企业移动办公的成功之道:保护电子邮件

  • Article

原文地址: https://blogs.technet.com/b/in_the_cloud/archive/2014/09/12/success-with-enterprise-mobility-secure-e-mail.aspx

对于任何组织来说,电子邮件都是最重要的应用程序之一。有大量的敏感和机密信息通过电子邮件传递,公司如果没有一个高效的移动办公策略,是无法达到高效运营水平的。

在过去几个星期,我写了很多关于移动设备管理、移动应用程序管理、容器、Office 等等的文章,在本文中,我们将专门讨论每个组织都会为移动设备用户提供的第一个应用程序:电子邮件

想一下任何邮箱流过的文档/数据/文件量。电子邮件保护是第一道防线,这也是为什么每个组织都将其作为第一个启用和保护的应用程序的原因。电子邮件是(而且一直是)移动应用程序管理(MAM)的顶级应用程序。

首先,让我们考虑一下电子邮件应用程序长期远景,我相信电子邮件会在企业中长期使用。我认为 Windows、iOS 和安卓平台中的电子邮件应用程序(以及所有这些平台上的 Outlook)将是我们长期使用的程序。OS 中的电子邮件应用程序的每个版本越来越完善,iOS 8 的电子邮件和日历增强功能就是一个典型的例子(我在这里概述了面向 iOS 8 的 Day Zero Intune 支持)。Outlook 是企业的标准电子邮件和日历应用程序,随着 Outlook 不断为所有移动平台提供丰富的功能,它仍将是一个主要选择。

如果您正在使用一个来自 EMM 供应商(AirWatch、MobileIron、Good)的电子邮件应用程序,这会意味着什么?我在很多行业中看到,组织正在转向使用 Inbox 电子邮件应用程序和 Outlook。如果您坐下来分析一下这种现象,微软、苹果和谷歌在 Inbox 电子邮件应用程序中的投资(以及微软在 Windows、iOS 和安卓平台上的 Outlook 和所有 Office 应用程序中的历史和当前投资)为您的组织和用户提供了更好、功能更丰富的体验。

我对这一点的看法是,如果您现在正在使用 EMM 供应商的电子邮件应用程序,您在未来将迁移到 Inbox 应用程序或 Outlook。我们同时在这两种应用程序中支持安全的电子邮件!

我们的目标是确保企业电子邮件及其所有附件是安全的--同时为最终用户提供最佳的体验。在本文中,我们将重点讨论这两方面的内容。

最终用户的出色体验

多年以来,大部分用户在工作一直使用 Outlook,实际上,他们在自己的 PC 中可能也会使用 Outlook。随着我们继续在 Windows、iOS 和 Android 平台的 Outlook 中投资,您的用户将拥有更丰富的功能和跨各种设备的一致体验(在未来的博客文章中还会更多讨论这些方面)。我的团队将最终用户体验作为最重要的任务,并专注于提供跨所有设备的简单、一致且丰富的体验。利用各种设备上的 Microsoft Office,Windows、iOS 和安卓平台上的 Outlook 或 Inbox 电子邮件应用程序将提供这种出色的体验。今年秋季,我们将在 Intune 和 Office 中提供这种体验。

当我们考虑电子邮件时,不能仅考虑电子邮件应用程序本身--您还需要考虑所需的整个生产力解决方案。整个解决方案的优势或弱点实际上与电子邮件密切相关。

例如,您在一天的工作当中会多少次打开发送给您的附件?我一天至少要打开 15 次。当您打开附件时,您希望文档能够快速打开,正确显示并且可以直接编辑。为了演示用户体验的好坏,让我们看一下使用 Microsoft Office 与第三方 Office 编辑器的对比。

正如上一篇文章中提到的,以下是典型最终用户的一个端到端场景--我将指出在使用过程中的一些特点。

为了演示的方便,我将使用 iPad 进行操作。

clip_image004_thumb2

这是一台安装了即将发行的 Office 版本的 iPad。 显然,用户从 Intune iPad 自助服务门户部署了应用程序。

首先,用户进入了 Outlook(在本例中,她进入了 Mobile Outlook Web Access(MOWA))。

MOWA 提供了一种奇妙的体验,它具有完全缓存功能,以便脱机运行。

 

