Azure Backup 已支持最新的 Windows Server 操作系统，例如 Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2。如今 Azure Backup 將該服務進一步擴展，已可為 Windows Server 2008 64 位元的操作系統提供服務。

Azure Backup 能夠將內部部署的 Windows Server 2008 以最高效、安全的方式將資料長期備份至 Azure。Azure Backup 也能夠與系統中心資料保護管理器無縫接軌，直接從 Windows Server 2008 進行應用程式的備份。下表列出了 Windows Server 2008 操作系統工作負載的不同保護方式：

欲瞭解更多關於 Azure Backup 使用的詳細步驟，請參閱 Windows Server 於公有雲上的備份還原服務課程，若您對於 SQL Server or QNAP 的備份還原有興趣，則可參閱這篇文章，亦提供了詳細步驟。

Windows Server 2008 的其他先決條件

現在您已經了解如何使用 Azure Backup 為您的 64 位元 Windows Server 2008 提供備份還原服務，接下來您可以參考以下內容來快速開始使用 Azure Backup：

• 如果您是 Azure Backup 新手，請點這裡，免費開始試用 Azure 一個月，我們將提供 NT$ 6,300 的免費額度供您使用。
• Azure Backup 現有客戶則可下載新的 Azure Backup Agent，並開始使用

簡介

此時此刻，您可能已經通過Azure門戶試用過 Azure Automation 的出色功能：創作 Runbook 和創建資產、手動定期啟動作業、導入集成模組以及查看作業輸出。現在，您可以使用命令列更輕鬆地以程式設計方式完成所有這些操作。無論是不經意間使用 Azure Automation 還是希望為若干關鍵操作（如批量 Runbook 導入）編寫腳本，Azure Automation 命令都可以為您實現。

Azure Automation 命令入門

Azure 提供了一個 PowerShell 模組，該模組可以使用 Microsoft Web Platform Installer 安裝，以便管理包括 Azure Automation 在內的各項 Azure 服務。

Azure PowerShell 模組目前提供 20 個 Azure Automation 命令，您可以使用這些命令編寫腳本，來執行大量可從 Azure Automation 門戶執行的操作。但這只是開始。到 Azure Automation 正式發佈時，我們預計將會提供大約 40 個命令，從而通過 PowerShell 對 Azure Automation 實施全面控制。由於這些命令屬於 Azure PowerShell 模組，我們還會提供 Azure PowerShell 模組以便在 Azure Automation 中使用，無需在 Runbook 中執行任何額外操作即可使用這些命令，首次使用 Azure Automation 就能操作自如。

要查看 Azure PowerShell 模組提供的所有這些出色的命令，請在安裝 Azure 模組的主機上打開 PowerShell 控制台，然後鍵入：

PS C:\> Get-Command -Module Azure -Name *Automation*

這將返回所有與 Azure Automation 命令有關的資訊：

要獲取如何使用某個特定 Automation 命令的詳細資訊，請鍵入：

PS C:\> Get-Help Some-Command

使用具體的命令名稱來替換上面的“Some-Command”，並在後面加上 “–Detailed” 或 “–Full”，即可獲取有關該命令的詳細資訊。

如果希望在 Web 流覽器（而非 PowerShell 控制台）中瞭解這些命令，還可以查看 Azure Automation 命令參考。

Azure Automation 命令的工作原理

與其他 Azure 命令一樣，您必須首先設置 Azure 訂閱連結，以便對其執行 Azure 命令。您可以使用本地憑證存放區中安裝的管理證書或通過 Azure 憑據對 Azure 進行身份驗證。最後，使用某種 Set-AzureSubscription、Import-AzurePublishedSettingsFile、Add-AzureAccount 和 Select-AzureSubscription 組合設置 Azure 連接。您可以從此處查找有關如何使用 Azure PowerShell 命令來連接 Azure的詳細資訊。Azure 連接設置完成後，不必指定任何憑據、端點等設置，即可使用 Azure 命令。一切都以最初的連接設置��起點。但是，您需要通過 AutomationAccountName 參數提供要通過每一項操作訪問的 Azure Automation 帳戶的名稱。

