Februar 15

0 comments

Enterprise Mobility Suite – Übersicht und Möglichkeiten

Autor: Aaron Siller

Letzte Änderung: 2023-07-11


Die Enterprise Mobility Suite (ganz offiziell: Enterprise Mobility & Security Suite) ermöglicht Unternehmen beim Einsatz der Microsoft 365 Cloud auf verschiedene Microsoft Security Tools zurückzugreifen.

In diesem Beitrag möchte ich Euch aufzeigen, welche Lizenzen es innerhalb der Enterprise Mobility Suite (kurz: EMS) gibt und was für Services diese beinhalten.

Zu jedem Service gibt es eine kurze Erläuterung und Ihr erhaltet auch eine grafische Übersicht zu den EMS-Plänen.


Enterprise_Mobility_Security_Logo

Was ist die Enterprise Mobility Suite?

Die Enterprise Mobiltiy Suite ist ein Baustein der Microsoft 365 Lizenzierung.

Dienste aus dem Bereich der EMS sind oftmals Bestandteil anderer Microsoft 365 Lizenz-Pakete - wie z.B.: Microsoft 365 Enterprise E3/E5 - oder können auch als eigene Lizenzpakete erworben werden.

Hierbei unterscheidet man aktuelle zwischen zwei Lizenzpaketen:

  • Enterprise Mobility & Security - E3
  • Enterprise Mobility & Security - E5

Das EMS E5-Paket enthält noch erweiterte Funktionen, die in der EMS E3-Lizenzierung nicht enthalten sind. Im folgenden möchte ich Euch gerne zeigen, welche Services in der jeweiligen Enterprise Mobility Suite enthalten sind

Enterprise Mobility Suite Security

Übersicht zur Enterprise Mobility Suite - E3 Lizenz

Die E3-Lizenz der Enterprise Mobility Suite ist die weniger umfangreiche Lizenz aus dem Portfolio der Enterprise Mobility & Security - Lizenzierung.

Dies ist allerdings nicht zwingend zu Eurem Nachteil:

Es gilt bei der Lizenzierung der Microsoft 365 Cloud nicht das Konzept "Bigger Is Better". Vielmehr ist eine intelligente Selektion und Vorauswahl gefragt, so dass der genaue Bedarf und die IT-Strategie des Unternehmens bei der Auswahl der entsprechenden Microsoft 365 Lizenzierung berücksichtigt wird. 

Enterprise_Mobility_Suite_Kosten
Erst nachdem technische und organisatorische Rahmenbedingungen geprüft wurden, ist es möglich das richtige Lizenzpaket auszuwählen. Bedenken wir nämlich hier auch, dass gerade der Sprung von einer E3- auf eine E5-Lizenz auch aus monetärer Sicht eine größere Belastung des Budgets hervorruft. Schauen wir nun aber, welche Services in der Enterprise Mobility Suite E3-Lizenz enthalten sind.



Verwaltungseinheiten / Administrative Units

Verwaltungseinheiten ermöglichen es Dir, die Rechte einer Rolle auf einen beliebigen definierten Bereich der Organisation zu beschränken.

Beispielsweise kannst Du Verwaltungseinheiten verwenden, um die Rolle des Helpdesk-Administrators an einen regionalen Supportspezialisten zu delegieren, sodass dieser nur die Benutzer in der von ihm unterstützten Region verwalten kann (z.B.: User in Deutschland können nur vom deutschen IT-Support-Team administriert werden).

Ein Benutzer kann Mitglied mehrerer Verwaltungseinheiten sein. Beispielsweise kannst Du Benutzer nach geografischem Standort und /oder Abteilung zu Verwaltungseinheiten hinzufügen. 

Zum Beispiel kann Aaron Siller: B. den Verwaltungseinheiten „Aachen“ und „Finanzen“ angehört.


Der Azure AD-Anwendungsproxy

Der Anwendungsproxy ist ein Feature vom Azure Active Directory, mit dem Benutzer von einem Remoteclient aus auf lokale Webanwendungen zugreifen können. Der Anwendungsproxy umfasst mehrere verschiedene Bestandteile:

  • den Anwendungsproxy-Handler in der Cloud
  • der Anwendungsproxy-Connector,

Das Azure AD, der Anwendungsproxy-Handler und der Anwendungsproxy-Connector funktionieren zusammen, um die Anmelde- und Authentifizierungsdaten eines Benutzer an die jeweilige (Web-) Anwendung weiterzuleiten.


Der Azure Active Directory Health Agent

Azure_AD_Health_Agent

Azure Active Directory (Azure AD) Connect Health bietet eine  Überwachung der lokalen Identitätsinfrastruktur und Azure AD Connect Sync an.

Der Connect Health überwacht die Konnektivität zum Microsoft 365 Tenant und den Microsoft Online Services sicherzustellen.

