Presentación realizada en el evento de Global Azure Bootcamp Bogotá 2016 organizado por la comunidad de desarrolladores colombianas amiga BDotNet, durante el día 16 de Abril de 2016 en la Universidad Piloto de Colombia.
El Microsoft MVP, Daniel Vargas, presidente de CloudFirst Campus en compañía de Mayra Badillo, Cloud Productivity Architect - Microsoft SWAT Senior CO, entregaron sus conocimientos y experiencia sobre temáticas de movilidad empresarial con EMS y Microsoft Azure.
6. Microsoft MVP, MCT Regional Lead
Presidente de CloudFirst Campus
daniel.vargas@cloudfirstcamp.com
linkedin.com/DanielVargasIT
DanielVargasIT.com
@DanielVargasIT
8. #GlobalAzure #GABogota
Protegiendo sus activos corporativos
¿Cómo empoderar a los usuarios y permitir la colaboración protegiendo los activos corporativos?
Contratista
Clientes
Socios
SaaS
Azure
Office 365
Acceso simple
y protegido
Cloud
Storage
Evitar fugas y permitir
la colaboración
Detenga
amenazas externas
Cumplimiento
permanente
Cloud
Storage
Empodere a sus
usuarios
Colaboración
activa
10. #GlobalAzure #GABogota
Las identidades ahora son hibridas
Inicio unico
de sesión
Auto-
servicio
Conexión
simple
•••••••••••
Nombre Usuario
Nube
SaaS
Azure
Otros directorios
Windows Server
Active Directory
On-premises Microsoft Azure Active Directory
Office 365
Nube
Publica
12. #GlobalAzure #GABogota
Enterprise Mobility Suite
Microsoft IntuneMicrosoft Azure Active
Directory Premium
Microsoft Azure Rights
Management Premium
Administración de
dispositivos móviles
y aplicaciones
Administración de
identidad y acceso
Protección de la
información
Análisis de amenazas
basado en el
comportamiento
Análisis de
Amenazas Avanzadas
Administre fácilmente las
identidades en todas las aplicaciones
en el sitio y en la nube. Inicio de
sesión único y auto gestión para
cualquier aplicación
Administre y proteja aplicaciones
corporativas y datos en casi todos
los dispositivos con MDM y MAM
Encriptación, identidad y
autorización para asegurar archivos
corporativos y correo electrónico en
teléfonos, tabletas y PCs
Identifique actividades sospechosas
y amenazas avanzadas casi en
tiempo real, con una generación de
informes simples y listos para
actuar
14. #GlobalAzure #GABogota
Apps y recursos corporativos
Aplicaciones en sitio
Aplicaciones
• Sensibilidad
del negocio
Otros
• Dentro de la red
• Fuera de la red
• Perfil de riesgo
Dispositivos
• Know to organization
• MDM Managed (Intune)
• Cumplimiento directivas
• No perdida/robo
Atributos
• Identidad de usuario
• Membresia de grupos
• Fuerza de la autenticación
Control de Acceso
Condicional
16. #GlobalAzure #GABogota
Administración de aplicaciones móviles
Maximice la productividad móvil y proteja los recursos
corporativos con las aplicaciones móviles de Office, incluido el
soporte de múltiples identidades
Extienda estas capacidades a sus aplicaciones existentes de líneas
de negocios usando Intune App Wrapping Tool
Permita la visualización segura de contenido usando las aplicaciones
Managed Browser, PDF Viewer, AV Player e Image Viewer
Aplicaciones
administradas
Aplicaciones
personales
Aplicaciones
personales
Aplicaciones
administradas
ITUsuario
Datos
corporativos
Datos
personales
Política de múltiples identidades
17. #GlobalAzure #GABogota
Administración de aplicaciones móviles
Aplicaciones
personales
Aplicaciones
administradas
Maximice la productividad al tiempo que evita la pérdida de
datos corporativos al restringir acción entre las aplicaciones
administradas y no administradas por Intune
Usuario
20. #GlobalAzure #GABogota
Administración de
dispositivos móviles y
aplicaciones
Acceso y protección
de información
Enterprise
Mobility
Suite
