Prechod na Office 365 je len začiatok
Aby všetko fungovalo podľa vašich predstáv, musíte si na začiatku implementácie premyslieť, čo od služby očakávate.
Minimálna základňa – Office 365
Microsoft 365 je založený na kancelárskych aplikáciách, ktoré pozná takmer každý – Outlook, Word, Excel, Powerpoint, OneNote, Sharepoint, OneDrive alebo Teams. Väčšina spoločností začína práve s nimi.
Preto je prvým a najťažším krokom pri implementácii služby Microsoft 365 prechod z existujúceho e-mailového riešenia (zvyčajne servera Exchange) na poštu v cloude Microsoft 365. Najbežnejšou metódou je takzvaná hybridná migrácia, pri ktorej sa server Exchange v internej sieti pripojí k službe Microsoft 365 a potom sa e-mailové schránky postupne presunú do cloudu.
Integrácia medzi cloudom a podnikovým on-premise
Ďalším krokom pri implementácii služby Microsoft 365 je presun údajov z lokálnej adresárovej služby Active Directory do cloudu. Azure Active Directory . Po dokončení môžete z cloudovej adresárovej služby vytiahnuť všetky informácie o používateľoch, napríklad meno, heslo, oprávnenia alebo zariadenia, ktoré používatelia používajú na prístup k podnikovým údajom. Na samotnú migráciu údajov použijete konektor Azure AD – nástroj, ktorý nainštalujete do internej siete a ktorý synchronizuje používateľov so službou Microsoft 365.
Existujú dve možné riešenia tejto integrácie:
- Synchronizovať všetky informácie o používateľoch vrátane hashov hesiel domény a overovať používateľov na webovej lokalite spoločnosti Microsoft pri prihlásení (tzv. overovanie používateľov).
- Federované overovanie(federated authentication), pri ktorom sa používateľ neoveruje na serveroch spoločnosti Microsoft, ale po zadaní e-mailu je presmerovaný na poskytovateľa identity (Active Directory Federation Services alebo iné riešenie tretej strany, napríklad Okta) a overenie identity sa vykoná tam.
Po integrácii sa vybrané firemné údaje (poštové schránky používateľov, zdieľané súbory) uložia do cloudového prostredia Microsoft 365 a koncový používateľ sa môže prihlásiť do svojho konta z ľubovoľného zariadenia.
Nastavenie podmienok prístupu k údajom
Táto sloboda, keď používateľ môže pristupovať k podnikovým údajom prakticky odkiaľkoľvek na svete, prináša ďalšiu výzvu – zabezpečenie údajov a samotných zariadení. Preto spoločnosť Microsoft aktívne vstúpila do oblasti Enterprise Mobility&Security, ktorej cieľom je zabezpečiť, aby mal používateľ prístup k službám Microsoft 365, a teda aj k podnikovým údajom, len za vopred stanovených bezpečnostných podmienok.
Na to sa používa podmienený prístup Azure Active Directory, ktorý napríklad kontroluje, kto, kedy, z akého zariadenia alebo odkiaľ pristupuje k službám. Nástroj si môžete predstaviť ako inteligentný firewall, v ktorom definujete používateľov, ktorým chcete povoliť prístup ku konkrétnym aplikáciám, a nastavíte podmienky prístupu Napríklad z akého zariadenia, v akom čase alebo z akého miesta sa môže používateľ prihlásiť.
Podmienený prístup k službe Azure Active Directory potom umožňuje posúdiť riziko. Môžete vidieť, z ktorého miesta alebo siete sa používateľ prihlasuje. Ak sa používateľ pokúsi prihlásiť z iného kontinentu alebo v neobvyklom čase, môže to znamenať hrozbu útoku. V takýchto prípadoch môžete vynútiť ďalší faktor overenia (napríklad SMS), a ak je prístup vyhodnotený ako rizikový, môžete napríklad nastaviť resetovanie hesla a zablokovať prístup, kým sa situácia nevyrieši.
Správa a zabezpečenie mobilných zariadení
Na identifikáciu zariadenia, z ktorého používateľ pristupuje k prostrediu Microsoft, používate nástroj Microsoft Endpoint Manager (predtým Microsoft Intune). Tento nástroj sa používa na správu a zabezpečenie mobilných zariadení(Mobile Device Management (MDM)) alebo samostatných aplikácií v zariadeniach(Mobile Application Management (MAM)). Je kompatibilný so všetkými bežnými operačnými systémami (iOS, Android, Windows10, macOS).
