SOLUTION
問題情境
在BYOD的趨勢之下,為了保護機敏資料不被盜取、破壞,企業必須建立嚴格的設備身分驗證機制,但要如何整合、應用LDAP/POP3/RADIUS等常用個人帳號?若企業使用AD,要如何確保員工使用AD帳號登入?又要如何確定員工登入哪台電腦?且若有訪客需要使用網路,又該怎麼管理、限制其存取權限?
解決方案
透過自動掃描私退AD網域設備、禁止本機登入、AD帳號綁定電腦等方式,UPAS IAM能配合企業安全規範,強制所有人員使用AD帳號登入指定PC;針對員工自攜設備,可要求使用LDAP/POP3/ RADIUS進行身分驗證,訪客則可提供即時/預約兩種模式申請存取權限;且以上認證都會產出詳細報表,以供管理者查驗。
特色功能
強制設備使用AD帳號登入
禁止使用本機登入或私退網域,將AD帳號與電腦綁定,非指定帳號無法登入,強制所有人員使用AD帳號登入,確保所有人都在GPO的管控之下
身分及設備資訊整合
整合員工資訊,包括IP使用紀錄/配置列表、電腦名稱、AD帳號、MAC位址、網卡廠牌、登入類型,並提供「加入/退出」、「登入/登出」AD網域的紀錄報表
人員身分動態掌握
利用現有AD/LDAP/POP3/RADIUS server進行員工BYOD之身分驗證,幫助管理人員快速辨別設備並進行連線許可,確保沒有可疑人士以及非法設備入侵
AD納管率全面提升
自動偵測本機登入、私退AD網域和未加入AD網域事件,若有違規則強制阻斷並要求修補(設備在阻斷下仍可加入AD網域),提升AD納管率到98%以上
訪客內網連線認證
提供訪客即刻、預約兩種申請權限方式,經過審核、加入訪客白名單後才能連線,並可彈性定義/限制訪客對內外網的存取權限和時效,到期即自動卸離
一目瞭然的的設備資訊
提供清楚的設備清單以及帳號資訊,包含IP/MAC、電腦名稱、Switch、Port還有多種帳號紀錄報表,讓管理者在單一介面即可控管所有內網的設備與人員
涵蓋模組
AD進階管理模組
可透過分別綁定 AD 帳號和電腦、禁止本機登入、禁止私退網域等方式,強制所有電腦遵循企業安全政策使用特定 AD 帳號登入特定 PC,安全政策及管理涵蓋所有 Windows 設備,整合超過 20 個以上 AD 資訊與設備資訊,提供帳號使用紀錄。針對共用資料夾可偵測檔案及異動。可偵測 SID 重複事件,產出特權帳號登入登出紀錄和本機帳號等資訊,協助管理人員發現異常行為、控管所有應加入 AD 網域的設備。
身分驗證模組
利用 AD / LDAP / POP3 / RADIUS 伺服器進行人員自攜設備 (BYOD) 之身分驗證,快速識別設備並管理連線許可,建立人員與設備方面的零信任安全。人員進入企業或政府網路後,系統即會以重導網頁引導進行認證,依據企業安全政策驗證身分後,系統自動授與人員相對應存取權限(外網 / 內網 / 特定網段)及有效時效,也可要求設備每經固定時間進行定期驗證。
訪客管理模組
當訪客的外來設備進入企業網路時,訪客管理模組可提供自動化訪客預約申請、即時申請流程,透過自動允許、手動允許、受訪者允許開通網路。使用預約申請的訪客會預先取得 Pin Code,進入企業網路後,於申請連線頁面輸入 Pin Code 即可開通網路,所有訪客皆可設定對內網、外網的存取權限和存取時效,時限到期系統會自動回收權限,自動化機制方便界定與管理訪客人員,可產出詳細記錄報表以供稽查。
