Przejdź do głównej zawartości

Sprawne zarządzanie urządzeniami w przedsiębiorstwie #SecurityDay

Każda organizacja dochodzi do momentu, w którym zadaje sobie pytanie: co zrobić, aby usprawnić zarządzanie infrastrukturą IT? Tradycyjne podejście oparte na Active Directory Domain Services i obiektach GPO zostało w ostatnich miesiącach zweryfikowane przez pracę zdalną, w której brak kontaktu z siecią firmową był raczej regułą niż wyjątkiem. Dodajmy do tego rosnące zapotrzebowanie użytkowników na wykorzystywanie urządzeń do celów prywatnych, a nawet przyjęcie przez organizacje podejścia typu BYOD (ang. Bring Your Own Device), w którym użytkownik do celów służbowych wykorzystuje swój własny komputer lub inne urządzenie. Przyprawmy dozą polityki ochrony informacji w organizacji i gotujmy wolno w wywarze z oczekiwań użytkowników dotyczących dostępu do aplikacji biznesowych z każdego miejsca i urządzenia. Otrzymamy przepis na chaos w zarządzaniu urządzeniami w organizacji. Jak temu zapobiec, biorąc pod uwagę, że podstawowe zadania administratora pozostały takie same? W końcu w pracy administratora chodzi o to, aby dbać o bezpieczeństwo zasobów organizacji i możliwość sprawnego wykorzystywania urządzeń do osiągania przez użytkowników celów biznesowych.

Microsoft od lat jest liderem obszaru Unified Management[1]. Microsoft Endpoint Manager to rozwiązanie, które pod jednym parasolem gromadzi dotychczasowe możliwości zarządzania urządzeniami. Dzięki niemu, niezależnie do tego, czy do zarządzania wykorzystujesz Microsoft Intune, Configuration Manager (czy też działają one w ramach co-managementu), lub używasz Jamfa[2] – wszystkie urządzenia widzisz w jednym miejscu.

Dzięki temu, że MEM jest usługą chmurową, nie ma konieczności budowy własnej infrastruktury, a zmiany i nowe funkcjonalności mogą pojawiać się bardzo często (co 6-8 tygodni[3]).

Dodatkowo wystarczy, że zarządzane urządzenie ma internet – nie trzeba „wystawiać” infrastruktury na zewnątrz, ani korzystać z VPN. MEM sprawdza się doskonale niezależnie od tego, czy użytkownicy korzystają z urządzeń służbowych, czy też każdy w organizacji może logować się z własnych komputerów i telefonów w modelu BYOD. Oba podejścia i wszystko pomiędzy jest świetne wspierane przez MEM i jego funkcjonalności.

Zgodność

Jedną z podstawowych funkcjonalności wymaganych od systemów MDM jest możliwość konfigurowania ustawień oraz kontrola zgodności aktualnego stanu urządzenia z zakładaną konfiguracją. Dzięki MEM tworzenie i wymuszanie zgodności urządzenia z politykami bezpieczeństwa wdrożonymi w organizacji (np. czy system operacyjny jest w odpowiedniej wersji, czy działa rozwiązanie AV, czy wdrożone jest szyfrowanie i wiele innych) jest łatwiejsze. Informacje przesyłane z urządzenia będą skutkowały oceną zgodne/niezgodne, która poza widocznością w konsoli i w raportach służy do bardzo istotnej rzeczy. Mianowicie to dzięki niej możemy budować dynamiczne polityki dostępu warunkowego, a użytkownik uzyska (lub nie) dostęp do zasobów służbowych na podstawie zbieranych w trybie ciągłym informacji o aktualnych ustawieniach urządzenia. Nie wystarczy więc raz przejść „test na zgodność” z zapisami polityki bezpieczeństwa organizacji, aby oznaczyć urządzenie na stałe jako „zaufane”. Stałoby to w sprzeczności z zasadami podejścia Zero Trust. Ten test urządzenie musi przechodzić ciągle, w innym przypadku dostęp zostanie natychmiast odebrany i przywrócony dopiero po powrocie do wymaganych ustawień. Dzięki MEM organizacje mogą być pewne, że jedynie upoważnione osoby korzystające z zatwierdzonych urządzeń mają dostęp do poufnych informacji służbowych. I vice versa – użytkownicy wykorzystujący dane organizacji na urządzeniach prywatnych mogą być spokojni, ponieważ wiedzą, że komputer czy telefon spełniają wymogi bezpieczeństwa.

Zarządzanie aplikacjami

Dzięki MEM możemy zdalnie instalować aplikacje na urządzeniach, ale nie jesteśmy w tym ograniczeni jedynie do aplikacji dostępnych w sklepach on-line producenta systemu operacyjnego. Możliwość wdrażania własnych aplikacji (line-of-business), instalatorów .msi, instalacji opartych na plikach .exe czy skryptów PowerShell daje szerokie możliwości udostępniania użytkownikom właściwych narzędzi do pracy. Użytkownik może sam wybrać aplikacje do zainstalowania, lub mogą one być wdrożone przez administratora.

