Wat houdt EMS E3 in

Microsoft Enterprise Mobility & Security E3

Introductie

In het nieuwe aanbod van Microsoft zijn er voor scholen vanaf 100 FTE’s 3 nieuwe mogelijkheden

-          Desktop + EMS E3

-          Desktop + EMS E5

-          Desktop + EMS E5 + Office 365 E5

In dit document leggen we uit waarom scholen met meer dan 100 FTE’s zeker de EMS E3 moeten

overwegen. Dit om klaar te zijn voor de toekomst.


Wat is EMS

EMS staat voor Enterprise Mobility & Security. Dit is geen softwarelicentie, maar een hele set aan tools om beter om te gaan met het beheren van toestellen en beveiligen van data, zeker nu steeds meer en meer in de cloud gewerkt wordt. EMS stelt je in staat om devices beter te beheren en documenten en identiteiten beter te beveiligen.

De bedoeling van EMS is dat er zo weinig mogelijk verandert aan de huidige manier van werken, maar dat toch de extra veiligheid en het beheergemak worden toegepast.

De belangrijkste componenten van EMS zijn:

-          Microsoft Intune & Intune for Education

-          Azure Active Directory Premium

-          Azure Rights Management

-          Microsoft Advanced Threat Analytics

Er bestaat een EMS E3 en een EMS E5. De verschillen zitten hem in extra’s bij producten. Indien je zaken zoekt op het internet: alles waar P1 vermeld wordt, is inbegrepen in EMS E3. Alles waar P2 vermeld wordt, is inbegrepen in EMS E5. Indien je niet specifiek op zoekt bent naar extra’s die vermeld worden als P2, dan is EMS E3 voldoende.


Microsoft Intune & Intune for Education

Microsoft Intune, en zeker de onderwijsvariant Intune For Education, zijn tools die je in staat stellen om computers op een heel andere manier te gaan beheren.

Momenteel worden computers (vaak) beheerd via een on-premise, klassiek Windows domein, met één of meerdere domeincontrollers in je netwerk. Nadeel hiervan is dat je op elke vestiging één of meerdere domeincontrollers moet gaan beheren en onderhouden. Om extra software uit te rollen naar de PC’s, of om regels voor de PC te wijzigen, moet je via complexe menu’s werken.

Microsoft Intune (for Education) heeft dit veel makkelijker gemaakt. Er is geen nood meer aan een domeincontroller (dus kost uitgespaard).Alle tools zijn webbased (dus ook toegankelijk als je niet op school bent) en de mogelijkheden en menu’s zijn geoptimaliseerd voor de noden van een school.

Set-up School PC App

Indien de computers een Windows 10 Creatorsupdate hebben (of latere versie), wat eigenlijk alle nieuwe computers hebben die geleverd zijn sinds juli 2017, dan kan je die PC’s configureren en klaarmaken zonder één toets van de computer in te drukken.

Via de Set-up School PC App maak je op een bestaande PC met de Creatorsupdate een USB stick klaar met een configuratiebestand. In dit configuratiebestand zet je de nodige instellingen om de computer met de WiFi van de school te verbinden, de computers een naam te geven en de andere

instellingen en programma’s via de cloud te downloaden. De volgende zaken kunnen ingesteld worden

-          Naamgeving van de computer (bvb LOKAALNR-serienummer)

-          WiFi profiel van de school

-          De mogelijkheid om alle door de fabrikant extra geïnstalleerde programma’s te

verwijderen (alle bloatware,…). Zo krijg je hetzelfde resultaat als een computer met een clean install

-          De keuze of documenten van gebruikers enkel in de cloud opgeslagen kunnen worden of zowel lokaal op de pc als in de cloud. Bij gedeelde computers (klas-PC’s) is het aangeraden om de gegevens enkel in de cloud op te slaan.

-          Optimalisatie voor BYOD (1 gebruiker/1PC)

-          Toegang toelaten voor gast-accounts

-          Opgeven welke applicaties uit de Intune For Education geïnstalleerd moeten worden op de computer

-          Achtergrond van de computer

-          Beveiligingsinstellingen en de te installeren applicaties kan je beheren vanuit het Intune For Education portaal. Dit kan op groepsniveau, computerniveau of gebruikersniveau.

Op het einde wordt een USB-stick gemaakt met een kleine hoeveelheid bestanden. Deze USB stick kan je gebruiken om computers volledig te configureren (zoals de instellingen opgegeven) zonder één toets aan te raken. Je kan de USB-stick gewoon dupliceren door de bestanden die erop staan te kopiëren naar een andere USB-stick.

Om een nieuwe computer te configureren volg je de volgende stappen:

-          Open de doos van de nieuwe computer

-          Start deze op

-          Plaats de Set-up School PC stick in de computer

-          Wacht een minuut (tot je de stick eruit kan halen)

-      De computer wordt volledig automatisch geconfigureerd, inclusief WiFi, verwijderen onnodige applicaties en installatie van de applicaties zoals geconfigureerd in Intune (zoals hieronder aangegeven).

