אחד מהשירותים הטכנולוגיים הנפוצים ביותר במציאות של ימינו הוא המחשוב בענן .
בכדי להבין במילים פשוטות מהו המחשוב בענן ניתן לאמר שמדובר בניהול וגישה למידע השייך לפרט או לארגון שאינו נמצא במחשב האישי ,השרת המקומי ,טאבלט או טלפון החכם , אלא על מחשבים מרוחקים השייכים לחברות חיצוניות .
אחד מהיתרונות הבולטים שהמחשוב בענן מספק , הוא היכולת לגשת מכל מקום למידע של העסק וליישם תהליכים של עבודה מהבית שהפכה להיות מתבקשת במיוחד בתקופה האחרונה לאור המציאות שכפתה עלינו הקורונה .
חברת מיקרוסופט , מובילה במתן שירותי מחשוב שניתנים ישירות מהענן.
בנוסף לאספקה של תוכנות אופיס למשתמשים בחבילות התקנה פיזיות על שרת או מחשב מקומי , החברה מציעה שימוש בתוכנות ישירות מהענן ללא התקנה פיזית ובעלויות נמוכות אל מול אילו שבמסלול של רכישת רישוי להתקנה מקומית.
יחד עם זאת , הטכנולוגיה מהווה אבן שואבת לאיומים זדוניים על פרטיות המשתמש ופגיעה בארגון אליו הוא שייך בעיקר דרך מכשירים הניידים של העובדים .
כדי להתמודד עם נקודת חולשה זו מיקרוסופט מספקת בין השאר פתרונות אבטחה חכמים כדוגמת :
Microsoft Enterprise Mobility + Security
(EMS) היא פלטפורמה חכמה לניהול ולאבטחה של הניידות. הפלטפורמה מחד, עוזרת להגן על הארגון על ידי אספקה של חבילת כלים המרחיבה את השליטה על המידע בארגון ומספקת מאידך,כלים עוצמתיים לעובדים כך שיוכלו לעבוד בדרכים חדשות וגמישות עם המכשירים שברשותם.
EMS זמינה בתוך חבילות Microsoft 365 E3/E5 אך ניתן לרכישה כתוכנית עצמאית
מיקרוסופט מציעה 2 חבילות של EMS :
Enterprise Mobility + Security E3/E5
במאמר זה נלמד מהו EMS ונעמוד על ההבדל בין שתי החבילות.
Microsoft Enterprise Mobility + Security היא פלטפורמה המאחדת ארבעה מוצרים:
- Microsoft Intune
- Azure Active Directory Premium
- Azure Rights Management
- Microsoft Advanced Threat Analytics
Microsoft Intune הוא רכיב בחבילת ה-EMS המסייע לצוות ה-IT בארגון לנהל מכשירים ניידים, אפליקציות בנייד, אפליקציות בתחנות נייחות ואת תנאי הגישה למכשירים.
Intune משתלב עם רכיבים נוספים של Azure AD ו- Azure Information Protection לניהול זהויות והגנה על מידע.
מיקרוסופט Intune מאפשר קישור מספר בלתי מוגבל של מכשירים ניידים לפרופיל ה Active Directory של העובדים.
למד עוד על Microsoft Intune https://docs.microsoft.com/en-us/mem/intune/fundamentals/what-is-intune
ראה גם : https://csp.cms1.co.il/%d7%9e%d7%94%d7%95-microsoft-intune/
Azure Active Directory Premium – שירות עם יכולת ניהול זהויות וגישה ברמה מחמירה יותר ואפשרות גישה של משתמשים היברידיים לגשת בצורה חלקה יותר ליכולות המקומיות ולענן.
השירות מספק כניסה אחידה באמצעות סיסמא אחת – single sign-on SSO ליישומי ענן ואפליקציות מקומיות .
לכל עובד יש פרופיל ב Azure Active Directory המקושר לכל שאר הכניסות שלו.
בין שאר התכונות :
- אימות כניסה רב שלבי MFA -Multi Factor Authentication כדוגמת הודעת SMS או דוא"ל ו/או זיהוי ביומטרי .
- אפשרות כניסה לכל לכל אחד מהשירותים ((File Server/Email/Application Servers/Database Servers ללא קשר לדגם המכשיר iOS או Android , המיקום או זהות המשתמש .
השירות מציע 2 מהדורות :
- Premium P1 -גישה חלקה למקורות מקומיים ומקורות בענן, עם יכולת ניהול מתקדמות כגון קבוצות דינמיות , ניהול זהויות בשירות עצמי (איפוס סיסמא לדוגמא), ניהול גישה ואבטחה בענן .
