Hopp til hovedinnhold

Moderne administrasjon av Mac i Microsoft 365

Logo letter
Evelon AS
Jon-Alfred Smith

Nyere Macer er sikre fra bunnen av og har maskinvarestøtte for flere av sikkerhetsfunksjonene. Under oppstart verifiseres det at macOS-versjonen som lastes inn, er autorisert av Apple. Apple T2-brikken sørger for en trygg enklave som lagrer og bekrefter identiteten din sammen med biometrisk informasjon. Diskene er kryptert med FileVault. XProtect og Mac Malware Removal Tool beskytter mot skadevare med daglig oppdaterte signaturer. Du tillater at apper bare kan lastes ned fra App Store eller i tillegg også fra identifiserbare utviklere. Når du installerer applikasjoner, må du øke privilegiene dine, noe som krever passord eller identifisering med Touch ID.

I brannmuren kan du blokkere alle innkommende tilkoblinger med unntak av enkelte grunnleggende Internett-tjenester. En rekke andre mekanismer, som beskyttelse av systemintegritet, bidrar til å redusere angrepsflaten. For mange er dette nok sikkerhet, men i bedriftssammenheng ønsker du deg bedre kontroll. Det får du med tjenestene og sikkerhetsproduktene i Microsoft 365. Med Intune administrerer du enhetene. Defender for Business eller Endpoint gir deg endepunktsbeskyttelse i verdensklasse. Microsoft Purview lar deg klassifisere, merke og kryptere dokumenter og e-post. Der finner du også funksjoner for å hindre datatap på klientmaskiner.

Microsoft Intune

moderneadmin1

Intune er Microsofts løsning for mobil enhets- og applikasjonsbehandling. Det er et tett samarbeid mellom Intune og Azure Active Directory (AD). Begge tjenester kjører i Azure, selskapets skybaserte plattform for databehandling. Du angir innstillinger for enheter med konfigurasjonsprofiler på samme måte som med gruppepolicyer i lokalt AD. Men foruten Windows er det støtte for macOS, iOS/iPadOS og Android. Du sikrer data med beskyttelsespolicyer for apper og samsvarspolicyer for enheter. Intune lar deg rulle ut programvare og holde applikasjoner og operativsystem oppdatert. Betinget tilgang kan beskytte alle ressurser i virksomheten din ved å gjøre dem tilgengelig for bare klarerte brukere på klarerte enheter og med klarerte apper.

Du administrerer Intune i portalen for Microsoft Endpoint Manager (Endepunktbehandling). Det er full støtte for hybride Windows-baserte miljøer. Med Intune kan du distribuere apper fra Apple App Store, Google Play og Microsoft Store. Azure AD godkjenner og autoriserer brukere når de benytter applikasjoner fra tredjeparter og i Office 365. Med det følger alle sikkerhetsmekanismer i identitetstjenesten, som enkel pålogging (single sign-on), multifaktor-autentisering (MFA) og ulike former for identitetsbeskyttelse. Kombinert med Intune deltar enheter og apper i autentiseringen av brukere i Azure AD, basert på en identitetsdreven sikkerhetsmodell sentrert rundt tilganger og databeskyttelse, som er Zero Trust eller Null tillit i et nøtteskall.

Registrerte enheter i Intune

moderneadmin2

Det første du gjør, er å registrere datamaskiner og mobilenheter i Intune. I mindre miljøer bruker du typisk Microsoft Firmaportal for Mac og iOS/iPadOS. Av skjermbildet går det frem at iOS er oppdatert til siste versjon, og at en av Macene har fått siste inkrementelle oppdatering. Apple iPadOS er forsinket og kommer antakelig i oktober sammen med macOS 13 Ventura. Så sørger du for å sette opp samsvarspolicyer for de ulike plattformene. Det bør raskt nevnes at du jevnt over kan bruke Safari i de forskjellige portalene, men enkelte ganger vil du støte på problemer. Et bedre valg er Microsoft Edge eller Google Chrome.

Samsvarspolicy for Mac

moderneadmin3

En samsvarspolicy for Mac kan se sånn ut: For enhetshelse krever du at systemintegritetsbeskyttelse er satt opp. Minimum OS-versjon er satt til 12.0. Det er nødvendig med passord (evt. Touch ID) for å låse opp enheter. Enkle passord er blokkert. Passordtypen er alfanumerisk og må inneholde minst åtte tegn. Diskene skal være kryptert. Brannmuren må hindre innkommende forbindelser. Tillat apper fra Mac App Store og identifiserte utviklere. Handlinger for manglende overholdelse blir å markere enheten umiddelbart som ikke i samsvar og sende en melding til bruker. En forutsetning for å bringe enheter i overensstemmelse er å konfigurere dem med profiler.