運行命令

以下是一個運行 Azure Automation 命令的示例，並且展示了該命令提供的輸出類型：

使用命令的過程中，您將會發現一個問題：如果持續作用於同一 Automation 帳戶，連續向每一個命令傳遞 AutomationAccountName 參數，可能會十分麻煩。幸運的是，用戶不必每次寫出（展開）即可輕鬆地將此參數傳遞至每一個 Azure Automation 命令。展開允許您將一組參數作為一個 HashTable 進行定義，然後將這組參數傳遞給所有命令。從下圖中，您可以看到，這會使向 Azure Automation 命令添加 Automation 帳戶名稱參數和值的過程變得非常簡便：

在 Azure Automation 中使用A zure Automation 命令

Azure PowerShell 模組的另一個有趣的奧秘在於，它將作為開箱即用集成模組被納入 Azure Automation 中，這意味著無需執行任何額外操作即可在 Runbook 中直接使用 Automation 命令。例如，以下是一個 Azure Automation Runbook，它通過非同步方式以新作業的形式啟動另一個 Azure Automation Runbook，然後列印有關該作業的資訊：

要瞭解有關從 Runbook 啟動其他 Runbook 的詳細資訊，請參閱 Chris Sanders 在此處發佈的博客文章。如需其他 Azure Automation Runbook 示例（使用 Azure Automation 命令），請查看 Gary Keong 發佈的博客文章，該文的主題是集成 Visual Studio Online 與  Azure Automation 以實現 Runbook 來源控制。

小結

現在，希望大家對使用 Azure Automation PowerShell 命令可以完成的所有精彩操作以及命令本身的工作原理有了更深入的瞭解。您不僅可以使用 Azure Automation 自動完成雲和業務流程，甚至還可以使用這些命令自動操作 Automation 本身！Azure Automation 團隊熱切盼望看到您編寫的各種 Runbook 和腳本，以便充分利用 Azure Automation 和  Azure PowerShell 模組提供的功能。

本文翻譯自 Azure Automation Capabilities in Depth: The Azure Automation PowerShell Cmdlets

Azure RemoteApp 的開發經過了一個漫長的過程，現在它已成為我們為 IT 社區提供的最重要的解決方案之一，而且我們相信它在未來的移動辦公策略中將扮演一個重要的角色。

Azure RemoteApp 背後的原理很簡單：在很多場景和行業中，基於應用程式的方法比桌面更有效（有關桌面虛擬化的一些有趣的功能和實例，請參見這裡所寫的部落格文章）。

我們經常聽到客戶說 “我們將實現 100% 的 VDI”，但當查看他們的部署時，結果只有約 20% 實現了 VDI，而 80% 是遠端應用程式。VDI 已經成為基於伺服器計算的最常用術語，而許多人也用它來描述應用程式和桌面遠端處理。

最近常常聽到組織談起，他們希望使用更多的應用程式和桌面遠端處理解決方案，而不想進行大的前期 CAPEX 投資以及維護必要的伺服器。企業之所以要使用更多的遠端處理解決方案，一個主要原因是他們需要依賴大量內部 Windows 應用程式來支援越來越多的不同移動設備平臺的需求。如果您也有這樣的需求，那麼我們提供了一個非常出色的解決方案：Azure RemoteApp.。

基於 Azure 的 Azure RemoteApp 具有強大的功能和可伸縮性，它是將這些高價值的 Windows 應用程式交付給移動辦公人員的理想方式。在很多方面，這個服務在您的現有內部應用程式與企業移動辦公之間架起了一座高效的橋樑。

利用 Azure RemoteApp，IT 團隊可以支援他們的員工在各種設備上使用那些可在 Windows Server 2012 R2 運行的任何應用程式－－所有這些都基於 Azure 雲端，而且可以輕鬆地伸縮並獲取更新。易用性、無限的可伸縮性以及簡單的維護意味著 IT 團隊可以擺脫大量手工任務，從而專注於實現更重要的目標。

這裡的雲組件是巨大的：應用程式被部署到雲中，並在雲端中進行託管和管理（無需您去維護），然後這些應用程式的視覺化被交付給設備使用者。利用 Azure RemoteApp，您的用戶可以從任何位置訪問這些應用程式，您永遠不必擔心這些應用程式的管理和校準－－所有這些都作為 SaaS 在 Azure 中進行處理。