Protección de RMS vía RMS para
O365
• Protección de contenido
almacenado en Office (on-prem o
O365)
• Acceso a RMS SDK
• Traiga su propia Llave
RMS para O365+
• Protección para on-premises
Windows Server file shares
• Notificaciones por correo electrónico
cuando se comparten documentos
• Notificaciones por correo electrónico
cuando se reenvían documentos
compartidos
Administración Básica de
Dispositivos Móviles vía MDM para
O365
• Administración de configuraciones
de dispositivos
• Limpieza selectiva
• Desarrollado en la consola de
administración de O365
MDM para O365+
• Administración de PCs
• Administración de aplicaciones móviles
(impide cortar/copiar/pegar/guardar
como de aplicaciones corporativas a
aplicaciones personales)
• Visualizadores de contenido seguro
• Aprovisionamiento de certificados
• Integración del centro de sistemas
Administración Básica de
Identidades vía Azure AD para
O365:
• Inicio de sesión único para O365
• Autenticación de múltiples factores
(MFA) básica para O365
Azure AD para O365+
• Inicio de sesión única para todas las
aplicaciones en la nube
• MFA de avanzada para todas las cargas
de trabajo
• Administración de grupos de auto
gestión y reestablecimiento de contraseña
con write back en el directorio premium
• Informes de seguridad de avanzada
• MIM (Servidor + CAL)
Disponible en general, en diciembre de 2014
Administración de
identidades híbridas
21. #GlobalAzure #GABogota
Proteja el acceso
a aplicaciones
Ayude a asegurar los
datos en todos lados
Administración de
dispositivos y
aplicaciones flexible
EMS para clientes Windows 10
22. #GlobalAzure #GABogota
Soluciones de movilidad de nivel corporativo para impulsar
los resultados de negocios
OFFICE 365
ENTERPRISE
MOBILITY SUITE
WINDOWS+ +
25. #GlobalAzure #GABogota
Comparación de Oferta de Azure Active Directory
Directory como un servicio
Administración de usuarios y de grupos
Inicio de sesión único para aplicaciones SaaS y personalizadas preintegradas
Herramienta Microsoft Directory Synchronization
(extensión de Windows Server Active Directory)
Administración y aprovisionamiento de acceso basado en el usuario
Administración y aprovisionamiento de acceso basado en el grupo
Administración de grupos de auto gestión para usuarios de la nube
Cambio de contraseña de auto gestión para usuarios de la nube
Reseteo de contraseña de auto gestión para usuarios de la nube
Informes de seguridad
Generación de informes de seguridad avanzada (en base a aprendizaje de máquina)
Generación de informes de uso
Branding de la compañía
(páginas de inicio de sesión y personalización del Panel de Acceso)
Autenticación multifactorial (todas las prestaciones disponibles en entornos de Windows
Azure y on-premises)
Acuerdo de Nivel de Servicio (SLA, en inglés)
Forefront Identity Manager CAL + Forefront Identity Manager Server
26. #GlobalAzure #GABogota
Comparación de oferta de Azure MFA
MFA para O365/ Administradores de
Azure
Windows Azure Multi-Factor
Authentication / EMS
Los administradores pueden activar/implementar MFA para usuarios finales
Aplicación de uso móvil (online y OTP) como segundo factor de autenticación
Uso de llamada telefónica como segundo factor de autenticación
Uso de SMS como segundo factor de autenticación
Contraseñas de la aplicación para clientes que no son buscadores (por ej. Outlook, Lync)
Saludos de Microsoft por defecto durante las llamadas telefónicas de autenticación
Saludos personalizados durante las llamadas telefónicas de autenticación
Alerta por fraude
MFA SDK
Informes de Seguridad
MFA para aplicaciones on-premises / MFA Server
Derivación de una sola vez
Bloquear/desbloquear usuarios
