Als Digital Workspace Service Provider unterstützt System4u Unternehmen aller Branchen bei der Bewältigung dieses Problems.
Als Microsoft Gold Partner verfügt System4u über geschulte Techniker und Lizenzierungsspezialisten für Microsoft-Tools und kann Unternehmen bei diesen Problemen professionell unterstützen.
Die Tools von Microsoft 365 sind ziemlich kompliziert miteinander verbunden, und damit alles so funktioniert, wie es sollte, muss man sich zu Beginn genau überlegen, was man von einer gut funktionierenden IT erwartet.
Die Office 365-Tools (Mail, Kontakte, Kalender, Datenfreigabe) sind zentrale Microsoft-Tools und der Hauptgrund, warum Kunden Microsoft 365-Dienste nutzen. Da die Endbenutzer mit diesen Tools arbeiten, werden zusätzliche Microsoft-Funktionen auf sie aufgesetzt, wodurch ein sehr wichtiger Bereich der Sicherheit für alle Benutzerzugriffe, Geräte und Unternehmensdaten eröffnet wird
Der erste Schritt besteht darin, von Ihrer bestehenden E-Mail-Lösung (in der Regel ein Exchange-Server) zu Microsoft 365 “Mail in the Cloud” zu wechseln. Die gängigste Methode ist die sogenannte. Hybride Migration, bei der der bestehende Exchange-Server im internen Netzwerk in Microsoft 365 integriert wird, gefolgt von einer schrittweisen Migration der E-Mail-Postfächer der Nutzer.
Der Übergang von Mail zu Microsoft 365 steht im Zusammenhang mit der Nutzung anderer Cloud-Tools, wie dem Kommunikationstool Microsoft Teams, mit dem Sharepoint und One Drive Datenspeicher verbunden sind. Darüber hinaus ist die Verwendung von Office-Tools in der Microsoft-Cloud-Umgebung, wie Word, Excel, PowerPoint, ziemlich offensichtlich.
Für die Integration zwischen den Cloud-Diensten von Microsoft 365 und der Active-Directory-Lösung des Unternehmens vor Ort ist die Azure Active Directory / Entra ID . Es handelt sich um einen Cloud-basierten Verzeichnisdienst, aus dem alle Benutzerinformationen (Name, Passwort, Berechtigungen und die Geräte, die die Benutzer verwenden und von denen aus sie auf Unternehmensdaten zugreifen) extrahiert werden können. Für die Interaktion mit Active Directory wird der sogenannte Azure AD Connector verwendet, ein Tool, das im internen Netzwerk installiert wird und die Benutzer mit Microsoft 365 synchronisiert.
Es gibt zwei mögliche Einstellungen für diese Integration:
- Synchronisieren Sie alle Benutzerinformationen inkl. Hashes von Domänenkennwörtern und Authentifizierung von Benutzern auf der Microsoft-Website bei der Anmeldung (sogenannte Benutzervalidierung)
- Föderierte Authentifizierung (federated authentication), bei der der Benutzer nicht auf Microsoft-Servern authentifiziert wird, sondern nach Eingabe der E-Mail auf die so genannte. Identitätsanbieter (ADFS oder eine andere Lösung eines Drittanbieters wie Okta usw.), wo die Identität des Benutzers überprüft wird.
Nach der Integration werden ausgewählte Unternehmensdaten (Benutzerpostfächer, freigegebene Dateien) in die Microsoft 365-Cloud-Umgebung gestellt, und der Endbenutzer kann sich von jedem Ort und jedem Gerät aus anmelden.
Hier kommt der Bereich Enterprise Mobility & Security ins Spiel, der sich mit dem Zugang zu Microsoft 365-Diensten und der Sicherheit der in Microsoft 365 gespeicherten Daten befasst.
Es ist wichtig, darauf hinzuweisen, dass der etablierte Standard, bei dem sich die Unternehmenssysteme in einem privaten Datenzentrum befinden, das nur über ein lokales Netz zugänglich ist, und bei dem sich die Mitarbeiter an ihrem Arbeitsplatz im Gebäude eines bestimmten Unternehmens aufhalten müssen, um ihre Arbeit zu erledigen, nicht mehr funktioniert. Mitarbeiter können nun von jedem Ort, zu jeder Zeit und von jedem Gerät aus auf Unternehmensdaten zugreifen, und es ist wichtig, diese Zugriffe zu kontrollieren und sicherzustellen, dass der Benutzer nur unter bestimmten Sicherheitsbedingungen auf Microsoft 365-Dienste und damit auf Unternehmensdaten zugreift.
Azure Active Directory Conditional Access prüft, wer, von welchem Gerät und von wo aus sich bei den Diensten anmeldet und wertet gleichzeitig weitere Parameter aus.
Man kann es mit einer intelligenten Firewall vergleichen, in der wir bestimmte Benutzer definieren, denen wir den Zugang zu bestimmten Anwendungen erlauben wollen, und zwar nur unter bestimmten Bedingungen. Von welchem Gerät aus meldet sich der Benutzer beispielsweise an – kennen wir dieses Gerät? Stimmen Anmeldezeit und -ort mit dem Standardverhalten des Benutzers überein?
