混合辦公不僅是保持業(yè)務(wù)持續(xù)性的關(guān)鍵，更因其高效靈活、人性化的特點而深受員工的喜愛。同時也對 IT 部門進行統(tǒng)一終端管理和保護提出了新的挑戰(zhàn)。

多樣化混合辦公場景中數(shù)以億計的各類智能設(shè)備正通過各種受控或不受控的網(wǎng)絡(luò)訪問企業(yè)的數(shù)據(jù)資產(chǎn)。高效生產(chǎn)力的背后傳統(tǒng)企業(yè)網(wǎng)絡(luò)邊界正在退出舞臺，靈活便捷的遠程辦公正在成為越來越多人的工作方式選擇：微軟于2021年3月24日發(fā)布的《工作趨勢指數(shù)報告》顯示，73%的受訪者希望能夠繼續(xù)擁有靈活的遠程辦公選擇。 網(wǎng)絡(luò)經(jīng)濟大環(huán)境下終端安全的重要性已經(jīng)無需驗證，終端安全事故導致的損失往往代價昂貴：全球每年因為終端管理不善導致的經(jīng)濟損失高達392萬美元[1]，其中不乏來自于移動設(shè)備遺失導致的損失。令人驚訝的是，全球范圍內(nèi)人們每年會丟失7千萬個智能手機[2]！72%的公司已將員工個人設(shè)備（BYOD）數(shù)據(jù)泄露視為首要安全顧慮[3]。

伴隨著移動和云的便捷和高產(chǎn)力而來的是越來越精細和復雜的攻擊，任何漏洞都可能被黑色產(chǎn)業(yè)鏈利用而非法獲利。企業(yè)須防患于未然，借助現(xiàn)代化的安全平臺來進行統(tǒng)一的終端管理，安全、持續(xù)地為員工進行跨終端生產(chǎn)力賦能。

何為“現(xiàn)代化”管理

先進理念為魂；現(xiàn)代技術(shù)為根

對很多 IT 業(yè)界人士來說，“零信任”已經(jīng)不再是一個陌生的安全模型。一個現(xiàn)代化的終端安全管理平臺首先應該遵循“零信任：從不信任，永遠驗證?！钡脑瓌t。具體來說就是將所有的資源訪問請求都當作是具有潛在威脅的請求。制定條件訪問控制策略，進行多因素驗證（MFA），甚至無密碼驗證等。并根據(jù)需要，對于每次訪問僅授予最小權(quán)限或臨時權(quán)限。例如現(xiàn)在您可以借助將移動設(shè)備管理(MDM)和移動應用程序管理 (MAM)完美融合的 Microsoft Intune 對用戶的個人設(shè)備進行安全性評估，并將評估結(jié)果作為允許訪問企業(yè)數(shù)據(jù)和應用等資源的條件，設(shè)備在使用弱密碼或無密碼、系統(tǒng)存在漏洞未修補等安全風險的情況下所有對企業(yè)資源的訪問將被阻止，直到設(shè)備完全滿足企業(yè)的安全策略。

在個人設(shè)備上，Intune 有助于確保組織數(shù)據(jù)始終受到保護，并能將組織數(shù)據(jù)與個人數(shù)據(jù)隔離開來保護員工的個人隱私。如果員工需要在公共場所使用共享設(shè)備或臨時訪問公司資源，可以通過多重身份驗證（MFA）登錄企業(yè)在云端部署的 Windows 虛擬桌面（WVD）回到辦公環(huán)境。除此以外，對于資源訪問和服務(wù)連接發(fā)起設(shè)備的 IP 地址，賬號是否存在風險和系統(tǒng)版本等都可以作為信任與否的條件。

根據(jù)微軟的市場趨勢調(diào)查，90%的公司已經(jīng)將業(yè)務(wù)或者基礎(chǔ)架構(gòu)拓展到了云端。員工的很多工作是在云服務(wù)和云應用中完成的，例如 Office 365。無論是企業(yè)配發(fā)的設(shè)備，還是用戶自己的設(shè)備，都是這些業(yè)務(wù)的“作業(yè)工廠”。實際上95% 的組織允許員工在工作場所使用個人設(shè)備（BYOD）[3]。這意味著單一針對企業(yè)設(shè)備的終端管理方案是遠遠不夠的。這就不得不提到云智能，它的引入可以更好的完成端到端的信號傳遞，將不同終端的信息匯總，并針對安全漏洞給出修復建議，甚至自動化的完成修復工作。以 Azure 為例，全球有超過9億的 Windows 10電腦，1.9億商用電腦、iOS、安卓移動設(shè)備在 Intune 和 ConfigMgr 管理下運行[4]。它們之間所共享的海量安全情報，使無論 BYOD 還是公司設(shè)備，都能夠在第一時間辨識出可能的攻擊行為，發(fā)布安全預警或根據(jù)“風險預案”從容應對攻擊。

