Mnozí z vás si ještě ani zkratku ECS nestihli bohužel osvojit a společnost Microsoft již uvádí jejího nástupce v podobě SPE. Jaké technologie v sobě tato nová zkratka skrývá? Proč by vás při obnově licencí vaší společnosti měla zajímat? A proč přibyl další typ licence pro Windows 10? Protože všichni chtějí mít bezpečný a produktivní podnik, no ne?
Co si tedy představit pod zkratkou SPE – je to:
- Kombinace technologií pro produktivitu
- Kombinace technologií pro bezpečnost
- A to dohromady zabaleno do sexy licenčního balíčku
Pojďme se podívat na jednotlivé dílky této skládačky.
Enterprise Mobility + Security
Prvním dílkem SPE je nám již dobře známá zkratka EMS. Pokud jste pravidelnými čtenáři, pamatujete, že jsme tento akronym rozepisovali jako Enterprise Mobility Suite. Protože však tato sada produktů doznala značného rozšíření, změnil se i význam této zkratky na Enterprise Mobility + Security. A skládá se nyní z více produktů. Jejich skladba byla rozdělena podobně jako plány Office 365 do balíčků E3 a E5, aby byl zjednodušen jejich nákup v rámci celkových balíčků.
Jaký dopad bude mít tato změna na zákazníky, kteří již zakoupili původní plány EMS? Původní nabídka je transformována do plánu E3, zatímco nová sada E5 bude dostupná v posledním čtvrtletí tohoto roku. Původní Azure Active Directory Premium bude přejmenován na plán P1. Plán P2 pak bude obsahovat i Identity Protection a Privileged Identity Management ke konci třetího kvartálu tohoto roku. Původní plány Azure Rights Management Premium se stanou plánem P1 v posledním čtvrtletí tohoto roku a plán P2 pak bude navíc oproti plánu P1 obsahovat i automatické klasifikace a štítkování, taktéž na konci roku.
V jednotlivých balíčcích jsou i tyto nové služby:
Azure Active Directory Identity Protection
Na základě přihlášení z neznámých lokalit, potencionálně nebezpečných zařízení si může vyžádat ověření druhým faktorem, nebo notifikovat správce, nebo přihlášení zakázat. Novinkou jsou i podmíněné přístupy do Office 365 podobně, jako známe z lokálního ADFS, i bez jeho užití. Určité lokace je možné zakázat pro přihlášení zcela.
Azure Active Directory Privileged Identity Management
Správci již mohou pracovat v kontextu svých účtů i bez oprávnění administrátora. Toto oprávnění si mohou po schválení nebo automaticky nechat přiřadit jen na dobu nezbytně nutnou i bez toho, že by potřebovali druhý účet. K dispozici je přehled oprávnění v čase, důvody pro přiřazení i možnost jejich schvalování. Řídit lze takto všechny vestavěné role v Office 365, a to i pro delegovanou správu.
Microsoft Cloud App Security
Služba určená pro analýzu síťových logů, která dokáže identifikovat online aplikace, k nimž přistupují vaši uživatelé možná bez vašeho vědomí. K tomu nabízí samozřejmě možnost aplikovat bezpečnostní pravidla, politiky DLP, které jsou přednastaveny, nebo si je vytvoříte, případně za vás i v těchto službách hlídá možné nekalé události, podobně jako to dělají další součásti balíčku přímo pro Office 365.
Azure Information Protection
Ochrana informací pomocí Azure RMS (Rights Management Services) rozšířená o uživatelsky jednoduché štítkování obsahu, které dokáže efektivněji chránit informační aktiva, ať se již nalézají prakticky kdekoli.
Microsoft Intune Mobile App Management
Správa mobilních zařízení je důležitým článkem firemní bezpečnosti i uživatelského komfortu. V rámci Microsoft Intune je ovšem možné spravovat i mobilní aplikace. Zda je dovoleno kopírování obsahu mezi firemními a soukromými aplikacemi, jak se chová zálohování, že bude jejich obsah chráněn při ztrátě zařízení. Tyto a další scénáře jsou jasné v případě, kdy je zařízení pod správou MDM (Mobile DEVICE Management). Komponenta tohoto řešení MAM (Mobile APP Management) ovšem dokáže fungovat i na zařízeních, která v MDM nejsou zahrnuta. Například na domácím zařízení nebo zařízení dodavatele. I na nich dokážu zajistit bezpečný přístup k firemním datům, aniž bych zmenšil uživatelský komfort.
