Wczoraj miałem przyjemność prowadzić warsztat dla szkolnych administratorów Office 365 na temat "Azure AD – konfiguracja
zabezpieczeń i
monitorowanie
użytkowników". Warsztat był częścią konferencji K@SSK & Majowe Mrozy, dotyczącej nowoczesnej edukacji, a przeznaczonej dla nauczycieli i pracowników szkolnictwa. Ostatni rok dosyć gwałtownie zmienił nasze spojrzenie na narzędzia chmurowe i korzystanie z platform takich jak Microsoft 365, ważna jednak świadomość, jak robić to w sposób bezpieczny, szczególnie, gdy jesteśmy odpowiedzialni za administrowanie takim środowiskiem.
Godzina to mało czasu, żeby przekazać tyle wiedzy ile bym chciał, dlatego też chciałem nieco rozwinąć informacje, na temat zabezpieczania i weryfikacji środowiska Office 365, które chciałem przekazać przy okazji tych warsztatów. Microsoft niestety w planie EDU A1 włącza tylko niewielką część komponentów umożliwiających zabezpieczenie środowiska Microsoft 365 i Azure AD, nie oznacza to jednak że nie można zrealizować podstawowych zaleceń. Postaram się zatem przypomnieć elementy najważniejsze wg. Microsoft i mnie, które nawet przy ograniczonych możliwościach, ułatwiają pracę administratorów:
Po pierwsze - uwierzytelnianie wieloskładnikowe (MFA) jest potrzebne, przynajmniej dla administratorów. Już ponad rok Microsoft dla nowych organizacji chmurowych włącza tzw. Domyślne wartości zabezpieczeń (Security Defaults), czyli wymuszanie zabezpieczania logowania do chmury poprzez dodatkowy składnik, powiązany z telefonem komórkowym - konieczność dodatkowego zabezpieczenia logowania poprzez kod przesyłany SMS lub użycie aplikacji Microsoft Authenticator zainstalowanej na telefonie.
Ustawienie możemy zmienić, poprzez panel administracyjny Azure AD, wchodząc we właściwości naszej organizacji. Zdecydowania większość placówek oświatowych wyłącza to ustawienie i o ile rozumiem takie podejście w stosunku do uczniów, to przynajmniej szkolni administratorzy i osoby z delegowanymi dodatkowymi uprawnieniami powinni mieć takie zabezpieczenie włączone.
Konfiguracja jest naprawdę bardzo prosta, chociaż nie zawsze oczywista. Jak skonfigurować sobie MFA? Każdy użytkownik usługi Office 365 ma swoją stronę profilową My Account, na której może wskazać metody związane z zabezpieczaniem dostępu i samodzielnym resetowaniem hasła (Informacje zabezpieczające).
Powinniśmy tam zapisać nasz numer telefonu i prywatny adres mailowy, do celów awaryjnych. Możemy również dodać weryfikację konta właśnie poprzez aplikację Authenticator.
Po drugie - korzystając na co dzień z panelu administracyjnego Microsoft 365 - https://admin.microsoft.com, warto do ekranu startowego dodać kafelki komponentów, z których często korzystamy, lub które szybko pokażą nam problemy ze środowiskiem.
Po trzecie - Warto korzystać z panelu administratora Azure AD, gdzie możemy sprawdzić np. kiedy użytkownik logował się po raz ostatni i z jakiego adresu IP, kiedy i przez kogo został usunięty zespół w Teams, oraz znaleźć wiele innych informacji na temat aktywności użytkowników. Niestety portal Azure AD pokazuje logi z ostatnich siedmiu dni. Jeżeli chcielibyśmy mieć dłuższą historię logowań, to możemy utworzyć bezpłatną subskrypcję Azure i wypróbować takie usługi jak Log Analitics czy Azure Sentinel.
Można wyliczać jeszcze długo, ale zachęcam do poznawania Microsoft 365 i Azure AD, po to by odkrywać kolejne możliwości i lepiej zarządzać swoim środowiskiem.
