Kuinka organisaatiosi hoitaa tietoturvan operatiivisten hälytysten ja poikkeamien tutkimisen ja käsittelyn? Mielestämme jokainen organisaatio tarvitsee SOC-palvelun, jotta IT-asiantuntijat voivat käyttää aikansa liiketoiminnan tukemiseen poikkeustilanteiden hoidon sijaan. Lisäksi SOC-palvelun tulisi olla toimittajariippumattomasti asiakkaan omassa pilviympäristössä, suojata tämän päivän digitaaliseen identiteettiin kohdistuvilta uhilta ja hyödyntää jo tehtyjä pilvilisenssi-investointeja. Paljon vaadittu, vai onko sittenkään?
Olemme Sulavalla alusta asti työskennelleet Microsoftin pilvipalveluiden tietoturvan parissa – pian kymmenen vuoden ajan. Tietoturvan kehitystyö on tärkeä osa konsultointi-, koulutus- ja tukipalveluitamme. Vuosien varrella olemme entistä enemmän auttaneet isoimpia asiakkaitamme myös operatiivisen tietoturvan hoidossa, ja tietoturvahälytysten ja poikkeamien hoito on luonnollinen osa tukipalveluitamme.
Haluamme tarjota saman mahdollisuuden kaikille, ja siksi olemme rakentaneet Sulavan oman SOC-palvelun (Security Operations Center). Palvelumme on ainutlaatuinen erityisesti näistä syistä:
1.Tämän päivän tietoturvauhat kohdistuvat erityisesti työntekijän identiteettiin. Perinteinen tietoturva-ajattelu, jossa keskitytään suojaamaan verkkoa ja päätelaitteita, helposti ohittaa käyttäjän digitaalisen identiteetin merkityksen. Microsoft 365:n ja sitä myötä myös Sulavan SOC-palvelun keskiössä on työntekijän digitaalisen identiteetin suojaaminen, sekä uhkien käsittelyn että loppukäyttäjien opastamisen kautta.
2. Asiakkaamme ovat tehneet merkittäviä investointeja Microsoftin tietoturvapalveluihin. SOC-palvelun ei tarvitse keksiä pyörää uudelleen, vaan huolehtia, että Microsoftin globaalin koneälyn havaitsemat asiakasympäristön uhat tutkitaan ja käsitellään asianmukaisesti.
3. Haluamme, että lokidata säilyy asiakkaan hallussa. SOC-teknologian pohjana on SIEM-palvelu, ja asiakkaan Azure-ympäristössä pyörivä Azure Sentinel on loistava valinta. Palvelu tarjoaa viimeisimmät SIEM-toiminnot koneoppimisesta lähtien, ja Sentinelistä maksetaan ainoastaan käytön mukaan.
Mikä parasta, data pysyy asiakkaan Azure-tilauksessa ja asiakkaan määrittelemillä tietosuojaehdoilla, eikä SOC-palvelun toimittajasta olla niin riippuvaisia.
4. Suomalaisten organisaatioiden ongelmana eivät ole huonot SOC-palvelut, vaan yleisimmin SOC-palvelun puute. Mielestämme jokainen organisaatio tarvitsee SOC-palvelun, jotta IT-asiantuntijat voivat keskittyä tietoturvan kehittämiseen. Siksi SOC-palvelun pitää olla edullinen, jotta yhä useampi organisaatio saisi sen käyttöönsä.
Olemme rakentaneet palvelun Microsoftin aina päällä olevien suojauspalveluiden ja Azure Sentinelin varaan, ja siksi voimme tarjota sitä ylpeänä ensi kertaa SOC-palvelua käyttöönottaville asiakkaille.
Haluatko kuulla lisää? Ilmoittaudu maksuttomaan webinaariin:
Kuinka suojata työ, jota tehdään paikasta riippumatta pilvipalveluissa? Asiantuntijamme Marko Mikkola ja Oliver Lahti kertovat ja näyttävät käytännössä 22.10., kuinka tietoturvaan liittyvien signaalien eksponentiaalinen kasvu ja hälytyksiin ja poikkeamiin reagointi hoidetaan modernin SOC-palvelun avulla.
”Hard times arouse an instinctive desire for authenticity”, said Coco Chanel once. Unfortunately, tragedies like COVID-19 are always exploited by malicious actors. As Microsoft recently shared, themed phishing attacks are on the rise. Microsoft 365 organizations need to ensure authenticity of their e-mails.
