Корпорація Microsoft, провідний світовий розробник програмного забезпечення, рекомендує компаніям, які знаходяться в пошуку кращих рішень захисту даних в Office 365 вибирати захист з огляду на можливості рішень захисту.

Для організацій Microsoft пропонує такі варіанти захисту:

  • Базовий захист
  • Підвищений рівень захисту
  • Захист жорстко регламентованих даних

Додаткові відомості

  • Базовий захист

У разі вибору базового захисту, спочатку необхідно реалізувати багатофакторну перевірку справжності Azure (MFA). Потім додати захист ідентифікації Azure AD і скористатися політикою реєстрації даних користувачів для MFA, щоб забезпечити таку реєстрацію.

Після цього організація зможе забезпечити MFA при вході. Перед реєстрацією пристроїв в Intune, Microsoft рекомендує налаштувати багатофакторну перевірку справжності, щоб гарантувати, що пристрій належить потрібному користувачеві. Використання єдиного входу для всіх додатків SaaS централізує управління всіма посвідченнями.
Організація може створити політики доступу, які будуть оцінювати контекст входу користувача, щоб в режимі реального часу дозволяти або забороняти доступ до певних додатків.

Наприклад, ви можете зажадати багатофакторну перевірку справжності для кожної програми окремо або в тих випадках, коли користувач не на роботі. Крім того, для випадків, коли користувач не на роботі, можна заблокувати доступ до певних додатків. Під час налаштування базового захисту зосередьтеся на правилах, які не вимагають реєстрації пристроїв.

  • Підвищений рівень захисту. Основа

За допомогою політик доступу пристроїв до SharePoint Online і OneDrive для бізнесу (попередньою версією) ви можете контролювати доступ в разі мобільних пристроїв:

  • блокувати доступ або обмежити його таким, який можливий через браузер і тільки для читання, в разі пристроїв, які не відповідають вимогам або не приєднання до домену;
  • обмежити доступ на підставі розташування в мережі.

Для цих політик необхідні дві політики умовного доступу в Azure Active Directory.

Крім того, щоб обмежити доступ на підставі відповідності пристроїв вимогам, необхідно зареєструвати пристрої в Intune (або іншому інструменті управління мобільними пристроями) і налаштувати відповідну політику.

Для захисту конфіденційних даних спочатку обмежте до них доступ таким, який можливий через браузер і тільки для читання, в разі пристроїв, що не приєднані до домену. Це не дозволить користувачам викачувати файли на некеровані пристрої. Такий рівень захисту не потребує реєстрації в Intune.

Підвищений рівень захисту. Додатковий захист

Цей рівень захисту підвищує захист окремих частин даних. Спочатку створіть в Azure Active Directory групу користувачів, яким необхідний доступ до конфіденційних файлів. За допомогою групи зареєструйте пристрої в Microsoft Intune і встановіть політику відповідності вимогам.

Рекомендовані вимоги:

  • паролі зі строгими параметрами (буквено-цифрові символи, не менше шести символів, термін дії не більше 90 днів);
  • застосування виправлень, наявність антивіруса і використання брандмауера;
  • використання шифрування, блокування при бездіяльності і очищення при декількох невдалих спробах входу;
  • джейлбрейк або рутинг не виконано.

Нарешті, створіть дві політики відповідності вимогам в Azure AD для SharePoint Online і Exchange Online. Необхідні пристрої, що відповідають вимогам. Для Exchange Online також необхідна сучасна перевірка справжності.

  • Захист жорстко регламентованих даних

Для захисту секретних або жорстко регламентованих даних заблокуйте доступ з браузера до SharePoint Online і іншим службам Office 365. Це змусить користувачів застосовувати керовані додатки (мобільні додатки та клієнти для настільних комп’ютерів). Створіть політику умовного доступу в Azure Active Directory, яка заблокує доступ до даних з браузера.

Якщо ви хочете керувати доступом за допомогою Exchange ActiveSync, створіть окрему політику для Exchange Online.

З питань придбання рішень Microsoft звертайтеся до наших фахівців 0 800 75-01-34 або sales@softico.ua