Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



17.09.2019

PLNOG23 czyli sieci 5G,...

Największa polska konferencja telekomunikacyjna powraca do Krakowa! Wśród nowości ścieżka...
05.09.2019

Cloudya – nowa usługa NFON

Po ponad dekadzie ciągłego rozwoju technologii Cloudya, swobodna i niczym nie ograniczona...
02.09.2019

Na dużą skalę

Kaspersky Hybrid Cloud Security
02.09.2019

Bezpieczny brzeg sieci

Fortinet Secure SD-Branch
02.09.2019

Nowoczesne centra danych

AMD EPYC
30.08.2019

Dostęp do AI i ML

VMware Cloud Foundation
30.08.2019

Lekkość i moc

Toshiba Portégé A30-E
30.08.2019

Bez przestojów

APC Easy UPS On-Line
29.08.2019

Duże moce

Lenovo ThinkSystem SR635 i SR655

Bezpieczeństwo platformy Office 365

Data publikacji: 18-04-2019 Autor: Paweł Serwan
Mechanizm Conditional Access

Nie jest łatwo nauczyć użytkowników bezpiecznego korzystania z platformy Office 365, skoro trudno im nawet wytłumaczyć różnicę między pakietem biurowym Office a platformą do współpracy (nie mylić z kolaboracją), wymiany danych i komunikacji, jaką jest Office 365. Dlatego postaramy się pokazać, w jaki sposób można zadbać o bezpieczeństwo przy implementacji usług Office 365 w środowisku produkcyjnym firmy.

 

Słowo „Office” nierozłącznie kojarzy się wszystkim użytkownikom technologii Microsoft z jednym – z pakietem biurowym będącym codziennym towarzyszem tworzenia prezentacji dla szefa, pisania nudnych i długich raportów dla przełożonych bądź działów zarządzających czy z „fascynującą” przygodą tworzenia pivotów w Excelu. Tak, każdy z nas zna Worda, Power Pointa i Excela nie od dziś. Można powiedzieć, że Microsoft zrobił niedźwiedzią przysługę wszystkim działom wsparcia, administratorom, inżynierom i architektom, którzy co krok muszą tłumaczyć, że Office 365 to nie Word, Excel i PowerPoint w chmurze. Codziennie muszą wyjaśniać zdezorientowanym użytkownikom, że hasło trzeba wpisać, gdy korzystają z Teams albo Intune na swoim telefonie albo urządzeniu prywatnym, ale na pewno nie muszą tego robić, otwierając dokument Worda na swoim laptopie firmowym. Chyba że otwierają go z SharePoint Online, korzystając z przeglądarki Chrome.

Artykuł ten nie jest zestawem rekomendowanych praktyk firmy Microsoft, ale bardziej próbą spojrzenia na temat z perspektywy przyszłego administratora platformy Office 365 i krótkim opisem produktów, które możemy wykorzystać, by podnieść bezpieczeństwo naszego środowiska Office 365.

> ENTERPRISE MOBILITY + SECURITY

Mówiąc o bezpieczeństwie platformy Office 365, trzeba wspomnieć o pakiecie EMS – Enterprise Mobility + Security. Jest to zestaw usług i narzędzi, który rozszerza możliwości zarządzania i zabezpieczeń platformy Office 365. W skład pakietu Enterprise Mobility + Security wchodzą następujące funkcje: zarządzanie tożsamością użytkowników i dostępem do zasobów, zarządzanie pracą na urządzeniach mobilnych – zarówno korporacyjnych, jak i prywatnych (BYOD) – poprzez platformę Microsoft Intune, ochrona informacji w organizacji oraz ochrona aplikacji w chmurze i on-premise.

Obecnie dostępne są dwa poziomy licencji pakietu EMS: E3 oraz E5. Podobnie jak w przypadku licencji Office 365 możliwe jest założenie testowej subskrypcji pakietu Enterprise Mobility + Security E5. W tym celu należy odwiedzić stronę tinyurl.com/EnterMob i postępować zgodnie z informacjami wyświetlanymi w kreatorze tworzenia testowej subskrypcji. Jest ona ważna przez 30 dni i w ten sposób możemy przetestować interesujące nas usługi i narzędzia przed zakupem licencji dla naszej organizacji. Przejdźmy zatem do opisu poszczególnych usług i narzędzi, które pozwolą podnieść poziom bezpieczeństwa naszego środowiska Office 365.

