1.
Jak zapewnić
bezpieczeństwo
dokumentów i
danych w chmurze
Office 365
Paweł Serwan
IT Professional Security Camp 2019 –
Dosłońce

2.
Agenda
• Zaczynamy wdrożenie Office 365
• Testowa subskrypcja
• Czym jest EMS
• Two-Factor Authentication
• Azure MFA
• Zarządzanie zasobami i tożsamością
• Azure Active Directory
• Dostęp warunkowy
• Azure Information Protection
• Microsoft Intune
• Podsumowanie

3.
Paweł Serwan
• Architekt IT z ponad 10-letnim doświadczeniem w
projektowaniu, administracji i zarządzaniu środowisk
opartych o rozwiązania Microsoft, Citrix i VMware
• Citrix Technology Advocate (od 2017 roku)
• Założyciel i lider Polskiej Grupy Użytkowników Citrix
(PLCUG)
• Lider lokalnej grupy Microsoft 365 User Group Poland
• Bloger, autor artykułów i prelegent na konferencjach IT
Kontakt:
• Blog: http://pawelserwan.wordpress.com
• Twitter: @PawelSerwan
• LinkedIn: https://pl.linkedin.com/in/pawelserwan
• http://www.plcug.pl
• Grupa M365 na Facebook

4.
Zróbmy sobie
Office 365
Scenariusz:
 Firma, która chce wdrożyć Office 365 w swojej strukturze
 Obawy związane z bezpieczeństwem danych i dokumentów
po wdrożeniu Office 365
 Ograniczenia budżetowe
 Mobilne środowisko pracy
Główni aktorzy:
 CIO/Dyrektor/Prezes – Jan Kowalski
 IT Architekt/ Kierownik/Administrator – Piotr Nowak
 Użytkownicy

5.
Zaczynamy wdrożenie Office 365
Musimy wdrożyć
Office 365 na
przyszły tydzień.
Czy coś więcej
potrzebujesz?
• A może najpierw
jakieś testy?

6.
Testowa
subskrypcja
Office 365 E5 +
EMS E5
• Załóż nowe konto Microsoft w portalu
outlook.com
• Stwórz nową subskrypcję Office 365. W tym
celu przejdź do strony tinyurl.com/Office-E5
• Na ekranie powitalnym podać wymagane
informacje.
• Kliknij opcję: Just one more step
• Podaj nazwę użytkownika na podstawie
nowego adresu e-mail, wymyśloną nazwę
firmy po znaku „@” (bez spacji) oraz hasło do
nowego konta Office 365
• Potwierdzić SMS-em konto, które będzie
dostępne pod nazwą domeny:
@<TwojaNazwa>.onmicrosoft.com

7.
EMS?
Electrical
Muscle
Stimulation?
• Nie!
• Enterprise +
Mobility Suite!

8.
Czym jest EMS? • Enterprise Mobility + Security – zestaw
usług i narzędzi, który rozszerza
możliwości zarządzania i zabezpieczeń
platformy Office 365
• W skład pakietu EMS wchodzą:
 zarządzanie tożsamością użytkowników
i dostępem do zasobów,
 zarządzanie pracą na urządzeniach
mobilnych – zarówno korporacyjnych,
jak i prywatnych (BYOD)
 ochrona informacji w organizacji
 ochrona aplikacji w chmurze i on-
premise.
• Obecnie dostępne są dwa poziomy licencji
pakietu EMS: E3 oraz E5.

9.
Two – Factor Authentication
Dlaczego moje hasło
nie może zawierać
mojego imienia?
• Hasło to za mało.
Potrzebujemy czegoś
więcej!

10.
Azure MFA • Azure Multi-Factor Authentication to usługa
pozwalająca na dwuetapową
(dwuskładnikową) weryfikację użytkownika
w procesie logowania do usługi Office 365
• Możliwość integracji z aplikacjami typu SaaS
czy on-premise (wykorzystując zainstalowany
lokalnie Azure Multi-Factor Authentication
Server).
• Drugim składnikiem, który możemy stosować
w procesie logowania użytkownika jest:
 wiadomość tekstowa SMS z jednorazowym
kodem
 połączenie telefoniczne z automatyczną
obsługą firmy Microsoft
 aplikacja mobilna Microsoft Authenticator.

11.
Zarządzanie zasobami i tożsamością
Potrzebuję dostęp
do wszystkich
danych w firmie
• Ale to wbrew
naszym politykom?

12.
Azure Active
Directory
• Azure Active Directory to usługa katalogowa
tworzona dla każdej nowej subskrypcji utworzonej na
platformie Azure bądź Office 365
• Pozwala na zarządzanie użytkownikami,
przydzielanie licencji i nadawanie dostępów do
zasobów na platformach Office 365 i Azure.
• Możemy zabezpieczyć podstawowe usługi w naszym
środowisku Office 365 na trzy sposoby:
 nadać uprawnienia do konkretnych aplikacji i usług
ograniczonej liczbie użytkowników;
 w ramach konkretnych aplikacji i usług nadać tylko
ograniczonej liczbie użytkowników prawo do
tworzenia np. nowych stron w witrynie SharePoint
Online lub Teams bądź wskazać, które grupy mogą
współdzielić informacje z osobami spoza naszej
organizacji;
 rozdzielić konta zwykłych użytkowników od kont
mających role administratorów w usługach Office
365.

