De tre største sikkerhetsutfordringene for din moderne arbeidsplass er identitetstyveri, kompromitterte enheter og mobilenheter som mistes eller stjeles. Multifaktor-autentisering (MFA) reduserer drastisk sjansen for at uvedkommende kan nyttiggjøre seg din påloggingsinformasjon. Azure AD Premium og Microsoft Intune sikrer identiteter, enheter og tilgangen til data. Med MDM for Office 365 eller Intune kan du fjernslette bedriftsdata på enheter som er gått tapt.

Sentralt i disse sikringstiltakene står betinget tilgang, en mekanisme som lar deg sette opp regler for tilgangen til firmaprogrammer og ressurser. Sånn kan du tillate adgang til e-post bare hvis bruker er autentisert med MFA på en enhet som er i samsvar med dine krav. Du kan definere forhold som bruker- og enhetsstatus, sted, applikasjonsfølsomhet og risiko. Dermed sørger du for et godt beskyttet miljø med full kontroll over enheter og applikasjoner – uten at det går utover brukernes produktivitet.

Oversikt over betinget tilgang

Betinget tilgang danner én av hjørnesteinene i sikkerheten i Microsoft 365. Den opererer med par som består av betingelser og tilgangskontroller. Du kan også se på dem som hvis–så-utsagn: Hvis gitte forutsetninger er til stede, utfør bestemte handlinger. La oss forsøke å bryte ned grafikken. På venstre side er det listet opp betingelser som er inndelt i:

• Ansatte og partnere med brukere og roller. Disse kan være registrert i Azure AD, Active Directory Federation Services (ADFS), ha en Microsoft-konto (MSA) eller en Google-ID.
• Klarerte enheter som er i samsvar med interne retningslinjer. Det er bred plattformstøtte, med Android, iOS, macOS, Windows og Windows Defender ATP.
• Sted eller plassering kan være ute på Internett eller innenfor bedriftsnettverket.
• Klient-apper og autentiseringsmetoder. Her inngår nettbaserte apper og Windows-programmer med moderne og gammeldags godkjenning.

På høyre side er kontrollene eller handlingene som styrer tilgangen til skytjenester i Microsoft Azure og Office 365, skybaserte apper fra tredjeparter og applikasjoner som kjører lokalt (on-premises). Tilgangskontrollene angir:

• Tillat eller blokker tilgang. La oss ta en Windows 10-maskinen som er i overensstemmelse med organisasjonens sikkerhetskrav. Det er første betingelse. Annen betingelse er at bruker logger på med en identitet i Azure AD. Hvis begge vilkår er oppfylt, tillat tilgang til dokumenter i OneDrive for Business. Om bruker benytter en Microsoft-konto, ikke gi adgang. Et annet eksempel er en applikasjon med følsomme data: Hvis du er på kontoret, gi tilgang. Hvis ikke, blokker.
• Begrens tilgang. Du kan gi full aksess til SharePoint Online i lokalnettet ditt, men innskrenke adgangen fra Internett ved å hindre muligheten til å laste ned og kopiere dokumenter, samt ta utskrifter.
• Krev pålogging med MFA. Multifaktor-autentisering minker faren ved identitetstyveri, men kan også oppleves som irritasjonsmoment hos sluttbrukere. Du kan jenke på kravet til MFA så sant de befinner seg på et trygt nettverk og logger på fra klarerte enheter. Til gjengjeld vil du kreve MFA fra ukjente nettverk, som følge av faresignaler ved påloggingen eller for privilegerte brukere med administrative rettigheter
• Fremtving tilbakestilling av passord. Denne automatiserte reaksjonen bør inntre når Azure AD Information Protection registrerer pålogginger fra anonyme og utsatte nettverk, eller ved identitetslekkasje.
• Vilkår for bruk. Du kan opprette et dokument som beskriver policyen for bruken av en app. Om bruker klikker på Godta, vil hun kunne benytte den, ellers ikke.

Det kan være flere policyer som trer i kraft. Disse evalueres i sanntid av det Microsoft kaller Real Time Evaluation Engine. Om du har identitetsbeskyttelse på plass, benyttes i tillegg maskinlæring for å vurdere risikonivået for sesjonene.

Azure AD Premium

Betinget tilgang er en egenskap ved Azure Active Directory (AD) Premium. Den følger ikke med Gratis- og Basic-utgavene. Premium P1 – som inngår i Enterprise Mobility + Security (EMS) E3 og Microsoft 365 E3 – lar deg sette opp vilkår basert på identitet, gruppe, plassering og enhetsstatus.

Med Premium P2 – som er del av EMS E5 og Microsoft 365 E5 – kan du konfigurere risikobasert betinget tilgang med utgangspunkt i den innebygde identitetsbeskyttelsen. Her er det i Azure AD Identity Protection flagget to hendelser som oppfattes som middels risikofylte. Det kan være et tegn på identitetstyveri. For å helgardere deg krever tilgangspolicyen at du autentiserer med MFA.

