Etusivu

Tiedätkö nämä Microsoftin uusista Security Default policyistä?

Yrityksillä, jotka ovat käyttäneet Microsoft 365 -palveluita, kuten sähköpostia pilvestä tai Microsoftin Teamsiä, on ollut mahdollisuus ottaa käyttöön Microsoftin muodostamia Security Baseline policyjä jo pitkän aikaa. Kyseiset policyt ovat olleet niinsanotussa preview-tilassa ja pääasiallisena tarkoituksena niillä on ollut parantaa tietoturvaa ja pakottaa helposti esimerkiksi admin-käyttäjille MFA (monivaiheinen tunnistautuminen) päälle.

Niin kuin pilvimaailmassa on tapana ollut, voivat asiat, jotka ovat preview-tilassa poistua. Niin käy myös näiden policyjen suhteen 29.2.2020. Mikäli teidän pilviympäristössänne on ollut käytössä kyseiset policyt, ne tulevat korvaantumaan uusilla Security Baseline policyillä. Sinänsä, tämä lisää tietoturvaa paljon, mutta aiempia Baseline policyjä on voitu ottaa esimerkiksi vain admin-käyttäjille, kun taas uudet Security defaultit voivat vaikuttaa kaikkiin yrityksen käyttäjiin.

Mikäli teillä on MFA toteutettu Conditional Access policyillä, uusia Security defaultteja ei tällöin ympäristöönne Microsoftin mukaan pitäisi tulla.

Microsoftin artikkelin mukaan uudet policyt:

  • Estävät legacy authin (Androidin built-in mailiappi, IMAP, SMTP, POP, 2010 Outlook)
  • Pakottavat kaikkia käyttäjiä rekisteröitymään Microsoft Authentication appsiin
  • Estävät muut 2nd factorit (kuten tekstiviestit ja puhelinsoitto), paitsi notifikaatiot sovelluksen kautta

Mikäli ylläpidät Microsoftin 365 -ympäristöä ja käytät PowerShelliä, muuttuu myös sen kautta autentikointi jonkin verran. Mikäli pilviympäristö on pystytetty ennen vuotta 2017, tulee myös Exchange Onlinen puolella mahdollistaa moderni autentikointi ja tämä taas hoituu PowerShellillä.

Loppukäyttäjän näkökulmasta tapahtuu siis seuraavaa:

  • mikäli hän ei ole rekisteröitynyt MFA:ta varten, pakotetaan hänelle rekisteröityminen tuon päivämäärän jälkeen
  • jos loppukäyttäjä on tottunut käyttämään puhelinsoittoa tunnistautumiseen, se ei ole enää mahdollista
  • Suurin vaikutus aivan varmasti on se, että Android-laitteissa ei esimerkiksi sähköpostiin pääse, mikäli käytetään puhelimen mukana tullutta sähköpostisovellusta

Eli: Mikäli teillä on luotettu Baseline policyihin eikä ole otettu Conditional Accessia käyttöön, todennäköisesti loppukäyttäjillä on tukiporukallenne erittäin paljon asiaa. Tämän välttämiseen on kaksi vaihtoehtoa:

  • Otetaan Conditional Access käyttöön ennen kuun vaihdetta.
  • Yritetään tavoittaa jokainen loppukäyttäjä tiedottamalla ja toivotaan, että käyttäjät eivät kohtaa kovin pahoja haasteita.

Itse suosittelen ensimmäistä vaihtoehtoa tietoturvan, loppukäyttäjätyytyväisyyden ja helppariporukan takia. Mikäli policyiden luominen tuo haasteita, meiltä saa apua sen kanssa varmasti, mutta kuun loppu lähenee, toimi siis nopeasti. Kun MFA otetaan käyttöön oikein Conditional Accessin avulla, loppukäyttäjä ei välttämättä huomaa edes sen käyttöönottoa. Näin ollen tietoturva kiittää, tukiporukka kiittää ja ennen kaikkea kenenkään ei tarvitse menettää hermojaan tehdessä tietoturvallista työtä pilvipalveluiden parissa.

Sami Ropponen

Senior Advisor, Consultant

sami.ropponen@cloudnow.fi

Muut blogipostaukset >
Ota yhteyttä
Microsoft Partner Gold
CloudNow IT Oy - Yhteystiedot, Y-tunnus ja asiakirjat - Kauppalehden Yrityshaku Luotettava Kumppaniyritys