Kirjoittaja on pitkän linjan IT-ammattilainen, Centero Oy:n toimitusjohtaja ja eteenkin asiantuntija, Juha Haapsaari.

Mikä ihmeen EMS?

Microsoft EMS eli yrityksen liikkuvuuspaketti auttaa työntekijöitä tekemään työnsä paremmin.

Microsoft EMS eli yrityksen liikkuvuuspaketti auttaa työntekijöitä tekemään työnsä paremmin.

EMS on lyhenne ainakin 115 englannin kieliselle asialle (abbreviations.com). Se on myös lempinimi Emmalle tai Emilylle. Tässä blogissa kuitenkin tutustutaan Enterprise Mobility Suite:en, jonka voisi suoraan kääntämällä suomentaa esimerkiksi yrityksen (enterprise) liikkuvuuspaketiksi (mobility suite).

Tässä blogisarjassa mietimme, onko tämä suomennus sopiva. Edesauttaako EMS yrityksen liikkuvuutta, vai onko se ihan jotain muuta.

Mobiililaitteiden hallinnasta ja siihen liittyvistä haasteista, niin teknisistä kuin toimintamalleihin liittyvistä, on keskusteltu jo jonkin aikaa sekä mediassa että organisaatioiden sisällä. Viimeistään nyt kannattaa tutustua aiheeseen ja miettimään toimintamalleja ja teknisiä ratkaisuja asian haltuun ottamiseksi.

Kun pääsääntöisesti Microsoftin ratkaisuja asiakkaillemme tarjoamme sekä niiden parissa eniten aikaa vietämme, niin ajattelin kirjoitella pienen blogisarjan siitä,

 • miten Microsoft näkee mobiilimaailman,
 • miten me nähdään se sekä
 • miten meidän asiakkaamme ovat asian nähneet.

Täten siis blogisarjan aiheena on Microsoft Mobility Enterprise Suite (jatkossa siis EMS), joka siis käytännössä on pilvipohjaisten palveluiden paketti, joiden avulla saadaan ratkaistua teknisesti liikkuvuuteen liittyviä haasteita, sekä tehostettua toimintamallien muuttamista.

Pyritään pitämään asia mahdollisimman yleisellä tasolla, eli en ala listaamaan mitä ominaisuuksia EMS pitää sisällään. Mieluummin pyrin kertomaan mihin maailma on menossa, miten me ja meidän asiakkaamme näkevät tämän aihealueen. Kuten aina, tekninen ratkaisu voidaan toteuttaa monella tapaa, mutta tärkeintä on selkeyttää aluksi oma tavoite sekä mallintaa prosessit ja toimintamallit kunnolla.

Maailma muuttuu

Muistan itse hyvin sen ajan, kun VPN-yhteydet alkoivat yrityksissä yleistyä. Tutuista ja turvallisista puhelinsoittosarjoista luovittiin ja uskallettiin siirtää liikenne kulkemaan ison ja pahan Internetin ylitse. Silloin internet oli niin uusi juttu, että se piti vielä kirjoittaa isolla iillä. Itsekin olen tuolloin ollut mukana keskusteluissa, joissa pohdittiin, onko turvallista päästää käyttäjiä VPN-yhteydellä verkkoon. Mitä tapahtuu, kun sisäverkko laajenee työasemille, jotka ovat ties missä verkossa.

No mitä sitten tapahtui? Huomattiin, että kun yhteyden muodostamista helpotettiin (ei tarvinnut erillistä puhelinliittymää) ja yhteysnopeudet kasvoivat, käyttäjät käyttivät palvelua huomattavasti enemmän. Hyvin nopeassa ajassa käyttäjät omaksuivat palvelun ja heille tuli arkea siitä, että VPN-yhteyden avaamalla pääsi tekemään töitä mistä vaan, missä internetyhteys oli saatavilla.

Käyttäjät myös hyväksyivät sen, että VPN-yhteyden avaaminen vaati heiltä tiettyä toimintamallia sekä asetti tiettyjä teknisiä rajoitteita. Esimerkiksi vaikka sen, että internetliikenne VPN:n päällä kulkikin organisaation suodatuksen kautta. Käyttäjät hyväksyivät rajoitukset, koska mahdollistimme heille kuitenkin helpomman ja nopeamman yhteystavan yrityksen tietoihin.

Itse näen jotenkin mobiliteetin ja siihen liittyvät asiat hyvin samankaltaisena toimintatapojen muutoksena, joten meidän IT-hörhöjen pitäisi minusta myös nyt mahdollistaa käyttäjille uusia tapoja tehdä työtä

 • ajasta,
 • paikasta ja
 • päätelaitteesta riippumatta.

Kaikkea noita kolmea ei varmasti saa, eikä kannata, ratkaista yhdellä rysäyksellä. Väitän, että kun mahdollistamme käyttäjille edes osan noista kolmesta asiasta, niin he hyväksyvät jälleen sen, että tiettyjä teknisiä asioita pitää omaksua, jotta työn teko helpottuu ja tehostuu. Hyödyt käyttäjälle kuitenkin ovat paljon suuremmat kuin se, että määritämme säännöt ja teknologian, mitä vaaditaan, jotta asioita voidaan tehdä mobiilisti.