請記住，Azure 在世界各地都有資料中心，這可以確保您的用戶使用距離他們最近的微軟資料中心。這將確保他們在運行應用程式時獲得最高的性能體驗。我們的全球資料中心甚至還解決了任何全球雲端都必須解決的“光速”問題。也就是說，在最終使用者的性能方面，使用者所使用的伺服器必須在他們的物理位置的 750 英里之內，否則最終用戶就會感覺到延遲。這就是我們為什麼要在全世界構建 Azure 資料中心的原因－－為您的用戶提供最佳的體驗。

您有無數種方式可以在您的基礎結構中使用 Azure RemoteApp。在本文中，我們將介紹幾種對您的移動辦公管理功能具有重要影響的方式。

Azure RemoteApp + EMM：高效、可伸縮、易訪問

Azure RemoteApp 最大的與眾不同之處是它具有廣泛的功能，特別是與市場中同類解決方案相比，尤其顯得突出。

利用 Azure RemoteApp，您的最終使用者可以使用任何設備、從任何地點訪問他們的企業應用程式。在後端，您可以根據不斷變化的業務需求輕鬆地擴展或收縮，當然，同樣重要的是，這種管理是完全安全的。

Azure RemoteApp 也考慮到了您的成本問題。利用 Azure RemoteApp 的自動伸縮功能，您只需為實際使用的容量付費。如果您要構建自己的基礎結構，需要花費大量的時間，而且會有一些未充分利用的硬體，而這都需要花費您或其他人的成本。隨著需求的變化，RemoteApp 能夠按需擴展或收縮。

當演示 Azure RemoteApp 的功能時，令大家感到驚訝的一點是，有如此多的非移動 Windows 程式可以運行在手持設備上。例如，通過在雲中部署 Visio 或 Excel with Power BI，我可以在手機上通過 Azure RemoteApp 輕鬆訪問這些應用程式（這就像曼寧球隊的粉絲在手機上看到足球一樣令人興奮）。儘管 Excel with Power BI 並沒有移動版本，但我可以輕鬆地運行程式。大量的處理工作在後臺的 Azure 中進行（大部分手機/平板都具有這一功能），我可以在手機上即時地看到視覺化結果。幾天前，Azure RemoteApp 為我發送了一個狀態更新，當時我們正在諾基亞 1520 平板手機上玩 Halo 遊戲－－這真是一個出色的遊戲體驗！

Azure RemoteApp 的獨特性

如果您曾經在搜尋引擎中搜索過最新的基於雲的虛擬化解決方案，您會看到很多 DaaS 選項和定義。當微軟開始構建其首個本機服務（遠端桌面服務）時，第一個開發階段就是收集有關當前已部署的遠端技術的需求和採用情況的資料。最後我們開發了一個被全世界廣泛（且踴躍）採用的產品。

在我們持續支持和增強 RDS 的過程中，我們發現了一些新的情況：當 IT 組織極力滿足不斷增長和新出現的組織需求時，他們確實需要一個靈活的服務來交付用於各種設備的應用程式，然後根據這些應用程式的需求進��擴展或收縮。由於移動辦公人員每天都在增加，因此保持成本的最小化是至關重要的。

為了滿足這個不斷增長的需求，微軟聽取了客戶回饋並採取了行動。我們並不是簡單地用 Azure IaaS 的形式來託管現有的 RDS 產品，而是從頭開始構建了一個雲端 SaaS 解決方案，我們從頭搭建它的體系結構，使它擁有數百萬使用者需要的雲服務的規模和性能。我曾經在很多文章中討論過我們的“雲端為先”願景，它的一個核心概念就是在我們的公有雲中驗證一些功能，然後再將它們引入到本地環境中。我們的 RemoteApp 計畫就是這種情況。

