针对个人而言,想要有效防范因智慧移动设备所造成的资料外泄问题,最根本的方法就是在移动设备上加装相关的安全防护App(例如趋势科技免费提供的移动安全防护-全民版),以及为自身的设备设定密码保护,并且不使用任何来路不明的App。另外,还必须注意的是,万一设备需要送修时,建议先将储存卡片取出,并将设备恢复到出厂设定状态。
落实以上基本的安全措施之后,个人使用移动设备的安全问题大部分将可以有效地免除。
至于企业所面临之人员自携设备(Bring Your Own Device,BYOD)的资安问题,除了需要严格规范智慧移动设备的使用外,IT部门还必须有一套符合企业现行控管需求的解决方案,那就是移动设备管理(Mobile Device Management,MDM)系统。
如此一来,IT部门才能够真正掌握所有人员对于各类移动设备的使用状况,进一步有效防范可能因为内部有心员工或外部恶意攻击所造成的企业敏感资料外泄危机。
企业中有哪一些智慧移动设备需要纳入MDM方案的控管呢?目前看来,肯定除了Windows的各类型笔电之外,绝大多数几乎都是装载iOS与Android作业系统的手机与平板。
Microsoft的MDM解决方案共提供了私有云端版的System Center Configuration Manager与公开云版的Windows Intune。
私有云端版的System Center Configuration Manager让企业IT可以根据企业的组织架构来部署于企业内部,而Windows Intune则负责公开云的部分,这两者虽是各自独立,但也可以相互整合,以形成混合云的完整解决方案。
目前在Microsoft官方网站上已经提供最新版本的Windows Intune免费30天试用版(图1),可以注册25个账户进行测试。除此之外,还提供了20GB的在线储存空间,以做为企业应用程序的上传与发布之用。
须注意的是,如果已注册Office 365服务并且还在使用期限内,建议使用相同的使用者识别码来注册与试用Windows Intune。
Microsoft Windows Intune的网站位址为“http://www.microsoft.com/zh-tw/server-cloud/products/windows-intune/default.aspx”,QR码则如图2所示。
在如图3所示的试用注册页面内,除了须填写相关申请人与公司资料外,还必须输入一个测试用的新网域名称以做为后续的连线网址,而这个网址后续也可以透过DNS服务的相关设定,转换成公司正式的网域名称来使用。
完成上述设定之后,按一下〔储存并继续〕按钮继续后面的设定。
后续,系统管理员可以透过以下的两个网址,分别进行人员账户的管理以及系统组态的配置。
Windows Intune账户入口网站:
https://account.manage.microsoft.com
Windows Intune系统管理入口网站:
https://admin.manage.microsoft.com
TOP 1:如何管理Windows Intune使用者
在Windows Intune的使用者与群组管理中,使用者可以直接在账户入口网站上逐笔建立,或是透过所提供的工具将企业内部现有的Active Directory进行同步。这里将以逐笔建立的方式来做示范。
如图6所示,在账户入口网站的“管理员概观”页面内,就有“新增使用者”超连结可以点选。
接着开启如图7所示的“新增使用者”页面,在“详细资料”画面中输入新使用者的姓名与使用者名称,其中的姓氏和名字一般都输入中文,而它也会自动出现在“显示名称”栏位内。
接着来到如图8所示的“设定”页面内,在此决定该使用者是否要赋予相关系统管理员角色的权限,以及设定使用者所在的位置,例如台湾。
举例来说,如果是想找一位助理工程师来协助管理全公司的人员账户,但却又不希望他更动到其他系统的设定值,这个时候赋予这位人员使用者管理员的角色即可。
按一下〔下一步〕按钮后,如图9所示切换至“群组”页面内,这里预设仅有一个“Windows Intune”群组可以选择,不过后续仍然能够在“安全性群组”页面内新增自订的群组名称,并且分配各群组的成员名单。设定完毕,按一下〔下一步〕按钮。