13.
Dostęp warunkowy
Jakiś miły Pan
podzielił się dziś ze
mną swoim
internetem z
telefonu 
• A czy uśmiechał się i
wyglądał tak?
A Ty skąd
go znasz?

14.
Conditional
Access
• Zasady dostępu warunkowego, pozwalają na ograniczenie dostępu do zasobów bądź
aplikacji platformy Office 365 w zależności od wystąpienia konkretnego zdarzenia.
• Zasady Conditional Access definiują scenariusz dostępu zgodnie z mechanizmami kontroli
dostępu i warunkiem dostępu.
• Mechanizmy kontroli dostępu – określają reakcje na konkretne zdarzenie. Należy
pamiętać, że celem zasad dostępu warunkowego nie jest udzielanie dostępu do aplikacji czy
usług Office 365 – to jest zależne od odpowiednich grup i ustawień użytkowników usługi
Azure AD. Zasady dostępu warunkowego umożliwiają określenie, w jaki sposób
autoryzowani użytkownicy mogą korzystać z aplikacji w chmurze w określonych
warunkach. Reakcja określona w zasadach może wprowadzać dodatkowe wymagania, na
przykład dotyczące uwierzytelniania za pomocą Azure MFA, logowania użytkownika z
zarządzanego urządzenia (będącego pod kontrolą Microsoft Intune), a w najbardziej
restrykcyjnym scenariuszu zasady dostępu warunkowego mogą zablokować dostęp.
• Warunek dostępu –określa przyczyny uaktywnienia zasad. Występuje on w przypadku
spełnienia określonej grupy warunków. Mogą to być:
 użytkownicy: użytkownicy podejmujący próbę uzyskania dostępu („kto?”);
 aplikacja kliencka: docelowe elementy, do których użytkownicy próbują uzyskać dostęp
(„co?”);
 lokalizacja sieciowa: skąd użytkownik próbuje nawiązać połączenie do aplikacji, np. sieć
firmowa czy internet („skąd/gdzie?”);
 zarządzanie urządzeniami: w zależności od rodzaju urządzenia, z którego próbuje
nawiązać połączenie np. prywatne urządzenie mobilne, laptop firmowy itp.
(„firmowe/prywatne?”).
• Kombinacja warunków i mechanizmów kontroli dostępu tworzy zasadę dostępu
warunkowego. Może ona zostać uruchomiona w przypadku wystąpienia np. logowania z
urządzenia mobilnego w momencie próby ściągnięcia raportu z systemu ERP.

15.
Zarządzanie danymi i informacjami
Przez przypadek
wysłałem nasz roczny
raport finansowy do
mojego fryzjera.
Możesz coś z tym
zrobić?
• Dobrze, że nie do
naszej konkurencji


16.
Azure
Information
Protection (AIP)
• Pozwala na zarządzanie danymi i dokumentami
poprzez klasyfikację danych, etykietowanie i
opcjonalnie zabezpieczenie dostępu do danych.
• W ramach Azure Information Protection
możemy przygotować etykiety, które będą
dostępne dla wszystkich użytkowników
organizacji.
• Każdy dokument pakietu Office, mail, plik PDF
czy większość popularnych formatów zdjęć i
plików graficznych może otrzymać odpowiednią
etykietę.
• W tym celu należy dokonać przeglądu danych i
dokumentów w organizacji i na tej podstawie
przygotować poszczególne kategorie etykiet, np.
dane ogólnie dostępne (publiczne), dane
wewnętrzne firmy, dane zastrzeżone czy dane
niejawne.

17.
AIP-
licencjonowanie
• W ramach licencji Azure Information Protection
Premium P1 (zawartej w EMS E3) dostępne są:
 szyfrowanie wszystkich plików i lokalizacji
przechowywania,
 śledzenie plików w infrastrukturze chmurowej,
 manualna klasyfikacja i szyfrowanie plików
udostępnionych w organizacji oraz poza nią.
• W ramach licencji Azure Information Protection
Premium P2 (zawartej w EMS E5) dostępne są:
 inteligentna klasyfikacja i szyfrowanie plików
udostępnionych w organizacji oraz poza nią;
 Azure AIP Scanner, który można wykorzystać do
klasyfikacji danych i dokumentów w naszych
repozytoriach on-premise.