Bekijk zeker: https://www.youtube.com/watch?v=qqe_T2LkGsI

Single Sign-On

Gebruikers die gebruikmaken van een computer met Intune en die aanmelden met hun Office 365- login zullen zich niet meer moeten aanmelden voor applicaties die ook deze login gebruiken, zoals Office 365 Desktop Apps, OneDrive, Windows Store,… maar bijvoorbeeld ook niet op SmartSchool, indien deze ook gebruikers van je school laat aanmelden via Office 365.

Take a Test App/Account

Met Intune For Education is het mogelijk om een Take a Test account te maken. Indien de gebruiker op dit account zal aanmelden, kan hij enkel de éne App of de éne website bezoeken die ingesteld is. Dit wordt op het laagste niveau van Windows beveiligd. Er is geen taakbalk of startmenu. Zo kunnen leerlingen testen afnemen (via formulieren), of bijvoorbeeld enkel één bepaalde website bezoeken (SmartSchool i.v.m. test, een online wetenschappelijke rekenmachine, etc.). Leerlingen kunnen geen andere bronnen contacteren.

Beheer van software en rechten

Via Intune for Education kan je op een zeer makkelijke manier (via console) software en rechten gaan beheren. Gebruikers komen uit de Office 365 omgeving en de computers worden beschikbaar zodra een gebruiker zich zal aanmelden (bij een nieuwe computer) met een Office 365 gebruiker.

Het is mogelijk om de volgende software uit te rollen via Intune & Intune For Education:

-          Setupbestanden via .msi of .exe waar een silent install mogelijk is (via opties)

-          Office DesktopApps

-          Apps uit de Windows Store

-          Links naar websites (die dan als icoon worden weergegeven)(WebApps)

Zodra aangegeven wordt of een bepaalde gebruiker of een bepaalde computer een bepaald softwarepakket dient te krijgen, wordt dit automatisch, zonder tussenkomst van de gebruiker, geïnstalleerd op de computer.

Het is ook mogelijk om rechten van de computer te configureren (zoals Cameragebruik, blokkeren of gebruikers USB stick kunnen gebruiken, browserinstellingen,..). Standaard worden de meest gebruikte instellingen voorgesteld.

Uitrol extra software

Via Intune & Intune for Education is het mogelijk om vanuit elke PC die verbonden is met het internet extra software uit te rollen naar computers die gebruik maken van Intune. Zo is het perfect mogelijk om voor een bepaald klaslokaal of voor een bepaalde groep leerlingen of computers een extra applicatie te installeren. De ICT-coördinator hoeft daarvoor niet naar de computer te gaan. Hij hoeft zelfs niet in het schoolgebouw te zijn.

Ondersteuning via TeamViewer

Indien er een bijkomende TeamViewer licentie genomen wordt, kan de gebruiker rechtstreeks ondersteuning aanvragen en kan de computer zonder verder ingrepen van de eindgebruiker overgenomen worden.


Azure Active Directory Premium

Active Directory Basic is gratis voor scholen. Dit heb je zodra je een (gratis) Office 365 omgeving hebt. Daarnaast bestaat ook nog Active Directory Premium, die inbegrepen is bij EMS E3 en EMS E5.

Waarom Active Directory Premium gebruiken?

Single Sign On mogelijkheden: indien je aanmeldt op je computer met je AD Premium Office 365 account, dan zullen applicaties waar ook aangemeld kan worden met deze login, zich automatisch aanmelden. Dit werkt met alle WebApps en applicaties die dit ondersteunen. Dit zijn onder andere OneDrive, Windows Store, SmartSchool, Outlook, Office Desktop Apps,…

Eigen huisstijl bij het aanmelden: de logo en de naam van de school kunnen vermeld worden op de loginpagina van Office 365

Tweeweg synchronisatie tussen een lokaal Windows domein en het Azure AD domein: gebruikers worden gesynchroniseerd, inclusief hun wachtwoord. Zo heeft de gebruiker het gevoel dat het één systeem is, omdat zowel hun gebruikersnaam als wachtwoord overal hetzelfde is. Wijzigt de gebruiker het wachtwoord van Office 365, wordt deze automatisch gesynchroniseerd met het lokale domein.

Self-service wachtwoord resetten: indien een gebruiker zijn wachtwoord vergeten is, kan hij deze zelf resetten. Hiervoor moet de gebruiker bij de eerste aanmelding zijn of haar GSM-nummer opgeven (kan ook doorgegeven worden bij het aanmaken van de accounts). Zo hoeft de gebruiker de IT-dienst niet meer lastig te vallen. Door de tweeweg synchronisatie kan de gebruiker op deze manier ook het wachtwoord op het lokale Windows domein resetten.

