商业案例:管理公司笔记本电脑

Question

几个星期以来，我一直在寻找和阅读这个话题，这就是我目前对这个问题的理解：

• 用例:在公司笔记本电脑上工作的员工。他们需要能够离线工作，也可以离开公司网络(有互联网接入)。
• 安全性要求:存储在计算机上的数据必须是安全的，不能由第三方恢复。

为了解决这个用例中最大的部分，在我的研究中首先提到的是磁盘加密。其中一个常用的产品将是比特储物柜。但我很快意识到，如果用户没有被迫使用强密码(并且不让笔记本电脑闲置3h而不触发锁屏等)，单靠磁盘加密根本解决不了问题:公司需要有一种方式来强制执行策略(强密码、锁定屏幕最大计时器，.)。

在我的研究中，Active Directory出现了，回答了几乎所有关于这个级别的问题，然而，有几个缺点使得它的集成成为一个问题:对现场服务器的需求，提供对公司网络的VPN访问(在用户使用基于云的服务(如Office 365)、脱机访问、.Active Directory似乎不是为移动性而设计的，特别是针对中小型公司的。管理它的开销也很大(服务器维护、配置、.)。其他选择:使用远程桌面，但仍然存在问题，要求互联网连接100%的时间。

在那之后，我一直在努力寻找替代方案，最后看到了安全公司提供的“端点”产品(卡巴斯基，McAfee，诺顿，.)。他们的解决方案似乎是防毒软件和部署软件的混合，我还无法准确识别这些产品是否能满足所有的安全需求。

最后，我也阅读了(并同意！)更重要的是要确保不要在本地保存太多的数据，而不是增加数千层的安全性和保存所有的东西。然而，随着移动性的需求，以及人们可能需要离线工作的事实，似乎没有任何解决方案真正能够自动减少本地存储的文件数量。在远程驱动器上存储文件不是一种选择，而且当文件夹同步时，Sharepoint或类似的文件会在本地保存所有数据。

这是我目前对数据和公司笔记本电脑安全性的研究状况，我倾向于采用具有集中管理和一些安全特性(但不是全部)的软件解决方案。我是错过了什么还是犯了一个判断错误？有没有更好的方法来处理公司笔记本电脑的安全，同时保持无缝的终端用户体验？

Answer 1

典型的解决办法是；

1) Connect the PC to the domain
2) Fully encrypt the HDD
3) Setup VPN access for external users

这个设置有一些问题。但是，客户端将缓存一段时间的AD凭据，因此用户不需要100% 24/7访问DC。只要他们在离开办公室之前登录，在凭证过期之前再次登录。因此，如果他们来来往往，这通常不是一个问题。

此外，MS还通过Azure平台提供广告服务。我不知道具体情况，但是除了支付账单和配置用户之外，您不应该进行大量的维护。

如果您想要删除端点加密要求，另一种解决方案是使用瘦客户端。用户将通过VPN登录到某个服务器，因此不会在本地存储任何内容。

Answer 2

您可能想看看的特性。它做了很多您想要做的事情，特别是在远程设备管理、VPN访问和安全方面。如果您同步-prem AD与Azure AD，它也将有助于凭证管理。