> ZARZĄDZANIE TOŻSAMOŚCIĄ I ZASOBAMI

Azure Active Directory to usługa katalogowa przygotowywana dla każdej nowej subskrypcji utworzonej na platformie Azure bądź Office 365. Pozwala ona na zarządzanie użytkownikami, przydzielanie licencji i nadawanie dostępów do zasobów na platformach Office 365 i Azure. Możemy zabezpieczyć podstawowe usługi w naszym środowisku Office 365 na trzy sposoby:

 

  • nadać uprawnienia do konkretnych aplikacji i usług ograniczonej liczbie użytkowników;
  • w ramach konkretnych aplikacji i usług nadać tylko ograniczonej liczbie użytkowników prawo do tworzenia np. nowych stron w witrynie SharePoint Online lub Teams bądź wskazać, które grupy mogą współdzielić informacje z osobami spoza naszej organizacji;
  • rozdzielić konta zwykłych użytkowników od kont mających role administratorów w usługach Office 365.


Usługa Azure Active Directory dostępna jest w czterech wersjach: Free, Basic, Premium P1 oraz Premium P2. W wersji Free nie dostajemy oczywiście żadnych funkcji, które podniosłyby poziom bezpieczeństwa naszego tenanta Office 365. Natomiast już w wersji Basic dostępna jest usługa Application Proxy, która zostanie opisana w części dotyczącej bezpieczeństwa aplikacji.

Poniżej przedstawimy najpierw funkcje dostępne w pakiecie Azure Active Directory Premium P1, a dwie ostatnie występują w ramach licencji Azure Active Directory Premium P2. Oba pakiety można zakupić jako osobne licencje bądź w ramach licencji EMS E3 (Azure AD Premium P1) oraz EMS E5 (Azure AD Premium P2).

UWIERZYTELNIANIE WIELOSKŁADNIKOWE

Azure Multi-Factor Authentication to usługa pozwalająca na dwuetapową (dwuskładnikową) weryfikację użytkownika w procesie logowania do usługi Office 365 bądź innej aplikacji typu SaaS czy aplikacji on-premise (wykorzystującej zainstalowany lokalnie Azure Multi-Factor Authentication Server). Drugim składnikiem/etapem, który możemy stosować w procesie logowania użytkownika, jest wiadomość tekstowa SMS z jednorazowym kodem, połączenie telefoniczne z automatyczną obsługą firmy Microsoft lub aplikacja mobilna Microsoft Authenticator. Aplikacja ta może wykorzystywać zarówno tzw. soft token (kod generowany co 30 sekund), jak i powiadomienia z prośbą o potwierdzenie logowania do aplikacji/systemu. Usługa ta została szczegółowo opisana w numerze 11/2018 „IT Professional”.

DOSTĘP WARUNKOWY (CONDITIONAL ACCESS)

Conditional Access, czyli zasady dostępu warunkowego, pozwalają na ograniczenie dostępu do zasobów bądź aplikacji platformy Office 365 w zależności od wystąpienia konkretnego zdarzenia. Zasady Conditional Access definiują scenariusz dostępu zgodnie z mechanizmami kontroli dostępu i warunkiem dostępu.

Mechanizmy kontroli dostępu – w zasadach dostępu warunkowego określają reakcje na konkretne zdarzenie. Należy pamiętać, że celem zasad dostępu warunkowego nie jest udzielanie dostępu do aplikacji czy usług Office 365 – to jest zależne od odpowiednich grup i ustawień użytkowników usługi Azure Active Directory. Zasady dostępu warunkowego umożliwiają określenie, w jaki sposób autoryzowani użytkownicy (czyli ci, którym udzielono dostępu do aplikacji w chmurze) mogą korzystać z aplikacji w chmurze w określonych warunkach. Reakcja określona w zasadach może wprowadzać dodatkowe wymagania, na przykład dotyczące uwierzytelniania za pomocą Azure MFA, logowania użytkownika z zarządzanego urządzenia (będącego pod kontrolą Microsoft Intune), a w najbardziej restrykcyjnym scenariuszu zasady dostępu warunkowego mogą zablokować dostęp.

 

[...]

 

Projektant, inżynier i pasjonat technologii wirtualizacji oraz cloud computing. Na co dzień pracuje jako architekt IT i zajmuje się rozwiązaniami End User Computing. Od kilku lat prowadzi blog, w którym opisuje głównie rozwiązania RDS, SBC i VDI. Założyciel i lider Polskiej Grupy Użytkowników Citrix (PLCUG). W 2017 roku odznaczony tytułem Citrix Technology Advocate. Posiada tytuły: MCP, MCSA, MCITP, CCP-V.  

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"