Met Azure AD Premium heb je alle tools die Microsoft ter beschikking heeft voor optimaal gebruikersbeheer in de cloud voor handen.

Zie ook https://www.youtube.com/watch?v=lrAXWSDCYcI


Azure Rights Management

Azure Rights Management is de toolkit om je school voor een groot stuk klaar te maken voor de nieuwe GDPR-richtlijn.

In scholen gaan heel veel vertrouwelijke documenten rond. Verslagen klassenraad, GON-verslagen,

personeelsdossiers,… De GDPR richtlijn verplicht je deze documenten goed te beveiligen.

Maar hoe doe je dit in een wereld waar leerkrachten vaak een eigen toestel hebben, zaken zowel op hun GSM, laptop, desktop of iPad willen lezen? Hiervoor is de Azure Rights Management toolkit 2017 een goede oplossing.

Met een simpele plugin in Office (ook beschikbaar op iPad) kan op een zeer intuïtieve manier rechten gegeven worden aan documenten:

-          Welke gebruikers mogen het document bewerken

-          Welke gebruikers mogen het document lezen

-          Tot wanneer mag het document gelezen worden

Deze rechten worden toegekend op gebruikersniveau of op groepsniveau (bijvoorbeeld groep met alle directieleden, etc). Dit is geen verplichting, maar éénmaal (met 2 kliks) de beveiliging is toegekend, dan is het document beveiligd en kunnen enkel de gebruikers die de rechten hebben het document openen, lezen, bewerken of afdrukken. Dit werkt op tal van platformen, zoals Windows PC’s, iPhones, iPads,… Zelfs het nemen van schermafbeeldingen wordt tegengehouden.

Een zeer duidelijk (niet technische) uitleg van alle mogelijkheden vind je hier: https://www.youtube.com/watch?v=avv6cgY54eI

 

Het voordeel van deze aanpak is dat gebruikers nog steeds hun eigen laptop of eigen mobiel apparaat kunnen gebruiken, met hun vertrouwde software, zonder dat hierdoor de veiligheid van de documenten geschaad wordt. De Azure Rights Management is een goed evenwicht tussen veiligheid en gebruiksgemak. Documenten kunnen nog steeds op alle vertrouwde wegen (Google, Sharepoint, SmartSchool, e-mail) gedeeld worden en met de vertrouwde applicaties geopend worden, maar hebben de extra beveiliging ingebouwd.

Het is mogelijk om achteraf een rapport te krijgen van wie welk document geopend heeft (en wie het geprobeerd heeft, maar waarbij het niet gelukt is). Het is ook mogelijk om de rechten van een document in te trekken, nadat het document is verspreid.

Met deze toolkit is het zeer makkelijk om een goede workflow en rechtenbeheer uit te werken en je zo klaar zal maken voor GDPR.


Microsoft Advanced Threat Analytics

Microsoft ATA is een self-learning systeem dat vaststelt wanneer bepaald (aanmeld)gedrag anders is dan verwacht en de nodige stappen zal ondernemen om dit te blokkeren.

Microsoft ATA stelt je in staat om te zien waar het ongewoon gedrag gebeurt en hier meteen op in te grijpen. Zo wordt bijgehouden via welke devices en locaties bepaalde gebruikers normaal aanmelden en heb je de mogelijkheid om, in geval van afwijkend gedrag, multifactor authenticatie in te voeren.

Zo zou dit kunnen gebruikt worden om SmartSchool accounts van leerkrachten extra te beveiligen. Indien deze gekoppeld worden aan Office 365, wordt bij elke login gekeken of het gedrag normaal is. Maar indien een leerling het wachtwoord van SmartSchool van een leerkracht kan achterhalen, en dit gebruikt op een andere computer dan normaal, zou een extra manier van authenticatie gevraagd kunnen worden.

Een goed overzicht van de mogelijkheden vind je op https://www.youtube.com/watch?v=g07w3qzT7-o


Slot

De kans dat bovenstaande items reeds intensief gebruikt worden op de school is klein. Maar de kans dat deze noodzaak zal ontstaan in het komende schooljaar, ofwel door BYOD, ofwel door meer nood aan efficiënt beheer, ofwel door nood aan extra beveiliging of door implementatie van GDPR richtlijnen is groot.

Indien uw school over meer dan 100 FTE’s beschikt, is het ten sterkste aangeraden om uw school, stap voor stap, klaar te maken voor de nieuwe manier van werken. Natuurlijk zal niet alles in één keer geïmplementeerd worden, maar EMS E3 maakt het mogelijk om het denkproces te wijzigen en de verbeteringen stap voor stap in te voeren.

Indien je vragen hebt over de implementatie van Office 365 en/of EMS E3, kan je steeds je vast contactpersoon binnen Signpost contacteren.

Regelmatig organiseren we ook gratis events en trainingen rond dit onderwerp. Zie

www.signpost.be/events