結合公有雲服務的優勢,讓微軟企業行動化方案(EMS)得以具備無處不在的身分識別能力,以防範員工帳密被釣魚網站詐騙取得,藉此登入內部系統取得機敏資料。近期EMS再增添條件式存取(Conditional Access)機制,從使用者的屬性、接取裝置、應用程式、地點、風險等五個面向來判斷,並觸發允許存取、拒絕存取或強制啟動多因素驗證的執行。
微軟營運暨行銷事業群產品行銷經理陳婷媛指出,針對企業行動化所設計的EMS解決方案,組成的產品線包括:Azure AD身份存取、Intune裝置控管、資訊保護AIP(Azure Information Protection)、進階威脅分析ATA(Advanced Threat Analytics),以及防範SaaS應用導致資料外洩的CAS(Cloud App Security),整體發展已從裝置管理轉向以「人」的辨識為核心,也就是Identity機制,藉此延伸更多安全控管的面向。
其中較特別的是近期新推出的條件式存取機制。所謂的條件,陳婷媛說明,首先是識別登入帳號的群組與權限;其次是確認裝置是否合規,例如未安裝非法軟體、已加入網域等條件,才得以放行;第三種條件是針對應用程式,例如Office文件,可限制終端用戶採用公司允許的App才得以執行;第四是地點,例如可限制僅提供台灣本島連線存取;第五個條件是帳號本身被系統判定的風險程度。前述五項條件設立之後,當員工要連線回到公司存取資源時,一旦檢查不合格,則強制啟用多因素驗證,可透過簡訊、App產生的動態密碼、撥打電話,來核實登入者的身分。
|
▲ 微軟營運暨行銷事業群資深平台策略經理馮立偉(左)與微軟營運暨行銷事業群產品行銷經理陳婷媛(右)指出,微軟EMS方案可說是少數提供雲端版本的供應商之一,不僅可簡化部署的繁雜度,依照人數訂閱授權,亦可降低進入門檻。 |
微軟營運暨行銷事業群資深平台策略經理馮立偉說明,以往的作法是只要符合帳密即可登入系統存取,有鑑於釣魚網站詐騙個人資料的手法多變,使用者在警覺心不足之下容易受騙,才在EMS方案中增設條件式存取,提高身分驗證的嚴謹度來防範。
萬一條件式存取配置的五個條件皆不符合,或者強制執行多因素驗證仍無法證明為本人,該連線隨即被阻斷,無法登入存取任何資源,並且在Azure AD管理平台上的稽核報表留下記錄。
陳婷媛就微軟自家導入EMS方案控管為例,若採用的是Android系統的手機,登入內部郵件系統後,會一併套用管理政策,關閉系統中潛在風險的功能。其實該政策套用機制,在Exchange郵件伺服器已有提供,發展到行動化應用環境,即進一步延伸以往的功能,支援更多平台、檢查的條件等機制,評估風險後再判定是否允許執行。