Přechodem na Office 365 všechno teprve začíná
Aby vám ve firmě vše fungovalo podle představ, je třeba již na začátku implementace promyslet, co všechno od služby očekáváte.
Minimální základ – kancelářský balíček Office 365
Základem Microsoft 365 jsou kancelářské aplikace, které zná skoro každý – Outlook, Word, Excel, Powerpoint, OneNote, Sharepoint, OneDrive nebo Teams. S těmi většina firem začíná.
Prvním složitějším krokem při zavádění Microsoft 365 proto bývá přechod ze stávajícího e-mailového řešení (obvykle z Exchange serveru) na Microsoft 365 poštu v cloudu. Nejčastějším způsobem je takzvaná hybridní migrace, kdy dojde k propojení Exchange serveru v interní síti s Microsoft 365 a následuje postupný přesun e-mailových schránek do cloudu.
Integrace mezi cloudem a firemním on-premise
Dalším krokem implementace Microsoft 365 je přesun dat z on-premise adresářové služby Active Directory do cloudové Azure Active Directory. Po dokončení můžete z cloudové adresářové služby čerpat všechny informace o uživatelích, jako jsou jméno, heslo, oprávnění nebo zařízení, která uživatelé používají pro přístup k firemním datům. Pro samotnou migraci dat využijete Azure AD konektor – nástroj, který nainstalujete do interní sítě a který synchronizuje uživatele do Microsoft 365.
Při této integraci existují dvě možnosti řešení:
- Sesynchronizovat všechny informace o uživatelích včetně hashů doménových hesel a při přihlašování ověřovat uživatele na webu Microsoft (tzv. validace uživatele).
- Federované ověřování (federovaná autentizace), kdy uživatel není ověřován na serverech Microsoft, ale po zadání e-mailu je přesměrován na Identity Provider (Active Directory Federation Services nebo jiné řešení třetí strany, například Okta) a zde je provedeno ověření identity.
Po provedení integrace jsou v cloudovém prostředí Microsoft 365 uložená vybraná firemní data (mailboxy uživatelů, sdílené soubory) a koncový uživatel se ke svému účtu může přihlásit odkudkoliv z libovolného zařízení.
Nastavení podmínek pro přístup k datům
Tato svoboda, kdy uživatel může k firemním datům přistupovat prakticky odkudkoliv na světě, přináší další výzvu – a tou je zabezpečení dat i samotných zařízení. Proto Microsoft aktivně vstoupil do oblasti Enterprise Mobility&Security, která má za cíl zajistit, aby se uživatel ke službám Microsoft 365, a tedy k firemním datům, dostal pouze za předem určených bezpečnostních podmínek.
K tomu slouží nástroj Azure Active Directory Conditional Access, který například kontroluje kdo, kdy, z jakého zařízení nebo odkud se ke službám hlásí. Nástroj si můžete představit jako chytrý firewall, ve kterém si nadefinujete uživatele, kterým chcete povolilt přístup ke konkrétním aplikacím, a stanovíte podmínky přístupu Například z jakého zařízení, v jakém čase nebo z jakého místa se uživatel smí přihlásit.
Nástroj Azure Active Directory Conditional Access pak umožňuje vyhodnocovat rizika. Vidíte v něm, z jakého místa nebo z jaké sítě se uživatel přihlašuje. Pokud se uživatel snaží přihlásit z jiného kontinentu nebo v nezvyklou dobu, může to znamenat hrozbu útoku. V takových případech můžete vynutit další ověřovací faktor (například SMS), a pokud je přístup vyhodnocen jako rizikový, nastavíte si například, aby došlo k resetování hesla a zablokování přístupu, dokud situaci nevyřešíte.
Správa a zabezpečení mobilních zařízení
Pro identifikaci zařízení, ze kterého uživatel do prostředí Microsoft přistupuje, využijete nástroj Microsoft Endpoint Manager (dřívější Microsoft Intune). Tento nástroj slouží pro správu a zabezpečení mobilních zařízení (Mobile Device Management – MDM) nebo samostatných aplikací v zařízeních (Mobile Application Management – MAM). Je kompatibilní se všemi běžnými operačními systémy (iOS, Android, Windows10, macOS).
