混合辦公不僅是保持業務持續性的關鍵，更因其高效靈活、人性化的特點而深受員工的喜愛。同時也對 IT 部門進行統一終端管理和保護提出了新的挑戰。

多樣化混合辦公場景中數以億計的各類智能設備正通過各種受控或不受控的網絡訪問企業的數據資產。高效生產力的背后傳統企業網絡邊界正在退出舞臺，靈活便捷的遠程辦公正在成為越來越多人的工作方式選擇：微軟于2021年3月24日發布的《工作趨勢指數報告》顯示，73%的受訪者希望能夠繼續擁有靈活的遠程辦公選擇。 網絡經濟大環境下終端安全的重要性已經無需驗證，終端安全事故導致的損失往往代價昂貴：全球每年因為終端管理不善導致的經濟損失高達392萬美元[1]，其中不乏來自于移動設備遺失導致的損失。令人驚訝的是，全球范圍內人們每年會丟失7千萬個智能手機[2]！72%的公司已將員工個人設備（BYOD）數據泄露視為首要安全顧慮[3]。

伴隨著移動和云的便捷和高產力而來的是越來越精細和復雜的攻擊，任何漏洞都可能被黑色產業鏈利用而非法獲利。企業須防患于未然，借助現代化的安全平臺來進行統一的終端管理，安全、持續地為員工進行跨終端生產力賦能。

何為“現代化”管理

先進理念為魂；現代技術為根

對很多 IT 業界人士來說，“零信任”已經不再是一個陌生的安全模型。一個現代化的終端安全管理平臺首先應該遵循“零信任：從不信任，永遠驗證。”的原則。具體來說就是將所有的資源訪問請求都當作是具有潛在威脅的請求。制定條件訪問控制策略，進行多因素驗證（MFA），甚至無密碼驗證等。并根據需要，對于每次訪問僅授予最小權限或臨時權限。例如現在您可以借助將移動設備管理(MDM)和移動應用程序管理 (MAM)完美融合的 Microsoft Intune 對用戶的個人設備進行安全性評估，并將評估結果作為允許訪問企業數據和應用等資源的條件，設備在使用弱密碼或無密碼、系統存在漏洞未修補等安全風險的情況下所有對企業資源的訪問將被阻止，直到設備完全滿足企業的安全策略。

在個人設備上，Intune 有助于確保組織數據始終受到保護，并能將組織數據與個人數據隔離開來保護員工的個人隱私。如果員工需要在公共場所使用共享設備或臨時訪問公司資源，可以通過多重身份驗證（MFA）登錄企業在云端部署的 Windows 虛擬桌面（WVD）回到辦公環境。除此以外，對于資源訪問和服務連接發起設備的 IP 地址，賬號是否存在風險和系統版本等都可以作為信任與否的條件。

根據微軟的市場趨勢調查，90%的公司已經將業務或者基礎架構拓展到了云端。員工的很多工作是在云服務和云應用中完成的，例如 Office 365。無論是企業配發的設備，還是用戶自己的設備，都是這些業務的“作業工廠”。實際上95% 的組織允許員工在工作場所使用個人設備（BYOD）[3]。這意味著單一針對企業設備的終端管理方案是遠遠不夠的。這就不得不提到云智能，它的引入可以更好的完成端到端的信號傳遞，將不同終端的信息匯總，并針對安全漏洞給出修復建議，甚至自動化的完成修復工作。以 Azure 為例，全球有超過9億的 Windows 10電腦，1.9億商用電腦、iOS、安卓移動設備在 Intune 和 ConfigMgr 管理下運行[4]。它們之間所共享的海量安全情報，使無論 BYOD 還是公司設備，都能夠在第一時間辨識出可能的攻擊行為，發布安全預警或根據“風險預案”從容應對攻擊。

簡單有效的 IT 管理與運營

安全團隊的苦惱之一大概就是永遠處理不完的風險警報和不可捉摸的安全薄弱環節。如果能有一個可定制的、簡單易用的方案，可以按照事件的重要程度進行優先級排序，并作出自動化處理，那么對安全運營來說將是積極有效的變革。

我們常說任何 IT 方案的制定都應該以業務需求為導向。既要對用戶的終端設備進行統一的管理和配置，又應該允許其根據業務需要進行靈活多樣的定制。疫情期間，一些企業已經通過前文所述的Windows 虛擬桌面（WVD）獲益良多。WVD 允許租戶通過多個主機池，來發布其定制好的系統鏡像。并創建多重會話進程，使遠端用戶能夠接入共享的資源。而且，用戶可以通過反向連接安全地與服務建立連接，因此，永遠不需要將任何入站端口保持打開狀態。這不僅為終端用戶提供了個性化的桌面服務，同時還大大降低了使用云服務的帶來的安全風險。因為所有的基礎架構都在云端，由 IaaS 提供商維護，企業 IT 僅僅需要簡單的前期配置，就可以用最小的工作量完成后期的維護。當然，也有一些企業選擇了充分利用現有資產，使用自動部署（Auto Pilot）這一方案， 通過自動化服務，為配備給每一個員工的辦公設備完成預配置。使其時刻處于業務可用狀態。并在員工第一次拿到電腦開機釋放系統的過程中自動注冊到 Intune，以獲得全方位的安全防護。

促進 IT 與安全團隊合作

如果在您的企業中，IT 團隊和安全團隊是相對獨立的，您可能遇到過溝通不暢的情況。終端設備防護的任務往往需要兩個團隊緊密協作。但傳統的管理方式常常導致雙方各自為政，無法及時掌握彼此的需求和進度。因此，現代化的平臺必須能連通兩個團隊，使他們能夠了解任務的前因后果和進展情況。這本身需要良好的生態鏈支持。例如：通過將微軟旗下的終端防護（Microsoft Defender for Endpoint，MDE）和終端管理（Microsoft Endpoint manager，MEM）整合，可以根據 MDE 發現的終端漏洞和相應建議。由安全團隊創建修復任務，發送到 MEM 中，再由 IT 團隊查看任務詳情，選擇執行與否。同時兩個團隊都能對事件的進展進行追蹤，并通過系統進行線上溝通。

良好的用戶體驗

用戶體驗是企業管理改革的風向標。任何忽視用戶體驗的方案都很難落地，或者代價巨大。混合辦公環境下，用戶希望在所有的終端上都能有一致的體驗。既能夠無縫銜接地工作，又能夠保護個人的隱私。對沒有 IT 背景的員工來說，用戶干預度和使用習慣改變越少的方案，就越容易被接受。當然，能顯著提升效率的良性變更，也可以在一定程度上提升用戶的好感。

例如：簡單易操作的設備注冊過程，遠程推送用戶需要的工作 app，為用戶自動配置郵箱、企業無線網絡接入，自動進行系統更新等。對于電腦來說，用戶要求移動電腦有快速的啟動和響應時間。但實際情況是這些時間往往隨著硬件降級（使用機械硬盤而不是固態硬盤）和安全代理的加載而變長。根據統計，使用了 Microsoft 365 現代管理系列功能的移動電腦比未使用時平均減少了30秒的啟動時間。電池續航時間也增加為原來的兩倍。同時系統崩潰的數量也減少了85%[4]。而這一切都得益于 Windows 系統的優化和云智能的支持。

原文標題：叮！您有一份攻略待查收 | 現代化終端安全管理

文章出處：【微信公眾號：微軟科技】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq