Jak na správný postup integrace aplikací z rodiny Microsoft 365

Služby Microsoft 365 jsou velmi rozsáhlé a může být těžké se v nich orientovat - System4u, jako Gold Partner Microsoftu má pro tuto oblast vyškolený tým vlastních odborníků a licenčních specialistů, kteří jsou připraveni firmám a podnikům s touto problematikou zajistit profesionální pomoc.

"Microsoft 365 nástroje jsou celkem složitě propojené a aby vše fungovalo tak jak má, je třeba již na začátku řádně promyslet, co všechno od správně fungujícího IT očekáváme. Nástroje Office 365 - elektronická pošta, kontakty, kalendář a sdílení dat - to jsou pro většinu uživatelů základní aplikace a hlavní důvod, proč se službami Microsoft 365 začínají. Prvním krokem při integraci těchto služeb je tedy přechod ze stávajícího e-mailového řešení (obvykle Exchange server) na Microsoft 365 elektronickou poštu v cloudu," říká Roman Přikryl, Senior EMM administrator společnosti System4u.

Nejčastější způsob je tzv. hybridní migrace, kdy dojde k prointegrování stávajícího Exchange serveru v interní síti s Microsoft 365 a následuje postupný přesun e-mailových schránek uživatelů.

S přechodem pošty do Microsoft 365 souvisí využívání dalších cloudových nástrojů, jako je komunikační nástroj Microsoft Teams, se kterým jsou propojená datová úložiště Sharepoint a One Drive.

Kromě toho je zcela samozřejmé využití kancelářských nástrojů v Microsoft cloudovém prostředí, jako je Word, Excel, PowerPoint.

Pro integraci mezi cloudovými službami Microsoft 365 a firemním on-premise řešením Active Directory slouží nástroj Azure Active Directory. Je to cloudová adresářová služba, ze které lze následně čerpat všechny informace o uživatelích - jméno, heslo, oprávnění a zařízení, která uživatelé používají a přistupují z nich k firemním datům.

Pro intergraci z Active Directory se používá tzv. Azure AD konektor, nástroj, který se instaluje v interní síti a který synchronizuje uživatele do Microsoft 365.

Dvě varianty nastavení:

Federované ověřování (federovaná autentizace), kdy uživatel není ověřován na serverech Microsoft, ale po zadání e-mailu je přesměrován na tzv. Identity Provider (ADFS nebo jiné řešení třetí strany, např. Okta apod.), kde je provedeno ověření identity uživatele

Synchronizovat všechny informace o uživatelích vč. hashů doménových hesel a při přihlašování ověřovat uživatele na webu Microsoft - tzv. validace uživatele

Po provedení integrace jsou v cloudovém prostředí Microsoft 365 umístěna vybraná firemní data (mailboxy uživatelů, sdílené soubory) a koncový uživatel se může přihlásit odkudkoli z libovolného zařízení.

Proto přichází na řadu oblast Enterprise Mobility & Security, která řeší přístup ke službám Microsoft 365 a zabezpečení dat, která jsou v Microsoft 365 uložená.

Je důležité si uvědomit, že nyní nefunguje zažitý standard, ve kterém jsou firemní systémy umístěny v soukromém datacentru dostupném jen z lokální sítě, kdy zaměstnanci musí být pro svou práci na svém pracovnám místě, v budově konkrétní firmy.

Nyní zaměstnanci mohou přistupovat k firemním datům odkudkoli, kdykoli a z jakéhokoli zařízení a je důležité mít tyto přístupy pod kontrolou a zajistit, aby se uživatel ke službám Microsoft 365, a tedy k firemním datům, dostal pouze za určených bezpečnostních podmínek.

K tomu slouží nástroj Azure Active Directory Conditional Access, který kontroluje kdo, z jakého zařízení a odkud se k daným službám hlásí a vyhodnocuje zároveň i další parametry.

Je možné připodobnit jej k chytrému firewallu, ve kterém se nadefinují konkrétní uživatelé, kterým chceme povolilt přístup ke konkrétním aplikacím a pouze za splnění definovaných podmínek.

Například z jakého zařízení se uživatel přihlašuje - známe toto zařízení? Odpovídá přihlášení časem a místem standardnímu chování daného uživatele?

