Microsoft 365 Multifaktor autentisering

I forbindelse med nasjonal sikkerhetsmåned har jeg skrevet en artikkel hvor jeg forklarer fordelene med Microsoft sin multifaktor autentisering og hvordan du kommer i gang med det.

Enkel start

Det absolutt enkleste steget for å starte med sikring av dine bedriftsdata er ved å aktivere multifaktor autentisering for dine brukere. Ved bruk av MFA blir faktoren for å stjele data et hakk vanskeligere da det kreves både brukernavn, passord OG en faktor fra enten Authenticator app eller telefoni tjenester som SMS eller Tale. Vi anbefaler at dette er aktivert for ALLE brukere i ditt miljø. Ved kjøp av Microsoft 365 eller Office 365 så har man denne funksjonen med i lisensen og dermed er det kun aktivering som gjenstår.

Dersom man tar en “Soft” start ved å ta i bruk MFA, bør man starte med at alle kontoer som har administrasjonsrettigheter skal ha MFA aktivert – dette er roller som Global Administrator, Exchange Administrator, SharePoint Administrator osv. deretter slår man dette på for alle brukere.

Hva kreves av brukeren?

Brukeradopsjonen er enkel og det medfører liten “støy” i organisasjonen ved å aktivere MFA. Konsekvensen er at brukere vil få et “ekstra” påloggingsbilde hver 14. dag hvor de må bekrefte passord og en ekstra faktor.

Man kan konfigurere bruk av forskjellige faktorer som App godkjenning, App kode, SMS Kode eller verifikasjon ved en oppringing. Jeg anbefaler bruker av App godkjenning da dette krever minst av brukeren.

Når man benytter Azure AD integret med sine tredjeparts applikasjoner vil man automatisk også få MFA for disse applikasjonene, derfor er det viktig å etablere bruk av Azure AD som identitetsdatabase for alle applikasjoner som støtter dette.

Hvordan komme i gang?

Hvordan kommer man raskt i gang med MFA?  – Dersom man er administrator i ditt Office 365 miljø, kan man logge inn på admin.microsoft.com og ved hjelp av tre enkle steg kommer du i gang:

  1. Velg brukere
  2. klikk på fanen “Multifaktor autentisering”
  3. søker du opp brukere du vil aktivere og klikker “Enable”

Neste gang brukeren logger inn på Office.com vil brukeren bli bedt om å legge inn ekstra sikkerhetsinformasjon på sin bruker. I den prosessen aktiveres også MFA og bruker velger hvilken faktor han vil benytte basert på de tilgjengelige valgene.

Så enkelt kan det være! – men det er lurt å tenke igjennom aktiveringen samt å informere organisasjonen godt i forkant av aktiveringen. For best mulig brukeradopsjon anbefaler jeg å legge ut en bruksanvisning så guider brukere gjennom registreringen. 

Lurer du på noe angående multifaktor eller identitets håndtering så ta kontakt så hjelper vi deg.


Julian

Jeg ønsker deg lykke til mot en sikrere hverdag !

Vil du lære mer om Multifaktor autentisering? Du finner mer informasjon på min egen blogg (på engelsk);

intune0

Microsoft Intune

Når vi snakker om skyen er «Device management» for mange et “glemt” kapittel, i alle fall for små og mellomstore bedrifter i Norge. Device management i skyen ble tidligere omtalt som MDM (Mobile device management), og mange tenkte nok at det bare gjaldt for Mobiler og nettbrett, – men tiden har endret seg og MDM omfavner nå PC og Mac`er også!

Microsoft sin Intune-løsning har støtte for både Windows, MacOS, Android og iOS pr. dags dato. Dette betyr at de støtter de største operativsystemene som brukes ute i norske bedrifter.

Men hvorfor trenger akkurat du dette? Er det ikke greit at de ansatte selv har kontroll på maskinene? Jo, kanskje, men hvordan håndterer vi da bedriftens data som lagres på de ansattes telefoner eller pc`er?

