Blogg
21.08.2023
min tid å lese

M365 – Hvordan ha sikrere tilgang fra alle type enheter?

De fleste virksomheter som konsumerer Microsoft 365 skytjenester jobber fremdeles på tradisjonelle AD domenestyrte arbeidsstasjoner (laptop/desktop).
<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >M365 – Hvordan ha sikrere tilgang fra alle type enheter?</span>

De fleste virksomheter som konsumerer Microsoft 365 skytjenester jobber fremdeles på tradisjonelle AD domenestyrte arbeidsstasjoner (laptop/desktop). Når disse enhetene flyttes fysisk ut fra virksomhetens infrastruktur benyttes ofte tradisjonelle metoder for å nå firmaressurser, som VPN eller VDI.  

I en stadig mer travel hverdag er rask og sikker tilgang til informasjon nøkkelen til effektiv og god brukeropplevelse. I en Azure Tennant med M365 data finnes det forskjellige løsninger for dette. Mobile enheter burde, om mulig, innrulleres i Intune (eller annen kompatibel MDM løsning), og klientene burde ha Entra ID (tidligere Azure AD) join med for eksempel Autopilot som beskrevet i denne artikkelen: Microsoft Intune for Dummies vol 2.0 – Sicra 

Men hva med mobiler uten MDM (mobile device management) og ukjente maskiner (pc/mac)?  Også her tilbyr Microsoft løsninger som gir bedre sikkerhet:  

Application protection policy

APP er en MAM (Mobile Application management) løsning som retter seg mot å beskytte data i selve applikasjonen. Som sluttbruker påvirkes du ikke hvis du bruker applikasjonene til personlig bruk, mens innstillingene trer i kraft når man benytter firmapålogging. Basert på egne interne sikkerhetskrav, kan man blant annet styre:  

  • Pin/biometri avkreving ved åpning av applikasjon.

  • Hvordan deling mellom applikasjoner oppfører seg.

  • Blokkere muligheten for lagring av lokalt på enheten.

For eksempel kan vi ta Outlook med en Exchange online konto* tilknyttet seg. Her kan vi sette opp regler slik at ansatte på sin private mobil kan lese og svare på e-post, til tross for at mobilen ikke er innrullert hos organisasjonen. Samtidig kan vi forhindre at brukeren for eksempel har mulighet til å kopiere tekst fra eposten og lime dette inn i andre applikasjoner på mobilen.
*Microsoft støtter kun EXO (Exchange online) og Exchange hybrid med modern auth per nå. 
Visuell illustrering vises under, der man beskytter ønskede applikasjoner relevant til eget firma. 

Bilde1-Sicra-2

Ett annet eksempel er OneDrive, som er M365 sin løsning på personlig område. OneDrive applikasjonen kan også styres slik at man bestemmer hvordan data ønskes beskyttet. Her kan man styre innstillinger som kryptering, print, kopier/lim funksjonalitet, backup, pin/biometri og mye mer. 

Selve Application protection policy er sømløst integrert mot Iphone (iOS), mens den på Android telefoner krever “Company portal” applikasjonen installert for å kunne motta innstillingene.  

Conditional access application control

CAAC benytter en såkalt “reverse proxy” integrert mot identiteten til bruker. Oppsettet knyttes mot CA (Conditional Access) regler, som gjør tjenesten anvendelig og effektiv. Enkelt sagt definerer man opp hvem/hva/hvor regler der tjenesten skal operere. For å benytte seg av funksjonalitetene her må man tvinge den eksterne bruker til å benytte webtjenestene til Microsoft. For tjenestene som er satt opp med «Session Control», vil brukere få advarsel ved oppkobling. Eks: 

Bilde2-Sicra-1

Funksjonene man kan begrense er blant annet: 

  • Beskytte org data. Der man blokkerer utklipp, nedlasting, kopiering og print av innhold. Dette vil være gjeldende på alle typer enheter (managed og un-managed).

  • Avkreve MFA for enkelte aktiviteter. For eksempel nedlasting av sensitiv informasjon. (Krever AIP regler)

  • Blokkere opplasting av ikke-klassifiserte filer. (Krever AIP)

  • Blokkere tilgang basert på forskjellige variabler.

  • Blokkere aktivitet basert på egne definerte regler. For eksempel skanne teams meldinger for sensitivt innhold “live”.

Dette fungerer ved at man videreføres til en egen url for tjenestene som er beskyttet i «Session Control». <org>-my.sharepoint.com blir automatisk overført til <org>-my.sharepoint.com. mcas.ms. Hvis man har definert opp regel som beskytter organisasjons data, og man da forsøker å laste ned en fil fra OneDrive kan man møte en lignende regel som denne: 

Bilde3-Sicra-1

Fordelen med dette er at man kan gi sikker tilgang til informasjon til både interne og eksterne, selv om de ikke har anledning til å benytte seg av domene/Entra ID enheter, som allerede er satt opp med konfigurasjon som gir tilgang. Ved bruk av denne tjenesten kan man låne podens Ipad, logge seg på for eksempel Outlook eller OneDrive, og utføre arbeid som ønsket. Når man logger ut igjen, er all tilgang borte. 

Skulle du ønske bistand til innføring av disse tjenestene, har Sicra flere medarbeidere med erfaring med oppsett hos både mindre og større kunder. 

Les mer

Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit
Blogg

Cybersikkerhet som konkurransefortrinn – trygghet som investerer i tillit

Sikkerhetstrening for ansatte: Slik bygger du bevissthet
Blogg

Sikkerhetstrening for ansatte: Slik bygger du bevissthet

NIS2 kommer – men hvem eier egentlig ansvaret for sikkerheten?
Blogg

NIS2 kommer – men hvem eier egentlig ansvaret for sikkerheten?

Fagblogg
Cybersikkerhet
10 sikkerhetstiltak virksomheten bør ha på plass før ferien
Blogg

10 sikkerhetstiltak virksomheten bør ha på plass før ferien

Fagblogg
Cybersikkerhet

Skreddersydd cybersikkerhet for virksomheter og institusjoner – så dere kan vokse, innovere og jobbe uten bekymringer.

Ta kontaktRing oss +47 648 08 488