Informace, které Microsoft Endpoint Manager z mobilních zařízení posbírá, tvoří zásadní bezpečnostní parametr, takzvaný Compliance Flag. Každé zařízení má stanovenou požadovanou úroveň bezpečnosti, a pokud ji při přístupu ke cloudu splňuje, Microsoft Endpoint Manager zapíše příznak do Azure Active Directory. Tyto příznaky můžete následně kontrolovat v Azure AD Conditional Access a hlídáte tak, že se uživatelé přihlašují pouze z ověřených a zabezpečených zařízení.
Zmiňovaný Compliance Flag (compliance příznak) nicméně mohou do prostředí Azure Active Directory zapisovat také MDM systémy třetích stran (MobileIron, VMware Workspace ONE a další). Nemusíte proto nutně přecházet na Microsoft Endpoint Manager, pokud jste zvyklí používat jiné MDM řešení. Jedinou podmínkou je v takovém případě licence Azure Active Directory P1.
Pokud byste na Microsoftí MDM řešení přejít chtěli, lze tuto migraci elegantně vyřešit aplikací IDOT od firmy System4u. Tato aplikace umožňuje přemigrovat ze stávajícího MDM řešení na Microsoft Endpoint Manager tak snadno, že to zvládnete sami z vlastního mobilního zařízení. Aplikace vás provede celým procesem krok za krokem a vše se děje automaticky, stačí jen klikat. Administrátor má zároveň přehled o probíhající migraci ve své konzoli – vidí, kdo už zmigroval, kdo se na migraci chystá, nebo kdo potřebuje pomoc.
Zabezpečení samotných aplikací a dokumentů
Microsoft v rámci svých nástrojů a služeb řeší také zabezpečení na úrovni samotných aplikací (Word, Excel a další). Například můžete nastavit, aby uživatel nemohl vykopírovat data z aplikace a odeslat je soukromým e-mailem, nebo máte možnost vynutit PIN pro přístup do každé aplikace. A to dokonce i na zařízeních bez registrace v Microsoft Endpoint Manager.
V situaci, kdy již máte všechna firemní data v cloudu Microsoft 365, všechna firemní zařízení jsou zabezpečená pomocí Microsoft Endpoint Manager (připadně jiné MDM technologie) a vše je propojeno s Azure Active Directory, můžete zabezpečit také konkrétní firemní dokumenty obsahující citlivá data.
K tomu slouží nástroj Microsoft Azure Information Protection, který má dvě základní funkce.
- Umožňuje automaticky označit dokumenty s citlivými daty (například čísla bankovních karet, rodná čísla) a v okamžiku, kdy chce uživatel takovýto dokument odeslat e-mailem, odeslání zablokuje nebo zobrazí notifikaci „opravdu chcete poslat dokument obsahující citlivá data?“
- Pokud už musí takový dokument opustit firmu, je možné jej zašifrovat tak, aby jej dokázal přečíst pouze příjemce, jinak během přenosu i poté zůstane dokument chráněný. Jestliže příjemce dokumentu nepoužívá služby Microsoft 365, stačí, když zdarma zaregistruje svoji e-mailovou adresu v prostředí Microsoft 365 (free account) a poté se k dokumentu dostane. I takto odeslané dokumenty je navíc možné kontrolovat a po uplynutí stanovené doby zneplatnit.
V článku jsme popsali bezpečnou migraci a přihlašování do Microsoft 365, ochranu zařízení nebo ochranu dokumentů. Jakkoliv se Microsoft snaží, aby vše bylo maximálně intuitivní, pro firmy (včetně těch s vlastním IT oddělením) je často těžké služby správně nasadit a nastavit.
Proto se při implementaci obraťte na spolehlivého partnera, my v System4u vám se vším rádi pomůžeme.
