Hopp til hovedinnhold

Microsoft 365 Sikkerhetsfunksjoner

Logo letter
Evelon AS
Jon-Alfred Smith
En gruppe gir hverandre en brofist

Microsoft 365 er en komplett og sikker løsning som bringer sammen Office 365 og Enterprise Mobility + Security. Den gir ikke bare alle verktøy for egen produktivitet, men sørger for nye måter å samhandle på. Tidligere besto et felles samarbeidsområde av fildeling, en e-posttråd eller et teamnettsted. Med Microsoft 365 skifter vi over til en nav-eike-modell i skyen. I sentrum står Teams og Office 365-grupper med prosjekter og prosesser. Rundt det kretser applikasjoner og forretningsdokumenter sammen med viktige støttefunksjoner som lagring, søk og oppdagelse.

I Microsoft 365 – Tjenester og konsepter ga vi en oversikt over de grunnleggende funksjonene. Her utdyper vi mekanismene og verktøysettene Microsoft stiller til disposisjon for å gjøre vår moderne arbeidsplass trygg, med hovedvekt på Azure Active Directory Premium og Microsoft Intune. Informasjonsbeskyttelse og Identitetsdrevet sikkerhet er behørig behandlet i andre innlegg. Sikkerhet i skyen er et partnerskap. Skyleverandøren opererer og sikrer basisinfrastrukturen og systemlagene. Din oppgave består blant annet i å beskytte brukeridentiteter – så som godkjenning med flere faktorer (MFA) – og administrere mobile enheter. Ansvarsfordelingen varierer etter tjenestetype.

Nav og eiker i Microsoft 365

M365sikkerhet1

Navet dannes av Teams og Office 365-grupper med medlemmer i og utenfor organisasjonen. Eikene er applikasjonene og tjenestene som inngår i Microsoft 365. Med kontorappene i Office 365 kan vi opprette og redigere dokumenter. OneDrive for Business sørger for lagring, synkronisering og fildeling. Delve lar oss foreta personlig tilpassede søk og oppdagelse av data. I mange organisasjoner håndterer Skype fortsatt nettprat, tale, video, møter og deling av dokumenter – ellers inngår disse funksjonene i Microsoft Teams. Outlook gir tilgang til e-post og kalendere i Exchange Online. SharePoint er en populær plattform for intranett og teamnettsteder. Endelig får vi med Yammer et sosialt nettverk for foretak.

Produktivitet og samarbeid

Det er et imponerende reisverk Microsoft skaper med disse tett integrerte skytjenestene. De færreste som lever og ånder i dette universet, vil ønske seg tilbake til en lokal infrastruktur med gammeldagse måter å jobbe på. Nå kan du bruke Office 365-grupper i stedet for distribusjonslister. Du vil oppdage at du ofte chatter fremfor å kommunisere via e-post. Du lagrer dokumenter i skyen, ikke på filservere. Sånn kan du sende koblinger og ikke vedlegg. Med skylagring kan du også samarbeide i sanntid på delte dokumenter. Du kan ta i bruk web- eller mobilversjonene av Office-appene. Det gjør deg mindre avhengig av bedriftens datamaskiner med forhåndsinstallert programvare. Benytt det som er for hånden – en smartphone, et nettbrett eller en hjemmemaskin. Ikke minst kan du arbeide nær sagt hvor som helst: på kontoret, hjemmefra og når du er på farten.

Sikkerhetsutfordringer i skyen

Med denne fleksibilitet og frihet følger imidlertid nye sikkerhetsutfordringer. Det er ikke lenger nok å beskytte ditt interne nettverk bak brannmurer. Du må sikre identitetene, enhetene og data. Det er her Enterprise Mobility + Security (EMS) kommer inn, sammen med avanserte former for beskyttelse mot nulldagstrusler og farlige vedlegg, forebyggende sikringstiltak og analyseredskaper ved et innbrudd. Men la oss først se noe mer generelt på sikring av skytjenester.

Ansvarsfordeling mellom leverandør og kunde

M365sikkerhet2

Ansvar og kontroller for sikkerheten til applikasjoner og nettverk varierer etter tjenestetype. Lokalt hviler naturligvis alt på dine skuldrer. Infrastruktur som tjeneste innebærer at skyleverandøren ordner med datasenter, nettverk og fysiske verter. Oppå dem kjører du virtuelle maskiner. Dermed må du sørge for at alle lagene fra operativsystem og oppover er sikret. Plattform som tjeneste lar deg konsentrere deg om applikasjonene. Dette er typisk webtjenester og databaser i nettskyen, for Microsofts vedkommende i Azure. Her er oppgaven delt mellom deg og leverandør for nettverk, applikasjon, samt identitets- og katalogtjenester (lokalt og Azure AD pluss LDAP).