Microsoft Intune

Microsoft Intune er en skybasert løsning for mobil enhets- og applikasjonsbehandling og administrasjon av Windows 10. Intune utvider mekanismene i Azure AD Premium med omfattende funksjoner for enhets- og appbasert betinget tilgang.

Microsoft 365 for bedrifter

Microsoft 365 Business kommer med samme retningslinjer for betinget tilgang og konfigurasjoner som i Azure AD Premium P1. Men her har du bare MDM for Office 365, ikke Intune. Dermed er det ikke støtte for policydefinisjoner som tar utgangspunkt i at enhetene er i samsvar.

Basis-policyer for betinget tilgang

Under Conditional Access – Policies har Microsoft satt opp fire basis-regelsett for betinget tilgang som forhåndsversjon. I utgangspunktet er de ikke aktivert:

• Require MFA for admins. Hvis bruker er medlem av én eller flere sentrale administrator-roller, krev MFA for å gi tilgang.
• End user protection. Hvis identitetsbeskyttelsen oppfatter påloggingsforsøket til applikasjonene som risikabelt, krev MFA. Brukere med lekket legitimasjon kan ikke logge på før de har endret passord.
• Block legacy authentication. Hvis bruker forsøker å logge på med en gammeldags protokoll som ikke støtter MFA, blokker tilgangen. Eksempler er Office 2010, 2013 (uten registernøkler) og den native e-postklienten i Android. Policyen stenger ikke for Exchange ActiveSync.
• Require MFA for Service Management. Policyen krever MFA for å administrere Azure via portalen og kommandolinjen.

Betinget tilgang med Intune

Her skal vi gi et eksempel på betinget tilgang med Microsoft Intune. Først må Intune settes opp som autoritativ for MDM – mobile device management eller mobil enhetsbehandling. Du bør også konfigurere automatisk enhetsregistrering. Det første vi skal gjøre, er å begrense type enheter for en sikkerhetsgruppe. vi kaller MDM Enrollment Restrictions.

Restriksjoner for å registrere enheter

Her vises mulighetene for å begrense hvilke enheter en gruppe kan registrere og dermed bruke for å få adgang til bedriftsdata. Restriksjonene gir et fingranulært kontrollsett for å godkjenne enhetstyper og operativsystem-versjoner. Om du åpner for at brukere kan benytte egne enheter, hindrer du på denne måten at kjente sårbarheter eller beta-versjoner kommer inn i miljøet ditt.

Sette opp restriksjoner for enheter

For gruppen MDM Enrollment Restrictions godtar vi pålogging bare fra iOS-enheter (private og bedriftseide) med iOS 12.4 og høyere, foruten virksomhetens Windows 10 med versjon 1903 – skal leses som utgitt i mars 2019 (internt benyttes bygg-numrene, her 10.0.18362.295). Hver bruker får lov til å registrere tre enheter (standard er fem).

Samsvar for enheter

Så definerer vi samsvarspolicyer for iOS- og Windows 10-enhetene som sikrer at enhetene er i overensstemmelse med organisasjonens retningslinjer. Status for samsvar kan benyttes i policyer for betinget tilgang, som å gi adgang til e-post eller kjernetjenestene i Office 365 generelt.

Dette er våre to enheter – Windows 10 og en iPad – som begge er i samsvar med organisasjonens retningslinjer.

Definere samsvarspolicyer

For Windows 10 har vi valgt 21 innstillinger som omfatter helse, egenskaper, systemsikkerhet og Microsoft Defender ATP. Om en enhet ikke oppfyller alle disse forutsetningene, markeres den som ikke i samsvar. Det igjen kan få følger for hva slags tilgang den får, eller om den blokkeres helt.

• Helsen for enheten krever BitLocker-stasjonskryptering og sikker oppstart (hindrer skadevare i oppstartssekvensen). Kode-integritet er valgt bort fordi det fortsatt er for tungvint å iverksette.
• Egenskaper for enheten angir minimums- og maksimumsversjoner for operativsystemet.
• Samsvar i Configuration Manager er ikke definert, fordi den ikke benyttes.
• Systemsikkerhet omfatter en rekke policyer for passord; kryptert datalagring; Windows-sikkerhet med brannmur, beskyttelse mot spionvare og virus; krav om Trusted Platform Module (TPM); og en rekke innstillinger for Windows Defender, som sanntidsbeskyttelse.
• For Microsoft Defender ATP har vi angitt middels risiko. Om dette nivået overstiges, er enheten ikke i samsvar lenger.

For iOS er det konfigurert en e-postprofil. For helsen er kravet at enheten ikke er jailbroken, og at den ikke beveger seg over et tillatt trusselnivå, som overvåkes av eventuelle Threat Defense-tjenester (her eksperimentelt). Egenskapene gjentar kravet om iOS-versjon. Ellers er det en rekke innstillinger for passord. Under Device Security kan du legge til apper som ikke godtas, så som Dropbox.

Med Apple Configurator, som du må kjøre på en Mac, kan du opprette konfigurasjonsprofiler i Intune som ytterligere lar deg kontrollere iOS-enheter. For større organisasjoner kan det være aktuelt å se nærmere på Jamf Pro – den ledende løsningen for å administrere Apple-enheter – og integrere den i Intune.

