W tej prezentacji zawarłem informacje o podstawowych usługach i mechanizmach, które powinny zostać skonfigurowane dla każdego tenanta usługi Office 365
2. Agenda
• Zaczynamy wdrożenie Office 365
• Testowa subskrypcja
• Czym jest EMS
• Two-Factor Authentication
• Azure MFA
• Zarządzanie zasobami i tożsamością
• Azure Active Directory
• Dostęp warunkowy
• Azure Information Protection
• Microsoft Intune
• Podsumowanie
3. Paweł Serwan
• Architekt IT z ponad 10-letnim doświadczeniem w
projektowaniu, administracji i zarządzaniu środowisk
opartych o rozwiązania Microsoft, Citrix i VMware
• Citrix Technology Advocate (od 2017 roku)
• Założyciel i lider Polskiej Grupy Użytkowników Citrix
(PLCUG)
• Lider lokalnej grupy Microsoft 365 User Group Poland
• Bloger, autor artykułów i prelegent na konferencjach IT
Kontakt:
• Blog: http://pawelserwan.wordpress.com
• Twitter: @PawelSerwan
• LinkedIn: https://pl.linkedin.com/in/pawelserwan
• http://www.plcug.pl
• Grupa M365 na Facebook
4. Zróbmy sobie
Office 365
Scenariusz:
Firma, która chce wdrożyć Office 365 w swojej strukturze
Obawy związane z bezpieczeństwem danych i dokumentów
po wdrożeniu Office 365
Ograniczenia budżetowe
Mobilne środowisko pracy
Główni aktorzy:
CIO/Dyrektor/Prezes – Jan Kowalski
IT Architekt/ Kierownik/Administrator – Piotr Nowak
Użytkownicy
5. Zaczynamy wdrożenie Office 365
Musimy wdrożyć
Office 365 na
przyszły tydzień.
Czy coś więcej
potrzebujesz?
• A może najpierw
jakieś testy?
6. Testowa
subskrypcja
Office 365 E5 +
EMS E5
• Załóż nowe konto Microsoft w portalu
outlook.com
• Stwórz nową subskrypcję Office 365. W tym
celu przejdź do strony tinyurl.com/Office-E5
• Na ekranie powitalnym podać wymagane
informacje.
• Kliknij opcję: Just one more step
• Podaj nazwę użytkownika na podstawie
nowego adresu e-mail, wymyśloną nazwę
firmy po znaku „@” (bez spacji) oraz hasło do
nowego konta Office 365
• Potwierdzić SMS-em konto, które będzie
dostępne pod nazwą domeny:
@<TwojaNazwa>.onmicrosoft.com
8. Czym jest EMS? • Enterprise Mobility + Security – zestaw
usług i narzędzi, który rozszerza
możliwości zarządzania i zabezpieczeń
platformy Office 365
• W skład pakietu EMS wchodzą:
zarządzanie tożsamością użytkowników
i dostępem do zasobów,
zarządzanie pracą na urządzeniach
mobilnych – zarówno korporacyjnych,
jak i prywatnych (BYOD)
ochrona informacji w organizacji
ochrona aplikacji w chmurze i on-
premise.
• Obecnie dostępne są dwa poziomy licencji
pakietu EMS: E3 oraz E5.
9. Two – Factor Authentication
Dlaczego moje hasło
nie może zawierać
mojego imienia?
• Hasło to za mało.
Potrzebujemy czegoś
więcej!
10. Azure MFA • Azure Multi-Factor Authentication to usługa
pozwalająca na dwuetapową
(dwuskładnikową) weryfikację użytkownika
w procesie logowania do usługi Office 365
• Możliwość integracji z aplikacjami typu SaaS
czy on-premise (wykorzystując zainstalowany
lokalnie Azure Multi-Factor Authentication
Server).
• Drugim składnikiem, który możemy stosować
w procesie logowania użytkownika jest:
wiadomość tekstowa SMS z jednorazowym
kodem
połączenie telefoniczne z automatyczną
obsługą firmy Microsoft
aplikacja mobilna Microsoft Authenticator.
11. Zarządzanie zasobami i tożsamością
Potrzebuję dostęp
do wszystkich
danych w firmie
• Ale to wbrew
naszym politykom?
12. Azure Active
Directory
• Azure Active Directory to usługa katalogowa
tworzona dla każdej nowej subskrypcji utworzonej na
platformie Azure bądź Office 365
• Pozwala na zarządzanie użytkownikami,
przydzielanie licencji i nadawanie dostępów do
zasobów na platformach Office 365 i Azure.