Identificación de llamada personalizable para llamadas telefónicas de autenticación
Confirmación de eventos
27. #GlobalAzure #GABogota
Comparación de oferta de Azure RMS
RMS para O365 Azure RMS (EMS)
Consumir y crear contenido RMS con identificación de la compañía
Protección para contenido almacenado en O365
Protección para contenido almacenado On prem Office (Exchange, Sharepoint vía RMS Connector)
Traiga su propia llave (Protección híbrida)
Protección RMS para archivos que no son de Office
RMS SDK
RMS On Prem Connector para on-premises Windows Server file shares* (vía RMS FCI Connector)
28. #GlobalAzure #GABogota
Categoría Prestación Exchange ActiveSync MDM para
Office 365
Microsoft Intune
(solo nube)
Intune + ConfigMgr
(híbrido)
Configuración
dedispositivo
Dispositivos móviles de inventario que acceden a aplicaciones corporativas ● ● ● ●
Reseteo remoto de fábrica (limpieza completa del dispositivo) ● ● ● ●
Configuraciones del dispositivo móvil (Longitud de PIN, PIN requerido, tiempo de bloqueo, etc.) ● ● ● ●
Reseteo de contraseña de auto gestión (solo usuarios de Office 365 en la nube) ● ● ● ●
Office365
Ofrece generación de informes sobre dispositivos que no cumplen con la política de IT ● ● ●
Políticas y generación de informes en base a grupos (capacidad de usar grupos para configuración de
dispositivos de destino)
● ● ●
Detección de raíz y jailbreak ● ● ●
Eliminar datos de aplicaciones de Office 365 de dispositivos móviles mientras deja intactos los datos
personales y de aplicaciones (limpieza selectiva)
● ● ●
Evita acceso a correos electrónicos y documentos corporativos en base a políticas de registro y
cumplimiento de dispositivos
● ● ●
Administraciónde
dispositivosmóvilesy
aplicacionespremium
Portal de auto gestión para que los usuarios registren sus propios dispositivos e instalen aplicaciones
corporativas
● ●
Implementación de aplicaciones (Windows Phone, iOS, Android) ● ●
Implementación de certificados, perfiles de VPN (incluyendo perfiles de aplicaciones específicas), perfiles
de correo electrónico y perfiles de Wi-Fi
● ●
Evita cortar/pegar/guardar datos de aplicaciones corporativas a aplicaciones personales (administración de
aplicaciones móviles)
● ●
Visualización segura del contenido vía Managed Browser, PDF Viewer, Image Viewer, y aplicaciones AV
Player para Intune
● ●
Cierre de dispositivo remoto vía Portal de auto gestión y vía consola de administración ● ●
AdministracióndePC
Administración de PC cliente (por ej., Windows 8.1, inventario, antimalware, parches, políticas, etc.) ● ●
Administración de software de PC ● ●
Administración integral de PC (por ej., Política de Grupo, guiones de inicio de sesión, administración de
BitLocker, administración virtual de escritorio y potencia, generación de informes customizados, etc.)
●
Soporte de Windows Server/Linux/UNIX/Mac OS X ●
Implementación y generación de imágenes de OS ●
Intune vs. MDM Office 365
29. #GlobalAzure #GABogota
Prestaciones existentes y diferenciadoras en Win7 /Win8.1
Administración de Políticas Domain Join y de Grupos
Prestaciones existentes de Win7 / Win 8.1 Enterprise
Windows 10: Administración e implementación
Carga lateral de aplicaciones LOB
Registro automático de MDM
Azure AD Join
The Business Store
Catálogo Privado
Control y Cierre Granular UX
Windows 10: Seguridad
Microsoft Passport
Enterprise Data Protection (EDP)
Pass the Hash Mitigations (usando Virtual Secure Mode)
Device Guard
Windows 10: Windows como servicio, soporte y facultades
Windows Update for Business y Current Branch for Business
Acceso a Long Term Servicing Branch
Inicio Pro Enterprise
EMS
Administración con Intune o
ConfigMgr
Intune
MDM auto enrollment requiere
Azure AD Premium.