Programvare som tjeneste er applikasjoner som Dropbox og Salesforce foruten alle skytjenester i Microsoft 365, med SharePoint Online som grensetilfelle i den grad den benyttes til utvikling. Ansvaret for identitetstjenester er delt, mens du må sørge for å håndtere brukere og tilganger. Du må sikre endepunktene for klienter og ordne med datastyring og administrasjon av rettigheter. I alt vesentlig vil du benytte deg av verktøyene som inngår i Microsoft Enterprise Mobility + Security.

Microsoft Enterprise Mobility + Security

Enterprise Mobility + Security er en kjernekomponent i Microsoft 365. Den er en intelligent plattform for mobilitetsstyring og sikkerhet som bidrar til å beskytte og organisasjonen din, samtidig som den gir dine ansatte muligheten til å jobbe på nye og fleksible måter. Den kommer i to versjoner – E3 og E5 – og inkluderer disse produktene og tjenestene:

Azure Active Directory Premium tar seg av identitets- og tilgangsstyring. Det er støtte for godkjenning med flere faktorer og betinget tilgang. Brukere kan selv tilbakestille passord. Du får avanserte sikkerhetsrapporter. I E5-lisensen inngår to former for identitetsbeskyttelse som sikrer sluttbrukere og privilegerte brukere med administrative rettigheter.

Microsoft Intune er en skybasert tjeneste for å administrere mobilenheter og datamaskiner som lar deg kontrollere tilgangen til applikasjoner og data i virksomheten din. Hensikten er å sørge for at de er i samsvar med dine krav til sikkerhet. Intune støtter private-eide enheter og kan ved behov fjernslette all bedriftsinformasjon uten å berøre personlige data.

Informasjonsbeskyttelse gir vedvarende databeskyttelse. Azure Information Protection lar deg klassifisere, merke og kryptere dokumenter og meldinger. Du kan spore dem og tilbakekalle rettigheter. Krypteringsnøkler kan håndteres av deg eller Microsoft. Funksjonene i E5 lar deg automatisere dataklassifisering og -merking basert på innholdsanalyse ut fra forhånds- eller egendefinerte informasjonstyper.

Identitetsdrevet sikkerhet omfatter Microsoft Advanced Threat Analytics og Azure Advanced Threat Protection (E5), som hver især hjelper deg med å oppdage inntrengere i lokalnettet ditt. De lærer seg brukernes atferd og slår ned på avvik. De flagger typisk aktivitet som foregår ved et angrep. Med Cloud App Security får du en oversikt over sky-applikasjoner som er i bruk på tvers av organisasjonen din, med en skåring av hvor sikre de er.

Sikkerhetsmekanismer i Azure AD

M365sikkerhet3

Azure AD er tilgjengelig i fire utgaver – Gratis, Basic, PremiumP1 og Premium P2. Høyere versjoner inneholder funksjonene i de lavere. Gratis-utgaven er inkludert i alle Azure- eller Office 365-abonnmeneter. Azure AD P1 inngår i Microsoft 365 E3 og Azure AD P2 i E5. Alle versjoner kommer med en synkroniseringsmotor mellom lokalt AD og Azure AD, så brukerne har felles identiteter. Den primære forskjellen er sikkerhetsfunksjonene. Her ser vi på de viktigste. Det er verdt å merke seg at Microsoft 365 for forretninger (Business) ikke inkluderer Azure AD Premium; du kan ved behov legge til en P1-lisens for enkelte brukere.

Gratis Azure AD

Gratis Azure AD gir deg enkel pålogging – også omtalt som integrert engangspålogging – for inntil 10 apper. I det ligger at du bare behøver å forholde deg til ett brukernavn og passord for å få tilgang til skybaserte og lokale nettprogrammer – alt via én enkelt, sikret identitet. Det er en selvbetjent funksjon for å endre passord, men det krever at du husker ditt gamle. Brukere kan settes opp med grunnleggende multifaktor-autentisering (MFA). Du får greie sikkerhets- og bruksrapporter. Enheter kan manuelt registreres i Azure AD.

Basic Azure AD

Basic Azure AD har gruppebasert styring og klargjøring av brukere og enheter, noe som i høy grad forenkler administrasjonen. Det er selvbetjent tilbakestilling av passord for skybrukere. Du kan firmamerke og tilpasse det webbaserte tilgangspanelet. En interessant tjeneste er Program-proxy, som lar deg publisere lokale webservere og applikasjoner til Internett på en sikker måte. Basic kommer med en avtale om tjenestekvalitet eller service level agreement (SLA).