Informácie, ktoré Microsoft Endpoint Manager zhromažďuje z mobilných zariadení, tvoria kľúčový bezpečnostný parameter, takzvaný Compliance Flag. Každé zariadenie má požadovanú úroveň zabezpečenia, a ak ju pri prístupe do cloudu spĺňa, aplikácia Microsoft Endpoint Manager zapíše príznak do služby Azure Active Directory. Tieto príznaky potom môžete skontrolovať v službe Azure AD Conditional Access, aby ste zabezpečili, že sa používatelia budú prihlasovať len z overených a zabezpečených zariadení.
Systémy MDM tretích strán (MobileIron, VMware Workspace ONE a iné) však môžu do Azure Active Directory zapísať aj príznak zhody. Preto nemusíte nevyhnutne prechádzať na Microsoft Endpoint Manager, ak ste zvyknutí používať iné riešenia MDM. Jedinou požiadavkou v tomto prípade je licencia Azure Active Directory P1.
Ak chcete prejsť na riešenia Microsoft MDM, túto migráciu môžete elegantne vyriešiť pomocou aplikácie IDOT od System4u. Táto aplikácia umožňuje takú jednoduchú migráciu z existujúceho riešenia MDM na Microsoft Endpoint Manager, že ju môžete vykonať sami z vlastného mobilného zariadenia. Aplikácia vás prevedie celým procesom krok za krokom a všetko sa deje automaticky, stačí len kliknúť. Správca má zároveň vo svojej konzole prehľad o prebiehajúcej migrácii – vidí, kto už migroval, kto sa chystá migrovať alebo kto potrebuje pomoc.
Zabezpečenie samotných aplikácií a dokumentov
Spoločnosť Microsoft v rámci svojich nástrojov a služieb rieši aj bezpečnosť na úrovni samotných aplikácií (Word, Excel a ďalšie). Môžete napríklad nastaviť, aby používateľ nemohol kopírovať údaje z aplikácie a odosielať ich prostredníctvom súkromného e-mailu, alebo môžete vynútiť prístup k jednotlivým aplikáciám pomocou kódu PIN. Dokonca aj na zariadeniach bez registrácie v programe Microsoft Endpoint Manager.
V situácii, keď už máte všetky firemné údaje v cloude Microsoft 365, všetky firemné zariadenia sú zabezpečené pomocou aplikácie Microsoft Endpoint Manager (alebo inej technológie MDM) a všetko je pripojené k službe Azure Active Directory, môžete zabezpečiť aj konkrétne firemné dokumenty obsahujúce citlivé údaje.
Microsoft Azure Information Protection má dve základné funkcie.
- Umožňuje automaticky označiť dokumenty s citlivými údajmi (napr. čísla bankových kariet, rodné čísla) a keď chce používateľ takýto dokument odoslať e-mailom, zablokuje odoslanie alebo zobrazí upozornenie “naozaj chcete odoslať dokument obsahujúci citlivé údaje?”
- Ak už takýto dokument musí opustiť podnik, môže byť zašifrovaný tak, aby ho mohol čítať len príjemca, inak zostáva dokument chránený počas prenosu aj po ňom. Ak príjemca dokumentu nepoužíva služby Microsoft 365, môže k dokumentu získať prístup zaregistrovaním svojej e-mailovej adresy v prostredí Microsoft 365 (bezplatné konto). Dokonca aj takto odoslané dokumenty možno po uplynutí stanoveného času skontrolovať a znehodnotiť.
V tomto článku sme sa venovali bezpečnej migrácii a prihlasovaniu do služby Microsoft 365, ochrane zariadení a ochrane dokumentov. Aj keď sa spoločnosť Microsoft snaží, aby bolo všetko čo najintuitívnejšie, pre firmy (vrátane tých, ktoré majú vlastné oddelenie IT) je často ťažké správne nasadiť a nastaviť služby.
Preto by ste sa mali obrátiť na spoľahlivého partnera pre implementáciu, my v System4u vám so všetkým radi pomôžeme.