RemoteApp 功能已經存在於本地 RDS 中（通過 Windows Server），它為 RDS 帶來了難以置信的可伸縮性和管理能力。

這不僅僅代表了雲為先的設計原則，而且是混合方法的一個絕佳示例，即充分利用微軟的基於雲的優勢（託管應用程式和工作負載）以及我們多年的資料中心經驗（基於會話的應用程式、RDS，等等）。多年前我們創建了被廣泛使用的 Windows 應用程式，而現在我們通過將它們遷移到雲中和設備上，使這些應用程式有了更廣泛的用途。

開始使用 Azure RemoteApp（真的很簡單）

或許 Azure RemoteApp 最受歡迎的部分（至少在開始時）就是：它不需要額外的軟體，您可以直接從 Azure 管理門戶部署這個服務，這只需要幾分鐘時間。

一個巨大的優勢是 Azure RemoteApp 提供了自由的選擇。當設置 Azure RemoteApp 時，您可以選擇基於雲的部署（簡單地部署一個獨立的雲服務），也可以選擇混合部署（服務被集成到您的本地基礎結構中）。以下是這兩種部署的工作方式：

ARA 雲端部署：

• 利用雲端部署選項，IT 可以利用預構建的應用程式集合來快速配置訪問（只需幾次點擊操作！）。

• IT 還可以將他們自己的 LOB 應用程式引入到雲部署選項中。

• 使用者可以利用他們的微軟帳戶或組織帳戶（使用 Azure Active Directory）來訪問應用程式。

ARA 混合部署：

• 同樣，利用混合部署選項，IT 可以引入他們自己的 LOB 應用程式，而且使用者可以使用他們的組織帳戶來訪問這些應用程式。

• IT 還需要在本地 Active Directory 與 Azure Active Directory 之間創建一個 DirSync 連接。

• IT 需要創建一個從 Azure 到本地（或者從 Azure 到 Azure 虛擬網路）的網站對網站 VPN 連接。

混合部署選項允許您將現有多層應用程式擴展到 Azure，而無需編寫任何代碼，也不要求用戶學習任何新技能。例如，如果您有一個功能豐富的用戶端應用程式，它從本地 SQL Server 查詢資料，那麼您可以將 SQL Server 保留在原來的位置，而將用戶端應用程式的管理轉交給 Azure RemoteApp。資料仍然是安全的，用戶仍然可以使用現有的域憑據實現無縫的登錄，而用戶端應用程式更易於從一個中央位置進行管理，而且使用者現在能夠從新的設備和位置完成他們的工作。

* * *

Azure RemoteApp 為企業應用程式提供了隨時隨地的訪問，使您的員工可以更高效地實現移動辦公。Azure 的能力和可伸縮性使您能夠靈活地管理任何應用程式的需求，通過將應用程式集中到雲端，您的敏感的企業資源可以確保安全，因為當用戶退出登錄時，所有資料都保存在雲中，而不是在設備上。

本文翻譯自 Success with Enterprise Mobility: Azure RemoteApp

世界級的企業行動裝置解決方案對於任何組織的 IT 策略來說都是至關重要的部分。企業行動裝置解決方案的目的是保護這些設備上的應用程式和資料。整個行業都在談論行動裝置設備管理、行動應用程式管理、企業行動裝置管理，等等，無論討論的是哪種技術或領域，最終的價值都歸結為保護企業應用程式和設備上的資料。畢竟，如果設備到處都是漏洞，那麼各種設備的企業行動裝置也就沒有太大的意義了。

由於大量的企業資料緩存在這些設備上，因此這種類型的保護始終是企業客戶最關心的話題，而且我們反復聽到，一旦資料進入這些設備， IT 管理員通常就失去了對它們的控制（或者不知道這些資料接下來會去向哪裡）。如果您的組織中也缺乏這種控制，那麼我們在這裡要告訴大家一個好消息。

本文將會解釋「分層保護」。因為不知道有什麼更好的方式可以強調這種保護的價值，只能盡我們所能反復地提及它。微軟在 Enterprise Mobility Suite 中提供的分層保護是市場上唯一提供了這種綜合的、多層保護的解決方案。