Microsoft Advanced Threat Analytics
A nejdůležitějším produktem je ATA, která slouží pro detekci nebezpečného chování a činností v rámci lokální AD. Novinkou jsou zde odlehčené brány, které opět usnadňují nasazení celého produktu, a vyšší integrace se SIEM řešeními třetích stran.
Novinek v rámci jednotlivých služeb je tolik, že by to vydalo na samostatný článek. Tak snad někdy příště…
Secure Productive Enterprise
V neposlední (a pro mnohé v první) řadě byla sada ECS, nyní SPE, licenčním balíčkem, který umožnil získat výhodněji předplatné pro nástroje produktivity a nástroje bezpečnosti. Tato výhoda trvá i nadále především díky možnostem předplatného na uživatele, jejichž počet se může variabilně měnit s velikostí organizace, a zároveň umožňuje dynamickou skladbu jednotlivých plánů. Obsahem i dále zůstávají licence na lokální instalace System Center Configuration Manager (SCCM) pro integraci s Microsoft Intune, výhody MDOP balíčků v rámci Software Assurance Per User a další. Více o licencích najdete v článku Jedna licence vládne všem (Secure Productive Enterprise). A samozřejmě: způsob nasazení i licenčního pokrytí pro konkrétní potřeby vaší organizace vždy doporučuji konzultovat s odborným partnerem.
Takže: Stejně jako EMS doznalo rozdělení do plánu E3 a E5, použije podobné dělení i SPE. To navíc s dopadem i na licence Windows 10.
Windows 10 Enterprise
Původní licence Windows 10 Enterprise jsou v tomto případě pořízení transformovány do takzvaného plánu Windows 10 Enterprise E3. A k nim samozřejmě přicházejí licence Windows 10 Enterprise v plánu E5.
Ovšem nemusíte se bát, že by se jednalo o skutečné předplatné, kdy vám jednoho dne přestanou Windows fungovat, pokud byste nezaplatili. Plán E3 je pouze přejmenováním současné edice Windows 10 Enterprise tak, jak nyní v rámci Anniversary Update bude na discích ležet a v paměti běžet. Jedná se o pokračování výhody Software Assurance v licenčním modelu Per User. Modelu Per Device se tento benefit nijak netýká a nebude pro něj pravděpodobně ani k dispozici.
Windows Defender Advanced Threat Analytics
Oproti tomu E5 ovšem skutečně obsahuje předplatné, a to v podobě nové online služby Windows Defender Advanced Threat Analytics.
Ve zkratce: Jedná se o komponentu lokální instalace Windows, která na rozdíl od běžného Defenderu, jenž hlídá nekalé činnosti z hlediska virových definic, sbírá informace o činnostech do online služby, která je zpětně vyhodnocuje. Na vyhodnocení používá nejen metody strojového učení na velkém vzorku dat, ale i detekcí, které jsou přidávány na základě nových a nových technik útoků. Dokáže tak odhalit i na první pohled nesouvisící aktivity, které mohou vést k virové nákaze či útoku na konkrétní počítač. Tato komponenta sbírá aktivity nejen lokální, jako je vytvoření souboru, procesu, služby, ale i online, jako je komunikace s IP adresami, webovými službami či celkové chování systému.
V praktickém příkladu: Pokud zkopíruji cmd.exe do jiného adresáře, jedná se stále o korektní činnost. Pokud je spustím, jedná se stále o korektní činnost. Pokud ta začne komunikovat s IP adresou v Internetu, jedná se stále o korektní činnost. Tolik v řeči antivirového programu. Ovšem ve chvíli, kdy do hry vstoupí tento nástroj, vypadá situace jinak. Kopíruji cmd.exe do jiného adresáře, jedná se o korektní operaci, ovšem lehce nestandardní, zůstáváme v zelené. Pokud je spustím, jedná se o více nestandardní činnost, přepni do oranžové. Komunikuje s IP adresou v Internetu, která je označena jako součást hackerského útoku, přepni do červené, zahlas poplach, informuj správce.
Plány SPE
A jak tedy budou licenční plány SPE vypadat? Vcelku jednoduše. Půjde o dvě samostatné nabídky E3 a E5, stejně jako jsme zvyklí u licencí Office 365.