Administración y entrega de
aplicaciones vía Intune
Advanced management vía Intune
Company Portal
Administración con Intune o
ConfigMgr
Extender EDP con Azure Rights
Management para encriptación
cuando los archivos salen del
dispositivo
Administración con Intune o
ConfigMgr
EMS y Windows 10
EMS
EMS
EMS
Estamos aqui hoje para apresentar o Enterprise Cloud Suite, uma evolução do Enterprise Agreement, e preparar sua organização para se mover para um mundo centrado em nuvem e mobilidade.
Si observamos con más detalle el dispositivo recientemente registrado del usuario que ahora cumple y está listo para ser utilizado, podemos ver que aún puede conservar su experiencia personal en el dispositivo. La usuaria organizó las aplicaciones cómo desea con todas las aplicaciones en una pantalla.
Tiene las aplicaciones corporativas administradas, las aplicaciones móviles de Office que conoce y que le gustan, y las aplicaciones personales que usa fuera del trabajo e, incluso, puede usar estas aplicaciones personales para tratar de aumentar la productividad en el trabajo. Si bien la usuaria tiene todas las aplicaciones a mano en su dispositivo personal, IT puede administrar las aplicaciones móviles de Office de manera inigualable para que con Microsoft Intune, IT pro tenga una perspectiva diferente sobre la organización del dispositivo personal de la usuaria. La nueva prestación de administración de múltiples identidades permite a los usuarios acceder a sus cuentas personales y laborales usando la misma aplicación móvil de Office, ya que solo se aplican las políticas MAM a la cuenta laboral; esto ofrece una experiencia sin problemas cuando los empleados están en movimiento.
Para nuestro IT pro, aún existe una clara separación de las aplicaciones corporativas administradas y las aplicaciones personales de los usuarios. Pero esto no afecta el acceso del usuario a las aplicaciones. Al aplicar la política a nivel de aplicaciones, IT pro puede soportar la productividad móvil, al tiempo que se mantienen las preferencias del usuario, y aún así contar con la capacidad de proteger datos y recursos corporativos con las aplicaciones móviles de Office administradas por Intune.
Intune App Wrapping Tool también permite a IT aplicar políticas similares a sus aplicaciones existentes de líneas de negocios para que estos recursos estén igualmente protegidos a través de las aplicaciones propietarias de la organización. Puede permitir que los usuarios visualicen en forma segura el contenido en los dispositivos dentro de su ecosistema de aplicaciones administradas usando también las aplicaciones Managed Browser, PDF Viewer, AV Player e Image Viewer para Intune.
Ahora observemos en mayor detalle cómo las políticas a nivel de aplicaciones pueden ayudar a mantener seguros los datos e información de la compañía. La usuaria recibe un correo electrónico de trabajo a través de su cuenta de Outlook administrada con un adjunto que es una planilla de cálculo de Excel con información que necesita para un informe. Abre el adjunto en su aplicación móvil de Excel para encontrar la información que necesita. Luego quiere copiar la información para agregarla a su informe.
Pero cuando intenta pegarla en su bloc de notas personal, no funciona. El bloc de notas personal no es una aplicación administrada y nuestro IT pro ha aplicado políticas que restringen las funciones de copiar, pegar y cortar solo a aplicaciones que son parte del ecosistema de aplicaciones administradas (para dispositivos registrados en Intune). Entonces, la usuaria abre su aplicación móvil de Microsoft Word que es administrada por Intune y puede pegar la información con éxito. Ahora la usuaria desea guardar la copia de trabajo de su informe en su cuenta personal de OneDrive para poder acceder desde la computadora del hogar.
