Microsoft 365 Business har skiftet navn til Microsoft 365 Business Premium. Med navneendringen følger en full lisens på Azure Active Directory (AD) Premium P1 uten ekstra omkostninger. Fra før av inneholder pakken tre Azure AD Premium-funksjoner: betinget tilgang, utvidet støtte for multifaktor-autentisering og selvbetjent tilbakestilling av passord – sentrale komponenter i en moderne sikkerhet basert på null klarering. Nå får du også følgende tjenester, som tidligere var forbeholdt Microsoft 365 Enterprise E3 og E5:
Cloud App Discovery beskytter mot uautorisert datatilgang og skygge-IT. Azure AD Application Proxy sørger for trygg tilgang til lokale applikasjoner. Dynamiske grupper gjør det lettere å administrere brukere og enheter. Passordløs autentisering forenkler og sikrer brukerpåloggingen. Ut over det er det en rekke andre nye mekanismer, som behandles mer summarisk her. Microsoft 365 Business Premium er dermed et enda bedre valg for små og mellomstore bedrifter. Oppdateringen rulles allerede ut til nye kunder. Eksisterende virksomheter får den i løpet av de nærmeste ukene.
Microsoft 365 Business
Microsoft 365 Business består av tre produktkategorier, som er priset mye lavere enn Enterprise-versjonene. Riktig nok er det en begrensning på opptil 300 brukere. Navnebyttet er uttrykk for at plattformen støtter mer enn bare kontorfunksjoner. Microsoft omtaler den i dag som «verdens produktivitetssky». Den gir effektive muligheter for samarbeid. Du kan ta i bruk kunstig intelligens for å automatisere arbeidet ditt. Det finnes avanserte verktøy for å administrere enheter og sikkerhet. Innovasjonene slutter ikke der, men pågår i en rivende utvikling. Tredelingen av produktspekteret gjør det også lettere for deg å velge riktig abonnement.
Microsoft 365 Business Basic er den rimeligste pakken. Det egner seg for bedrifter som trenger Microsoft Teams, e-post og skylagring. Her får du nett- og mobilutgaver av Word, Excel, PowerPoint og Outlook. Business Standard plusser på med skrivebordsversjoner av Office-pakken for PC og Mac. Du kan administrere tidsplaner og daglige gjøremål med Teams. Microsoft Bookings lar kunder planlegge og behandle avtaler. Business Premium utvider tjenestene og programmene i Standard med omfattende sikkerhetsfunksjoner som er helt uunnværlige for bedrifter i dag.
Azure Active Directory
Azure AD er det skybaserte motstykket til Windows AD. Det lar deg administrere brukere, grupper og rettigheter med tilganger. Der slutter også likhetstrekkene. Det er ingen gruppepolicyer; i stedet må du bruke konfigurasjonspolicyer i Intune. Til gjengjeld finner du et rikt utvalg av verktøy for å sikre brukere og apper. Azure AD er tilgjengelig i fire utgaver med forskjellige grader av funksjonalitet.
Premium P1 – som følger med Microsoft 365 Business Premium nå – er utformet for å styrke organisasjoner med mer krevende behov for identitets- og tilgangsstyring. Det legger til et bredt spekter av funksjoner som beskytter brukere og gir dem sømløs tilgang til tjenester lokalt og i skyen. Om det er behov for ytterligere sikkerhet for enkelte, kan du tegne lisenser på Azure AD Premium P2, som gir avansert identitetsbeskyttelse og administrasjon av privilegerte identiteter.
Du kan synkronisere Windows AD med Azure AD for engangspålogging (single sign-on). Dermed blir det helt transparent for brukere om de benytter skybaserte eller lokale applikasjoner. Det hjelper de ansatte med å få tilgang til denne typer tjenester:
- Eksterne ressurser som for eksempel Azure-portalen, Microsoft 365 og forskjellige andre SaaS-applikasjoner
- Interne ressurser i bedriftsnettverket som aksesseres lokalt, i tillegg til lokale apper som er gjort tilgjengelig i skyen.
SaaS står for software as a service – programvare som tjeneste – som innebærer at den er klar til bruk. Du må eventuelt foreta enkelte tilpasninger og se til at sikkerheten er i samsvar med dine krav. Autentiseringen mot Azure AD gir også tilgang til tredjeparter, som skybaserte applikasjoner i Oracle og Google Cloud. HR-appene i figuren aksesseres via det interne nettet. De lokale og eldre appene er publisert med Azure AD Application Proxy.
Sikkerhet i Microsoft 365 Business Premium
Microsoft 365 Business Premium var allerede spekket med sikkerhetsmekanismer før den fikk Azure AD Premium P1. Her er det verktøy for å beskytte firmadata på personlige og bedriftseide enheter. Du kan sørge for trygg adgang til virksomheten med brukergodkjenning og policybaserte regler. Grafikken ovenfor gir en kjapp oversikt over de viktigste egenskapene.
