logo System4u a.s.

Jak na správný postup integrace aplikací z rodiny Microsoft 365

Služby Microsoft 365 jsou velmi rozsáhlé a může být těžké se v nich orientovat - System4u, jako Gold Partner Microsoftu má pro tuto oblast vyškolený tým vlastních odborníků a licenčních specialistů, kteří jsou připraveni firmám a podnikům s touto problematikou zajistit profesionální pomoc.

"Microsoft 365 nástroje jsou celkem složitě propojené a aby vše fungovalo tak jak má, je třeba již na začátku řádně promyslet, co všechno od správně fungujícího IT očekáváme. Nástroje Office 365 - elektronická pošta, kontakty, kalendář a sdílení dat - to jsou pro většinu uživatelů základní aplikace a hlavní důvod, proč se službami Microsoft 365 začínají. Prvním krokem při integraci těchto služeb je tedy přechod ze stávajícího e-mailového řešení (obvykle Exchange server) na Microsoft 365 elektronickou poštu v cloudu," říká Roman Přikryl, Senior EMM administrator společnosti System4u.

Nejčastější způsob je tzv. hybridní migrace, kdy dojde k prointegrování stávajícího Exchange serveru v interní síti s Microsoft 365 a následuje postupný přesun e-mailových schránek uživatelů.

S přechodem pošty do Microsoft 365 souvisí využívání dalších cloudových nástrojů, jako je komunikační nástroj Microsoft Teams, se kterým jsou propojená datová úložiště Sharepoint a One Drive.

Kromě toho je zcela samozřejmé využití kancelářských nástrojů v Microsoft cloudovém prostředí, jako je Word, Excel, PowerPoint.

Pro integraci mezi cloudovými službami Microsoft 365 a firemním on-premise řešením Active Directory slouží nástroj Azure Active Directory. Je to cloudová adresářová služba, ze které lze následně čerpat všechny informace o uživatelích - jméno, heslo, oprávnění a zařízení, která uživatelé používají a přistupují z nich k firemním datům.

Pro intergraci z Active Directory se používá tzv. Azure AD konektor, nástroj, který se instaluje v interní síti a který synchronizuje uživatele do Microsoft 365.

Dvě varianty nastavení:

Po provedení integrace jsou v cloudovém prostředí Microsoft 365 umístěna vybraná firemní data (mailboxy uživatelů, sdílené soubory) a koncový uživatel se může přihlásit odkudkoli z libovolného zařízení.

Proto přichází na řadu oblast Enterprise Mobility & Security, která řeší přístup ke službám Microsoft 365 a zabezpečení dat, která jsou v Microsoft 365 uložená.

Je důležité si uvědomit, že nyní nefunguje zažitý standard, ve kterém jsou firemní systémy umístěny v soukromém datacentru dostupném jen z lokální sítě, kdy zaměstnanci musí být pro svou práci na svém pracovnám místě, v budově konkrétní firmy.

Nyní zaměstnanci mohou přistupovat k firemním datům odkudkoli, kdykoli a z jakéhokoli zařízení a je důležité mít tyto přístupy pod kontrolou a zajistit, aby se uživatel ke službám Microsoft 365, a tedy k firemním datům, dostal pouze za určených bezpečnostních podmínek.

K tomu slouží nástroj Azure Active Directory Conditional Access, který kontroluje kdo, z jakého zařízení a odkud se k daným službám hlásí a vyhodnocuje zároveň i další parametry.

Je možné připodobnit jej k chytrému firewallu, ve kterém se nadefinují konkrétní uživatelé, kterým chceme povolilt přístup ke konkrétním aplikacím a pouze za splnění definovaných podmínek.

Například z jakého zařízení se uživatel přihlašuje - známe toto zařízení? Odpovídá přihlášení časem a místem standardnímu chování daného uživatele?

Díky nástroji Azure Active Directory Conditional Acces je tedy možné vyhodnocovat rizika. Je viditelné, odkud se uživatel přihlašuje, zda se jedná o interní síť, Prahu, Brno či zcela jiný kontinent. Pokud se uživatel přihlásí z jiného kontinentu nebo ve zcela nezvyklou dobu, naznačuje tato nestandardní situace možnost útoku, kterému je možné v této fázi zabránit.

Je možné vynutit další ověřovací faktor (např. SMS aj.) a pokud je přístup vyhodnocen jako rizikový a může se tedy jednat o ukradenou identitu, dojde k resetování hesla a zablokování přístupu.

Pro identifikaci zařízení, ze kterého uživatel do prostředí Microsoft vstupuje, slouží další nástroj Microsoft Intune, Mobile Device Management řešení od Microsoftu, dnes nazývaný jako Microsoft Endpoint Manager.

Tento nástroj slouží pro správu a zabezpečení zařízení (Mobile Device Management - MDM) nebo samostatných aplikací v zařízeních (Mobile Application Management - MAM). Podporované jsou všechny běžné operační systémy na trhu (iOS, Android, Windows10, macOS).