簡單有效的 IT 管理與運營

安全團隊的苦惱之一大概就是永遠處理不完的風險警報和不可捉摸的安全薄弱環(huán)節(jié)。如果能有一個可定制的、簡單易用的方案，可以按照事件的重要程度進行優(yōu)先級排序，并作出自動化處理，那么對安全運營來說將是積極有效的變革。

我們常說任何 IT 方案的制定都應該以業(yè)務(wù)需求為導向。既要對用戶的終端設(shè)備進行統(tǒng)一的管理和配置，又應該允許其根據(jù)業(yè)務(wù)需要進行靈活多樣的定制。疫情期間，一些企業(yè)已經(jīng)通過前文所述的Windows 虛擬桌面（WVD）獲益良多。WVD 允許租戶通過多個主機池，來發(fā)布其定制好的系統(tǒng)鏡像。并創(chuàng)建多重會話進程，使遠端用戶能夠接入共享的資源。而且，用戶可以通過反向連接安全地與服務(wù)建立連接，因此，永遠不需要將任何入站端口保持打開狀態(tài)。這不僅為終端用戶提供了個性化的桌面服務(wù)，同時還大大降低了使用云服務(wù)的帶來的安全風險。因為所有的基礎(chǔ)架構(gòu)都在云端，由 IaaS 提供商維護，企業(yè) IT 僅僅需要簡單的前期配置，就可以用最小的工作量完成后期的維護。當然，也有一些企業(yè)選擇了充分利用現(xiàn)有資產(chǎn)，使用自動部署（Auto Pilot）這一方案， 通過自動化服務(wù)，為配備給每一個員工的辦公設(shè)備完成預配置。使其時刻處于業(yè)務(wù)可用狀態(tài)。并在員工第一次拿到電腦開機釋放系統(tǒng)的過程中自動注冊到 Intune，以獲得全方位的安全防護。

促進 IT 與安全團隊合作

如果在您的企業(yè)中，IT 團隊和安全團隊是相對獨立的，您可能遇到過溝通不暢的情況。終端設(shè)備防護的任務(wù)往往需要兩個團隊緊密協(xié)作。但傳統(tǒng)的管理方式常常導致雙方各自為政，無法及時掌握彼此的需求和進度。因此，現(xiàn)代化的平臺必須能連通兩個團隊，使他們能夠了解任務(wù)的前因后果和進展情況。這本身需要良好的生態(tài)鏈支持。例如：通過將微軟旗下的終端防護（Microsoft Defender for Endpoint，MDE）和終端管理（Microsoft Endpoint manager，MEM）整合，可以根據(jù) MDE 發(fā)現(xiàn)的終端漏洞和相應建議。由安全團隊創(chuàng)建修復任務(wù)，發(fā)送到 MEM 中，再由 IT 團隊查看任務(wù)詳情，選擇執(zhí)行與否。同時兩個團隊都能對事件的進展進行追蹤，并通過系統(tǒng)進行線上溝通。

良好的用戶體驗

用戶體驗是企業(yè)管理改革的風向標。任何忽視用戶體驗的方案都很難落地，或者代價巨大。混合辦公環(huán)境下，用戶希望在所有的終端上都能有一致的體驗。既能夠無縫銜接地工作，又能夠保護個人的隱私。對沒有 IT 背景的員工來說，用戶干預度和使用習慣改變越少的方案，就越容易被接受。當然，能顯著提升效率的良性變更，也可以在一定程度上提升用戶的好感。

例如：簡單易操作的設(shè)備注冊過程，遠程推送用戶需要的工作 app，為用戶自動配置郵箱、企業(yè)無線網(wǎng)絡(luò)接入，自動進行系統(tǒng)更新等。對于電腦來說，用戶要求移動電腦有快速的啟動和響應時間。但實際情況是這些時間往往隨著硬件降級（使用機械硬盤而不是固態(tài)硬盤）和安全代理的加載而變長。根據(jù)統(tǒng)計，使用了 Microsoft 365 現(xiàn)代管理系列功能的移動電腦比未使用時平均減少了30秒的啟動時間。電池續(xù)航時間也增加為原來的兩倍。同時系統(tǒng)崩潰的數(shù)量也減少了85%[4]。而這一切都得益于 Windows 系統(tǒng)的優(yōu)化和云智能的支持。

原文標題：叮！您有一份攻略待查收 | 現(xiàn)代化終端安全管理

文章出處：【微信公眾號：微軟科技】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

責任編輯：haq