18.
AIP-etykiety
• Etykiety są zapisane w metadanych dokumentów i „wędrują”
z nimi bez względu na miejsce ich przechowywania czy sposób
współdzielenia z innymi osobami, np. wysłanie pocztą do
firmy zewnętrznej.
• Dodatkowo w konfiguracji etykiety możemy ustawić opcje
dodania tekstu w stopce lub nagłówku stron dokumentu albo
znaku wodnego. W ten sposób da się graficznie etykietować
dokumenty wyższego stopnia niejawności np. raporty
finansowe.
• Azure Information Protection pozwala nam śledzić
dokumenty, których jesteśmy autorami, i w dowolnym
momencie umożliwia odebranie praw edycji, wyświetlania czy
przekazywania dokumentu osobom trzecim.
• Aby móc przypisać etykietę do dokumentu, konieczna jest
instalacja agenta Azure Information Protection, który będzie
widoczny jako dodatkowa opcja zarówno we wstążce pakietu
biurowego Office, jak i we właściwościach niektórych plików,
np. plików tekstowych czy graficznych.

19.
AIP–metody
zabezpieczeń
• W konfiguracji każdej etykiety możemy przypisać
odpowiednią politykę zabezpieczenia danych, wykorzystując
usługę Azure Rights Management Service (Azure RMS).
• W ten sposób da się zabezpieczyć dany dokument przed
edycją, drukowaniem czy współdzieleniem z innymi osobami.
• W przypadku licencji Azure Information Protection Premium
P1 przypisanie etykiety odbywa się manualnie przez
użytkownika w momencie tworzenia dokumentu.
 Możemy z góry przypisać konkretną etykietę wszystkim
nowo stworzonym dokumentom. Później zaś autor
dokumentu może odpowiednio zmienić etykietę na inną.
• W przypadku licencji Azure Information Protection Premium
P2 można stworzyć reguły na podstawie wyrażeń regularnych,
np. numeru karty kredytowej albo nazwy patentu firmy, i
przypisać konkretną etykietę automatycznie.

20.
Urządzenia mobilne a dane
…….@@#$%$@$#@????
Właśnie dostałem
zaproszenie od
nieznajomej z
Facebooka. Chce
żebym kliknął link do
jej prywatnej galerii


21.
Microsoft Intune,
czyli MAM i
MDM
• Platforma Office 365 pozwala na dostęp na
każdym urządzeniu – zarówno firmowym
komputerze, jak i prywatnym urządzeniu
mobilnym.
• Bardzo ważne jest zabezpieczenie danych
firmowych oraz dostępu do usług i aplikacji z
urządzeń korporacyjnych oraz prywatnych
(BYOD) poprzez platformę Microsoft Intune.
• W ramach standardowej licencji Office 365
(większość dostępnych wersji
licencjonowania) dostajemy dostęp do usługi
Mobile Device Management (MDM) dla
platformy Office 365. Jest to okrojona wersja
Microsoft Intune, którą możemy zarządzać i
konfigurować w ramach portalu
administracyjnego usługi Office 365

22.
MAM
• Mobile Application Management (MAM) – pozwala
na zarządzanie aplikacjami i ich konfiguracją.
Zarządzanie aplikacjami obejmuje następujące
możliwości:
 przypisywanie aplikacji mobilnych dla
pracowników,
 konfigurowanie standardowych ustawień aplikacji,
które są używane po jej uruchomieniu,
 kontrolowanie sposobu używania i udostępniania
danych firmowych w aplikacjach mobilnych,
 usuwanie danych firmowych z aplikacji mobilnych,
 aktualizowanie aplikacji,
 raportowanie dotyczące spisu aplikacji mobilnych,
 śledzenie użycia aplikacji mobilnej.

23.
MDM
• W ramach Mobile Device Management możemy
skonfigurować profile urządzeń, które będą dodawane
do usługi Microsoft Intune. Możemy zatem tworzyć
polityki:
 zgodności – tak aby pozwalać na dodanie urządzeń,
które będą spełniały nasze wymagania, np.
odpowiednia wersja OS, blokowanie urządzeń z
kontem root albo tzw. urządzeń jailbroken;
 konfiguracji urządzenia – możemy skonfigurować
wymagania dotyczące bezpieczeństwa urządzenia, np.
odnośnie do hasła, PIN-u urządzenia, konieczności
włączenia szyfrowania pamięci urządzenia. Liczba
dostępnych opcji jest duża i zależy od konkretnego
systemu operacyjnego, a także trybu, w jakim
urządzenie zostało dodane. Możemy dodawać
urządzenia w trybie kiosk, urządzenia korporacyjne
(company owned devices) oraz BYOD.

24.
Podsumowanie
Wybór odpowiedniej
licencji Office 365 i EMS
Zabezpieczenie
tożsamości użytkowników
Zabezpieczenie dostępu
do platformy Office 365
Zabezpieczanie urządzeń
mobilnych
Zabezpieczenie danych
Kategoryzacja danych w
firmie
EDUKACJA
użytkowników końcowych
Zarządzanie zasobami i
tożsamością

25.
Q & A