• Możemy zabezpieczyć podstawowe usługi w naszym
środowisku Office 365 na trzy sposoby:
nadać uprawnienia do konkretnych aplikacji i usług
ograniczonej liczbie użytkowników;
w ramach konkretnych aplikacji i usług nadać tylko
ograniczonej liczbie użytkowników prawo do
tworzenia np. nowych stron w witrynie SharePoint
Online lub Teams bądź wskazać, które grupy mogą
współdzielić informacje z osobami spoza naszej
organizacji;
rozdzielić konta zwykłych użytkowników od kont
mających role administratorów w usługach Office
365.
13. Dostęp warunkowy
Jakiś miły Pan
podzielił się dziś ze
mną swoim
internetem z
telefonu
• A czy uśmiechał się i
wyglądał tak?
A Ty skąd
go znasz?
14. Conditional
Access
• Zasady dostępu warunkowego, pozwalają na ograniczenie dostępu do zasobów bądź
aplikacji platformy Office 365 w zależności od wystąpienia konkretnego zdarzenia.
• Zasady Conditional Access definiują scenariusz dostępu zgodnie z mechanizmami kontroli
dostępu i warunkiem dostępu.
• Mechanizmy kontroli dostępu – określają reakcje na konkretne zdarzenie. Należy
pamiętać, że celem zasad dostępu warunkowego nie jest udzielanie dostępu do aplikacji czy
usług Office 365 – to jest zależne od odpowiednich grup i ustawień użytkowników usługi
Azure AD. Zasady dostępu warunkowego umożliwiają określenie, w jaki sposób
autoryzowani użytkownicy mogą korzystać z aplikacji w chmurze w określonych
warunkach. Reakcja określona w zasadach może wprowadzać dodatkowe wymagania, na
przykład dotyczące uwierzytelniania za pomocą Azure MFA, logowania użytkownika z
zarządzanego urządzenia (będącego pod kontrolą Microsoft Intune), a w najbardziej
restrykcyjnym scenariuszu zasady dostępu warunkowego mogą zablokować dostęp.
• Warunek dostępu –określa przyczyny uaktywnienia zasad. Występuje on w przypadku
spełnienia określonej grupy warunków. Mogą to być:
użytkownicy: użytkownicy podejmujący próbę uzyskania dostępu („kto?”);
aplikacja kliencka: docelowe elementy, do których użytkownicy próbują uzyskać dostęp
(„co?”);
lokalizacja sieciowa: skąd użytkownik próbuje nawiązać połączenie do aplikacji, np. sieć
firmowa czy internet („skąd/gdzie?”);
zarządzanie urządzeniami: w zależności od rodzaju urządzenia, z którego próbuje
nawiązać połączenie np. prywatne urządzenie mobilne, laptop firmowy itp.
(„firmowe/prywatne?”).
• Kombinacja warunków i mechanizmów kontroli dostępu tworzy zasadę dostępu
warunkowego. Może ona zostać uruchomiona w przypadku wystąpienia np. logowania z
urządzenia mobilnego w momencie próby ściągnięcia raportu z systemu ERP.
15. Zarządzanie danymi i informacjami
Przez przypadek
wysłałem nasz roczny
raport finansowy do
mojego fryzjera.
Możesz coś z tym
zrobić?
• Dobrze, że nie do
naszej konkurencji
16. Azure
Information
Protection (AIP)
• Pozwala na zarządzanie danymi i dokumentami
poprzez klasyfikację danych, etykietowanie i
opcjonalnie zabezpieczenie dostępu do danych.
• W ramach Azure Information Protection
możemy przygotować etykiety, które będą
dostępne dla wszystkich użytkowników
organizacji.
• Każdy dokument pakietu Office, mail, plik PDF
czy większość popularnych formatów zdjęć i
plików graficznych może otrzymać odpowiednią
etykietę.
• W tym celu należy dokonać przeglądu danych i
dokumentów w organizacji i na tej podstawie
przygotować poszczególne kategorie etykiet, np.
dane ogólnie dostępne (publiczne), dane
wewnętrzne firmy, dane zastrzeżone czy dane
niejawne.
17. AIP-
licencjonowanie
• W ramach licencji Azure Information Protection
Premium P1 (zawartej w EMS E3) dostępne są:
szyfrowanie wszystkich plików i lokalizacji
przechowywania,
śledzenie plików w infrastrukturze chmurowej,
manualna klasyfikacja i szyfrowanie plików
udostępnionych w organizacji oraz poza nią.
• W ramach licencji Azure Information Protection
Premium P2 (zawartej w EMS E5) dostępne są:
inteligentna klasyfikacja i szyfrowanie plików
udostępnionych w organizacji oraz poza nią;
Azure AIP Scanner, który można wykorzystać do
klasyfikacji danych i dokumentów w naszych
repozytoriach on-premise.
18. AIP-etykiety
• Etykiety są zapisane w metadanych dokumentów i „wędrują”
z nimi bez względu na miejsce ich przechowywania czy sposób
współdzielenia z innymi osobami, np. wysłanie pocztą do
firmy zewnętrznej.