Selvbetjent tilbakestilling av passord avlaster naturligvis helpdesk, men lar deg også reagere raskere ved mistanke om at legitimasjonen er kompromittert. Multifaktor-autentisering (MFA) reduserer faren for identitetstyveri med 99,9 prosent. Betinget tilgang lar deg kvalifisere om og hvordan en bruker og enhet skal få adgang til virksomheten. Reglene kan kombineres med MFA. Du kan kreve denne type godkjenning ved pålogging fra Internett og fravike kravet på ditt interne nettverk.
Microsoft Intune benyttes til mobil enhets- og applikasjonsbehandling for å beskytte enheter og apper. Du kan distribuere oppdateringer til Windows 10 og mobilenheter. Du kan rulle ut apper. Her finner du appbeskyttelsespolicyer for å sikre apper og data. Office 365 Advanced Threat Protection (ATP) skjermer e-post mot farlige koblinger, skadelige vedlegg og phishing. Du kan sette opp regler for å hindre tilsiktet og utilsiktet datalekkasje (DLP el. data loss prevention).
I senere tid er funksjonaliteten for Office 365 ATP og DLP utvidet til også å omfatte OneDrive, SharePoint og Teams. I Exchange er det funksjoner for arkivering, som nå også gjelder andre typer lagring i Microsoft 365 – viktig om du må oppbevare e-postmeldinger og dokumenter av juridiske årsaker, eller hvis du trenger adgang til dem etter at ansatte har sluttet. Du kan sende krypterte meldinger fra endepunkt til endepunkt. Azure Information Protection lar deg klassifisere dokumenter og e-post, rettighetsbeskytte dem og spore bruken. Ved behov kan tildelte rettigheter tilbakekalles.
Nye funksjoner med Azure AD Premium
Med denne bakgrunn på plass er det på tide å se nærmere på hvordan Azure AD Premium P1 ytterligere forbedrer sikkerheten i et allerede imponerende sikkert produkt. Det omfatter særlig fire tjenester som Microsoft fremhever: Cloud App Discovery, Azure AD Application Proxy, dynamiske grupper og passordløs autentisering. Andre nye funksjoner – uten krav på fullstendighet – omfatter passordbeskyttelse (tilpassede, forbudte passord), selvbetjent gjenoppretting av BitLocker, avanserte rapporter om sikkerhet og bruk, delegering av tillatelse til å opprette grupper, policyer for gruppenavn og grupper med utløpsdato.
Cloud App Discovery
Cloud App Discovery beskytter mot uautorisert datatilgang og skygge-IT. I moderne bedrifter hvor det er lov å ta med private enheter eller jobbe hjemmefra, skjer det lett at IT-avdelingen mister oversikten over skyappene som benyttes. Uautorisert tilgang til firmadata, mulig datalekkasje og andre sikkerhetsrisikoer som oppstår ved bruk av uoffisielle nettsky-applikasjoner, forårsaker jevnlig hodebry for IT. Med Cloud App Discovery kan du håndtere disse utfordringene. Azure AD-funksjonen gir detaljert innsikt i skyapplikasjonene og lager rapporter som gir en bred analyse av landskapet.
Cloud App Discovery analyserer bruken av skyapper og gir informasjon om en bestemt app, bruker eller IP-adresser. Du mottar varslinger om nyoppdagede apper. For å finne farlige skyapplikasjoner sammenliknes trafikklogger med en katalog med over 16 000 applikasjoner. Disse klassifiseres etter en verdi som består av 80 forskjellige risikofaktorer. Cloud App Discovery tilbyr følgende funksjoner:
- Finne alle anvendte applikasjoner og anslå bruken av dem i henhold til antall brukere, trafikkvolumet og summen av Internett-forespørsler fra applikasjonen.
- Identifisering av brukere av applikasjoner.
- Mulighet for data-eksport for offline-analyse.
- Prioriter applikasjoner for å holde kontroll over IT og integrere applikasjoner for å muliggjøre enkel pålogging og brukerstyring.
Azure AD Application Proxy
Application Proxy gir sikker tilgang til interne applikasjoner fra Internett. Funksjonen tilbyr mer sikkerhet enn konvensjonelle VPN- eller reverse proxy-løsninger og er enklere å sette opp. Brukere gis adgang like enkelt og sikkert som de jobber med Microsoft 365 og andre Azure AD SaaS-løsninger. Du behøver ikke tilpasse applikasjonen. Det er ikke behov for å åpne brannmuren for innkommende tilkoblinger. Trafikken initialiseres fra innsiden. Om du ser for deg dette scenarioet videre, behøver ingen brukere å komme inn i internnettverket for serverne. Det er ikke behov for VPN, annet enn for administratorer. Det er det Microsoft har gjort. Dette gjør ditt datasenter uhyre sikkert.
Her er IaaS nevnt, som står for infrastructure as a service (infrastruktur som tjeneste). I det ligger at du flytter servere opp i skyen, for eksempel til Microsoft Azure, og kjører dem som virtuelle maskiner der. Med bare én pålogging kan du få tilgang til både sky- og lokalapper via en ekstern URL eller en intern applikasjonsportal. Azure AD kan også spare omkostninger ved at du ikke trenger foreta endringer i infrastrukturen eller sette opp en gateway inn. Med eksterne arbeidsscenarioer er det viktig at ansatte har trygg tilgang til disse applikasjonene uavhengig av hvor de befinner seg.