Betinget tilgang for kjernetjenestene i Office 365

Her har vi satt opp betinget tilgang for kjernetjenestene i Office 365. Det omfatter e-post og kalendere i Exchange, dokumentbiblioteker og intranett i SharePoint Online, personlig lagring i OneDrive for Business og alle samarbeids- og kommunikasjonsfunksjoner i Microsoft Teams. Tatt i betraktning av hvor integrert dette økosystemet er, får du med andre tjenester som Delve, Planner og To-Do.

Gruppen policyen gjelder for, er et lite utvalg pilotbrukere. Den må testes grundig først før den rulles ut. Det er inkludert tre sky-apper: Exchange, SharePoint og Teams (og dermed har vi langt flere). Utgangspunktet er at alle enheter er i samsvar. Selv i vår hjemlige Microsoft 365-leier (tenant) bruker vi identitetsbeskyttelsen i Azure AD Premium P2 og har satt opp regler for sesjonsrisikoer. Policyen gjelder for iOS og Windows 10. Hjemmenettverket er ekskludert fra stedene tilgangsreglene gjelder for – noe som i høyeste grad kan diskuteres. Klient-appene er moderne med støtte for MFA. Det er ingen sesjonskontroller, som for tiden bare fungerer sammen med Exchange og SharePoint for begrenset tilgang.

Alt dette – enhetsrestriksjoner, samsvarpolicyer og betinget tilgang – danner forutsetningene for at en bruker på disse enhetene skal få tilgang til kjernetjenestene i Office 365. Ikke uten grunn sier Microsoft at Intune med betinget tilgang stenger uvedkommende ute allerede ved inngangsdøren.

Microsoft Defender ATP og Intune

Microsoft Defender Advanced Threat Protection (ATP) kan integreres i Intune. Det krever Microsoft 365 E5. I våre policyer for betinget tilgang har vi i alt vesentlig tatt utgangspunkt i statiske forhold som restriksjoner for enheter og versjoner av operativsystemer pluss en rekke sikkerhetsinnstillinger. Azure AD Information Protection gir i tillegg en vurdering av hvor risikabel sesjonen er. Med Windows Defender ATP kan vi ytterligere ta med dynamiske hendelser som bestemmer om Windows 10-enheter er i samsvar.

Microsoft Defender ATP kan for eksempel oppdage at en Windows 10-maskin er kompromittert med ondsinnet kode som eskalerer angriperens rettigheter til administrator. I vår policy for samsvar har vi satt opp at enheten ikke lenger er i samsvar om risikonivået er høyt eller middels. Dermed kan vi konfigurere en tilgangspolicy som blokkerer enheten fra bedriftens ressurser og hindre at angrepet tar seg videre inn i organisasjonen.

Velmente råd

For oss som har arbeidet lenge med Intune og betinget tilgang, er dette i et nøtteskall erfaringene som har nedfelt seg:

• Benytt Microsoft 365 E5 om du økonomisk kan forsvare det. Den lisensen gir deg den ytterste sikkerhet, med både Azure AD Identity Protection og Microsoft Defender ATP.
• Ta et kurs eller les deg godt opp på betinget tilgang og Intune (MDM for Office 365). Eller ta kontakt med din Microsoft-partner. Det ser enkelt ut til å begynne med, men kan raskt bli ganske komplisert og uoversiktlig.
• Vær oppmerksom på at evalueringen av policyer ikke skjer umiddelbart.
• Du bør være forberedt på at policyene kan oppføre seg annerledes enn ventet. Kontroller logikken grundig.
• Policyer kan være i konflikt med hverandre og må feilsøkes.
• Du må være uhyre forsiktig med betinget tilgang. Velg alltid først en liten testgruppe. Det er alle mulige farer for at du stenger deg selv ute.
• Dokumenter tilgangsreglene grundig, gjerne med flytdiagrammer, så du ser hva som foregår.

Sammendrag

Kombinasjonen av multifaktor-autentisering – også kjent som godkjenning med flere faktorer – og betinget tilgang løser to av de største sikkerhetsutfordringene i Microsoft 365. Med MDM for Office 365 eller Intune kan du eksternt slette bedriftsdata på mobile enheter og dermed møte den tredje utfordringen som vi nevnte innledningsvis: bedriftsdata på enheter som mistes eller stjeles.

Tradisjonelle sikringstiltak som lokale bedriftsnettverk med brannmurer og systemer for å oppdage og avverge trusler har avgjort fortsatt en funksjon. Men beskyttelsen utvannes med en stadig økt bruk av skytjenester og ansatte som jobber utenfor kontorets vegger. Mobil enhets- og applikasjonsbehandling med betinget tilgang gir deg den sikkerhet og kontroll du trenger, uten at det går utover brukerne dine. Den beste – og dyreste løsningen – er Microsoft 365 E5, som lar deg integrere identitetsbeskyttelse og Microsoft ATP i tilgangsreglene for bedriftsressurser.