Med Office 365 er bedriftens data veldig enkel å få tilgang på, det holder at man logger seg inn på “office.com” med brukernavn og passord (+ MFA selvsagt) så har man derfra tilgang til epost, felles dokumenter i SharePoint, hjemmekatalogen i OneDrive for business eller andre sky-tjenester som er tilgjengeliggjort igjennom portalen.

Ok, så hva skal Intune hjelpe til med?

Overordnet i en cloud only konfigurasjon vil det se slikt ut:

blog-image-1
Registrering av enheter som kan få tilgang til bedriftens data 

Ved at brukernes enheter registreres i firmaportalen (Intune-app) eller i Azure AD så vil man få kontroll på hvilke enheter brukerne har og får tilgang til bedriftens data med.

Sette krav til enheten

Man kan lage samsvars krav til enhetene, som for eks. krever at maskinen har Antivirus, er oppdatert med siste oppdateringer og har kryptering av harddisken, før den blir markert som en “godkjent enhet”. For Windows 10-maskiner kan man konfigurere opp til 28 sjekker, for MacOS opp til 18 sjekker. Man kan virkelig sette krav til enheten man skal dele alle bedriftshemmelighetene med.

Slippe inn ansatte basert på hvilken enhet de kommer fra

– Ved bruk av Conditional Access sammen med Intune kan man kreve at enheten skal være “Compliant» i henhold til samsvarskravene vi konfigurerte i punktet over, om man skal kunne logge på “Office.com” og starte SharePoint.

blog-image-3

Når man nå har registrert de mobile enhetene, som brukerne også bruker for personlige filer, får man et skille på bedriftsdata og personlige data i applikasjonen. Dette betyr at dersom enhetene blir stjålet, eller at den ansatte slutter i firmaet, kan man ved et par klikk slette bedriftens data (dokumenter, epost osv.) 
Man vil kunne blokkere datakopiering mellom den private delen av applikasjonen og den bedrifts-eide delen.

blog-image-4

atp rapportering

Nye sikkerhetstjenester i Microsoft 365 Business

Denne uken ble Microsoft 365 Business-lisensene oppgradert med en rekke nye sikkerhetstjenester som kan bidra til at ditt selskaps enheter og dokumenter blir håndtert på en forsvarlig og sikker måte. Funksjonene som fra og med denne uken er inkludert i Microsoft 365 Business er følgende:

Azure Information Protection P1
Azure Rights Management
Office 365 Advanced Threat Protection
Exchange Online Archiving for Exchange Online
Intune

Office 365 Advanced Threat ProtectionAdvanced Threat Protection

(ATP) hjelper bedriften din mot sofistikerte og avanserte phishing og ransomware-angrep designet for å kompromittere ansattes eller kunders informasjon. Funksjoner inkludert:
Sofistikert skann av vedlegg ved bruk av Microsofts AI-drevne analyse for å oppdage og stoppe mistenkelige eposter.
Automatisk sjekk av URL/Web-linker i eposter for å analysere om de benyttes i et phishing- angrep. Hjelper alle ansatte med å stoppe tilgang mot utrygge nettsteder.

Exchange Online Archiving

Exchange Online Archiving-tjenesten muliggjør arkivering av e-poster. All epost blir arkivert ved denne tjenesten, også slettede elementer og sendte eposter. Bevaringsregler satt sentralt fra Exchange admin senteret, håndterer dataene dersom det er behov for å kjøre Litigation holds eller eDiscovery og er gjerne en funksjon som kreves for å møte samsvarskrav i større bedrifter.

