En del av säkerhetsarbetet är att konstant se över och bevaka de tjänster som används i verksamheten. När det gäller Office 365 har man hyrt in sig på en plattform där grundbevakningen sköts av Microsoft men för att säkra upp sin del kan man ta ett antal steg som gör att din information förblir din!
Så länge datorer och användare har funnits har man kämpat med behörighetsroller som antingen ger inga behörigheter (Användare) eller alla behörigheter (Administratör). Det är tyvärr fortfarande ganska vanligt att man ger användaren alldeles för höga behörigheter i olika system eller program då de inte stödjer annat . Att konstant vara inloggad som administratör innebär såklart en ökad risk för skadlig kod att nå fram till resurser som datorn är ansluten till….Office 365 är inget undantag.
Max 5 Globala Administratörer…oavsett organisationens storlek
Microsoft rekommenderar att man ej skall ha fler än fem konton som innehar rollen Global Administratör. Innan vi fick fler roller och PIM fick en administratör ha koll på 2 konton där ett av dessa var fri från licenser men hade rollen Global Administratör. Det är fortfarande mycket vanligt att en IT-ansvarig i mindre organisationer nyttjar ett konto som dubblar som användare och administratör. Det finns idag 24 roller som kan fördelas på användaren för en användare (t.ex. en konsult) bör inte ha onödiga roller som riskerar dataläckage eller sekretessproblem.
PIM – Priviliged Identiy Management
PIM adresserar ovan på ett kontrollerat sätt. Administratören har ett konto och begär temporärt den behörighet hen behöver. Exakt vilka roller hen kan nyttja bestäms i förväg av organisationen. En SharePoint administratör kan t.ex. tilldelas rollen som SharePoint-administratör.
Tyvärr ingår inte PIM i grundpaketet utan är ett tillägg som läggs på användaren. Turligt nog ingåt den dock i ett mycket vanlig licenspaket som kallas EMS – Enterprise Mobility + Security. När du inhandlat och tilldelat licensen på användaren är det dax för konfiguration.
PIM är en Azure-komponent som administrerar från Azure Portalen – https://portal.azure.com
Leta upp Priviliged Identity management modulen i Azure och börja med att ge ditt samtycke till användningen av PIM
Om du inte redan använder utökad autentisering är det hög tid att du börjar med det ;) I detta steg får du möjlighet att aktivera 2-stegsautentisering. Du väljer själv om du vill nyttja SMS eller Mobilapp.
Om du har lite för bråttom får du nedan meddelande. Då har bakomliggande komponenter helt enkelt inte hunnit slå på det som behövs för att fungera fullt ut. Vänta i nån timma så självlöser sig problemet.
Finjustera rollernas egenskaper
Du kan ange generella egenskaper samt finlira enskilda roller. T.ex. kan du ge de enklare rollerna en maxtid på 8 timmar men sätta en snävare tid för globala administratör. Passa också på att ange andra egenskaper som passar dina verksamhetskrav.
Roller med hög behörighet kan ställas ner individuellt
Grundkonfigurationen av PIM-modulen är nu klar. Det bästa är nu att låta systemet ”baka” klart för att inte riskera skumma beteenden när man man börjar att jobba med rolltilldelningen, och aktiverar godkännandeflöden. I del 2 visar jag hur du aktiverar PIM för den enskilde användaren.
En kommentar