Díky nástroji Azure Active Directory Conditional Acces je tedy možné vyhodnocovat rizika. Je viditelné, odkud se uživatel přihlašuje, zda se jedná o interní síť, Prahu, Brno či zcela jiný kontinent. Pokud se uživatel přihlásí z jiného kontinentu nebo ve zcela nezvyklou dobu, naznačuje tato nestandardní situace možnost útoku, kterému je možné v této fázi zabránit.

Je možné vynutit další ověřovací faktor (např. SMS aj.) a pokud je přístup vyhodnocen jako rizikový a může se tedy jednat o ukradenou identitu, dojde k resetování hesla a zablokování přístupu.

Pro identifikaci zařízení, ze kterého uživatel do prostředí Microsoft vstupuje, slouží další nástroj Microsoft Intune, Mobile Device Management řešení od Microsoftu, dnes nazývaný jako Microsoft Endpoint Manager.

Tento nástroj slouží pro správu a zabezpečení zařízení (Mobile Device Management - MDM) nebo samostatných aplikací v zařízeních (Mobile Application Management - MAM). Podporované jsou všechny běžné operační systémy na trhu (iOS, Android, Windows10, macOS).

Všechny informace, které jsou pomocí Microsoft Intune (Microsoft Endpoint Manager) ze zařízení posbírané, pak tvoří zásadní parametr, se kterým je v tzv. Compliance Flag.

Každé zařízení má stanovenou úroveň bezpečnosti a pokud ji splňuje, Microsoft Intune zapíše se tento příznak do Azure Active Directory a následně jej můžeme kontrolovat v Azure AD Conditional Access pravidlech. Zajistíme tak, že se uživatel přihlásí pouze z bezpečného zařízení.

Dalším zabezpečením je ochrana na úrovni Microsoft aplikací (Word, Excel aj.), kdy je možné do nich poslat bezpečnostní politiky. Např. uživatel nemůže vykopírovat data z aplikace a odeslat je dál soukromým e-mailem, vynutit PIN pro přístup do aplikace. A to i na zařízeních bez registrace v MS Intune.

Výše zmiňovaný Compliance Flag (nebo také compliance příznak) dokáží do Azure Active Directory zapisovat i MDM třetích stran (MobileIron, VMware Workspace ONE), podmínkou je však licence Azure Active Directory P1.

Pokud firma používá některou z výše zmíněných MDM technologií a ať již z licenčních či jiných důvodů chce plně přejít na řešení Microsoft Intune, lze tuto migraci elegantně vyřešit aplikací IDOT od System4u.

Tato aplikace pomůže přemigrovat ze stávajícího MDM řešení na Microsoft Intune a vše zvládne sám koncový uživatel z jeho mobilního zařízení. Aplikace IDOT jej provede celým procesem krok za krokem, vše se děje automaticky, stačí jen klikat.

Administrátor má přehled o probíhající migraci ve své konzoli, vidí kdo už zmigroval, kdo teprve bude, kdo potřebuje pomoc.

V situaci, kdy jsou již všechna firemní data v cloudu Microsoft 365, všechna firemní zařízení jsou zabezpečená pomocí Microsoft Intune (přip. jiné MDM technologie) a vše je prointegrováno s Azure Active Directory, je třeba také zabezpečit již konkrétní firemní dokumenty, obsahujích citlivá data.

K tomu slouží nástroj Microsoft Azure Information Protection, který má dvě základní funkce.

Funkce Microsoft Azure Information Protection:

Umožňuje automaticky označit dokumenty s citlivými daty (např. čísla bankovních karet, rodná čísla) a v okamžiku, kdy chce uživatel takovýto dokument odeslat e-mailem, dokáže odeslání zablokovat nebo zobrazit notifikaci - Opravdu chcete poslat dokument, obsahující citlivá data?

Pokud už opravdu musí takový dokument opustit firmu, je možné jej zašifrovat a přečíst jej dokáže pouze příjemce, během přenosu a i poté zůstane dokument chráněný. Zde může nastat komplikace, když příjemce nemá služby Microsoft 365, ale i na to je myšleno. Stačí, když zaregistruje svoji e-mailovou adresu (tzv. free account) v prostředí Microsoft 365 a poté se k dokumentu dostane. I takto odeslané dokumenty je možné kontrolovat a např. je po uplynutí určité stanovené doby zneplatnit.