Azure Information Protection (AIP)

Information Protection hjelper deg med å kontrollere tilganger til sensitiv informasjon i eposter eller dokumenter med ekstra kontroller som «Do not foward» eller «Do not copy». Du kan altså klassifisere sensitiv informasjon som «konfidensielt» og spesifisere hvordan klassifiseringen kan deles både innad i selskapet eller med eksterne. Azure Rights Management gir Azure Information Protection enterprise gradert kryptering enkelt etablert på dokumenter og eposter for å holde kontroll på klassifisert informasjon. Microsoft 365 Business innehar alle funksjoner som Azure Information Protection Plan 1 har.

Alle funksjoner av Intune

Ved å ta i bruk Intune med Microsoft 365 Business kan man fra nå av ta i bruk funksjoner som kan ta kontroll over MacOS enheter, iPhone og Android telefoner og avanserte enhets kontroll or Windows. Dette er tjenester som ikke har vært tilgjengelig i Microsoft 365 Admin grensesnittet. Funksjonene når man ved å aksessere Intune Admin senteret.

Point Taken har konsulenter på alle områder innenfor Office 365 vil kunne hjelpe deg og din bedrift til å ta full utnyttelse av dine Office 365 lisenser. Har du ikke Office 365 i dag hjelper vi deg med hele transformasjonen!

Ta kontakt for en uformell samtale

atp-rapportering

Advanced Threat Protection i Office 365

Dataangrep er en reell trussel mot din bedrift, og de blir mer og mer avanserte og vanskeligere å unngå. Vi ser at angrepene blir mer sofistikerte. Gjerne kommer det en e-post med godt norsk språk som ser legitim ut, eller en e-post som ser ut som den kommer fra firmaets toppsjef.

Ofte havner ondartede eposter i innboksen til brukerne. Da er det fort gjort å klikke på et vedlegg eller en lenke som starter et angrep.

Office 365 har som standard et svært godt spamfilter, men den følger generelle regler og beste praksis for å hindre spam e-post. Ved å aktivere og konfigurere Advanced Threat Protection (ATP) i Office 365 får du en ekstra barriere som sikrer bedriften mot at uvedkommende får kjørt ondartede programmer på brukernes PCer.

ATP er en epostfilter-tjeneste som gir deg ekstra støtte mot avanserte angrep mot din bedrift.

Funksjoner som ATP gir deg er følgende:

  • Beskyttelse mot ukjent “malware” (skadevare) og virus
  • Sanntids-beskyttelse mot ondartede koblinger sendt via epost
  • Rapportering

Klarerte vedlegg

Vi konfigurerer opp hvordan ATP skal håndtere vedlegg.

atp-vedlegg

Klarerte koblinger

Regelen for klarerte koblinger settes opp og man velger hvordan den skal håndtere forskjellige situasjoner.

atp-klarerte-koblinger

Rapportering

Rapportering er tilgjengelig under “Sikkerhet og Samsvar” i Administrasjonssenteret. Her kan en zoome inn på de forskjellige grafene og søylene for å se hvilke avsender/mottaker-adresser som blir angrepet og hvilken type skadevare eller virus som blir forsøkt levert til brukerne.

atp-rapporteringKort oppsummert er Advanced Thread Protection noe alle bedrifter bør vurdere å aktivere på sin Office 365 tenant. Lisenser for dette kan kjøpes separat som «Avansert trusselvern for Exchange Online». Om du allerede har Office 365 E5 lisenser i din tenant er tjenesten allerede etablert og det eneste som trengs er litt konfigurasjon.

Kontakt Point Taken i dag for å få rådgivning og hjelp til å etablere ATP i din bedrift.

Knut-Skogvold

Kjenner du deg igjen? Ta kontakt.

• Jeg er interessert i Azure, og ønsker å lære mer om det grunnleggende.

• Jeg har allerede Azure, og ønsker hjelp til å implementere løsningen.

• Jeg har allerede Azure, og ønsker hjelp med utfordringer i løsningen.

• Jeg trenger å lære mer om hvordan min bedrift kan bruke Azure på best mulig måte.

Knut Skogvold
Salgssjef
90 09 50 88