Všechny informace, které jsou pomocí Microsoft Intune (Microsoft Endpoint Manager) ze zařízení posbírané, pak tvoří zásadní parametr, se kterým je v tzv. Compliance Flag.

Každé zařízení má stanovenou úroveň bezpečnosti a pokud ji splňuje, Microsoft Intune zapíše se tento příznak do Azure Active Directory a následně jej můžeme kontrolovat v Azure AD Conditional Access pravidlech. Zajistíme tak, že se uživatel přihlásí pouze z bezpečného zařízení.

Dalším zabezpečením je ochrana na úrovni Microsoft aplikací (Word, Excel aj.), kdy je možné do nich poslat bezpečnostní politiky. Např. uživatel nemůže vykopírovat data z aplikace a odeslat je dál soukromým e-mailem, vynutit PIN pro přístup do aplikace. A to i na zařízeních bez registrace v MS Intune.

Výše zmiňovaný Compliance Flag (nebo také compliance příznak) dokáží do Azure Active Directory zapisovat i MDM třetích stran (MobileIron, VMware Workspace ONE), podmínkou je však licence Azure Active Directory P1.

Pokud firma používá některou z výše zmíněných MDM technologií a ať již z licenčních či jiných důvodů chce plně přejít na řešení Microsoft Intune, lze tuto migraci elegantně vyřešit aplikací IDOT od System4u.

Tato aplikace pomůže přemigrovat ze stávajícího MDM řešení na Microsoft Intune a vše zvládne sám koncový uživatel z jeho mobilního zařízení. Aplikace IDOT jej provede celým procesem krok za krokem, vše se děje automaticky, stačí jen klikat.

Administrátor má přehled o probíhající migraci ve své konzoli, vidí kdo už zmigroval, kdo teprve bude, kdo potřebuje pomoc.

V situaci, kdy jsou již všechna firemní data v cloudu Microsoft 365, všechna firemní zařízení jsou zabezpečená pomocí Microsoft Intune (přip. jiné MDM technologie) a vše je prointegrováno s Azure Active Directory, je třeba také zabezpečit již konkrétní firemní dokumenty, obsahujích citlivá data.

K tomu slouží nástroj Microsoft Azure Information Protection, který má dvě základní funkce.

Funkce Microsoft Azure Information Protection:

Článek System4u a.s. ze dne pátek 5. března 2021

Další články od System4u a.s.

Doporučení System4u k zabezpečení e-mailových serverů

Digital Workspace - nový IT obor

Okta nástroje správy identit pro bezpečný vzdálený přístup k firemním datům

Příčiny komplikací efektivní práce z domova

Proč řešit bezpečnost mobilních zařízení

Nástroje pro bezpečnost dat a Windows 10 zařízení v prostředí Microsoft 365

Jak na správný postup integrace aplikací z rodiny Microsoft 365

Dálkové nastavení tabletů pro žáky a pedagogy ZŠ Antonínská

Migrace do Microsoft Intune s pomocí nástroje IDOT

Drinky s příběhem na tabletech brněnského baru

Jak ekologicky likvidovat staré mobily a výpočetní techniku

Nejvyšší parterský status VMware pro System4u

Home office nástroje s podporou System4u zajistí efektivní práci vašich lidí

Správa mobilních zařízení s rychlou zákaznickou podporou

Mějte mobilní zařízení pod kontrolou v celém jejich životním cyklu

Vzdálená správa mobilních zařízení šetří spoustu času a starostí

Pronájem mobilních zařízení přináší firmám řadu výhod

System4u prokazuje odborné znalosti v oblasti digitálního pracovního prostředí VMware

Firemní mobilní zařízení vybírejte s rozvahou

Online konzultace zdarma pro zřízení home office

Jak přejít na Android Enterprise pro správu a management mobilních zařízení firmy

Výhody umístění v magickém kvadrantu Gartner

Jak se dostat do magického kvadrantu Gartner

Magický kvadrant Gartner - skvělá pomůcka při výběru ICT dodavatele

15 let zkušeností System4u na IT trhu

Recyklovat mobilní telefony se firmám vyplatí

Kontrola vstupenek návštěvníků velkých akcí pomocí mobilních technologií

Věrnostní digitální hra zvyšuje loajalitu zaměstnanců

Za únik firemních dat jsou často odpovědní neopatrní zaměstnanci

Jak zavést ve firmě EMM systém

EMM jako cesta k dalšímu zvyšování produktivity zaměstnanců

Firemní mobilita a GDPR musí být v souladu

AirWatch pomáhá při správě mobilních zařízení obchodníků Bohemia Energy

Mobilita jako nový druh podnikové informatiky

Také musíte řešit IT problémy, se kterými si vůbec nevíte rady?

Mobilních řešení pro práci v terénu bude přibývat

Transformace společnosti System4u na akciovou společnost

MDM řešení má všechna vaše mobilní zařízení pod kontrolou