System4u ako poskytovateľ služieb Digital Workspace pomáha spoločnostiam z akéhokoľvek odvetvia riešiť tento problém.
Spoločnosť System4u, ako zlatý partner spoločnosti Microsoft, má vyškolených technikov a špecialistov na licencovanie nástrojov Microsoft a môže firmám s týmto problémom odborne pomôcť.
Nástroje Microsoft 365 sú pomerne zložito prepojené a aby všetko fungovalo tak, ako má, je potrebné si na začiatku dobre premyslieť, čo od správne fungujúceho IT očakávame.
Nástroje Office 365 (pošta, kontakty, kalendár, zdieľanie údajov) sú základnými nástrojmi spoločnosti Microsoft a hlavným dôvodom, prečo zákazníci začínajú využívať služby Microsoft 365. Keď koncoví používatelia pracujú s týmito nástrojmi, navrstvujú sa na ne ďalšie funkcie spoločnosti Microsoft, čím sa otvára veľmi dôležitá oblasť zabezpečenia všetkých prístupov používateľov, zariadení a podnikových údajov.
Prvým krokom je prechod z existujúceho e-mailového riešenia (zvyčajne servera Exchange) na “poštu v cloude” Microsoft 365. Najbežnejšou metódou je tzv. Hybridná migrácia, pri ktorej sa existujúci server Exchange v internej sieti integruje s Microsoft 365, po ktorej nasleduje postupná migrácia e-mailových schránok používateľov.
Prechod pošty do služby Microsoft 365 súvisí s používaním ďalších cloudových nástrojov, ako je napríklad komunikačný nástroj Microsoft Teams, s ktorým sú prepojené dátové úložiská Sharepoint a One Drive. Okrem toho je úplne samozrejmé používanie kancelárskych nástrojov v cloudovom prostredí Microsoft, ako sú Word, Excel, PowerPoint.
Pre integráciu medzi cloudovými službami Microsoft 365 a lokálnym riešením Active Directory spoločnosti Azure Active Directory / Entra ID . Ide o adresárovú službu založenú na cloude, z ktorej možno následne získať všetky informácie o používateľoch (meno, heslo, oprávnenia a zariadenia, ktoré používatelia používajú a z ktorých pristupujú k podnikovým údajom). Na interakciu s Active Directory sa používa takzvaný konektor Azure AD, nástroj, ktorý je nainštalovaný v internej sieti a ktorý synchronizuje používateľov s Microsoft 365.
Pre túto integráciu existujú dve možné nastavenia:
- Synchronizovať všetky informácie o používateľovi vrátane. doménové heslá a overovanie používateľov na webovej lokalite spoločnosti Microsoft pri prihlasovaní (tzv. overovanie používateľov).
- Federované overovanie (federated authentication), pri ktorom sa používateľ neoveruje na serveroch spoločnosti Microsoft, ale je po zadaní e-mailu presmerovaný na tzv. Identity Provider (ADFS alebo iné riešenie tretej strany, napríklad Okta atď.), kde sa overuje identita používateľa.
Po integrácii sa vybrané firemné údaje (poštové schránky používateľov, zdieľané súbory) umiestnia do cloudového prostredia Microsoft 365 a koncový používateľ sa môže prihlásiť odkiaľkoľvek a z akéhokoľvek zariadenia.
Práve tu prichádza na rad služba Enterprise Mobility & Security, ktorá sa zaoberá prístupom k službám Microsoft 365 a bezpečnosťou údajov uložených v službe Microsoft 365.
Je dôležité poznamenať, že zavedený štandard, keď sú podnikové systémy umiestnené v súkromnom dátovom centre prístupnom len z lokálnej siete, kde zamestnanci musia byť na svojom pracovisku, v budove konkrétnej spoločnosti, aby mohli vykonávať svoju prácu, už nefunguje. Zamestnanci teraz môžu pristupovať k firemným údajom odkiaľkoľvek, kedykoľvek a z akéhokoľvek zariadenia a je dôležité tieto prístupy kontrolovať a zabezpečiť, aby používateľ pristupoval k službám Microsoft 365, a teda aj k firemným údajom, len za stanovených bezpečnostných podmienok.
Na tento účel sa používa podmienený prístup Azure Active Directory.Kontroluje, kto, z akého zariadenia a odkiaľ sa prihlasuje do služieb, a zároveň vyhodnocuje ďalšie parametre.
Možno ho prirovnať k inteligentnému firewallu, v ktorom definujeme konkrétnych používateľov, ktorým chceme povoliť prístup ku konkrétnym aplikáciám, a to len v prípade splnenia definovaných podmienok. Napríklad, z akého zariadenia sa používateľ prihlasuje – poznáme toto zariadenie? Zodpovedá čas a miesto prihlásenia štandardnému správaniu používateľa?