Konfigurasjonsprofiler

moderneadmin4

Microsoft har samlet grunnleggende funksjoner for å beskytte og sikre enheter på ett sted under fanen Endpoint Security. Her kan du på en enkel måte aktivere og sette opp antivirus, diskkryptering og brannmuren for Mac og Windows. Du konfigurerer og distribuerer også Defender for Endpoint / Business for å forhindre sikkerhetsbrudd og få innsyn i organisasjonens sikkerhetsstatus.

moderneadmin5

For andre innstillinger må du inn i Configuration profiles. Legg merke til at Microsoft Enterprise SSO-plugin-modulen er rullet ut. Den sørger for enkel pålogging (SSO) til apper og nettsteder som bruker Azure AD for autentisering, inkludert Microsoft 365. Det reduserer antallet autentiseringsmeldinger brukere får når de benytter enheter som administreres av Intune. En tilsvarende modul finnes for iOS / iPadOS, et samarbeidsprosjekt mellom Microsoft og Apple.

Låse nødvendige innstillinger

moderneadmin6

En typisk Mac-bruker, særlig i mindre virksomheter, vil være lokal administrator på maskinen. Man må ikke glemme at I´en i iPhone, iPad, iCloud osv. står for engelsk Jeg, individualiteten. Brukere vil sjelden like en lobotomert maskin som hindrer kreativ utfoldelse og lekenhet. Samtidig må enkelte innstillinger alltid være på plass og brukere hindres i å endre dem. Det gjelder blant annet kryptering av disker, brannmur og programvareoppdatering.

moderneadmin7

Denne konfigurasjonsprofilen låser innstillingene for programvareoppdatering, så disse funksjonene alltid er automatisert og ikke kan endres: Søk etter oppdateringer. Last ned nye oppdateringer når de blir tilgjengelige. Installer macOS- og appoppdateringer fra App Store, samt installer systemdatafiler og sikkerhetsoppdateringer. Det er ikke Intune som distribuerer oppdateringene.

Betinget tilgang

Betinget tilgang funger omtrent som en dørvakt på et utested. Vakten står ved inngangsdøren og sjekker IDen din, forsikrer seg om at du er gammel nok, at du er kledd i henhold til kleskoden, og at du ikke er for beruset. Hvis du ikke oppfyller én eller flere av disse betingelsene – la oss anta at t-skjorten er for fillete – vil han si: «Sorry kompis, se å få på deg finstasen. Dra hjem og skift!»

moderneadmin8

Betinget tilgang er en egenskap i Azure AD som knytter forutsetninger til om brukere, grupper og enheter skal få adgang til sky-apper og bedriftsressurser. Betingelsene kan omfatte om enhetene er i samsvar, hvor de logger på fra, hva slags autentisering de bruker. Kontrollene kan tillate eller blokkere tilgangen, gi begrenset tilgang, kreve multifaktor-autentisering (MFA) og stenge for gammeldags godkjenning. Vurderinger av sanntidsrisiko ser du i Sign-in logs.

For mer synlighet og varsler, må du tegne en tilleggslisens på Azure AD Premium Plan 2, som flagger feilkonfigurerte brukerkontoer og foretar en risikovurdering av sesjonene i nær sanntid. Ved faresignaler kan brukere bli oppfordret til å endre passord eller nok en gang å oppgi MFA. Med betinget tilgang er det lurt å gjenskape regelsettet for Sikkerhetsstandarder (Security Defaults):

  • Require multi-factor authenticationkrever MFA for alle brukere for tilgang til virksomheten. Du kan la enheten huske MFA i for eksempel 90 dager.
  • Require MFA for administrative roles fordrer alltid MFA for medlemmer av administratorroller.
  • Block legacy authentication blokkerer eldre autentiseringsprotokoller. Her er det enkelte ganger aktuelt å fravike kravet.
  • Require MFA for Azure management krever MFA for administrative oppgaver i Azure.

moderneadmin9

Access from trusted devices sørger for at brukere bare kan logge på fra klarerte enheter. Det betyr at de må være registrert i Intune og i samsvar med dine retningslinjer. Denne policyen bør først være i rapporteringsmodus, så du kan kontrollere at alt er på plass før du aktiverer den. Du kan myke opp reglene ved å godta begrenset tilgang fra ikke-administrerte enheter med disse to policyene: Limited SharePoint access from unmanaged device og Limited Exchange access from unmanaged device.

