Nyheter, tips og triks fra gjengen i Lillevik IT
De tre største sikkerhetsutfordringene for din moderne arbeidsplass er identitetstyveri, kompromitterte enheter og mobilenheter som mistes eller stjeles. Multifaktor-autentisering (MFA) reduserer drastisk sjansen for at uvedkommende kan nyttiggjøre seg din påloggingsinformasjon. Azure AD Premium og Microsoft Intune sikrer identiteter, enheter og tilgangen til data. Med MDM for Office 365 eller Intune kan du fjernslette bedriftsdata på enheter som er gått tapt.
Sentralt i disse sikringstiltakene står betinget tilgang, en mekanisme som lar deg sette opp regler for tilgangen til firmaprogrammer og ressurser. Sånn kan du tillate adgang til e-post bare hvis bruker er autentisert med MFA på en enhet som er i samsvar med dine krav. Du kan definere forhold som bruker- og enhetsstatus, sted, applikasjonsfølsomhet og risiko. Dermed sørger du for et godt beskyttet miljø med full kontroll over enheter og applikasjoner – uten at det går utover brukernes produktivitet.
Betinget tilgang danner én av hjørnesteinene i sikkerheten i Microsoft 365. Den opererer med par som består av betingelser og tilgangskontroller. Du kan også se på dem som hvis–så-utsagn: Hvis gitte forutsetninger er til stede, utfør bestemte handlinger. La oss forsøke å bryte ned grafikken. På venstre side er det listet opp betingelser som er inndelt i:
På høyre side er kontrollene eller handlingene som styrer tilgangen til skytjenester i Microsoft Azure og Office 365, skybaserte apper fra tredjeparter og applikasjoner som kjører lokalt (on-premises). Tilgangskontrollene angir:
Det kan være flere policyer som trer i kraft. Disse evalueres i sanntid av det Microsoft kaller Real Time Evaluation Engine. Om du har identitetsbeskyttelse på plass, benyttes i tillegg maskinlæring for å vurdere risikonivået for sesjonene.
Betinget tilgang er en egenskap ved Azure Active Directory (AD) Premium. Den følger ikke med Gratis- og Basic-utgavene. Premium P1 – som inngår i Enterprise Mobility + Security (EMS) E3 og Microsoft 365 E3 – lar deg sette opp vilkår basert på identitet, gruppe, plassering og enhetsstatus.
Med Premium P2 – som er del av EMS E5 og Microsoft 365 E5 – kan du konfigurere risikobasert betinget tilgang med utgangspunkt i den innebygde identitetsbeskyttelsen. Her er det i Azure AD Identity Protection flagget to hendelser som oppfattes som middels risikofylte. Det kan være et tegn på identitetstyveri. For å helgardere deg krever tilgangspolicyen at du autentiserer med MFA.
Microsoft Intune er en skybasert løsning for mobil enhets- og applikasjonsbehandling og administrasjon av Windows 10. Intune utvider mekanismene i Azure AD Premium med omfattende funksjoner for enhets- og appbasert betinget tilgang.
Microsoft 365 Business kommer med samme retningslinjer for betinget tilgang og konfigurasjoner som i Azure AD Premium P1. Men her har du bare MDM for Office 365, ikke Intune. Dermed er det ikke støtte for policydefinisjoner som tar utgangspunkt i at enhetene er i samsvar.
Under Conditional Access – Policies har Microsoft satt opp fire basis-regelsett for betinget tilgang som forhåndsversjon. I utgangspunktet er de ikke aktivert:
Her skal vi gi et eksempel på betinget tilgang med Microsoft Intune. Først må Intune settes opp som autoritativ for MDM – mobile device management eller mobil enhetsbehandling. Du bør også konfigurere automatisk enhetsregistrering. Det første vi skal gjøre, er å begrense type enheter for en sikkerhetsgruppe. vi kaller MDM Enrollment Restrictions.
Her vises mulighetene for å begrense hvilke enheter en gruppe kan registrere og dermed bruke for å få adgang til bedriftsdata. Restriksjonene gir et fingranulært kontrollsett for å godkjenne enhetstyper og operativsystem-versjoner. Om du åpner for at brukere kan benytte egne enheter, hindrer du på denne måten at kjente sårbarheter eller beta-versjoner kommer inn i miljøet ditt.
For gruppen MDM Enrollment Restrictions godtar vi pålogging bare fra iOS-enheter (private og bedriftseide) med iOS 12.4 og høyere, foruten virksomhetens Windows 10 med versjon 1903 – skal leses som utgitt i mars 2019 (internt benyttes bygg-numrene, her 10.0.18362.295). Hver bruker får lov til å registrere tre enheter (standard er fem).
Så definerer vi samsvarspolicyer for iOS- og Windows 10-enhetene som sikrer at enhetene er i overensstemmelse med organisasjonens retningslinjer. Status for samsvar kan benyttes i policyer for betinget tilgang, som å gi adgang til e-post eller kjernetjenestene i Office 365 generelt.
Dette er våre to enheter – Windows 10 og en iPad – som begge er i samsvar med organisasjonens retningslinjer.
For Windows 10 har vi valgt 21 innstillinger som omfatter helse, egenskaper, systemsikkerhet og Microsoft Defender ATP. Om en enhet ikke oppfyller alle disse forutsetningene, markeres den som ikke i samsvar. Det igjen kan få følger for hva slags tilgang den får, eller om den blokkeres helt.