Zarządzanie aplikacjami w przypadku MEM nie ogranicza się jednak do prostej instalacji oprogramowania. Oczywiście wdrażanie aplikacji na wszystkie systemy operacyjne jest jednym z podstawowych zadań z zakresu zarządzania urządzeniami, ale MEM oferuje dużo więcej. Polityki ochrony umożliwiają zabezpieczenie określonych aplikacji za pomocą dodatkowego uwierzytelnienia przy uruchomieniu (np. za pomocą PINu lub biometrii), czy wyizolowanie aplikacji od innych i uniemożliwienie kopiowania danych z lub do nich. Inną możliwość stanowi np. automatyczne usunięcie aplikacji i wszystkich jej danych w przypadku wykrycia zagrożenia, czy choćby zrootowania urządzenia. Także administrator może zdalnie usunąć aplikację i jej dane z urządzenia, bez potrzeby czyszczenia całego urządzenia.

Integracja

MEM oferuje szerokie możliwości integracji z różnymi komponentami, zarówno Microsoft jak i innych producentów. Dobrym przykładem jest wykorzystywanie własnego PKI do certyfikatów na zarządzanych urządzeniach czy integracja z rozwiązaniami klasy Mobile Threat Defense, zarówno Microsoft Defender for Endpoint, jak i innych producentów, które mogą zasilać MEM informacjami o stanie zagrożenia na urządzeniu. To z kolei można wykorzystać przy dynamicznym odbieraniu i ponownym przyznawaniu użytkownikowi dostępu do zasobów służbowych.

Czy leci z nami autopilot?

Wyobraź sobie scenariusz, w którym dostajesz prosto do domu nowy, fabrycznie zapakowany komputer, a po jego uruchomieniu i podłączeniu do sieci automatycznie konfiguruje się do użycia w Twojej organizacji. Aplikacje biznesowe, Twoje pliki z OneDrive’a, profile wifi – po kilku minutach wszystko jest gotowe i możesz zacząć pracę. Czasy oczekiwania na „przygotowanie” urządzenia przez zespół IT się skończyły – dzięki funkcjonalności Windows Autopilot konfiguracja komputera do pracy nigdy nie była prostsza. Zyska na tym również dział IT, który zamiast mozolnie instalować obraz na urządzeniu będzie wreszcie miał czas na bardziej strategiczne zadania.

Windows Autopilot to połączenie sił Windows 10, Azure Active Directory (AAD) i MEM. Każde urządzenie ma unikalny identyfikator, który pozwala na zarejestrowanie go w Twojej dzierżawie AAD jeszcze zanim go dostaniesz. Także tutaj dostawca sprzętu może zastąpić zespół IT. Po uruchomieniu komputera i podłączeniu go do sieci możesz zalogować się swoim kontem AAD i resztę zostawić MEM. Urządzenie automatycznie podłączy się do Intune i wdroży polityki konfiguracyjne, ściągnie i zainstaluje aplikacje oraz skonfiguruje dostęp do zasobów służbowych. Konfigurowane w MEM profile urządzeń umożliwiają pominięcie przez użytkownika w trakcie pierwszego uruchomienia takich ekranów jak akceptacja licencji EULA czy ustawienia prywatności i skonfigurowanie ich przez administratora. Nigdy więcej przeklikiwania się przez wiele ekranów konfiguracyjnych!

Windows Autopilot nie tylko skraca czas przygotowania nowego urządzenia do pracy, ale umożliwia także szybkie odświeżenie dużej ilości istniejących urządzeń. W scenariuszach, w których działające urządzenia powinny zostać przywrócone do stanu gotowości dla nowych użytkowników, jak na przykład sale szkoleniowe, laboratoria, urządzenia tymczasowe czy kioski – Windows Autopilot pozwala na ich zdalny reset i usunięcie plików, aplikacji i ustawień użytkownika oraz ponowne wdrożenie oryginalnych ustawień, pozostawiając jednocześnie urządzenie podłączone do AAD i Intune. W przypadku kiosków instalacja w ramach Windows Autopilot może natomiast być kompletnie zautomatyzowana, a w związku z tym pozbawiona konieczności interakcji użytkownika.

Podsumowanie

Jak widać Microsoft Endpoint Manager to dużo więcej niż proste zarządzanie urządzeniami. Wychodzi on naprzeciw zarówno oczekiwaniom zespołów IT i bezpieczeństwa (obszerne możliwości konfiguracji różnego typu systemów operacyjnych, polityki zgodności, wdrażanie aplikacji), jak i wymaganiom użytkowników końcowych (bezpieczny dostęp do danych z każdego miejsca, prosta obsługa bez konieczności korzystania z VPN). Brak wymogów dotyczących lokalnej infrastruktury czyni rozwiązanie idealnym do szybkiego wdrożenia w przypadku konieczności objęcia elastycznym zarządzaniem chmurowym nawet większej ilości urządzeń. Z kolei działanie MEM jako centrum zbierające informacje o stanie urządzenia i jego konfiguracji pozwala na dynamiczne przyznawanie i odbieranie dostępu do firmowych zasobów użytkownikowi w zależności od poziomu wykrytego zagrożenia.

[1] https://en.wikipedia.org/wiki/Unified_endpoint_management

[2] https://www.jamf.com/

[3] https://docs.microsoft.com/en-us/mem/endpoint-manager-getting-started#intune-service-updates