Auch bei Problemen durch Dopplungen der lokalen Benutzerkonten in der Synchronisierung erhalten Administratoren eine Meldung im Azure Portal, als auch optional via Mail.

Diese Informationen werden im Azure AD Connect Health-Portal angezeigt.


Cloud Discovery 

Die Cloud Discovery in der EMS E3-Lizenz analysiert Datenverkehrsprotokolle anhand des Microsoft Defender for Cloud Apps-Katalogs von über 31.000 Cloud-Apps.

Apps werden anhand zahlreicher Risikofaktoren (aktuell sind es über 90 verschiedene Attribute) bewertet, um einen kontinuierlichen Einblick in die Cloud-Nutzung, eine mögliche Schatten-IT und das damit verbundene Risiko für das Unternehmen zu erhalten.

Enterprise_Mobility_Suite_Cloud_Discovery

Hierbei werden auch organisatorische Rahmenbedingungen (z.B.: DSGVO oder ISO-Normen), als auch technische Gegebenheiten, wie Verschlüsselung und Datenspeicherort berücksichtigt.


Enterprise Mobility Suite - Bedingter Zugriff und dynamische Gruppen

Mit dem Funktionen des Bedingten Zugriffs haben wir die Möglichkeiten den Zugriff zu Applikationen und Diensten einzuschränken.

Hierbei können wir verschiedene Bedingungen festlegen, wie z.B.: die Geräteplattform, der Standort, ob man ein interner oder externer Benutzer ist usw., die darüber entscheiden ob ein User Zugriff erhält oder nicht.

Was in der Basis recht simpel klingt, hat das Potenzial dazu unsere Microsoft 365 Umgebung und das Entra Admin Center abzusichern und kann je nach Anwendungsfall recht komplex werden.

Enterprise Mobility Suite Dynamische_Gruppen

Dynamische Gruppen verhelfen uns dabei über Mitgliedschaftsregeln - was im Kern nichts anderes als Attribute unserer Benutzer und Geräte sind - automatisiert Objekte in verschiedene Sicherheitsgruppen zu packen.

Dadurch können Szenarien abgebildet werden, dass z.B.: Mitarbeiter an einem gewissen Standort oder einer Abteilung automatisch Mitglied einer bestimmten Sicherheitsgruppe sind und dadurch Berechtigungen für SharePoint Online oder Teams gesetzt werden. Die dynamischen Gruppen werden auch sehr gerne für die automatische Microsoft 365 Lizenzierung genommen.


Enterprise Mobility Suite - Self-Service Mechanismen

EMS_SSPR

Durch die Nutzung der EMS E3-Lizenz erhalten wir auch verschiedene Self-Service Mechanismen. Die zwei primären sind:

  • Self-Service Password Reset: Hiermit ermöglichen wir unseren Usern, das Sie sich selbstständig Ihr Passwort über eine externe URL zurücksetzen können.
  • Self-Service Group Management: Mit diesem Service können Gruppenbesitzer die Mitgliedschaft selbst verwalten und mit Genehmigungsprozessen arbeiten, ohne das zwingend die IT-Abteilung dazu benötigt wird.

Multi-Faktor Authentifizierungsmethoden

Die reine Bereitstellung der Multi-Faktor Authentifizierung geht zwar schon mit einer Microsoft 365 Business Basic Lizenz, jedoch erhalten wir durch die Aktivierung des Azure AD Premium P1 und der Enterprise Mobility Suite ergänzende Optionen, wie die Multi-Faktor Authentifizierung aktiviert und konfiguriert werden kann:

  • Hardware-Token, wie der FIDO 2 Security Key
  • Mithilfe einer Applikation, wie dem Microsoft Authenticator oder Dritt-Anbieter-Software Token
  • Eine klassische SMS oder Telefonanruf
  • Durch den Temporary Access Pass
  • Auf Basis von Zertifikaten
Enterprise Mobility Suite



Microsoft Intune

Microsoft bietet im Rahmen seiner Endpoint Security die Lösung Microsoft Intune an. Damit will Microsoft sich gegen bereits etablierte Lösungen, wie Airwatch oder MobileIron behaupten. 

Microsoft Intune ist dabei eine Cloud-basierte Mobile Device Management Lösung, die die Verwaltung, Administration und Absicherung von Endgeräten und das damit verbundene Software-Deployment ermöglicht.

Einen besonderen Einblick zur Verwaltung und Administration mit dem Endpoint Management habe ich Euch in diesem Blogbeitrag aufgezeigt.

EMS_Microsoft_intune

Information und Threat Protection

Durch die Nutzung der Enterprise Mobility Suite wird die bereits weit gefächerte Anti-Threat Protection um wichtige Funktionen im Rahmen des Microsoft 365 Defenders erweitert.

Dadurch können zusätzliche Richtlinien und Alarme konfiguriert werden, um unsere Microsoft Cloud Umgebung noch weiter abzusichern. Die einzelnen Anti-Threat Komponenten werden durch Bestandteile in der EMS E5-Lizenz erweitert.