- Premium P2 -כוללת את כל התכונות של P1 עם יכולות משופרות של הגנה על זהות מתקדמת ויכולת ניהול זהויות מיוחדת .
על ההבדלים העיקריים בין AAD Premium P1 ו- P2 ניתן ללמוד מהטבלה הבאה:
למד עוד על Azure Active Directory Premium https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-whatis
Azure Rights Management היא טכנולוגיית הגנה מבוססת ענן המשמשת את Azure Information Protection (AIP)
ARM מקיימת "אבטחה ברמת המסמך" כלומר , בכל פעם שמתבצעת צפיה בנתונים מוגנים נעשית בדיקה אם המשתמש רשאי לעשות זאת .
בין השאר ניתן לבצע חסימה למסמך על בסיס :
- מעמד העובד בחברה (לדוגמא , האם הוא עובד מן המניין/מפוטר וכדומה)
- מועד הצפיה במסמך.
- הצלבה עם זכויות הגישה שלו בפרופיל Azure Active Directory
Azure Information Protection (AIP) מציע 2 מהדורות (בנוסף למהדורה עבור Office 365) :
Azure Information Protection Premium P1
Azure Information Protection Premium P2
על ההבדלים העיקריים בין המהדורות ניתן ללמוד מהטבלה הבאה:
למד עוד על Azure Rights Management https://docs.microsoft.com/en-us/azure/information-protection/what-is-azure-rms
Microsoft Advanced Threat Analytics מאפשר ניטור וניתוח של מתקפות סייבר ממוקדות ואיומי פנים.
ATA אוסף נתונים סטנדרטייים , מבצע רישום של כל בקשת גישה למסמך , מיקום או מכשיר ומספק בזמן אמת יומן לזיהו דפוסי התנהגות חשודים .
למד עוד על Microsoft Advanced Threat Analytics https://docs.microsoft.com/en-us/advanced-threat-analytics/what-is-ata
למד עוד על היתרונות של EMS https://www.microsoft.com/he-il/security/business/enterprise-mobility-security/
השוואה בין חבילות :
Enterprise Mobility & Security E3 הנה הגרסה הראשונית של EMS .
החבילה כוללת את גרסת P1 של Azure Active Directory(AAD)
את Azure Information Protection(AIP)
ואת הרכיבים Microsoft Intune ו Microsoft Advanced Threat Analytics
Enterprise Mobility & Security E5
E5 כולל את כל מרכיבי Enterprise Mobility & Security E3 בתוספת שלושת המרכיבים הבאים שהיו בעבר זמינים כמוצרים נפרדים ** :
- גרסת P2 של Azure Active Directory(AAD) – ניהול זהויות מורשות Privileged Identify Management . הפונקציות החדשות מסייעות בהגנה מפני גניבת זהות ומספקות נתוני שימוש נוספים על פעולות הניהול.
- גרסת P2 של Azure Information Protection (AIP) – יכולת סיווג אוטומטי המאפשר להצפין אוטומטית מסמכים וזאת
- אבטחת יישומים חדשה של מיקרוסופט בענן – Cloud App Security.
האפליקציה משמשת כ Cloud Access Security Broker (CASB) – מתווך אבטחת גישה לענן המספק נראות ושליטה על נתונים ואיומים בענן כדי לעמוד בדרישות האבטחה של הארגון.
האפליקציה מנטרת בין השאר את יישומי הענן הנמצאים בשימוש בכל רגע נתון ומאפשרת לשלוט בגישה אליהן . כך למשל היא תזהה ניסיון של עובד להעזר בשירותי צד שלישי ללא אישור .
למד עוד על Cloud App Security https://docs.microsoft.com/en-us/cloud-app-security/what-is-cloud-app-security
** חלק מהרכיבים של Enterprise Mobility & Security E5 זמינים לרכישה בנפרד :
Azure Active Directory , Microsoft Advanced Threat Analytics , ו Microsoft Intune .
יחד עם זאת , הרכיבים מיועדים לעבוד ביחד וליצור פתרון מקיף היוצר אסטרטגיית ניידות ואבטחה מתקדמות ומומלץ לרכוש אותם כחבילה אחת .
טבלת השוואה
למידע נוסף על ההבדלים בין החבילות ואפשרויות התמחור ראה :
https://www.microsoft.com/he-il/microsoft-365/enterprise-mobility-security/compare-plans-and-pricing
למידע נוסף על יכולת Microsoft Enterprise Mobility + Security ראה :
https://docs.microsoft.com/en-us/enterprise-mobility-security/