Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


23.05.2019

Wzmocniony model

Panasonic Toughbook FZ-N1
23.05.2019

Szybsze sieci

D-Link Smart Mesh Wi-Fi AC1900/AC2600/AC3000
23.05.2019

Curved 4K

Samsung LU32R590
14.05.2019

Bezpłatna konferencja OSEC...

Jako patron medialny serdecznie zapraszamy na bezpłatną konferencję OSEC Forum 2019, któa...
23.04.2019

Optymalizacja zużycia chmury

HPE GreenLake Hybrid Cloud
23.04.2019

Zarządzanie wydajnością

VMware vRealize Operations 7.5
19.04.2019

Technologie open source

SUSECON 2019
19.04.2019

Wyjątkowo małe

OKI seria C800
19.04.2019

Łatwy montaż

Rittal AX i KX

Bezpieczeństwo platformy Office 365

Data publikacji: 18-04-2019 Autor: Paweł Serwan
Mechanizm Conditional Access

Nie jest łatwo nauczyć użytkowników bezpiecznego korzystania z platformy Office 365, skoro trudno im nawet wytłumaczyć różnicę między pakietem biurowym Office a platformą do współpracy (nie mylić z kolaboracją), wymiany danych i komunikacji, jaką jest Office 365. Dlatego postaramy się pokazać, w jaki sposób można zadbać o bezpieczeństwo przy implementacji usług Office 365 w środowisku produkcyjnym firmy.

 

Słowo „Office” nierozłącznie kojarzy się wszystkim użytkownikom technologii Microsoft z jednym – z pakietem biurowym będącym codziennym towarzyszem tworzenia prezentacji dla szefa, pisania nudnych i długich raportów dla przełożonych bądź działów zarządzających czy z „fascynującą” przygodą tworzenia pivotów w Excelu. Tak, każdy z nas zna Worda, Power Pointa i Excela nie od dziś. Można powiedzieć, że Microsoft zrobił niedźwiedzią przysługę wszystkim działom wsparcia, administratorom, inżynierom i architektom, którzy co krok muszą tłumaczyć, że Office 365 to nie Word, Excel i PowerPoint w chmurze. Codziennie muszą wyjaśniać zdezorientowanym użytkownikom, że hasło trzeba wpisać, gdy korzystają z Teams albo Intune na swoim telefonie albo urządzeniu prywatnym, ale na pewno nie muszą tego robić, otwierając dokument Worda na swoim laptopie firmowym. Chyba że otwierają go z SharePoint Online, korzystając z przeglądarki Chrome.

Artykuł ten nie jest zestawem rekomendowanych praktyk firmy Microsoft, ale bardziej próbą spojrzenia na temat z perspektywy przyszłego administratora platformy Office 365 i krótkim opisem produktów, które możemy wykorzystać, by podnieść bezpieczeństwo naszego środowiska Office 365.

> ENTERPRISE MOBILITY + SECURITY

Mówiąc o bezpieczeństwie platformy Office 365, trzeba wspomnieć o pakiecie EMS – Enterprise Mobility + Security. Jest to zestaw usług i narzędzi, który rozszerza możliwości zarządzania i zabezpieczeń platformy Office 365. W skład pakietu Enterprise Mobility + Security wchodzą następujące funkcje: zarządzanie tożsamością użytkowników i dostępem do zasobów, zarządzanie pracą na urządzeniach mobilnych – zarówno korporacyjnych, jak i prywatnych (BYOD) – poprzez platformę Microsoft Intune, ochrona informacji w organizacji oraz ochrona aplikacji w chmurze i on-premise.

Obecnie dostępne są dwa poziomy licencji pakietu EMS: E3 oraz E5. Podobnie jak w przypadku licencji Office 365 możliwe jest założenie testowej subskrypcji pakietu Enterprise Mobility + Security E5. W tym celu należy odwiedzić stronę tinyurl.com/EnterMob i postępować zgodnie z informacjami wyświetlanymi w kreatorze tworzenia testowej subskrypcji. Jest ona ważna przez 30 dni i w ten sposób możemy przetestować interesujące nas usługi i narzędzia przed zakupem licencji dla naszej organizacji. Przejdźmy zatem do opisu poszczególnych usług i narzędzi, które pozwolą podnieść poziom bezpieczeństwa naszego środowiska Office 365.