Enterprise Mobility Suite _Threat_Protection

Enterprise Mobility Suite: Erweiterungen in der E5-Lizenz

Schauen wir uns nun als nächstes an, welche Erweiterungen bzw. weiteren Services und die E5-Version der Enterprise Mobility Suite bietet:


Defender for Identity

Microsoft Defender for Identity (ehemals Azure Advanced Threat Protection oder Azure ATP) verwendet Signale aus dem lokalen Active Directory, um erweiterte Bedrohungen, kompromittierte Identitäten und böswillige Insider-Aktionen innerhalb und außerhalb des Unternehmens zu erkennen. 

Der Defender for Identity ist somit eine cloudbasierte Sicherheitslösung für Hybride-Umgebungen, die identifiziert und erkennt. 

Zu den Erkannten Bedrohungen und Lösungen gehören u.a.

  • Überwachen des Verhaltens und die Aktivität von Benutzern und Entitäten auf Basis von lernbasierten Analysen
  • Schützen von Benutzeridentitäten und Anmeldeinformationen (Honeytoken- und Sensitive-User)
  • Untersuchen von verdächtigen Benutzeraktivitäten und fortgeschrittenen Angriffen in der gesamten Kill Chain
  • Darstellungen von klare Informationen zu Vorfällen mit einer einfachen Zeitleiste für eine schnelle Sichtung 
EMS_Defender_for_Identity

Defender for Cloud Apps

Microsoft Defender für Cloud-Apps ist ein Cloud Access Security Broker (kurz: CASB), der verschiedene Bereitstellungsmodi unterstützt, darunter Protokollsammlung, API-Connectors und Reverseproxy.

Er baut eine Transparenz und Übersicht auf, ermöglicht eine Kontrolle über den Datenverkehr sowie erlaubt anspruchsvolle Analysefunktionen zum Erkennen und Bekämpfen von Cyberbedrohungen für sämtliche Clouddienste von Microsoft und Drittanbietern. Auch ungewollte Applikationen können damit verhindert werden, um den Aufbau einer Schatten-IT zu verhindern.

Microsoft Defender für Cloud-Apps ist nativ in führende Microsoft-Lösungen integrierbar und wurde für Sicherheitsexperten entworfen. Sie profitieren von einer einfachen Bereitstellung, zentralisierten Verwaltung und innovativen Automatisierungsfunktionen.

  • Abbildung eines Cloud Access Security Brokers (CASB)
  • Validierung der Zugriffssteuerung zwischen Benutzern und (externen) Cloudressourcen
  • Nutzung des bedingten Zugriffs zur Steuerung, wie (Dritt-) Anbieter-Services genutzt werden dürfen
  • Monitoring und Reporting bei Anomalien innerhalb des Nutzungsverhalten (z.B.: „Mass Download“)
EMS_Defender_for_Cloud_Apps

Privileged Identity Management

Mit dem Privilieged Identitiy Management (kurz: PIM) können wir die administrative Rollen innerhalb des eigenen Tenants verwalten und zentral härten. Das PIM baut im Prinzip auf zwei Konzepten auf, die wir dann innerhalb des Services konfigurieren können:

EMS_PIM

Bei der Definierung von Administrator-Rollen können wir uns folgende Fragen stellen:

  • Welche Rolle steht dem Nutzer zur Verfügung?
  • Wie lange darf die maximale Aktivierungsdauer sein?
  • Ist die Angabe einer Begründung und Ticketnummer erforderlich?
  • Wird die Freigabe durch einen Vorgesetzten erforderlich sein?
  • Wie lange ist eine Rolle „just in time“ freigeschaltet?
  • Wer wird über die Aktivierung einer Rolle informiert?

Idealerweise kann so ein Rollenkonzept auf Basis von PIM mit einem Genehmigungsprozess verknüpft werden.

EMS_Privileged_Identity_Management

Enterprise Mobility Suite: Grafische Übersicht zu allen Funktionen

In meinem Beitrag habe ich viele der wichtigsten Funktionen innerhalb der Enterprise Mobility Suite aufgezeigt. Da man sich schnell in der ganzen Menge an Möglichkeiten verlieren kann, habe ich für Euch hier noch eine grafische Übersicht zu allen Funktionen:

Enterprise Mobility Suite -Alle_Funktionen

Enterprise Mobility Suite: Fazit und Blog

Ich hoffe Dir in dem Beitrag gezeigt zu haben, welche Funktionen uns durch die Lizenzierung der Enterprise Mobility Suite zur Verfügung stehen.

Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem Blog geteilt habe. Ich bin stehts bemüht, die aktuellsten Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit der Microsoft Cloud Security und anderen Microsoft 365 Produkten zu unterstützen!

Aaron Siller

Über den Autor

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>