Como la cuenta personal de OneDrive no es una de las aplicaciones administradas, no puede hacerlo. IT ha aplicado políticas que restringen la capacidad de guardar solo en aplicaciones que son parte del ecosistema de aplicaciones administradas.
Entonces la usuaria debe guardar la copia de trabajo en su cuenta de OneDrive for Business; esto significa que cuando desee trabajar en este informe desde otro dispositivo, deberá ser un dispositivo registrado para administración. Al utilizar las capacidades de administración de aplicaciones móviles de Intune, IT pro puede ayudar a prevenir pérdidas de datos importantes de la compañía y asegurarse que esta información no llegue a la persona incorrecta.
Veamos rápidamente cómo estas 4 capas de protección pueden ayudarlo a ofrecer un gran experiencia de correo electrónico segura con EMS y Outlook.
En primer lugar, EMS garantiza que solo los usuarios autorizados tengan permitido acceder a correos electrónicos y documentos corporativos usando prestaciones de seguridad en la capa de identidad, tales como, autenticación y autorización basadas en la nube, autenticación de múltiples factores e informes de seguridad de avanzada que potencian las capacidades de aprendizaje de máquina de Microsoft Azure.
En la siguiente capa, EMS es capaz de administrar y aplicar configuraciones a nivel de dispositivo, tal como, requisitos de encriptación y contraseña a través de la administración de dispositivos móviles (MDM).
EMS también ofrece protección en la capa de aplicaciones con las capacidades de administración de aplicaciones móviles (MAM) que ayudan a prevenir la pérdida de datos corporativos al restringir las acciones en aplicaciones móviles de Office, tales como cortar, copiar, pegar y guardar como. Y con las capacidades únicas de múltiples identidades, los empleados pueden utilizar una sola aplicación (como Outlook) para uso personal y corporativo, al tiempo que EMS ayuda a garantizar que los datos corporativos estén separados y protegidos.
Por último, EMS va más allá de la protección de capa de aplicaciones para ayudar a asegurar los documentos altamente confidenciales en la capa de archivo. Usando EMS, los empleados pueden encriptar virtualmente cualquier tipo de archivo, establecer permisos granulares y rastrear el uso a fin de garantizar que solo las personas correctas dentro y fuera de la organización puedan acceder a los adjuntos de correos electrónicos y documentos, independientemente de dónde estén ubicados estos archivos.
Aquí puede ver todas las prestaciones disponibles en las ofertas gratuita y premium de Azure Active Directory.
En la oferta gratuita, cada usuario puede tener hasta 10 aplicaciones de software como servicio en el panel de acceso.
El inquilino de Free Azure Active Directory puede tener hasta 500.000 cuentas de usuario.
Los derechos de usuario del servidor de Forefront Identity Manager incluyen una cantidad ilimitada de servidores de Forefront Identity Manager y un Forefront Identity Manager CAL para cada suscriptor/usuario de Azure Active Directory Premium.
Para obtener más información sobre MDM para Office 365 consulte:
Office Blog Post del 28/10: http://blogs.office.com/2014/10/28/introducing-built-mobile-device-management-office-365/
Office Blog Post del 30/3: http://blogs.office.com/2015/03/30/announcing-general-availability-of-built-in-mobile-device-management-for-office-365/
Documento de Preguntas Frecuentes de Office: http://infopedia/docstore/Pages/KCDoc.aspx?k=KC00-15-211846
Plataforma de diapositivas de MDM para Office 365: http://infopedia/docstore/Pages/KCDoc.aspx?k=KC00-15-211848
Plataforma de Comparación de EMS y Office 365: http://infopedia/docstore/Pages/KCDoc.aspx?k=KC02-23-55587
Seleccione entre Microsoft Intune y Built-in MDM para Office 365: https://technet.microsoft.com/library/dn957912.aspx
Registro de MDM para Office 365 Academy Live session: https://microsoft.sharepoint.com/sites/academy/media/AEVD-3-87446
Lámina informativa sobre las prestaciones de escritorio