Hopp til hovedinnhold

Aktuelt og fagblogg

Microsoft 365 Enterprise Mobility + Security

Logo letter
Evelon AS
Jon-Alfred Smith

Microsoft Enterprise Mobility + Security (EMS) er det beste valget for å sikre bedriftens data og enheter i Office 365 uten å endre brukeropplevelsen, en intelligent plattform for å administrere mobilitet og sikkerhet. Den bidrar til å beskytte virksomheten og gir de ansatte anledning til å arbeide på nye og fleksible måter. EMS forener flere produkter som kommer med kraftige verktøy for identitets- og tilgangsstyring, foruten informasjons- og trusselbeskyttelse. Det er mekanismer for å kontrollere skyapplikasjoner. Og du får en omfattende løsning for mobil enhets- og databehandling.

Brukere i dag arbeider overalt med flere enheter og apper. Bedriftsdata kan ligge strødd omkring. For oss med ansvar for IT reiser det to utfordringer: sikkerhet og administrasjon. EMS har de nødvendige teknologiene for å få dette under kontroll. Sentralt står identitetsdreven sikkerhet og betinget tilgang. Du begrenser antallet enheter og krever at de er registrert. Så stiller du strenge krav til bruker- og enhetsbekreftelse for at de overhodet skal slippes inn. Det er forhold som plassering, enhetsstatus og risikovurdering. Dataene må være mest mulig selvbeskyttende.

Oversikt over Enterprise Mobility + Security

EMS1

Enterprise Mobility + Security foreligger i to versjoner. EMS E3 gir deg funksjonene ovenfor, med unntak av Cloud App Security, som krever EMS E5. Her er det også flere mekanismer for beskyttelse av brukeridentiteter og automatisering.

Azure Active Directory (AD) autentiserer brukere og lar deg administrere dem, sammen med grupper og enheter. Premium føyer til funksjoner som multifaktor-autentisering, betinget tilgang og engangspålogging til tredjepartsapper. Hybrid integrasjon betyr synkronisering fra Windows AD.

Microsoft Advanced Threat Analytics oppdager kompromitterte brukerkontoer og angripere som har trengt inn i lokalnettet ditt, lenge før de har klart å tilrane seg utvidede domenerettigheter.

Azure Information Protection sørger for vedvarende databeskyttelse av filer som er delt internt og eksternt. Du kan klassifisere og merke data, spore bruken og tilbakekalle rettighetene til dem.

Microsoft Cloud App Security er en sikkerhetsmegler for skytilgang. Du får god synlighet, kontroll over datatrafikk og analyser til å identifisere og bekjempe datatrusler på tvers av skytjenestene dine.

Microsoft Intune gjør det enkelt å administrere og sikre datamaskiner og mobilheter fra én konsoll. Tett integrasjon i Office 365 hjelper deg med å beskyte bedriftsdata i mobile Office-apper.

Azure Active Directory Premium

EMS2

Azure AD er neste generasjons aktive katalogtjeneste for identitets- og tilgangsstyring. Microsoft har utnevnt identiteten til det nye kontrollnivå for sikkerhet, det eneste konstante i en omskiftelig verden der brukere jobber hvor som helst, når som helst, på hva som helst. Azure AD analyserer beskyttelsesstatusen til identitetene dine, tildeler poengsummer og gir råd om forbedring. Tjenesten har flere avanserte egenskaper for å sikre brukere. Azure AD er tilgjengelig i fire utgaver – gratis, for Office 365-apper, Premium P1 (EMS E3) og Premium P2 (EMS E5).

EMS3

Azure AD Premium P1 kommer med utvidet passordbeskyttelse som hindrer deg i å benytte svake passord, en av de mest utbredte sikkerhetstrusler. Selvbetjent tilbakestilling av passord er hendig i seg selv og nyttig ved mistanke om identitetslekkasje. Godkjenning med flere faktorer (MFA) reduserer drastisk faren for at en kriminell kan nyttiggjøre seg legitimasjonen din. Betinget tilgang stiller krav til bruker, enhet, applikasjon og sesjon for overhodet å gi adgang til bedriftsdata.