Kun käyttäjät hyötyvät uusista tavoista työskennellä, työskentely tehostuu ja loppupeleissä siitä hyötyy myös organisaatio.

Miten EMS auttaa meitä?

Microsoftin ajatus mobiliteetin mahdollistamiseen lähtee selkeästi tietoturvasta ja käyttäjästä. Eli itseasiassa laitteelle ei välttämättä itselleen tehdä kovin paljoa, vaan keskitytään siihen, miten saadaan käyttäjän työssään tarvitsemat

 • sovellukset ja sisältö
 • nopeasti,
 • helposti ja
 • turvallisesti
 • mihin tahansa laitteeseen.

Toki tähän liittyy sekä laite että sen käyttöjärjestelmä, mitä käyttäjä sattuu käyttämään kulloinkin, mutta myös itse nuo sovellukset. Käydään seuraavaksi läpi, mitkä EMS-paketin eri komponenttien tehtävät tässä ketjussa on.

Microsoft Intune

Microsoft Intunen avulla voimme rakentaa modernin päätelaitteiden hallintapalvelun, jonka avulla pystymme muun muassa

 • viemään halutut sovellukset eri päätelaitteille,
 • valvomaan päätelaitteidemme kuntoa ja turvallisuutta,
 • määrittämään tietoturvaan liittyvät laitemääritykset,
 • hallitsemaan sovelluksia ja niiden asetuksia, joiden avulla organisaatiomme dataa käsitellään sekä
 • vaikuttamaan siihen, milloin sallimme yhteyden muodostumisen käyttäjän ja organisaatiomme datan välille.

Azure AD Premium

Azure AD Premium on EMS-paketin komponentti, jonka avulla hallitsemme esimerkiksi tunnistautumista.

On toki erittäin tärkeää varmistua siitä, että käyttäjä varmasti on se henkilö, joka omistaa käytetyn käyttäjätunnuksen. Varsinkin, kun haluamme mahdollistaa pääsyn organisaation sovelluksiin ja tietosisältöön ajasta, paikasta ja päätelaitteesta riippumatta. Tunnistautumisen lisäksi Azure AD Premium -komponentilla hallitaan myös yhteyden muodostumiseen tarvittavaa ”authorisointia”. Suomeksi siis esimerkiksi sitä, onko käyttäjällä oikeus muodostaa yhteys sovelluksesta paikkaan, joka käyttää organisaation dataa, kuten esim. Exchange Online -palveluun.

Azure Rights Management Service

Tällä komponentilla, jota myöhemmin kutsun RMS nimellä, hallitsemme sitten varsinaisen tiedon suojaamista. Eli jos Azure AD Premium authorisoi sen, saako käyttäjä vaikkapa ladata sähköposteja ja sen liitetiedostoja, tai avata Sharepoint Online -palvelusta jonkun dokumentin, niin RMS sitten määrittelee, mitä käyttäjä voi tehdä liitetiedoston tai dokumentin sisällölle.

Tässä siis ajatuksena se, että kun mahdollistamme dataan pääsyn ajasta, paikasta ja päätelaitteesta riippumatta, enää ei riitä se, onko tiedostoon luku- vai kirjoitusoikeudet. Meidän pitäisi pystyä varmistamaan se, että päätyipä dokumentti sitten mihin tahansa, kuten vaikka USB-tikulle, koti-iPadille tms., niin vain authorisoidut käyttäjät saavat dokumentin auki selkokielisenä ja voivat tehdä vain heille sallittuja asioita sen sisällölle

Mitä odotettavissa jatko-osissa

Käydään tulevissa EMS-blogisarjan osissa tarkemmin läpi edellä mainittuja kolmea eri osa-aluetta, ja ennen kaikkea sitä, miten me voimme niiden avulla mahdollistaa uusia, parempia työskentelytapoja käyttäjille:

 • Päätelaitteiden ja niiden sovellusten hallinta
 • Tunnistautuminen/pääsynhallinta
 • Tiedon suojaaminen

Emme siis halua miettiä sitä, miten voimme estää käyttäjiä tekemästä tiettyjä asioita, vaan miten voimme mahdollistaa käyttäjiä tekemään työnsä parhaimmalla mahdollisella tavalla.

Eli jos tästä blogisarjan alustuksesta pitää jotain muistaa jatkoa varten, niin se olisi se, että mietitään, miten mahdollistetaan asioita, kun maailma ja entistä valveutuneemmat käyttäjämme vievät mobilisaatiota eteenpäin. Niin kuluttajapuolella kuin organisaatioiden sisällä.

Otetaan siis kaikki sellainen asenne, että aletaan mahdollistaa käyttäjille asioita, eikä miettimään sitä miten saamme entistä tehokkaammin eristettyä organisaatioitamme ulkopuolisesta maailmasta!

EMS-blogisarjan osa 2/3 löytyy täältä.