Distribuere programvare

moderneadmin10

Intune lar deg rulle ut programvare til Mac-enhetene. Microsoft 365 Apps, som er den skytilkoblede Office-pakken, sammen med Microsofts Chromium-baserte nettleser Edge er klargjort til installering. Det samme gjelder Defender for Endpoint. Med App Wrapping Tool for Mac pakker du inn PKG og APP.

Defender for Endpoint / Business

Defender for Business gir deg bransjeledende endepunktsbeskyttelse, langt mer enn tradisjonell antivirusprogramvare med et signaturbasert forsvar. Det er en omfattende plattform som forebygger og beskytter mot angrep på alle dine enheter, med støtte for Windows, macOS, Android og iOS/iPadOS. Du får verktøyene du trenger for å oppdage, etterforske og utbedre sikkerhetsbrudd.

moderneadmin11
  • Trussel- og sårbarhetshåndtering hjelper deg med å oppdage og utbedre sårbarheter i programvare og feilkonfigurasjoner.
  • Angrepsflatereduksjon gjør deg motstandsdyktig overfor typiske tekniker som benyttes ved cyberangrep.
  • Neste generasjons beskyttelse sørger for avansert virus- og trusselbeskyttelse basert på virusdefinisjoner, samt lokal og skybasert analyse og maskinlæring.
  • Endepunktsdeteksjon og respons lar deg identifisere vedvarende trusler og fjerne dem fra miljøet ditt.
  • Automatisert etterforskning og utbedring jobber 24/7 med å bekjempe angrep ved hjelp av kunstig intelligens, noe som reduserer varslingsvolumet og lar deg rette søkelys på mer sofistikerte trusler.
  • APIer og integrasjon automatiser arbeidsflyter og innlemmer sikkerhetsdata i eksisterende sikkerhetsplattformer og rapporteringsverktøy.

Reduksjon av angrepsflaten er en egenskap for Windows-maskiner, dessverre ikke for Mac ennå.

Sikkerhetsvurdering

moderneadmin12

Microsoft 365 Defender – paraplyen for Defender-produktene – vurderer sikkerhetsstatusen i miljøet ditt. Det er lett å holde en høy skår for identiteter, data og apper. Enheter derimot kommer og går; enkelte er hyppigere i bruk enn andre. Sikkerhetsvurdering henviser til Sikkerhetsanbefalinger:

moderneadmin13

Her er anbefalingene filtrert på Mac. Én maskin trenger en oppdatering av macOS, en annen en nyere versjon av PowerShell. Begge Macer bør ha en minimums passordlengde på 15 eller flere tegn, og hjemme-mappene må sikres bedre. Disse rådene er basert på Trussel- og sårbarhetsadministrasjon i Defender for Endpoint / Business. Du får grundig veiledning for å rette på svakehetene.

Microsoft Purview

moderneadmin14

Microsoft Purview er en omfattende plattform. Her skal det bare nevnes at du kan klassifisere, merke og rettighetsbeskytte sensitive dokumenter og e-post i Word, Excel, PowerPoint og Outlook med følsomhetsetiketter. Du kan sette opp merkelappene selv. I Microsoft E5 kan du automatisere prosessen med få museklikk og få Microsofts anbefalte etiketter. I Microsoft 365 Business Premium, kan du legge til lisenser på E5 Information Protection and Governance for samme funksjonalitet.

moderneadmin15

Du kan sette opp regler for å begrense datalekkasjer for hele Microsoft 365-miljøet. Med ovennevnte abonnementer kan du i tillegg hindre datatap på klientmaskiner.

Avsluttende ord

Microsoft 365 er som skapt for Mac. Mac-brukere har glede av all integrasjon med iPhone, iPad, Apple Watch og alle tjenester i Apple-universet. Samtidig får du full funksjonalitet i verdens produktivitetssky, Microsofts moderne arbeidsplass, som er en gjennomgripende forandring i måten du bruker digital teknologi på. Teknologiene for produktivitet og samarbeid er overlegne. Mac-klientene dine er sikre og kan administreres hvor enn de måtte befinne seg.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!