Azure AD Premium P1

Det er ingen begrensning for antall apper med enkel pålogging. Du får mer avansert rapportering. Det er støtte for selvbetjent tilbakestilling, endring og opplåsing av passord med lokal tilbakeskriving. Du får toveis synkronisering mellom lokale kataloger og Azure AD (tilbakeskriving til enhet). Her er det utvidet MFA (sky og lokalt). Du kan sette opp betinget tilgang basert på gruppe, plassering og enhetsstatus. Du har automatisk MDM-registrering og selvbetjent BitLocker-gjenoppretting. Premium P1 er integrert med Microsoft Cloud App Security.

Azure AD Premium P2

Premium P2 kommer med Azure AD Identity Protection, som sikrer alle brukere, og Azure AD Privileged Identity Management, som beskytter privilegerte brukere med administrative rettigheter. Med identitetsbeskyttelsen følger risikobasert betinget tilgang, som analyserer risikable hendelser som kan tyde på at påloggingsopplysningene dine er kommet på avveie. Det kan føre til at du må bruke MFA, tvinge frem en passord-endring, avvise tilgang eller gi begrenset adgang.

Microsoft Intune

M365sikkerhet4

Microsoft Intune er en løsning for mobil enhetsbehandling (MDM) og mobil applikasjonsbehandling (MAM). Dessuten er det et administrasjonsverktøy for Windows 10 med egenskaper som kan minne om gruppepolicyer i Windows AD og mekanismer i System Center Configuration Manager. Intune sørger for beskyttelse som allerede begynner ved inngangsdøren. Mobilenheter som ikke innfrir kravene, kommer seg ikke inn i organisasjonen din engang.

Med MDM administrerer du mobilenheter som mobiltelefoner, nettbrett og bærbare. Det sørger for å sikre enhetene og bedriftsdata. Vanlige funksjoner er å håndheve krav til passord med PIN-koder og datakryptering, få en oversikt over enhetene og spore dem, samt muligheten til eksternt å slette bedriftsdata. Med MAM får du mer fingranulær kontroll enn med bare MDM. Du kan rulle ut godkjente apper, sette opp policyer for bruken av dem og skille ut bedriftsdata fra personlig lagrede data. MAM forenkler håndteringen av lisenser.

Microsoft tilbyr flere tjenester for mobil enhets- og applikasjonsbehandling. De kan operere sammen eller helt atskilt. De tre verktøyene er MDM for Office 365, Microsoft Intune og System Center Configuration Manager.

Microsoft MDM/MAM-løsninger

M365sikkerhet5

Microsoft Intune-portalene

M365sikkerhet6

Du kan klikke på i Microsoft 365 administrasjonssenter for å komme inn i portalen for Microsoft Intune – om du ikke har Intune, vil det føre deg til MDM for Office 365. Her er det registrert to enheter som det er satt opp policyer for. Det er forutsetningen for at du kan logge deg på. Intune kontrollerer om de er i samsvar med dine sikkerhetskrav.

M365sikkerhet7

Du kan også gå inn via Azure-portalen. Her er det konfigurert enkelte grunnleggende regelsett for betinget tilgang. Du kan ikke bruke e-postkontoen i bedriften uten at du oppfyller samtlige av regelsettene som er satt opp for enhetene og appene. Via VPN Connectivity kan du rulle ut VPN-profiler. For en gjennomgang av mulighetene i Intune se Sikker mobil produktivitet med Microsoft Intune og Ekstern sletting av mobile enheter i Office 365.

Bruksscenarioer

La oss se på noen bruksscenarioer med Microsoft 365 og sikker tilgang for å konkretisere funksjonaliteten. Jannie sitter på bussen med sin splitternye iPhone. Hun trenger tilgang til e-posten i virksomheten og prøver å sette opp kontoen i den innebygde e-post-appen. Alle forsøk strander. Så ringer hun helpdesken, som forteller henne at hun først må registrere mobilen i Intune via brukerportalen. Den kontrollerer om enheten er i samsvar med policyene som er satt opp. Telefonen er kryptert fra fabrikken, så det er ok. Men hun må endre PIN-koden fra fire- til sekssifret. Nå da mobilen er i samsvar, rulles alle godkjente apper ut. Den eneste klienten hun kan benytte for e-post i bedriften, er Outlook for iOS. Den håndterer morderne autentisering med multifaktor-autentisering. Hva mer er: Det er kun aksepterte mobilapper som får tilgang til bedriftsdata. Hun kan bare kopiere og lime inn virksomhetsinformasjon mellom dem. Om enheten går tapt, kan alle bedriftsdata fjernslettes uten at det går utover private data, som musikk og fotoer.

Petter må gjøre ferdig en rapport på sin bærbare som tilfredsstiller alle krav til samsvar i bedriften. Den er oppdatert med de siste kvalitetsoppdateringer og virusdefinisjoner. Disken er kryptert med BitLocker. Alt er i orden med Windows Sikkerhet, som omfatter Virus- og trusselbeskyttelse, Kontobeskyttelse, Brannmur og nettverksbeskyttelse, App- og nettleserkontro, Enhetssikkerhet og Enhetsytelse og -tilstand. Det er en solfylt dag, og han setter seg ned på en ute-café etter endt jobb. På kontoret trengte han bare å oppgi PIN-koden for å logge seg på. Men nå oppfordres han til å bruke multifaktor-autentisering fordi han befinner seg på et ukjent nettverk. Til slutt må han inn på CRM-systemet, men det går ikke. Tilgangen er ikke åpen utenfra.