Azure AD Application Proxy er en lett agent som gir Internett-tilgang til lokale apper uten å åpne for bred adgang inn i bedriftsnettverket. Du kan kombinere dette med din eksisterende Azure AD-godkjenning og betinget tilgang for å sørge for at brukerne og dataene dine er beskyttet. For feiltoleranse bør agenten kjøre på minst to servere.
Applikasjonen er publisert. Du kan legge til et eget sertifikat med ditt domenenavn. I skjermbildet er det valgt at Application Proxy skal slippe gjennom trafikken uten godkjenning (passthrough). Dette kan være hensiktsmessig for en webserver. Som regel vil du velge pre-autentisering. Da kan du integrere alle sikkerhetsmekanismer for pålogging i Azure AD.
Dynamiske grupper
Dynamiske grupper reduserer arbeidet med å administrere brukere og enheter. Disse er som regel satt opp med attributter i AD som departement og avdeling. AD-attributtene bestemmer automatisk gruppemedlemskapet. Dette er et konsept som er overtatt fra dynamiske distribusjonsgrupper i Exchange, men her benyttes det til sikkerhetsgrupper og Office 365-grupper. Fra før av vet vi at vi ikke skal tildele rettigheter og tilganger direkte til brukere og enheter, men på gruppenivå.
Passordløs autentisering
Passordløs autentisering forenkler påloggingen og gjør den sikrere. Brukere slipper å huske og endre passord. I stedet går de gjennom en godkjenningsprosess som er basert på noe de er, noe de har, noe de vet. Dette er biometriske data som ansiktsgjenkjenning eller fingeravtrykk; en mobil med Microsoft Godkjenner-appen (Authenticator) eller en USB-stikk; og en PIN-kode. Det er støtte for tre passordløse alternativer: Windows Hello for Business (ikke vist her) krever Windows 10 og enheter med infrarødt kamera eller fingeravtrykkavleser. Du kan bruke Microsofts mobilapp. Den tredje muligheten er å plugge inn en FIDO2-sikkerhetsnøkkel i USB-porten. Alt dette er bedre enn kombinasjonen av bare brukernavn og passord. Du styrker dermed sikkerheten i betydelig grad.
Windows 10 Business
Bildet av sikkerhetsfunksjonene her blir ufullstendig om vi ikke tar med Windows 10 Business, en tilpasset versjon av Windows 10 Pro som må være installert på forhånd. Når enheten kobles til organisasjonens Azure AD, oppgraderes den automatisk til Windows 10 Business. Det er et sett med skytjenester og funksjoner for enhetsbehandling som utfyller Windows 10 Pro og aktiverer sentralisert administrasjon og sikkerhetskontroller for Microsoft 365 Business Premium.
På den måten får bedriften kontroll over Windows 10 og holder enheten oppdatert. Du beskytter PCer mot virus og andre trusler ved hjelp av Windows Defender Antivirus. Du skjermer dem mot nettbaserte trusler i Microsoft Edge. Du kan bruke regler som reduserer angrepsflaten på enheter, som blant annet beskyttelse mot løsepengevirus. Endelig forenkles administrasjonen av BitLocker. Du har en lisens på Windows Virtual Desktop.
Avsluttende ord
Microsoft 365 Business Premium betyr forretning. Plattformen gir deg det du trenger, for å drive frem en digital transformasjon av virksomheten din og skape den moderne arbeidsplass. Du får en rekke funksjoner som tidligere krevde Microsoft 365 Enterprise. Sett deg inn i mulighetene og omsett dem i praksis. Med Microsoft 365 kan du reagere smidig og svare raskt på endringer i markedet – agilt og elastisk – kjennetegnet på en levedyktig bedrift. Du styrker informasjonsflyten og samarbeidet, internt mellom ansatte og med kunder. Tilpass arbeidsstilen. Den yngre generasjon som er vokst opp med mobilenheter og alltid er på nett, har et annet forhold til teknologi enn den eldre garde.
Øk mobiliteten. Sørg for sikker oppkobling for folk på farten og hjemmekontor. Generer bedre intelligente innsikter og analyser med enkle oversikter over bedriftsinformasjonen din. Innfri dine krav til samsvar for å beskytte data. Tradisjonelle sikkerhetssystemer er komplekse, ofte vanskelig å forstå og statiske. Gå i gang med en enkel modell basert på null klarering (zero trust). Da begynner du også å bli klar til å forvandle en hybrid infrastruktur til et moderne skymiljø. Filservere kan avvikles ved å flytte hjemmeområder til OneDrive og fellesområder til SharePoint. Du kan publisere interne applikasjoner til Internett for sikker tilgang via Azure AD Application Proxy. Det er denne type scenarioer Microsoft 365 Business Premium legger opp til.