Mit Azure Active Directory Conditional Access ist es also möglich, das Risiko zu bewerten. Sie ist von dem Ort aus sichtbar, an dem sich der Benutzer einloggt, egal ob es sich um das interne Netz, Prag, Brünn oder einen ganz anderen Kontinent handelt. Wenn sich ein Benutzer von einem anderen Kontinent oder zu einer völlig ungewöhnlichen Zeit anmeldet, deutet diese ungewöhnliche Situation auf die Möglichkeit eines Angriffs hin, der in diesem Stadium verhindert werden kann. Es ist möglich, einen zusätzlichen Authentifizierungsfaktor zu erzwingen (z. B. SMS usw.), und wenn der Zugang als riskant eingestuft wird und es sich daher möglicherweise um eine gestohlene Identität handelt, wird das Passwort zurückgesetzt und der Zugang gesperrt.
Ein weiteres Tool wird verwendet, um das Gerät zu identifizieren, von dem aus der Benutzer die Microsoft-Umgebung betritt Microsoft Intune Microsofts Mobile Device Management-Lösung, die jetzt Microsoft Endpoint Manager heißt.
Dieses Tool wird zur Verwaltung und Sicherung von Geräten (Mobile Device Management (MDM)) oder eigenständigen Anwendungen auf Geräten (Mobile Application Management (MAM)) verwendet. Alle gängigen Betriebssysteme auf dem Markt werden unterstützt (iOS, Android, Windows10, macOS).
Alle Informationen, die mit Microsoft Intune (Microsoft Endpoint Manager) vom Gerät gesammelt werden, bilden dann einen entscheidenden Parameter, mit dem es sich im sogenannten Compliance Flag befindet. Jedes Gerät hat eine bestimmte Sicherheitsstufe, und wenn es diese erfüllt, schreibt Microsoft Intune diese Kennzeichnung in Azure Active Directory, und dann können wir es in den Azure AD-Regeln für bedingten Zugriff überprüfen. Dadurch wird sichergestellt, dass sich der Benutzer nur von einem sicheren Gerät aus anmeldet.
Eine weitere Sicherheitsfunktion ist der Schutz auf der Ebene der Microsoft-Anwendungen (Word, Excel usw.), an die Sicherheitsrichtlinien gesendet werden können. Zum Beispiel. der Nutzer kann keine Daten aus der App kopieren und per privater E-Mail weiterleiten, eine PIN für den Zugriff auf die App erzwingen. Auch auf Geräten ohne MS Intune-Registrierung.
MDMs von Drittanbietern (MobileIron, VMware Workspace ONE) können ebenfalls das oben genannte Compliance Flag schreiben, aber die Azure Active Directory P1-Lizenz ist eine Voraussetzung.
Wenn ein Unternehmen eine der oben genannten MDM-Technologien einsetzt und vollständig auf die Microsoft Intune-Lösung migrieren möchte, sei es aus lizenzrechtlichen oder anderen Gründen, kann diese Migration mit der IDOT-Anwendung von System4u elegant gelöst werden.
Diese App hilft Ihnen bei der Migration von Ihrer bestehenden MDM-Lösung zu Microsoft Intune und der Endbenutzer kann alles von seinem mobilen Gerät aus erledigen. Die IDOT-App führt ihn Schritt für Schritt durch den gesamten Prozess, alles geschieht automatisch, man muss nur “klicken”.
Der Administrator hat in seiner Konsole einen Überblick über die laufende Migration, er kann sehen, wer bereits migriert hat, wer noch migrieren muss, wer Hilfe benötigt.
In einer Situation, in der sich alle Unternehmensdaten bereits in der Microsoft 365-Cloud befinden, alle Unternehmensgeräte mit Microsoft Intune (oder anderen MDM-Technologien) gesichert sind und alles in Azzure Active Directory integriert ist, ist es auch notwendig, bestimmte Unternehmensdokumente mit sensiblen Daten zu sichern.
Microsoft Azure Information Protection hat zwei grundlegende Funktionen.
- Es kann Dokumente mit sensiblen Daten (z.B. Bankkartennummern, Geburtsdaten) automatisch markieren und wenn der Benutzer ein solches Dokument per E-Mail versenden möchte, kann es den Versand blockieren oder eine Benachrichtigung anzeigen: “Möchten Sie wirklich ein Dokument mit sensiblen Daten versenden?”
- Wenn ein solches Dokument das Unternehmen wirklich verlassen muss, kann es verschlüsselt werden und kann nur vom Empfänger gelesen werden, während der Übertragung und auch danach bleibt das Dokument geschützt. Hier kann es zu Komplikationen kommen, wenn der Empfänger nicht über Microsoft 365-Dienste verfügt, aber auch das sollte bedacht werden. Er muss lediglich seine E-Mail-Adresse (ein so genanntes kostenloses Konto) in der Microsoft 365-Umgebung registrieren und kann dann auf das Dokument zugreifen. Auch auf diese Weise übermittelte Dokumente können geprüft werden und z.B. “sie nach einem bestimmten Zeitraum für ungültig erklären”.
Dieser Artikel beschreibt den sicheren Zugriff auf Microsoft 365, den Geräteschutz und den Dokumentenschutz. In unserem Webinar werden wir über die nächsten Schritte und Sicherheitsoptionen mit Microsoft 365-Tools sprechen.
Roman Přikryl und Petra Holubcová
