Teamsin koventamisen viisi keskeistä konstia
Microsoftin Teams on ollut monelle organisaatiolle se työkalu, jonka kautta siirtyminen pilveen on alkanut toden teolla kiinnostamaan. Nykyään M365:ssä (myös Teamsissa) on saatavilla paljon moderneja keinoja siihen, miten omaan toimintaan liittyviä regulaatioita voidaan lähteä ratkomaan.
Tässä blogissa esitellään viisi toimivaa tapaa Teamsin koventamiseen. Hyvä uutinen on, että ympäristön koventaminen on oikeasti mahdollista. Huono uutinen on taas se, että jos datan fyysisen lokaation tulee olla Suomessa, ei tällaiselle tiedolle Teams ja M365 ole oikea paikka.
Kaikissa Teamsin koventamisen tavoissa oleellista on konfiguraation rakentaminen niin, että se tukee organisaation vaatimuksia, mutta kuitenkin edelleen mahdollistaa modernit työtavat.
Ehdollinen pääsynhallinta eli Conditional Access
Ehdollinen pääsynhallinta eli Conditional Access
• Teamsia (tai M365:ta) koventavan paras kaveri
• perusajatus on, että pelkän käyttäjätunnuksen ja salasanan lisäksi käyttäjän on täytettävä pääsylle asetetut ehdot. Näitä ehtoja voivat olla vaikkapa vahva tunnistautuminen (MFA) tai käyttö esimerkiksi vain yrityksen hallinnassa olevalta koneelta
• mahdollistaa pääsyn kontrolloinnin varsin yksityiskohtaisella tasolla
• voidaan toteuttaa erilaisia kokonaisuuksia tarpeista riippuen
• vaaranpaikat ominaisuuden hyödyntämiseen liittyvät siihen, että ei ole ollut ihan varmuutta, millainen konfiguraatio kannattaisi tehdä ja sitten on tehty ”jotakin”. Tällöin helposti tulee eteen tilanne, jossa pääsynhallinnan konfiguraatioihin jää sinne kuulumattomia aukkoja
- sulje
Tiedon luokittelu eli Sensitivity Labels
Tiedon luokittelu eli Sensitivity Labels
• työkalu tiedonhallintaan ja ennen kaikkea luokitellun tiedon liikkeiden hallinnointiin, rajoittamiseen ja seurantaan
• mahdollistaa nykyään myös Teams-tiimien luokittelun. Tällöin sellaiset tiimit, joissa käsitellään arkaluontoista tietoa, voidaan luokitella jo luontivaiheessa
• voidaan kontrolloida esimerkiksi ulkoista jakamista
• käyttöönotto edellyttää organisaation tiedostojen käsittelyn perkaamista ja siihen liittyvien työkalujen ja muiden (Ei Microsoft) tallennuspaikkojen tunnistamisen. Vasta tämän jälkeen järkevän konfiguraation rakentaminen on mahdollista ja silloinkin jalkautus pitää tehdä hallitusti
• käyttäjien on ymmärrettävä, mihin luokittelua käytetään, miten se toimii ja millaisia rajoituksia siitä kenties tulee
- sulje
Omat salausavaimet
Omat salausavaimet
• Microsoftin termein tämä on ”asiakkaan avaimet” (Customer Key)
• ilman kovennusta M365-palveluiden, kuten Teamsin, tiedot salataan Microsoftin hallinnoimilla salausavaimilla. Luotat siis siihen, ettei Microsoft tai Microsoftin valtuuttama taho (tai Microsoftin ylivaltaa potentiaalisesti käyttävä valtiollinen toimija) koske asiakkaan eli sinun tietoihisi. Teknisestihän mahdollisuus tähän olisi.
• käyttöönottamalla itse hallitut salausavaimet asiakasorganisaatio pystyy varmistamaan tiedon saavutettavuuden lopullisen säilymisen omissa käsissään
• erikoiskovennustapaus on tuplasalausavainten käyttö Microsoft Purviewiä hyödyntäen
- sulje
Authentication Context (preview)
Authentication Context (preview)
• soveltuu organisaatioille, joille kontrolli on koko pilven hyödyntämisen ytimessä
• mahdollistaa tiimien luokittelun ja Teams-ryhmien taustalla olevaan SharePoint-sivustoon kohdennettavat Conditional Access -säännöt, joiden avulla voidaan vaatia vaikkapa aina vahvaa tunnistautumista, kun tietyn sivuston tiedostoihin halutaan päästä käsiksi
• haaste Teamsin yhteydessä on toistaiseksi se, että tällöin kyseisen tiimin tiedostojen käyttö Teamsin kautta (Tiedostot-välilehti) estyy. Ainoa mahdollisuus on hyödyntää tiedostoja SharePointin kautta selaimella
- sulje
Defender for Cloud Apps
Defender for Cloud Apps
• Defender for Cloud Appsin session policyjen avulla voidaan estää tietyllä tavalla luokitellun tiedon lataaminen kokonaan tai vaatia esimerkiksi ladattavalta tiedolta kryptausta (luokittelu)
• session policyn avulla valvotaan Teamsin käyttöä ja tässä on tulevaisuudessa odotettavissa mahdollisuuksien puolelta melkoisesti kehitystä
- sulje
Näiden edellä mainittujen lisäksi voidaan koventamiseen hyödyntää Data Loss Prevention (DLP) -ominaisuuksia, joilla saadaan rajoitettua esimerkiksi arkaluontoisen henkilötiedon välittämistä Teamsin chateissa ja keskusteluissa. Vaihtoehtoja siis on ja moni niistä jäi vielä tässäkin esittelemättä.
Olipa sitten koventamisen kohteena Teams tai muu M365-työkalu, kannattaa aina muistaa kokonaisuus. Koventamisen ja asetusten määrittämisen yhteydessä on hyvä keskittyä myös yleisiin asetuksiin, joita M365-palvelusta ja Azure AD:sta löytyy roppakaupalla. M365 on kokonaisuus ja sellaisena sitä tulee myös hallita. Kun hallintamalli (prosessit ja asetukset) on kunnossa, on käyttö sujuvaa ja tietoturvallista.
Vieraskynä
Ville Kankare, Digikuu
Microsoft 365:n parissa toistakymmentä vuotta viihtynyt pilvikonsultti, joka päivisin muuttaa maailmaa Digikuu Oy:n kanssa. Ville elää muutoksesta ja uusista työtavoista sekä rakastaa yli kaiken pinttyneiden ajatusten haastamista ja uusien vermeiden kanssa touhuamista.