Office 365
V našem seznamu poslední, ale pro fungování společnosti nejdůležitější komponentou SPE jsou samozřejmě služby Office 365. Ty obsahují nám již známé služby a technologie pro zajištění e-mailové komunikace Exchange Online, audio a video konferencí Skype for Business, dokumentového systému SharePoint Online, firemně osobního uložiště OneDrive for Business, předplatného sady Office 365 ProPlus pro pět zařízení uživatele, firemní sociální síť Yammer Enterprise a další. Do plánů Enterprise přibylo i několik nových služeb.
Office 365 Planner
Jak název napovídá, jedná se o službu podporující organizaci a plánování úkolů v menších týmech napříč firmou. Tyto úkoly jsou spjaty s novými Office 365 Groups. Jedná se o mezikrok mezi úkoly v aplikaci Outlook nebo na webu SharePoint a plnohodnotným řízením projektů v Project Online. S ním je plánována integrace do budoucna. Práce s úkoly je možná zatím ve webovém prohlížeči, ale na obzoru je plnohodnotná mobilní aplikace. Vizuálně přehledné projekty bez složitosti plného Project Online, to je právě Planner. Planner je dostupný ve všech Enterprise plánech.
Power BI
Online analýza, prezentace, transformace dat do přehledných reportů v rámci Business Intelligence, jehož implementace netrvá roky, ale dny. Reporty, které si může kdekoliv a online s živými daty zobrazit pracovník, manažer či externí partner, jsou velkou přidanou hodnotou vyšších plánů Enterprise. Datovým zdrojem může být lokální SQL Server, online data z Google Analytics či Salesforce a desítky jiných. Vizualizace i dotazování na jednotlivá data dokáže toto BI našeptávat samo – i obyčejným lidem :-).
Office Delve Analytics
Pokud jste si osvojili službu Delve pro vyhledávání, doplněk Analytics posune na vyšší úroveň osobní produktivitu. Ve službách Office 365 sbírá informace o vašich schůzkách, zpracované elektronické poště, práci na dokumentech a dalších činnostech. Samozřejmě jen v případě, že k tomu explicitně svolíte. Na konci týdne pak získáte přehledně informaci o tom, kolik času jste strávili odpovídáním na e-maily, jaká je vaše reakční doba určitému kolegovi, kolik schůzek jste absolvovali po pracovní době a další zajímavá čísla pro vás jako zaměstnance, ale především i jako manažera týmu, jehož čísla jsou případně také analyzována. Opět výhoda vyššího E5 plánu Office 365.
Meeting Broadcast, Cloud PBX, PSTN Conferencing a Calling
Nejvíce viditelnou novinkou nyní zčásti dostupnou i v České republice je možnost využít plnohodnotné telefonie v rámci nasazení Office 365 bez nutnosti ponechat či dokonce pořídit lokální komponenty. Vaše online schůzky ve Skype for Business mohou získat telefonní číslo i pro externí účastníky, uživatelům se mohou lidé dovolat tak, jako by měli na stole klasický telefon. S pomocí služby Meeting Broadcast mohu uspořádat online konferenci a prezentaci až pro tisíce účastníků. Opět, čím vyšší plán Office 365, tím vyšší funkce.
Advanced Security Management
Správcům online služeb a především manažerům bezpečnosti radost udělá jedna z posledních novinek, které si představíme, a tou je vylepšená konzole pro správu a reportování bezpečnostních aktiv v rámci Office 365. Oproti bezpečnostním reportům v Azure AD Premium, které se starají o přihlašování, tento nástroj pomocí Management API hlídá jednotlivé události v Office 365. Přihlášení, stažení souborů, spuštění příkazů PowerShell, změnu účtů a další stovky událostí. Ty si pak spojuje a identifikuje nebezpečné aktivity a dokáže jim zabránit či identifikovat je administrátorovi pro jejich řešení. Nepřihlásil se uživatel sedící v Praze náhle v Číně a nezačal stahovat celý obsah našeho SharePoint portálu?
Produktivita a bezpečnost na cestách
Jak vidíte, nástrojů, jak se vypořádat s výzvami moderní doby, máme hned několik. Umějí skvěle žít spolu, stejně tak odděleně. Jistě si mezi nimi vyberete ten, který se hodí právě vám a vaší společnosti. A to za výhodných licenčních i cenových podmínek, ale to je již na samostatný článek.
Petr Vlk | KPCS CZ, WUG
(Článek vznikl původně pro zpravodaj TechNet Flash, o němž píšeme zde.)