EMS4

Passord er i ferd med å bli en levning fra svunne tider. Selv sterke passord kan bli kompromittert. Microsoft holder på å rulle ut policyer for passordløs godkjenning, som vil beskytte deg godt mot legitimasjonstyveri.

Multifaktor-autentisering

Office 365 gir deg Godkjenning med flere faktorer (mobilapp, sms, oppringning), som er en forenklet versjon av Azure MFA. Her får du den fulle utgaven med gode rapporteringsmuligheter. Det er støtte for fast anrops-ID og tilpassede telefonhilsener. Du kan angi klarerte nettverk som unntas fra MFA, og integrere MFA med betinget tilgang.

Betinget tilgang

EMS5

Betinget tilgang lar deg kontrollere adgangen til ressurser i skyen og lokalt. Vilkårene kan bygge på bruker og gruppe, sky- og klientapplikasjon, enhetstilstand og nettverksplassering. Med Premium P2 kan du vurdere risikoen. Handlingene kan være Tillat, Krev MFA eller Blokker. Ta for eksempel:

  • Brukere med iPhone skal ha tilgang til bedriftens e-post. Betingelsen er at mobilenheten må være kryptert, sekssifret PIN-kode og minst iOS 12.4.0. Eneste godtatte app er Outlook.
  • Brukere på Windows 10 kan logge på uten MFA når de er på virksomhetens lokalnett. Nå befinner en ansatt seg på et nettverk utenfor og avkreves MFA.
  • Azure Identity Protection har slått alarm. En bruker på en Mac er utsatt for identitetstyveri. Påloggingen blokkeres.

Funksjoner i Azure AD Premium P2 (EMS E5)

Her får du to vesentlige funksjoner: Azure AD Identity Protection og Privileged Identity Management. Begge to bidrar til en betydelig bedre sikring av brukeridentiteter.

EMS6

Identitetsbeskyttelsen oppdager sårbarheter i kontoer. Du kan undersøke risikohendelser ved pålogginger og sette opp retningslinjer for betinget tilgang basert på risiko. Policyen ovenfor beskytter mot påloggingsrisikoer karakterisert som middels og høye. Det omfatter lekket legitimasjon og tilgang fra ukjente steder eller anonyme IP-adresser. Et annet faresignal er pålogginger fra to forskjellige geografiske områder innenfor et kort tidsrom: en umulig reise. Kontrollen krever MFA.

EMS7

Her er resultatet av policyen etter å ha gått inn over et anonymt nettverk. Som med mange av tjenestene i Microsofts nettsky følger det med omfattende overvåking, rapportering og varsling.

EMS8

Privileged Identity Management opphever den faste koblingen mellom privilegerte identiteter og tilordnede administratorroller. Rollene omgjøres i stedet til å bli valgbare. For det meste har identiteten ingen privilegier og fungerer som vanlig sluttbruker. Ved behov kan en kvalifisert bruker velge en tildelt rolle og aktivere den for en tidsbegrenset periode. Aktivering og aktiviteter med utvidede rettigheter loggføres og overvåkes.

Avansert trusselbeskyttelse

EMS89png

Microsoft tar to produkter for å håndtere avansert trusselbeskyttelse. Microsoft Advanced Threat Analytics (ATP) installeres lokalt på en server. Azure Advanced Threat Protection (ATP) er den skybaserte versjonen og krever en EMS E5-lisens. De opererer likt med samme brukergrensesnitt.

Trusselbeskyttelsen inspiserer alle pakker som går til AD-kontrollerne. Først må den gjennom en læringsprosess på en måned for å bli kjent med brukernes vaner – når og hvor de logger på fra, hvilke enheter de benytter, og ressursene de tar i bruk. Så kan beskyttelsen flagge avvik som kan tyde på at en angriper har klart å trenge inn i nettverket. ATA/ATP oppdager også typiske skjulte angrep, som lateral bevegelse i nettverket og forsøk på å få privilegert tilgang. Verktøyene er støttet av Microsoft Intelligent Security Graph, som analyserer store mengder informasjon og sikkerhetsdata.

