V tomto článku se zaměříme na služby Microsoft 365, které jsou velice rozsáhlé a může být těžké se v nich zorientovat. System4u, jako Gold Partner společnosti Microsoft, má pro Microsoft nástroje vyškolené techniky i licenční specialisty a firmám s touto problematikou dokáže profesionálně pomoci.

Microsoft 365 nástroje jsou celkem složitě propojené, a aby vše fungovalo tak, jak má, je třeba již na začátku řádně promyslet, co všechno od správně fungujícího IT očekáváme. Nástroje Office 365 (pošta, kontakty, kalendář, sdílení dat) jsou základní Microsoft nástroje a jsou často hlavním důvodem, proč zákazníci se službami Microsoft 365 začínají. S těmito nástroji koncoví uživatelé pracují, na ně se nabalují další Microsoft funkčnosti a otevírá se tak velice důležitá oblast bezpečnosti pro všechny uživatelské přístupy, zařízení a firemní data.

Prvním krokem je tedy přechod ze stávajícího e-mailového řešení (obvykle to bývá Exchange server) na Microsoft 365 „poštu v cloudu“. Nejčastější způsob je tzv. hybrid migrace, kdy dojde k prointegrování stávajícího Exchange serveru v interní síti s Microsoft 365 a následuje postupný přesun e-mailových schránek uživatelů.

S přechodem pošty do Microsoft 365 souvisí využívání dalších cloudových nástrojů, jako je komunikační nástroj Microsoft Teams, se kterým jsou propojená datová úložiště Sharepoint a One Drive. Kromě toho je zcela samozřejmé využití kancelářských nástrojů v Microsoft cloudovém prostředí, jako je Word, Excel, PowerPoint.

Pro integraci mezi cloudovými službami Microsoft 365 a firemním on-premise řešením Active Directory slouží nástroj Azure Active Directory. Je to cloudová adresářová služba, ze které lze následně čerpat všechny informace o uživatelích (jméno, heslo, oprávnění a zařízení, která uživatelé používají a přistupují z nich k firemním datům). Pro integraci s Active Directory se používá tzv. Azure AD konektor, nástroj, který se instaluje v interní síti a který synchronizuje uživatele do Microsoft 365. Při této integraci jsou dva možné způsoby nastavení:

1. Sesynchronizovat všechny informace o uživatelích vč. hashů doménových hesel a při přihlašování ověřovat uživatele na webu Microsoft (tzv. validace uživatele).
2. Federované ověřování (federovaná autentizace), kdy uživatel není ověřován na serverech Microsoft, ale po zadání e-mailu je přesměrován na tzv. Identity Provider (ADFS nebo jiné řešení třetí strany – Okta apod.) a tam je provedeno ověření identity uživatele.

Po provedení integrace jsou v cloudovém prostředí Microsoft 365 umístěna vybraná firemní data (mailboxy uživatelů, sdílené soubory) a koncový uživatel se může přihlásit odkudkoli z libovolného zařízení.

Proto přichází na řadu oblast Enterprise Mobility & Security, která řeší přístup ke službám Microsoft 365 a zabezpečení dat, která jsou v Microsoft 365 uložená.

Je důležité si uvědomit, že nyní nefunguje zažitý standard, ve kterém jsou firemní systémy umístěny v soukromém datacentru dostupném jen z lokální sítě, kdy zaměstnanci musí být pro svou práci na svém pracovním místě, v budově konkrétní firmy. Nyní zaměstnanci mohou přistupovat k firemním datům odkudkoli, kdykoli a z jakéhokoli zařízení a je důležité mít tyto přístupy pod kontrolou a zajistit, aby se uživatel ke službám Microsoft 365, a tedy k firemním datům, dostal pouze za určených bezpečnostních podmínek.

K tomu slouží nástroj Azure Active Directory Conditional Access, který kontroluje, kdo, z jakého zařízení a odkud se k daným službám hlásí, a vyhodnocuje zároveň i další parametry. Je možné připodobnit jej k chytrému firewallu, ve kterém se nadefinují konkrétní uživatelé, kterým chceme povolit přístup ke konkrétním aplikacím a pouze za splnění definovaných podmínek. Například z jakého zařízení se uživatel přihlašuje – známe toto zařízení? Odpovídá přihlášení časem a místem standardnímu chování daného uživatele?