在您的企業行動裝置解決方案中，共有 4 層是需要始終加以保護的：

• 第 1 層：保護設備（Intune 中的 MDM）。
• 第 2 層：保護應用程式（Intune 中的 MAM）。
• 第 3 層：保護檔案（Azure RMS）。
• 第 4 層：保護身份和訪問（AAD Premium）。

市場中的其他 EMM 供應商只提供了設裝置和應用程式保護，但他們完全忽略了檔案和身份保護。

裝置保護

基本的行動裝置保護級別允許 IT 管理員設置適用於整個裝置的保護策略。這是一種設備級的保護，它通常被稱為行動裝置管理（MDM）。對於企業級設備管理，我們開發了 Intune，它具有以下功能：

• 支援適用於所有裝置的策略，例如密碼策略和裝置加密策略。
• 支援額外的設備限制，例如禁用藍牙、攝影鏡頭或者在必要的時候阻止文件檔案同步到 iCloud，所有這些都是為了實現安全性與用戶生產力之間的平衡。
• 利用底層移動作業系統的本機功能。例如，iOS 平臺有一個稱為“Open in Manage”的功能。我們建議將這項功能設置為，限制一個受管理的應用程式（工作應用程式）的資料只能在另一個 MDM 管理的應用程式中打開。

2014 年第 4 季度，我們將更新 Intune 並引入一個新的功能 “Conditional Access Policy”。這個功能將允許管理員控制存取權限，僅當裝置由 Intune 管理，並且滿足 IT 管理員指定的合規策略標準時，才會授予對 O365（電子郵件和 OneDrive for Business）或本地 Exchange 的存取權限。

我最近在 Microsoft 全球合作夥伴大會（WPC）上給出了一個例子，即對企業電子郵件提供有條件的訪問。在這個場景中，您可以設置一個策略，指定一個行動裝置只有在設置了開機密碼、被加密並且沒有被破解的情況下，才能夠訪問企業電子郵件。如果任何一個標準沒有被滿足，則裝置將停止接收電子郵件，而且使用者的企業郵箱會被清空，只留下一封通知使用者該裝置不滿足企業標準的郵件。而且這封電子還可以引導使用者對裝置進行調整，以便滿足這些標準。

要瞭解裝置和應用程式保護的實際操作，請觀看以下影片，快轉到約 21:00 分鐘的位置。

以上是在該演示中以電子郵件為例，但 Intune 中提供的條件訪問功能也適用於其他 Office 應用程式，例如訪問 O365 服務的 OneDrive for Business 應用程式。

應用程式保護

除了保護裝置層之外，多數組織正在開始提供應用程式層的保護。這通常被稱為行動應用程式管理（MAM）。應用程式保護允許組織在應用程式層應用安全性原則，同時也允許 IT 對這些應用程式訪問和使用的企業資料進行保護（而不涉及使用者的個人應用程式）。

裝置保護不是應用程式保護的先決條件，但二者往往同時使用。例如，企業往往不會要求裝置級的 PIN，而是僅當使用者啟動一個訪問企業資料的應用程式時，才要求 PIN。我們的指導原則是保護多個層並同時使用這二者（下文會詳細介紹各個層的保護）。

應用程式保護通常有兩種方式，一是利用來自 MAM 供應商的 SDK 來構建應用程式，二是利用 MAM 供應商的包裝器來封裝現有應用程式，在這兩種方式中，應用程式都被 “引入” 到一個容器中，從而將行動裝置上的企業應用程式和資料與個人應用程式和資料隔離開。

未來幾個月，我們將發佈面向 Intune 的 SDK 和應用套裝程式裝器。或許我們的 SDK/包裝器最獨特的價值就是，它允許您將內部應用程式以及您購買的應用程式放到與 Microsoft Office 應用程式相同的容器中，其中 Microsoft Office 應用程式可以跨 Windows、iOS 和 Android 平臺運行。沒有其他 MDM/MAM 解決方案能夠跨各種平臺管理來自 Microsoft 的 Office 應用程式。

Microsoft Office 應用程式（例如 Outlook、OneDrive、Word、PowerPoint、OneNote 等等）為所有移動 OS 平臺的最終用戶提供了最高效的體驗。Office 應用程式的未來版本將能夠直接使用 Intune 應用程式管理策略加以管理。

