Contact

Blog


Dankzij de implementatie van Microsoft Office 365 zijn je medewerkers productief, ze kunnen van overal ter wereld bij hun data en werken dus efficiënt samen met collega's, klanten en leveranciers. De vragen die nu misschien bij je naar boven komen: is het wel zo wenselijk dat de bedrijfsdata overal vandaan benaderd en gedeeld kan worden, is hiermee nog wel voldoende controle? Was het niet veiliger om alle data binnen de muren van het kantoor te houden?

In de basis misschien wel, maar dit hoeft niet het geval te zijn. Je hebt diverse mogelijkheden om Office 365 te gebruiken, controle te houden over de bedrijfsdata en de data veilig te houden. ITON adviseert deze mogelijkheden in fases te implementeren, niet alles te gelijk. Beter één ding goed, dan alles half. Bij de eerste fase moet je denken aan Multi-Factor Authentication, Conditional Access, Microsoft Enterprise Mobility + Security (EMS), Office 365 ATP, en SkyKick Backup. Hieronder ga ik daar dieper op in.

Multi-Factor Authentication

Een gebruikersnaam en wachtwoord is vandaag de dag niet meer voldoende voor een veilig inlogproces. Ik raad het aan om naast iets wat je weet, ook iets te gebruiken dat je hebt. Daarvoor zorgt Multi-Factor Authentication (MFA). Door Office 365 te voorzien van MFA, is misbruik van de inloggegevens bijna onmogelijk.

Conditional Access

Bij het beheer van cloudbronnen, zoals Office 365, is 'identiteit en toegang' een belangrijk aspect van cloudbeveiliging. In een cloud first wereld kunnen gebruikers overal vandaan toegang krijgen tot de resources van de organisatie. Het is daarom niet meer voldoende om enkel te concentreren op wie toegang heeft tot data. Je moet ook rekening houden met de manier waarop data wordt benaderd in een toegangscontrolebeslissing. Met Azure Active Directory Conditional Access voldoe je aan deze eis. Hiermee kun je afdwingen dat Office 365 data bijvoorbeeld alleen toegankelijk is vanaf:

  • Een door het bedrijf beheerde werkplek;
  • Een door het bedrijf beheerde app op een mobiel device;
  • Bepaalde kantoorlocaties;
  • Een RDS/Citrix/VMware desktop.

Microsoft Enterprise Mobility + Security (EMS)

EMS is de Microsoft Cloud oplossingsbundel voor identity, mobile device management, applicatiebeheer en databeveiliging. EMS levert een gelaagd securitymodel, die de organisatie in staat stelt toegang tot email, data en bedrijfsapplicaties te beheren vanaf elk device. Dit is noodzakelijk, want het is immers mogelijk om vanaf ieder apparaat, vanaf iedere locatie, te verbinden met Office 365.

Met Intune, onderdeel van de EMS bundel, is het mogelijk compliancy van de beheerde apparaten inzichtelijk te krijgen. Wanneer een apparaat niet compliant is, bijvoorbeeld omdat de virusscanner niet up-to-date is, de firewall uitgeschakeld is of BitLocker niet actief is, kan de IT-afdeling hier een melding van krijgen. In combinatie met de eerder genoemde Conditional Access kan ingesteld worden dat, wanneer een apparaat niet compliant is, er geen connectie gemaakt kan worden met de Microsoft Office 365 omgeving. Zo kan ingesteld worden dat alleen beheerde apparaten, welke aan de gestelde eisen voldoen, veilig gebruik kunnen maken van de Office 365 data.

Voor mobiele apparaten, telefoons of tablets is het niet altijd wenselijk het apparaat volledig te laten beheren door de organisatie. Mobiele apparaten waarmee verbinding gemaakt wordt met Office 365, bijvoorbeeld voor email op de telefoon, zijn vaak persoonlijk bezit of in eigen beheer van de medewerkers. Hierdoor is het volledig beheren van het apparaat door de organisatie vaak niet wenselijk, hiermee zou de organisatie bijvoorbeeld privé data zoals foto’s kunnen wissen van het apparaat. Hiervoor kan Intune App Beveiligingsbeleid (MAM, Mobile Application Management) ingezet worden. Dit snel en eenvoudig te configureren beleid zorgt voor een container, een 'bedrijfsbubbel', op het mobiele apparaat voor de bedrijfsdata met beheerde apps.

Met dit beleid kan onder andere ingesteld worden, dat

  • Een Pincode (of vingerafdruk, of gezichtsherkenning) benodigd is om een App in de bedrijfscontainer te openen;
  • Een minimale versie van het besturingssysteem (Android en iOS) benodigd is om een app te openen;
  • Geen data uit de container naar privé apps gekopieerd kan worden;
  • Geen data op het apparaat opgeslagen kan worden, maar wel in de bedrijfs SharePoint of OneDrive omgeving.

In combinatie met Conditional Access is het mogelijk om de toegang tot Office 365 van de mobiele apparaten enkel toe te staan met deze beheerde applicaties. Hiermee is het met standaard apps, waarop geen beleid mogelijk is, niet meer mogelijk te verbinden met de Office 365 omgeving.

Wanneer de organisatie de mobiele apparaten volledig wil kunnen beheren, voor complete controle of het kunnen configureren van instellingen en installeren van apps, kan dit ook met Microsoft Intune. Dit kan met Intune Apparaatbeheer (MDM, Mobile Device Management).

Lees ook:

Office 365 ATP

Office 365 Exchange Online biedt standaard anti-malware en anti-spamfilterbescherming voor de mailboxen. Daarmee biedt Microsoft standaard bescherming voor de mailomgeving, maar dat is voor veel organisaties niet voldoende. Daarom biedt Microsoft Advanced Threat Protection (ATP). Dit is een cloud gebaseerde e-mailfilterdienst, die jouw organisatie beschermt tegen schadelijke bedreigingen. ATP helpt ook bij het detecteren en blokkeren van bestanden die als kwaadaardig zijn geïdentificeerd in Microsoft Teamsites en Microsoft SharePoint document libraries.

SkyKick Backup

Microsoft biedt standaard geen backup-oplossing voor data opgeslagen binnen Office 365. Microsoft zorgt voor een hoog beschikbare redundante omgeving, beperkte rentietijden en versiebeheer op de data, wat voor bepaalde organisaties voldoende is. Maar dat is geen back-up, voor een back-up van de organisatiedata is de organisatie verantwoordelijk. Ik adviseer daarvoor SkyKick Backup in te zetten.

Meer informatie: 5 redenen waarom je extra back-up nodig hebt voor Office 365

Meer weten?

Heb je na het lezen van mijn blog nog vragen, stel deze dan via het onderstaande formulier en ik zal je zo snel mogelijk van een antwoord voorzien. Via hetzelfde formulier kun je laten weten of je een keer wilt sparren over de beveiliging van je bedrijfsdata (in combinatie met Office 365), zodat we een afspraak kunnen inplannen.