Díky nástroji Azure Active Directory Conditional Acces je tedy možné vyhodnocovat rizika. Je viditelné, odkud se uživatel přihlašuje, zda se jedná o interní síť, Prahu, Brno či zcela jiný kontinent. Pokud se uživatel přihlásí z jiného kontinentu nebo ve zcela nezvyklou dobu, naznačuje tato nestandardní situace možnost útoku, kterému je možné v této fázi zabránit. Je možné vynutit další ověřovací faktor (např. SMS aj.), a pokud je přístup vyhodnocen jako rizikový, a může se tedy jednat o ukradenou identitu, dojde k resetování hesla a zablokování přístupu.

Pro identifikaci zařízení, ze kterého uživatel do prostředí Microsoft vstupuje, slouží další nástroj Microsoft Intune, Mobile Device Management řešení od Microsoftu, dnes nazývaný jako Microsoft Endpoint Manager. Tento nástroj slouží pro správu a zabezpečení zařízení (Mobile Device Management – MDM) nebo samostatných aplikací v zařízeních (Mobile Application Management – MAM). Podporované jsou všechny běžné operační systémy na trhu (iOS, Android, Windows10, macOS).

Všechny informace, které jsou pomocí Microsoft Intune (Microsoft Endpoint Manager) ze zařízení posbírané, pak tvoří zásadní parametr, se kterým je v tzv. Compliance Flag. Každé zařízení má stanovenou úroveň bezpečnosti, a pokud ji splňuje, Microsoft Intune zapíše tento příznak do Azure Active Directory a následně jej můžeme kontrolovat v Azure AD Conditional Access pravidlech. Zajistíme tak, že se uživatel přihlásí pouze z bezpečného zařízení.

Dalším zabezpečením je ochrana na úrovni Microsoft aplikací (Word, Excel aj.), kdy je možné do nich poslat bezpečnostní politiky. Např. uživatel nemůže vykopírovat data z aplikace a odeslat je dál soukromým e-mailem, vynutit PIN pro přístup do aplikace. A to i na zařízeních bez registrace v MS Intune.

Výše zmiňovaný Compliance Flag (nebo také compliance příznak) dokážou do Azure Active Directory zapisovat i MDM třetích stran (MobileIron, VMware Workspace ONE), podmínkou je však licence Azure Active Directory P1.

Pokud firma používá některou z výše zmíněných MDM technologií a ať již z licenčních či jiných důvodů chce plně přejít na řešení Microsoft Intune, lze tuto migraci elegantně vyřešit aplikací IDOT od System4u. Tato aplikace pomůže přemigrovat ze stávajícího MDM řešení na Microsoft Intune a vše zvládne sám koncový uživatel z jeho mobilního zařízení. Aplikace IDOT jej provede celým procesem krok za krokem, vše se děje automaticky, stačí jen „klikat“. Administrátor má přehled o probíhající migraci ve své konzoli, vidí, kdo už zmigroval, kdo teprve bude, kdo potřebuje pomoc.

V situaci, kdy jsou již všechna firemní data v cloudu Microsoft 365, všechna firemní zařízení jsou zabezpečená pomocí Microsoft Intune (přip. jiné MDM technologie) a vše je prointegrováno s Azure Active Directory, je třeba také zabezpečit již konkrétní firemní dokumenty obsahující citlivá data. K tomu slouží nástroj Microsoft Azure Information Protection, který má dvě základní funkce:

1. Umožňuje automaticky označit dokumenty s citlivými daty (např. čísla bankovních karet, rodná čísla) a v okamžiku, kdy chce uživatel takovýto dokument odeslat e-mailem, dokáže odeslání zablokovat nebo zobrazit notifikaci „opravdu chcete poslat dokument, obsahující citlivá data?“.
2. Pokud už opravdu musí takový dokument opustit firmu, je možné jej zašifrovat a přečíst jej dokáže pouze příjemce, během přenosu a i poté zůstane dokument chráněný. Zde může nastat komplikace, když příjemce nemá služby Microsoft 365, ale i na to je myšleno. Stačí, když zaregistruje svoji e-mailovou adresu (tzv. free account) v prostředí Microsoft 365 a poté se k dokumentu dostane. I takto odeslané dokumenty je možné kontrolovat a např. je po uplynutí určité stanovené doby „zneplatnit“.

V tomto článku je popsán bezpečný přístup do Microsoft 365, ochrana zařízení a ochrana dokumentů. O dalších krocích a možnostech zabezpečení pomocí nástrojů Microsoft 365 budeme psát v pokračování v dalším vydání časopisu IT Systems.

Roman Přikryl Autor článku působí jako System Architect ve společnosti System4u, a. s.