這些應用程式管理策略包括：

1. 限制資料洩露：
   以下策略允許 IT 管理員通過限制受管理的應用程式的操作來控制企業資料的洩露：
2. 實施企業資料訪問要求：
   當用戶啟動訪問企業資料的應用程式時，以下控制設置允許 IT 管理員設置額外的身份驗證：
3. 應用程式級選擇性擦除
   當設備丟失或被盜時，IT 管理員可以啟動一個選擇性的刪除操作，只刪除 Intune 管理的應用程式中的企業資料，而保留所有個人資料。

• 允許/阻止複製/貼上
• 允許/阻止螢幕擷取
• 允許/阻止列印
• 阻止檔案被備份到未授權的位置
• 限制資料在應用程式之間的共用，例如，資料只能在啟用 Intune 資料保護控制的應用程式之間共用

• 要求 PIN 來啟動應用程式，例如，管理員可以指定 PIN 的複雜性和緩存持續時間
• 在啟動應用程式之前，要求使用企業憑據進行身份驗證
• 滿足裝置合規策略才能啟動應用程式，例如，如果裝置是被破解的，則應用程式將不會啟動
• 實施應用程式資料加密

除了上述應用程式策略控制之外，Intune 還提供了一組內置應用程式，例如安全流覽器、PDF 檢視器、圖像檢視器，等等。

為了進一步防止資料洩露，IT 管理員還可以使用這些新特性來指定電子郵件中的附件或 URL 只能使用這些安全瀏覽器或檢視器打開。這���保可以對這些安全應用程式進行相同的限制（例如阻止複製/貼上）。

文件保護

正如前面多次提到的，組織部署 EMM 解決方案的主要原因是保護儲存在行動裝置上或通過行動裝置存取的公司資料。下一層需要部署的管理就是文件層保護。為實現文件層保護，您需要一些特殊的工具：這些工具將存取權限嵌入到文件本身中。也就是說，讓文件具有自我保護功能。

為了實現這一層的文件保護，我們開發了 Azure Rights Management Services（RMS）。利用 Azure RMS，File/Save 操作可以授予檔案存取權限。並且這些許可權可以被寫入文件中。利用這些嵌入的存取權限，即使文件被誤發送給未授權人員（即意外的資料洩露），收到文件的人如果沒有文件本身的嵌入存取權限，也無法打開這些文件。文件可以實現自我保護。Microsoft 的文件層保護是獨一無二的。

Azure RMS 解決了所有企業所面臨的長期和新出現的安全威脅，例如越來越嚴格的法規策略（特別是對於敏感的醫療資料或國際貿易資料）以及持續增長的 BYOD 和 COIT。RMS 保護的檔案可以發送給任何已採用 Rights Management for Individuals 的裝置或平臺，而且我們確保這些受保護檔案上的 UX 是一致的。

我們的 RMS 目標非常簡單（而且我相信這些目標已經成功實現）：

1. 與任何文件類型相容
   任何類型的文件都可以受到保護。
2. 選擇您自己的平臺
   無論使用者使用哪種裝置，都可以利用 RMS 的所有功能。
3. 管理的靈活性
   管理員可以完全控制安全和策略的類型。

像我們的所有基於雲端的產品一樣，RMS 的最大優勢之一就是可以持續接收更新，以改進安全功能並優化 UX。對於使用企業行動裝置人員，這些持續的更新是一項巨大的附加價值。

對於那些對體系結構感興趣的讀者，下圖給出了 RMS 的體系結構：

無論您的組織已經採用了雲端服務（例如，Office 365 已經支持 RMS，它包含了一些令人振奮的強大功能，例如 Exchange 和 SharePoint 的資料丟失保護（DLP）功能），還是正在考慮採用，RMS 都提供了適用於您的功能。RMS 提供了完全基於雲端的模型，混合模型和本地模型，其中本地模型適用於那些暫時還無法採用雲端服務的組織。