• Dodatkowo w konfiguracji etykiety możemy ustawić opcje
dodania tekstu w stopce lub nagłówku stron dokumentu albo
znaku wodnego. W ten sposób da się graficznie etykietować
dokumenty wyższego stopnia niejawności np. raporty
finansowe.
• Azure Information Protection pozwala nam śledzić
dokumenty, których jesteśmy autorami, i w dowolnym
momencie umożliwia odebranie praw edycji, wyświetlania czy
przekazywania dokumentu osobom trzecim.
• Aby móc przypisać etykietę do dokumentu, konieczna jest
instalacja agenta Azure Information Protection, który będzie
widoczny jako dodatkowa opcja zarówno we wstążce pakietu
biurowego Office, jak i we właściwościach niektórych plików,
np. plików tekstowych czy graficznych.
19. AIP–metody
zabezpieczeń
• W konfiguracji każdej etykiety możemy przypisać
odpowiednią politykę zabezpieczenia danych, wykorzystując
usługę Azure Rights Management Service (Azure RMS).
• W ten sposób da się zabezpieczyć dany dokument przed
edycją, drukowaniem czy współdzieleniem z innymi osobami.
• W przypadku licencji Azure Information Protection Premium
P1 przypisanie etykiety odbywa się manualnie przez
użytkownika w momencie tworzenia dokumentu.
Możemy z góry przypisać konkretną etykietę wszystkim
nowo stworzonym dokumentom. Później zaś autor
dokumentu może odpowiednio zmienić etykietę na inną.
• W przypadku licencji Azure Information Protection Premium
P2 można stworzyć reguły na podstawie wyrażeń regularnych,
np. numeru karty kredytowej albo nazwy patentu firmy, i
przypisać konkretną etykietę automatycznie.
20. Urządzenia mobilne a dane
…….@@#$%$@$#@????
Właśnie dostałem
zaproszenie od
nieznajomej z
Facebooka. Chce
żebym kliknął link do
jej prywatnej galerii
21. Microsoft Intune,
czyli MAM i
MDM
• Platforma Office 365 pozwala na dostęp na
każdym urządzeniu – zarówno firmowym
komputerze, jak i prywatnym urządzeniu
mobilnym.
• Bardzo ważne jest zabezpieczenie danych
firmowych oraz dostępu do usług i aplikacji z
urządzeń korporacyjnych oraz prywatnych
(BYOD) poprzez platformę Microsoft Intune.
• W ramach standardowej licencji Office 365
(większość dostępnych wersji
licencjonowania) dostajemy dostęp do usługi
Mobile Device Management (MDM) dla
platformy Office 365. Jest to okrojona wersja
Microsoft Intune, którą możemy zarządzać i
konfigurować w ramach portalu
administracyjnego usługi Office 365
22. MAM
• Mobile Application Management (MAM) – pozwala
na zarządzanie aplikacjami i ich konfiguracją.
Zarządzanie aplikacjami obejmuje następujące
możliwości:
przypisywanie aplikacji mobilnych dla
pracowników,
konfigurowanie standardowych ustawień aplikacji,
które są używane po jej uruchomieniu,
kontrolowanie sposobu używania i udostępniania
danych firmowych w aplikacjach mobilnych,
usuwanie danych firmowych z aplikacji mobilnych,
aktualizowanie aplikacji,
raportowanie dotyczące spisu aplikacji mobilnych,
śledzenie użycia aplikacji mobilnej.
23. MDM
• W ramach Mobile Device Management możemy
skonfigurować profile urządzeń, które będą dodawane
do usługi Microsoft Intune. Możemy zatem tworzyć
polityki:
zgodności – tak aby pozwalać na dodanie urządzeń,
które będą spełniały nasze wymagania, np.
odpowiednia wersja OS, blokowanie urządzeń z
kontem root albo tzw. urządzeń jailbroken;
konfiguracji urządzenia – możemy skonfigurować
wymagania dotyczące bezpieczeństwa urządzenia, np.
odnośnie do hasła, PIN-u urządzenia, konieczności
włączenia szyfrowania pamięci urządzenia. Liczba
dostępnych opcji jest duża i zależy od konkretnego
systemu operacyjnego, a także trybu, w jakim
urządzenie zostało dodane. Możemy dodawać
urządzenia w trybie kiosk, urządzenia korporacyjne
(company owned devices) oraz BYOD.
24. Podsumowanie
Wybór odpowiedniej
licencji Office 365 i EMS
Zabezpieczenie
tożsamości użytkowników
Zabezpieczenie dostępu
do platformy Office 365
Zabezpieczanie urządzeń
mobilnych
Zabezpieczenie danych
Kategoryzacja danych w
firmie
EDUKACJA
użytkowników końcowych
Zarządzanie zasobami i
tożsamością