Trine er nær ved å slå løs på PCen. Den avviser samtlige påloggingsforsøk. Kontoen er sperret. Det viser seg at hun er blitt utsatt for identitetstyveri. Loggen i Azure AD Identity Protection viser at hun først må ha foretatt en umulig reise; det er registrert en pålogging fra Orlando i Florida bare én time etter hun dro hjem i Oslo. Neste mistenkelige hendelse var et påloggingsforsøk via et anonymt nettverk, i dette tilfellet via TOR, som ofte forbindes med Det mørke nett. Så endelig fastslo identitetsbeskyttelsen: Lekket legitimasjon.

Marius er en sindig mann som systematisk og konsentrert jobber med det han er satt til å gjøre. Plutselig dukker det opp flere gule varsler på angrepstidslinjen i Azure Advanced Threat Protection om at samme Marius i løpet av kort tid logger seg på den ene server etter den andre – noe han aldeles ikke har for vane å gjøre, og som er en indikasjon på en lateral bevegelse foretatt av en hacker som har klart å få tak i legitimasjonen hans. Tidslinjen viser også at brukerkontoen har prøver å liste opp alle åpne SMB-sesjoner mot domenekontrollerne. Så varsler Windows Defender ATP forsøk på å kjøre Mimikatz, et hackerverktøy for å få tak i legitimasjonen til administrative brukere.

Sikkerhet i skyen og lokal infrastruktur

Det skal godt gjøres å etablere samme type sikkerhet lokalt som i skyen. Det vil være uhyre ressurs- og kostnadspreget, kreve mye arbeid i form av installasjon og vedlikehold, for ikke å snakke om kunnskap. Med Microsoft 365 er tjenestene satt opp for deg og holdes oppdatert med stadig nye forbedringer. Din oppgave er å sette deg inn i hvordan de fungerer og tilpasse dem etter dine behov.

Eksempelet med Jannies iPhone viser at enheten må være registrert i Microsoft Intune for overhodet å få tilgang – kontroll ved inngangsdøren. MDM-policyene stiller krav til kryptering og PIN-kode. Så kan bare godkjente mobilapper benyttes (MAM). Det gjør det mulig å holde virksomhetens og private data atskilt og åpner for scenarioer for å «ta med din egen enhet». For Petters PC er det satt opp betinget tilgang basert på enhetstilstand og stedet han logger på fra. I Trines tilfelle slår identitetsbeskyttelsen til og demonstrerer hvordan risikobasert betinget tilgang opererer; den følger med på om det kan være faresignaler ved påloggingen.

M365sikkerhet8

Du kan konfigurere sikringstiltakene i rene skymiljøer og hybride miljøer. Identitetstyveriet av Marius’ konto ble fanget opp av Azure Advanced Threat Protection i lokal infrastruktur. Configuration Manager og Intune kan leve i skjønneste sameksistens, og du kan fordele oppgavene dem imellom.

Konklusjon

Microsoft 365 kan sette fart på den mye omtalte digitale transformasjon i virksomheten din. I det ligger langt mer enn at du sørger for at brukerne dine får trygg tilgang til virksomhetsdata, med alt det innebærer av mobil administrering og avansert sikkerhet. Hensikten med transformeringen er å endre selve grunnlaget for hvordan bedrifter bruker teknologi. I våre dager dreier det seg om å bli mer innovativ, differensiere, engasjere og skape nye verdier. Med det følger gjerne også en ny arbeidskultur. De ansatte blir stadig mer mobile og mangfoldige. Rutineoppgaver blir erstattet av større kommunikasjons- og samarbeidsmuligheter. Forutsetningene legges til rette for kritisk og kreativ tenkning. Hva virksomheten din foretar seg for å møte disse endringene, er naturligvis opp til dere. Men med Microsoft 365 får du et solid fundament for å gjennomføre dem.

Microsoft 365 er den ledende plattform for programvare som tjeneste. Den kommer med de grunnleggende applikasjonene du trenger for produktivitet, samarbeid og kommunikasjon. Du kan operere med én enkelt sikret og synkronisert identitet lokalt og i skyen. Engangspåloggingen kan utvides til å omfatte et tusentalls av andre apper. Verktøyene for å beskytte organisasjonen tar utgangspunkt i en modell for sikkerhet i moderne informasjonsteknologi. Den hviler på tre søyler: identiteter, enheter og informasjon.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!