要評估 RMS，建議大家參考本文。

身份保護

身份保護和管理是一個龐大的主題，也是微軟在市場中絕對領先於所有競爭對手的一個領域。這是第 4 層的保護，我們認為您應該在組織中積極實現這一層的保護。

身份保護具有極其重要的價值。控制 SaaS 應用程式（可通過單一登入來使用）的創建、發佈和使用是提高生產力的一個重要因素，如果能夠從相同的控制台（在 Intune 或 SCCM 中運行）來管理安全性，那麼生產力將得到進一步提升。

我們非常重視身份保護，因此 Azure AD（用於所有基於雲端的身份驗證）基於嚴格的可信計算原則。事實上，我們的身份保護一直向下延伸到密碼的使用：微軟不會要求您將任何來自同步的本地身份密碼存儲到雲端中。此外，所有存取嘗試都是被監控的，並且可以通過一組報告來顯示，您可以跟蹤不一致的存取模式（未知源登錄、多次登錄失敗、從多個地理位置登錄，等等）。

這些報告允許您控制和確定組織用於管理安全訪問的最佳方式，以應對潛在威脅，或制定有關風險緩解的決策（例如多重身份驗證）。

* * *

要瞭解我們的保護解決方案的實際應用，請觀看以下影片：

本文翻譯自 Success with Enterprise Mobility: App & Data Protection

日益增長的 SaaS 應用程式意味著 IT 必須有效地使用和管理這些應用程式。由於平均每個組織通常都會使用超過 300 個 SaaS 應用程式（Box、salesforce.com、Office 365 等等），因此集中的管理解決方案對於提高生產力是重要的。

Azure Active Directory（AAD）允許您將 DirSync 與 Active Directory Federation Services（ADFS）結合使用，或者將 DirSync 與密碼 Hash 同步結合使用，從而與本地 Windows Server Active Directory 實現同步。我認為關於這一點真正有趣的是，利用 AAD 您現在可以將 AD 中的投資擴展到雲端以及您的組織將會使用的所有 SaaS 應用程式。

現在您可能會問 “將 AD 擴展到雲端以及所有 SaaS 應用程式意味著什麼呢？” 您可以這樣思考：想一下過去 10 年您的組織使用 AD 的方式。AD 作為一個身份和訪問引擎在全球得到廣泛應用，它用來管理對企業資源（即資料和應用程式）的訪問。當用戶通過 AD 的身份驗證後，他們可以訪問被授予許可權的所有資料和應用程式。使用者永遠不知道（也看不到）應用程式和資料來自企業中的許多不同伺服器，因為 AD 管理著訪問並為用戶提供單一登入體驗。

對於 IT 專業人員來說，這一切都是自動化的。AD 用戶身份只需創建一次，即可在網域的所有資源中使用。我相信大多數人都會記得 NT 4 域，其中您需要創建使用者帳戶很多次。而這只是問題的一半！現在，當使用者離開組織時，使用 AD 的管理員只需一次操作即可刪除用於訪問整個企業資源的身份。在過去的 NT 4 域中，您必須手動刪除每個使用者帳戶（坦白地講，要想知道每個存在使用者帳戶的地方並刪除它，幾乎是不可能的）。

AD 對組織中的開發人員也有很大的影響－－他們可以使用 AD 作為身份授權解決方案，而當今大部分內部業務線應用程式都使用 AD 作為身份驗證機制。

有一點必須承認，隨著當今 SaaS 應用程式的廣泛普及，在很多方面有點像是回到了過去 NT 4 域的時代。例如，很多 SaaS 應用程式有它們自己的身份解決方案，這為 IT 管理多個使用者帳戶帶來了難以置信的負擔，當然，只有在 IT 知道有哪些 SaaS 應用程式被使用的情況下，才有可能對它們進行管理（遺憾的是，很多時候他們是不知道的）。

這個問題是本文要重點討論的：IT 組織如何知道所有使用的 SaaS 應用程式，以及如何將這些 SaaS 應用程式納入管理範圍？

第一個要解決的挑戰就是發現，也就是說，組織內使用了多少個 SaaS 應用程式，這些 SaaS 應用程式都是什麼？如果您認為這個問題並不重要，那麼想想以下問題：如果我要求您估計一下您的組織中現在使用了多少個 SaaS 應用程式，您會猜多少？實際數字會令您大吃一驚。身份管理層的很大一部分是使用 Azure Active Directory Premium（它是 Enterprise Mobility Suite 的一個重要元件）管理的。

