De fleste virksomheter som konsumerer Microsoft 365 skytjenester jobber fremdeles på tradisjonelle AD domenestyrte arbeidsstasjoner (laptop/desktop). Når disse enhetene flyttes fysisk ut fra virksomhetens infrastruktur benyttes ofte tradisjonelle metoder for å nå firmaressurser, som VPN eller VDI.
I en stadig mer travel hverdag er rask og sikker tilgang til informasjon nøkkelen til effektiv og god brukeropplevelse. I en Azure Tennant med M365 data finnes det forskjellige løsninger for dette. Mobile enheter burde, om mulig, innrulleres i Intune (eller annen kompatibel MDM løsning), og klientene burde ha Entra ID (tidligere Azure AD) join med for eksempel Autopilot som beskrevet i denne artikkelen: Microsoft Intune for Dummies vol 2.0 – Sicra
Men hva med mobiler uten MDM (mobile device management) og ukjente maskiner (pc/mac)? Også her tilbyr Microsoft løsninger som gir bedre sikkerhet:
- Mobiler kan benytte Application protection policy
- Maskiner kan få tilgang via Conditional Access Application Control
Application protection policy
APP er en MAM (Mobile Application management) løsning som retter seg mot å beskytte data i selve applikasjonen. Som sluttbruker påvirkes du ikke hvis du bruker applikasjonene til personlig bruk, mens innstillingene trer i kraft når man benytter firmapålogging. Basert på egne interne sikkerhetskrav, kan man blant annet styre:
- Pin/biometri avkreving ved åpning av applikasjon.
- Hvordan deling mellom applikasjoner oppfører seg.
- Blokkere muligheten for lagring av lokalt på enheten.
For eksempel kan vi ta Outlook med en Exchange online konto* tilknyttet seg. Her kan vi sette opp regler slik at ansatte på sin private mobil kan lese og svare på e-post, til tross for at mobilen ikke er innrullert hos organisasjonen. Samtidig kan vi forhindre at brukeren for eksempel har mulighet til å kopiere tekst fra eposten og lime dette inn i andre applikasjoner på mobilen.
*Microsoft støtter kun EXO (Exchange online) og Exchange hybrid med modern auth per nå.
Visuell illustrering vises under, der man beskytter ønskede applikasjoner relevant til eget firma.
Ett annet eksempel er OneDrive, som er M365 sin løsning på personlig område. OneDrive applikasjonen kan også styres slik at man bestemmer hvordan data ønskes beskyttet. Her kan man styre innstillinger som kryptering, print, kopier/lim funksjonalitet, backup, pin/biometri og mye mer.
Selve Application protection policy er sømløst integrert mot Iphone (iOS), mens den på Android telefoner krever “Company portal” applikasjonen installert for å kunne motta innstillingene.
Conditional Access Application Control
CAAC benytter en såkalt “reverse proxy” integrert mot identiteten til bruker. Oppsettet knyttes mot CA (Conditional Access) regler, som gjør tjenesten anvendelig og effektiv. Enkelt sagt definerer man opp hvem/hva/hvor regler der tjenesten skal operere. For å benytte seg av funksjonalitetene her må man tvinge den eksterne bruker til å benytte webtjenestene til Microsoft. For tjenestene som er satt opp med «Session Control», vil brukere få advarsel ved oppkobling. Eks:
Funksjonene man kan begrense er blant annet:
- Beskytte org data. Der man blokkerer utklipp, nedlasting, kopiering og print av innhold. Dette vil være gjeldende på alle typer enheter (managed og un-managed).
- Avkreve MFA for enkelte aktiviteter. For eksempel nedlasting av sensitiv informasjon. (Krever AIP regler)
- Blokkere opplasting av ikke-klassifiserte filer. (Krever AIP)
- Blokkere tilgang basert på forskjellige variabler.
- Blokkere aktivitet basert på egne definerte regler. For eksempel skanne teams meldinger for sensitivt innhold “live”.
Dette fungerer ved at man videreføres til en egen url for tjenestene som er beskyttet i «Session Control». <org>-my.sharepoint.com blir automatisk overført til <org>-my.sharepoint.com. mcas.ms. Hvis man har definert opp regel som beskytter organisasjons data, og man da forsøker å laste ned en fil fra OneDrive kan man møte en lignende regel som denne:
Fordelen med dette er at man kan gi sikker tilgang til informasjon til både interne og eksterne, selv om de ikke har anledning til å benytte seg av domene/Entra ID enheter, som allerede er satt opp med konfigurasjon som gir tilgang. Ved bruk av denne tjenesten kan man låne podens Ipad, logge seg på for eksempel Outlook eller OneDrive, og utføre arbeid som ønsket. Når man logger ut igjen, er all tilgang borte.
Skulle du ønske bistand til innføring av disse tjenestene, har Sicra flere medarbeidere med erfaring med oppsett hos både mindre og større kunder.