 

 

 

 

 

 

 

 

 

 

这里显示了在 iPad 上运行 MOWA 的情况。这个功能现在已经发布。

clip_image006_thumb2

MOWA 为您提供了您希望从 Outlook 获得的功能,而且正如您看到的,它还针对 iPad 的信息架构进行了优化,同时保留了 Outlook 的明显特征。

这为用户提供了跨所有设备的一致体验,这一点广受欢迎。

 

 

 

 

 

 

 

 

 

 

 

 

以下是第一个重要区别:

clip_image008_thumb3

您是否曾经在 iPad(或其他设备)上打开过 Office 文档,当它打开时,该设备附带的阅读器或编辑器和/或管理解决方案呈现一个类似于这里显示的图像?

这种情况十分常见。这个图像是默认的 iOS Excel 阅读器试图呈现一个电子表格时的情况。当您正在开会中,或者正要与上司讨论问题时,这种显示效果肯定是不理想的。

 

 

 

 

 

 

 

 

 

 

 

 

不好的消息是,这种图像在很多 MDM 供应商附带的编辑器或阅读器中十分常见。

好消息是当 iPad 运行 Excel 时,同样的电子表格会像下面这样显示:

clip_image010_thumb2

 

 

它看起来非常美观。

因为这个“纯 Office”文档被正确呈现,而且用户可以立即开始工作。

以下是几个重要区别所产生的重大影响:

首先,利用 Office + Intune 解决方案,用户总是能够正确呈现他们的 Office 文档。

第二个重要区别是一致性。当多年以来一直在 PC 机上使用 Excel 的用户在 iPad 上打开 Excel 时,他们将立即发现他们看到的是完全一样的 Office!这与他们一直使用的 Office 具有完全相同的外观和体验(就在功能导航栏的下面),同时针对触摸操作进行了优化。

 

 

 

   

Office + Intune 支持的一个控制策略是 iOS 的“Open In”功能。它允许 IT 人员指定一个策略:每当一个 Excel 电子表格被打开时,它应该在指定的应用程序中打开。在本例中,Excel 电子表格应该总是在 Excel for iPad 中打开。

clip_image012_thumb2

IT 团队也会使用 Office + Intune 组合。

IT 可以通过设定策略来指定用户将企业文档保存到哪里,这些文档包括来自 Outlook 的文档,来自 Office 应用程序的文档,以及用 App 包装器封装的应用程序的文档,这个功能将作为 Intune 的一部分在今年年底发布。这允许 IT 对企业文档设定策略,以便它们只能被保存到 OneDrive for Business 或 SharePoint。

Office 应用程序还将允许 IT 设定策略来管理应用程序之间的内容复制和粘贴操作。

clip_image014_thumb2

 

一个例子就是,只允许在企业容器中的应用程序之间执行复制和粘贴操作。

Office 将提供这些内置的功能,而且我们会提供一个包装器,IT 可以用它来封装任何应用程序,从而将该应用程序加入到 Office 应用程序所在的同一个容器中。

 

 

  

 

   

 

 

 

 

例如:如果我复制了电子表格中的内容,并尝试粘贴到一个个人应用程序中(未使用包装器封装),将发生以下情况:

clip_image016_thumb2

 

首先,用户尝试将电子表格中的企业数据粘贴到个人电子邮件中。注意,Paste 选项并未出现。因为企业数据受到保护,它自动阻止将企业数据粘贴到非企业应用程序中。

 

 

 

 

 

 

 

     

      

 

 

 

然而,如果用户尝试将内容粘贴到一个企业电子邮件中(MOWA),则 Paste 选项可用,允许用户执行粘贴操作。

clip_image018_thumb2

 

 

 

 

 

 

 

 

  

 

 

 

 

 

 

 

 

 

如果您希望了解移动生产力工具的未来,请观看 TechEd 2014 主题演讲,快进到 1:37:48 即可看到相关内容。Julia White 的 Office on iPad 演示非常出色--您将看到任何其他 MDM 供应商都没有提供的功能。