AAD Premium 所提供的一個主要價值是能夠將您的 SaaS 應用程式納入到管理之下。AAD Premium 中包含一組稱為 Cloud App Discovery 的功能。

Cloud App Discovery 在您的 PC 上運行一個代理（通過 SCCM 或 Intune 很容易部署），它會在整個基礎結構內收集所有 SaaS 應用程式資料，並返回一個 SaaS 使用情況報告。

參與這個功能的開發是一項非常有趣的工作。以前，當我們詢問客戶 SaaS 應用程式的使用情況時，總是聽到他們猜測說“嗯，大概有 30 個 SaaS 應用程式，可能有小誤差”。當我們向客戶顯示 Cloud App Discovery 工具的運行結果時，我們發現組織平均使用超過 300 個 SaaS 應用程式。

這真是令我們大開眼界！

很多閱讀本文的讀者會想“我的基礎結構中不可能有這麼多 SaaS 或雲端應用程式”。通常情況下，感覺與現實之間實際上存在巨大的差距。好消息是：如果您希望發現您的基礎結構中到底運行了哪些應用程式，現在就可以運行 AAD Cloud App Discovery 工具！

上文（和下文）給出了幾個 Cloud App Discovery 的螢幕截圖。建議大家立即嘗試此工具－－您會對結果感到吃驚。您可以在這裡使用 Cloud App Discovery 工具。

AAD Cloud App Discovery 模組讓 IT 部門可以清楚地知道組織中使用了哪些應用程式。

瞭解使用情況是一個很好的起點，但要真正發揮作用，您需要將這些 SaaS 應用程式納入到管理之下。我們已經將超過 2,000 個 SaaS 應用程式整合到 AAD Premium 中。如果您從頭構建它，可能需要花費大量時間，現在 AAD Premium 通過 EMS 提供了這個巨大優勢。我們幾乎每天都會添加新的 SaaS 應用程式，當您將這些 SaaS 應用程式納入管理範圍後，您將獲得一個適用於所有應用程式的自動配置和取消配置解決方案，就像 AD 多年以來在您的資料中心內提供的功能一樣。

從一個簡單的介面中，您將從發現，走向管理！

除了 SSO 功能和可管理性之外，AAD Premium 還包括其他一些重要功能：

• 新版本的 DirSync 工具，它允許利用寫回本地目錄的方式重置公開預覽版的自助服務密碼。

• Azure AD Sync，這是一個新的同步引擎，它可以在多個區域、本地目錄與 Azure AD 之間實現同步。

• 多重身份驗證 IP 白名單允許公司指定無需多重身份驗證的 IP 位址（例如，當一個設備位於本地時）。

• Azure AD 應用程式代理可用於將本地應用程式發佈給外部使用者。

建議大家在這裡查看一下受支援的 SaaS 應用程式的清單。無論您處於哪個行業或場景中，都可以自信地利用微軟來部署和簡化對該解決方案的安全訪問。

安裝 AAD Premium 的試用版非常簡單，您可以觀看以下影片教學。

<p

此外，也可參考以下影片，主要討論的事 AAD Premium 和 SaaS 應用程式管理話題。

AAD Premium 工具是 企業行動裝置管理 的一部分，EMS 支持您自信且高效地實現員工的異地辦公，並管理所有設備。利用 EMS，您可以從同一個控制台，使用相同的流程來管理最終使用者和他們的 SaaS 應用程式。這為 IT 人員提供了巨大的優勢，而且是其他供應商沒有提供的。微軟還允許您同時添加管理本地資源的功能（例如 SCCM），並且無縫整合 Office 365，從而消除IT 專業人員的重複工作。

不要滿足於其他 MDM/MAM 供應商提供的有限選項。它們在保護檔層或保護身份層方面沒有提供任何價值。EMS 在設備、應用程式、檔和身份層提供的保護功能是獨一無二的。而且，按照微軟的一貫風格，我們以更優惠的價格提供更多價值。

本文翻譯自 Success with Enterprise Mobility: SaaS Management