EMS10

Her er et varsel om at min datter har forsøkt å liste opp aktive SMB-sesjoner, noe hun umulig kunne ha funnet på av seg selv. Snarere tyder det på at kontoen er kompromittert, og at en inntrenger har klart å komme seg inn i lokalnettet. Denne type angrep er det vanskelig, om ikke umulig å få øye på uten egnede verktøy som Microsoft Advanced Threat Analytics eller Azure ATP.

Informasjonsbeskyttelse

EMS11

Tradisjonelt sikrer vi data ved å beskytte lagringsområdene. Straks vi kopierer filer til usikrede media eller sender dem som vedlegg, er de fullstendig ubeskyttet. Azure Information Protection lar deg knytte beskyttelsen direkte til dokumenter og e-postmeldinger. Den forblir der i hele deres levetid.

EMS12

Du kan klassifisere og merke dataene dine. Etikettene du ser i Office-programmene, svarer til merkelappene du konfigurerer i Azure-portalen eller i Sikkerhets- og samsvarssentret i Office 365. Ovenfor er tilnærmelsesvis standardoppsettet fra Microsoft. Merkene Personlig, Offentlig og Generelt markerer bare dokumenter og meldinger og forsyner dem med en bunntekst. Konfidensielt og Høyst konfidensielt inneholder undermenyer. Her er det for Alle ansatte satt opp beskyttelse som krypterer dataene. Du kan naturligvis endre merkene, hva de gjør når de velges, og legge til nye.

EMS13

Merkene bør tilpasses bedriftens behov. Likevel kan de være for begrenset og du trenger tillatelser du har definert selv. Klienten for Azure Information Protection utvider Windows filutforsker med opsjoner for å klassifisere og beskytte. Du kan velge én eller flere dokumenter og hele mapper. Sånn får du også rettighetsstyrt andre filer enn bare Office-formater. For TXT- og JPG-filer er det native støtte, ellers bare generisk beskyttelse.

EMS14

Dokumentet Hva er egentlig nettskyen er delt og beskyttet med egendefinerte tillatelser. Tilgangen kan utløpe. Du kan spore og tilbakekalle det. Dialogboksen er også tilgjengelig fra enkelte av Office-programmene. Beskyttelsen er integrert i Exchange Online og Outlook. Klikk på Krypter for sikker ende-til-ende-kommunikasjon – uten sertifikater eller programtillegg. Informasjonsbeskyttelsen gir deg kontroll over alle data, uavhengig av hvor de er lagret eller med hvem de er delt.

Cloud Access Security Broker

EMS15

Microsoft Cloud Access Security er en sikkerhetsmegler for skytilgang. Den identifiserer og overvåker skyapplikasjoner og -tjenester som brukes i virksomheten din. Viktige funksjoner inkluderer:

  • Avdekk og kontroller bruken av skygge-IT (ikke-godkjente skytjenester).
  • Vurder samsvar for skyapplikasjonene dine.
  • Oppdag uvanlig atferd på tvers av skyapplikasjoner.
  • Klassifiser, merk og beskytt følsom informasjon.

Integrert endepunktsadministrasjon

EMS16

Microsoft Intune er en omfattende plattform for mobil enhets- og applikasjonsbehandling og administrasjon av Windows 10. Med Intune kan du håndtere enheter og mobilapper og sørge for at de er i samsvar med dine sikkerhetskrav. Mobilenheter som ikke innfrir kravene, kommer seg ikke inn i organisasjonen din. Dine ansatte kan benytte egne enheter, uten at det går utover sikkerheten. Du får dekket behovet for databeskyttelse og kan levere opplevelsen brukerne dine trenger for å yte sitt beste – uansett hvor de er, og hvilken enhet de jobber på.

