systemeigenen Anwendungen mit einem benutzerfreundlichen SDK
- Windows Server Active Directory Rechteverwaltungsserver CAL-Nutzungsrechte **
$2
Microsoft Advanced Threat Analytics***
- Verhaltensanalyse für die fortschrittliche Erkennung von Bedrohungen
- Erkennung von bekannten böswilligen Angriffen und Sicherheitsrisiken
- Einfacher Feed mit ausführbaren Aktionen für Warnungen aufgrund verdächtiger Aktivitäten und Empfehlungen
- Integration in die vorhandenen Security Information and Event Management (SIEM)-Systeme
$3,50*
Windows Server CAL
- Windows Server CAL-Nutzungsrechte **
$1,75*
Summe
$19,25
Enterprise Mobility Suite
b>$8.75*
(Einsparung von 50 % gegenüber Einzelpreisen)
Preise sind in US-Dollar angegeben und können von Land zu Land variieren. Bitte fordern Sie bei Ihrem Microsoft-Partner oder Händler ein Angebot an.
*Open ERP-Preise pro Monat.
**Kunden, die Windows Server CAL, System Center Configuration Manager, System Center Endpoint Protection und AD RMS CAL über unsere Enterprise-Volumenlizenzierungsverträge erwerben, können das „EMS Add On“-Angebot nutzen.
***Microsoft Advanced Threat Analytics-Preise und -Pakete ab 1. August 2015.
Unsere Leistungen
Die intellecom GmbH wurde von Microsoft zum Vertrieb von Microsoft Online Services profiliert. Nutzen Sie unsere Erfahrungen und Kompetenz und vereinbaren Sie einen unverbindlichen Gesprächstermin zu diesem aktuellen Themenkomplex.
Im Einzelnen bieten wir Ihnen:
- Vorab WEB Cast oder vor Ort Präsentation der Produktmöglichkeiten mit unserem Test- und Demo-Lab
- Lösungsberatung, Strategieberatung, Konzeption für den Einsatz von Microsoft Enterprise Mobility + Security
- Evaluierung sowie Pilotierung
- Erstellung Ihres Proof of Concepts
- Migration und Implementierung
- Mobility to go as a Managed Service