 

为 IT 专业人员提供的功能

我的团队专注的任务很简单:“让组织有能力支持他们的用户在其喜欢的设备上高效工作,同时保护企业资产的安全性。” 前面简单介绍了我们为最终用户提供的一些特性,以及如何帮助他们在其喜欢的设备上高效工作,现在,我们将看一下 IT 专业人员可以通过 Intune 和 Enterprise Mobility Suite 将哪些类型的策略应用于电子邮件。

我们通过 Intune 和 Enterprise Mobility Suite 提供了将策略应用于设备和应用程序的能力。以下是“鼓励”用户保持合规的三种策略。

合规策略

作为 IT 专业人员,您可以定义移动设备要访问企业资源必须遵守的一组规则。

例如,您可以通过规则来指定任何连接到企业电子邮件的设备必须满足的要求。以下是几个 Intune 管理控制台的视图。这是一个启用电子邮件安全访问的策略。在本例中,策略被指定为,企业电子邮件不会进入 Windows、iOS 和安卓设备,除非满足以下三个条件:该设备已注册为 Intune 管理的设备,该设备已设置开机密码,并且该设备是加密的而且没有被破解。

Secure Email 3 

 

条件访问策略

在指定了 IT 合规策略之后,现在您可以指定 IT 服务列表(例如,Exchange Online Active 同步(EAS)服务、Exchange On-prem EAS 服务、OneDrive for Business,等等),对这些服务的访问将根据移动设备的合规状态进行控制,也就是说,移动设备只有满足您所设置的合规策略才能访问列表中的服务。

管理员可以将这个策略应用于特定的用户组,也可以根据需要为特定用户提供例外。这可以在用户与设备策略之间进行有效的控制。条件访问策略可以被指定给用户(AAD 身份),然后被应用于用户尝试连接企业电子邮件的任何设备。

clip_image004

鼓励最终用户保持合规

安全性与用户生产力之间的这种权衡可能是 IT 部门的一大挑战。很多情况下,我们所做出的安全决策往往会影响用户用户体验--例如,如果我们增强对应用程序的保护和安全性,那么势必导致最终用户的体验变得更加复杂和不灵活。我们必须摆脱这种困境。 微软致力于使最终用户能够安全地访问和使用电子邮件,同时保证企业资产的安全。

我们的做法是:如果一个设备用户出于某种原因违反了合规性,我们会用一种最简单的方式通知用户,并引导其将设备恢复为合规状态。作为条件访问的一部分,如果用户的设备不合规,下次当用户进入企业电子邮件应用程序时,收件箱中将只有一封电子邮件。该邮件通知用户这台设备违反了企业安全策略,因此企业数据已被删除。该邮件还会提供一个链接,帮助用户将设备恢复为合规状态。

以下屏幕截图显示了电子邮件应用程序,其中,用户已配置了 Office 365 邮箱,但未将设备注册到管理服务(Intune)。用户可以清楚地看到需要做什么。

clip_image006

由于保护电子邮件可能会影响用户在一些不合规设备上的工作效率,因此我们建议组织采用分阶段的方式来实施条件访问策略,以便最终用户有足够时间来适应合规策略的要求。

一个微软

电子邮件安全访问是“一个微软”战略的绝佳例子。为了同时向 IT 管理员和最终用户提供卓越的安全电子邮件用户体验,微软公司付出了大量的努力。这个解决方案的关键组件包括:

  • Windows Intune
    它提供了用于定义和评估移动设备合规状态的 MDM 管理和基础结构。
  • Azure AD
    它基于 Windows Intune 所指定的设备状态提供身份验证以及对 IT 服务的条件访问。
  • Exchange 2013 / O365
    它提供了电子邮件检查功能,在允许电子邮件同步到设备之前,验证用户的设备是否合规。

我相信利用 Intune、AAD 和 O365 的组合,以及 Azure RMS 提供的电子邮件权限管理功能,将使得 Enterprise Mobility Suite 的安全电子邮件方法成为市场中最出色的产品。