Administrere enheter i Microsoft Intune

Intune støtter Windows, macOS, iOS og Android. Fremgangsmåten på de ulike plattformene er noe forskjellig. Her skisseres den grunnleggende gangen for Windows 10:

  • Sette opp oppdateringsringer for Windows 10.
  • Opprette konfigurasjonsprofiler for enhetene, det nærmeste du kommer gruppepolicyer i skyen. Det gir deg Windows-maskiner slik du ønsker dem.
  • Konfigurere policyer for å rulle ut applikasjoner, som Office 365 ProPlus, den nye Azure Information Protection-klienten for enhetlig merking og en Microsoft Store-app eller to.

Oppdateringsringene, konfigurasjonsprofilene og policyene må tildeles sikkerhetsgrupper som inneholder enhetene, på samme måte som med gruppepolicyer du knytter til organisasjonsenheter (OUer) i Windows AD. Når disse tre punktene er på plass, kan du ta for deg de to siste.

  • Sette opp samsvarspolicyer for enheter som kontrollerer at enhetene er i overensstemmelse med retningslinjene du har konfigurert.
  • Nå først bør du gå i gang med regler for betinget tilgang, der én av forutsetningene er krav til samsvar med retningslinjene dine.

Fjernslette data fra mobilenheter

EMS17-1

Det er viktig at du kan fjernslette data fra en enhet som er forlagt, mistet eller stjålet. Med Retire fjerner du bare bedriftsdata administrert av Intune, uten å berøre personlige data. Wipe nullstiller enheten til sånn som den var fra fabrikken. Delete fjerner mobilenheten fra Intune-portalen. Remote lock låser enheten. Remove passcode opphever beskyttelsen med passord eller PIN-kode.

En moderne sikkerhetsmodell – Ingen klarering

Lokal Windows-infrastruktur med Active Directory (AD) kan sikres godt i nøye kontrollerte miljøer, omgitt av brannmurer og systemer for å oppdage og hindre innbrudd. Men disse nettverksbaserte sikkerhetsparameterne er mindre effektive i å beskytte deg mot trusler som følger med en økt bruk av skytjenester og en mobil arbeidsstyrke. Sikkerheten i EMS er basert på identiteter, enheter, applikasjoner og data. Lokale nettverk bør anses som like utrygge og ubeskyttet som det åpne Internett.

EMS18

Denne form for sikkerhet går under betegnelsen zero trust (ingen klarering). Den krever strikt identitetsverifisering for hver person og enhet som prøver å få tilgang til ressurser også i et privat nett, uavhengig av om de befinner seg innenfor eller utenfor nettverkets omkrets (perimeter). Holdningen er «aldri stol på – alltid bekreft». Spørsmålene er: Hvem prøver å få tilgang til noe? Hvor aksesserer de dette fra? Hva slags enhet bruker de? Hva er det de forsøker å få adgang til? Svarene gir du med betinget tilgang i Azure AD Premium og policyer du har satt opp i Microsoft Intune, to av kjernekomponentene i EMS.

Konklusjon

Office 365 gir utvidede samarbeidsmuligheter, bedre mobilitet og en generelt styrket produktivitet. Men det reiser også nye sikkerhetsutfordringer. Innledningsvis sa vi at Enterprise Mobility + Security er det beste valget for å beskytte bedriftens data og enheter i Office 365 uten at det går utover brukeropplevelsen. Noe mindre forsiktig kunne vi si: Den eneste omfattende sikkerhetsløsningen som er tett integrert i applikasjonene og tjenestene i Office 365 og Microsoft Azure, sammen med Office-programmer som Word og Outlook.

EMS har slått ualminnelig godt an i markedet. I april 2019 var det 180 millioner aktive Office 365-brukere. I juni samme år erklærte Microsoft at de hadde solgt over 100 millioner EMS-lisenser. Egentlig burde pakken være fast innslag i hvert Office 365-abonnement. Det er nettopp dét du får med Microsoft 365 Enterprise og i en noe redusert form med Microsoft 365 Business. Vær oppmerksom på at det er lett å komme i gang med enkelte av funksjonene i EMS. Men for å sette opp en sammenhengende sikkerhetsløsning bør du ta kontakt med erfaren konsulentbistand.

Publisert:

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!

Ta kontakt