For iOS er det konfigurert en e-postprofil. For helsen er kravet at enheten ikke er jailbroken, og at den ikke beveger seg over et tillatt trusselnivå, som overvåkes av eventuelle Threat Defense-tjenester (her eksperimentelt). Egenskapene gjentar kravet om iOS-versjon. Ellers er det en rekke innstillinger for passord. Under Device Security kan du legge til apper som ikke godtas, så som Dropbox.
Med Apple Configurator, som du må kjøre på en Mac, kan du opprette konfigurasjonsprofiler i Intune som ytterligere lar deg kontrollere iOS-enheter. For større organisasjoner kan det være aktuelt å se nærmere på Jamf Pro – den ledende løsningen for å administrere Apple-enheter – og integrere den i Intune.
Her har vi satt opp betinget tilgang for kjernetjenestene i Office 365. Det omfatter e-post og kalendere i Exchange, dokumentbiblioteker og intranett i SharePoint Online, personlig lagring i OneDrive for Business og alle samarbeids- og kommunikasjonsfunksjoner i Microsoft Teams. Tatt i betraktning av hvor integrert dette økosystemet er, får du med andre tjenester som Delve, Planner og To-Do.
Gruppen policyen gjelder for, er et lite utvalg pilotbrukere. Den må testes grundig først før den rulles ut. Det er inkludert tre sky-apper: Exchange, SharePoint og Teams (og dermed har vi langt flere). Utgangspunktet er at alle enheter er i samsvar. Selv i vår hjemlige Microsoft 365-leier (tenant) bruker vi identitetsbeskyttelsen i Azure AD Premium P2 og har satt opp regler for sesjonsrisikoer. Policyen gjelder for iOS og Windows 10. Hjemmenettverket er ekskludert fra stedene tilgangsreglene gjelder for – noe som i høyeste grad kan diskuteres. Klient-appene er moderne med støtte for MFA. Det er ingen sesjonskontroller, som for tiden bare fungerer sammen med Exchange og SharePoint for begrenset tilgang.
Alt dette – enhetsrestriksjoner, samsvarpolicyer og betinget tilgang – danner forutsetningene for at en bruker på disse enhetene skal få tilgang til kjernetjenestene i Office 365. Ikke uten grunn sier Microsoft at Intune med betinget tilgang stenger uvedkommende ute allerede ved inngangsdøren.
Microsoft Defender Advanced Threat Protection (ATP) kan integreres i Intune. Det krever Microsoft 365 E5. I våre policyer for betinget tilgang har vi i alt vesentlig tatt utgangspunkt i statiske forhold som restriksjoner for enheter og versjoner av operativsystemer pluss en rekke sikkerhetsinnstillinger. Azure AD Information Protection gir i tillegg en vurdering av hvor risikabel sesjonen er. Med Windows Defender ATP kan vi ytterligere ta med dynamiske hendelser som bestemmer om Windows 10-enheter er i samsvar.
Microsoft Defender ATP kan for eksempel oppdage at en Windows 10-maskin er kompromittert med ondsinnet kode som eskalerer angriperens rettigheter til administrator. I vår policy for samsvar har vi satt opp at enheten ikke lenger er i samsvar om risikonivået er høyt eller middels. Dermed kan vi konfigurere en tilgangspolicy som blokkerer enheten fra bedriftens ressurser og hindre at angrepet tar seg videre inn i organisasjonen.
For oss som har arbeidet lenge med Intune og betinget tilgang, er dette i et nøtteskall erfaringene som har nedfelt seg:
Kombinasjonen av multifaktor-autentisering – også kjent som godkjenning med flere faktorer – og betinget tilgang løser to av de største sikkerhetsutfordringene i Microsoft 365. Med MDM for Office 365 eller Intune kan du eksternt slette bedriftsdata på mobile enheter og dermed møte den tredje utfordringen som vi nevnte innledningsvis: bedriftsdata på enheter som mistes eller stjeles.
Tradisjonelle sikringstiltak som lokale bedriftsnettverk med brannmurer og systemer for å oppdage og avverge trusler har avgjort fortsatt en funksjon. Men beskyttelsen utvannes med en stadig økt bruk av skytjenester og ansatte som jobber utenfor kontorets vegger. Mobil enhets- og applikasjonsbehandling med betinget tilgang gir deg den sikkerhet og kontroll du trenger, uten at det går utover brukerne dine. Den beste – og dyreste løsningen – er Microsoft 365 E5, som lar deg integrere identitetsbeskyttelse og Microsoft ATP i tilgangsreglene for bedriftsressurser.
Legg igjen en kommentar
Vi er spesialisert på drift, support og Microsoft skytjenester, og er for de fleste av våre kunder it-avdelingen de ikke har selv. Vi kan dokumentere høy kompetanse, og et stort antall aktive og tilfredse kunder. Vi er Microsoft Gold Partner, og fokuserer på å levere alle tjenester som en ren tjeneste til fast pris per måned med ubegrenset support og full fleksibilitet. 100% Fornøydhetsgaranti på alle tjenester.
Vinner av Microsoft sin hederspris "Beste kundetilfredshet 2017"