Pomocou podmieneného prístupu k službe Azure Active Directory je teda možné posúdiť riziko. Je viditeľná z miesta, kde sa používateľ prihlási, či už je to interná sieť, Praha, Brno alebo úplne iný kontinent. Ak sa používateľ prihlási z iného kontinentu alebo v úplne neobvyklom čase, táto neobvyklá situácia naznačuje možnosť útoku, ktorému možno v tejto fáze zabrániť. Je možné vynútiť si ďalší faktor overenia (napr. SMS atď.) a ak je prístup vyhodnotený ako rizikový, a teda môže ísť o ukradnutú identitu, heslo sa resetuje a prístup sa zablokuje.
Ďalší nástroj sa používa na identifikáciu zariadenia, z ktorého používateľ vstupuje do prostredia Microsoft Microsoft Intune , riešenie spoločnosti Microsoft pre správu mobilných zariadení, ktoré sa teraz nazýva Microsoft Endpoint Manager.
Tento nástroj sa používa na správu a zabezpečenie zariadení (Mobile Device Management (MDM)) alebo samostatných aplikácií v zariadeniach (Mobile Application Management (MAM)). Podporované sú všetky bežné operačné systémy na trhu (iOS, Android, Windows10, macOS).
Všetky informácie, ktoré sa zozbierajú zo zariadenia pomocou Microsoft Intune (Microsoft Endpoint Manager), potom tvoria rozhodujúci parameter, s ktorým je v tzv. príznaku zhody. Každé zariadenie má určenú úroveň zabezpečenia a ak ju spĺňa, Microsoft Intune zapíše tento príznak do Azure Active Directory a potom ho môžeme skontrolovať v pravidlách podmieneného prístupu Azure AD. Tým sa zabezpečí, že sa používateľ prihlási len zo zabezpečeného zariadenia.
Ďalšou bezpečnostnou funkciou je ochrana na úrovni aplikácií Microsoft (Word, Excel atď.), do ktorých je možné odosielať zásady zabezpečenia. Napríklad. používateľ nemôže kopírovať údaje z aplikácie a posielať ich ďalej prostredníctvom súkromného e-mailu, vynútiť si prístup k aplikácii pomocou kódu PIN. Dokonca aj na zariadeniach bez registrácie v službe MS Intune.
MDM tretích strán (MobileIron, VMware Workspace ONE) tiež dokážu zapísať vyššie uvedenú príznaku zhody , ale podmienkou je licencia Azure Active Directory P1.
Ak spoločnosť používa jednu z vyššie uvedených technológií MDM a chce plne prejsť na riešenie Microsoft Intune, či už z licenčných alebo iných dôvodov, túto migráciu možno elegantne vyriešiť pomocou aplikácie IDOT od System4u.
Táto aplikácia vám pomôže prejsť z existujúceho riešenia MDM na Microsoft Intune a koncový používateľ môže všetko robiť zo svojho mobilného zariadenia. Aplikácia IDOT ho prevedie celým procesom krok za krokom, všetko sa deje automaticky, stačí len “kliknúť”.
Správca má vo svojej konzole prehľad o prebiehajúcej migrácii, vidí, kto už migroval, kto ešte len migruje, kto potrebuje pomoc.
V situácii, keď sú už všetky firemné údaje v cloude Microsoft 365, všetky firemné zariadenia sú zabezpečené pomocou Microsoft Intune (alebo iných technológií MDM) a všetko je integrované s Azzure Active Directory, je potrebné zabezpečiť aj konkrétne firemné dokumenty obsahujúce citlivé údaje.
Microsoft Azure Information Protection má dve základné funkcie.
- Dokáže automaticky označiť dokumenty s citlivými údajmi (napr. čísla bankových kariet, rodné čísla) a keď chce používateľ takýto dokument odoslať e-mailom, môže zablokovať odoslanie alebo zobraziť upozornenie “naozaj chcete odoslať dokument obsahujúci citlivé údaje?”
- Ak má takýto dokument skutočne opustiť spoločnosť, môže byť zašifrovaný a čítať ho môže len príjemca, počas prenosu a aj po ňom zostáva dokument chránený. Ak príjemca nemá služby Microsoft 365, môže tu nastať komplikácia, ale aj na to treba myslieť. Stačí, ak si zaregistruje svoju e-mailovú adresu (tzv. bezplatné konto) v prostredí Microsoft 365 a potom môže získať prístup k dokumentu. Aj takto odoslané dokumenty možno skontrolovať a napr. “zneplatniť” ich po určitom stanovenom čase.
Tento článok teda opisuje zabezpečený prístup k službe Microsoft 365, ochranu zariadenia a ochranu dokumentov. O ďalších krokoch a možnostiach zabezpečenia pomocou nástrojov Microsoft 365 budeme hovoriť na našom webovom seminári.
Roman Přikryl a Petra Holubcová