> ZARZĄDZANIE TOŻSAMOŚCIĄ I ZASOBAMI

Azure Active Directory to usługa katalogowa przygotowywana dla każdej nowej subskrypcji utworzonej na platformie Azure bądź Office 365. Pozwala ona na zarządzanie użytkownikami, przydzielanie licencji i nadawanie dostępów do zasobów na platformach Office 365 i Azure. Możemy zabezpieczyć podstawowe usługi w naszym środowisku Office 365 na trzy sposoby:

 

  • nadać uprawnienia do konkretnych aplikacji i usług ograniczonej liczbie użytkowników;
  • w ramach konkretnych aplikacji i usług nadać tylko ograniczonej liczbie użytkowników prawo do tworzenia np. nowych stron w witrynie SharePoint Online lub Teams bądź wskazać, które grupy mogą współdzielić informacje z osobami spoza naszej organizacji;
  • rozdzielić konta zwykłych użytkowników od kont mających role administratorów w usługach Office 365.


Usługa Azure Active Directory dostępna jest w czterech wersjach: Free, Basic, Premium P1 oraz Premium P2. W wersji Free nie dostajemy oczywiście żadnych funkcji, które podniosłyby poziom bezpieczeństwa naszego tenanta Office 365. Natomiast już w wersji Basic dostępna jest usługa Application Proxy, która zostanie opisana w części dotyczącej bezpieczeństwa aplikacji.

Poniżej przedstawimy najpierw funkcje dostępne w pakiecie Azure Active Directory Premium P1, a dwie ostatnie występują w ramach licencji Azure Active Directory Premium P2. Oba pakiety można zakupić jako osobne licencje bądź w ramach licencji EMS E3 (Azure AD Premium P1) oraz EMS E5 (Azure AD Premium P2).

UWIERZYTELNIANIE WIELOSKŁADNIKOWE

Azure Multi-Factor Authentication to usługa pozwalająca na dwuetapową (dwuskładnikową) weryfikację użytkownika w procesie logowania do usługi Office 365 bądź innej aplikacji typu SaaS czy aplikacji on-premise (wykorzystującej zainstalowany lokalnie Azure Multi-Factor Authentication Server). Drugim składnikiem/etapem, który możemy stosować w procesie logowania użytkownika, jest wiadomość tekstowa SMS z jednorazowym kodem, połączenie telefoniczne z automatyczną obsługą firmy Microsoft lub aplikacja mobilna Microsoft Authenticator. Aplikacja ta może wykorzystywać zarówno tzw. soft token (kod generowany co 30 sekund), jak i powiadomienia z prośbą o potwierdzenie logowania do aplikacji/systemu. Usługa ta została szczegółowo opisana w numerze 11/2018 „IT Professional”.

DOSTĘP WARUNKOWY (CONDITIONAL ACCESS)

Conditional Access, czyli zasady dostępu warunkowego, pozwalają na ograniczenie dostępu do zasobów bądź aplikacji platformy Office 365 w zależności od wystąpienia konkretnego zdarzenia. Zasady Conditional Access definiują scenariusz dostępu zgodnie z mechanizmami kontroli dostępu i warunkiem dostępu.

Mechanizmy kontroli dostępu – w zasadach dostępu warunkowego określają reakcje na konkretne zdarzenie. Należy pamiętać, że celem zasad dostępu warunkowego nie jest udzielanie dostępu do aplikacji czy usług Office 365 – to jest zależne od odpowiednich grup i ustawień użytkowników usługi Azure Active Directory. Zasady dostępu warunkowego umożliwiają określenie, w jaki sposób autoryzowani użytkownicy (czyli ci, którym udzielono dostępu do aplikacji w chmurze) mogą korzystać z aplikacji w chmurze w określonych warunkach. Reakcja określona w zasadach może wprowadzać dodatkowe wymagania, na przykład dotyczące uwierzytelniania za pomocą Azure MFA, logowania użytkownika z zarządzanego urządzenia (będącego pod kontrolą Microsoft Intune), a w najbardziej restrykcyjnym scenariuszu zasady dostępu warunkowego mogą zablokować dostęp.

 

[...]

 

Projektant, inżynier i pasjonat technologii wirtualizacji oraz cloud computing. Na co dzień pracuje jako architekt IT i zajmuje się rozwiązaniami End User Computing. Od kilku lat prowadzi blog, w którym opisuje głównie rozwiązania RDS, SBC i VDI. Założyciel i lider Polskiej Grupy Użytkowników Citrix (PLCUG). W 2017 roku odznaczony tytułem Citrix Technology Advocate. Posiada tytuły: MCP, MCSA, MCITP, CCP-V.  

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"