Pokud ve firmě máte zařízené Microsoft prostředí, tak určitě máte nastavenou i admin část tohoto prostředí. Je ale nepravděpodobné, že máte nastavené všechno, a ještě méně pravděpodobné, že máte všechno dobře, protože to nemá nikdo. V dnešním článku vám představím některá zajímavá nastavení, která by vám měla pomoci zabezpečit firmu.
Jak mám začít?
Nejdříve musíte zjistit, jaké máte vlastně licence. Business Basic vám dává v celku málo možností na nějaké hluboké zabezpečování, ale něco se tam přece jen udělat dá. Business Premium je to, kde začíná „zábava“. To vám totiž mimo jiné odemyká tzv. CAP (Conditional Access Policies), které vám dávají přímo možnost kontrolovat kdo se kde, jak a do čeho přihlásí a co k tomu bude potřebovat.
Na co si mám dát pozor?
Velmi velmi důležitá věc je, že se s CAP můžete „odříznout“ (zablokovat si přístup do admin prostředí), proto si VŽDYCKY vytvořte tzv. Brake glass účet, který ze všech CAP vyřadíte!!! Také, když implementujete novou CAP, tak ji nastavte na Report Only, alespoň na prvních pár dní.
Mám Premium licenci, kde začít?
První věc je vytvoření CAP pro administrátory. U těch doporučuji vždycky nastavit povinné MFA a přihlášení na max. 24 h (spíše na 8 h). To stejné pro Azure management (Microsoft má předělané šablony). Poté je dobré zablokovat tzv. Legacy Authentication a nastavit MFA pro všechny uživatele.
Mám CAP co dál?
Dál se meze nekladou, ale je dobré se podívat do nastavení Intune a krom vytváření standardních Compliance Policies se podívat i na filtry. V dnešní době už fungují a fungují dobře.
Tohle je na mě asi moc.
Nedivím se vám. Ale proto jsou tu lidi, jako my! Pokud máte problém s nastavením Microsoft prostředí, tak si s námi sjednejte 30 min schůzku zdarma a bez závazků ZDE