Protecting the users from phishing still relies on two main topics: anti-spoofing and anti-phishing. When preventing spoofing, we need to make sure that forged sender address cannot be used. The current framework for this is DMARC, which encapsulates SPF and DKIM checks together with from field verification. This needs to be combined with Anti-Phishing Policies in your Microsoft 365 tenant.
The best part of DMARC is in my opinion the aggregate reporting functionality. With our customers we use DMARCIAN for aggregate reporting of e-mail authentication, to identify legitimate unprotected sending systems and get visibility for spoofing attempts. Whether you are currently using DMARC or not, implicit DMARC checks are in any case done for your e-mails by major vendors such as Microsoft and Google, so better take control of it straight away.
For phishing, the main prevention technology is Office 365 Advance Threat Protection. This gives you real-time tools to prevent users from accessing phishing site links, investigate phishing campaigns and clean up the damage. In multi-layer defense strategy, deploying Azure AD Conditional Access with multi-factor authentication and legacy authentication block is essential for mitigating the results of successful phishing.
The last line of defense is always the end-users. They need constant security awareness to be able to distinguish fraud attempts, and to have the courage to contact support in case of any doubt about authenticity of e-mails. Just like Coco!
Watch the webinar!
Want to know more how to Protect your users from phishing? See a recording from our webinar!
Suurin osa suomalaisista organisaatioista on siirtynyt iloisesti pilvipalveluiden käyttäjäksi. Suomessa siirtymä pilveen tehtiin maailmanlaajuisesti katsoen eturintamassa. Moni organisaatio ehti esimerkiksi Office 365:n alkuaikoina siirtää palvelunsa tietoturvan näkökulmasta sellaisenaan pilveen, eikä ole sen jälkeen tehnyt kokonaisarviota sitä, kuinka palvelut pitäisi nykymaailmassa olla suojattu.
On myös organisaatioita, joissa vasta pohditaan pilvipalveluiden laajempaa hyödyntämistä. Silloin saatetaan edelleen ajatella, että oman palomuurin suojissa ollaan lähtökohtaisesti paremmassa suojassa kuin julkisessa Internetissä.
Pilvipalvelut ovat muuttaneet perusteellisesti organisaatioiden tietoturvauhkia ja varautumismahdollisuuksia, niin hyvässä kuin huonossa. Käyttäjien tunnukset ovat esimerkiksi jatkuvan tietojenkalastelun kohteena, sekä yritys- että kuluttajapalveluiden kautta. Huonosti päivitettyjen työasemaohjelmistojen rinnalle heikoimmaksi lenkiksi onkin noussut käyttäjien identiteetit.
Microsoft investoi tietoturvaan miljardin vuodessa, ja on tehnyt myös ahkerasti yritysostoja kattaakseen pilvessä koko kill chainin eli tietoturvahyökkäyksen eri vaiheiden tunnistamisen ja niiltä suojautumisen. Nämä uudet suojauspalvelut, joiden nimessä esiintyy usein Advanced Threat Protection eli ATP, sisältävät uniikkeja piirteitä. Ensinnäkin siksi, että Microsoft käsittelee päivässä miljardeja kirjautumisia sekä signaaleja eri suojauspalveluista. Näin pieni suomalainen asiakas hyötyy koneälyn avulla tehdyistä reagoinneista lähes reaaliajassa. Toiseksi siksi, että ne ulottuvat pilvestä käsin suojaamaan myös organisaatiosi sisäistä IT-ympäristöä. Koska identiteetti on yhteinen pilven ja paikallisen ympäristön välissä, näin pilven viimeisin tuotekehitys ja koneäly suojaavat koko ympäristöä.
Office 365:n vaikutus organisaatioiden tuottavuuteen ja liikkuvaan tietotyöhön on ollut huima Teamsin kaltaisten palveluiden myötä. Microsoftin tietoturvainvestoinnit auttavat tekemään samanlaisen loikan myös organisaation tietoturvaan. Liikkeelle lähtemiseen löytyy valmis tiekartta. Milloin olet viimeksi arvioinut pilvitietoturvasi tason? Sen jälkeen mietitään yhdessä, miten kehittämisestä tehdään jatkuvaa.
Onko tietoturvaosaamisesi ajan tasalla? Tähtäätkö guruksi? Kursseistamme voit muodostaa kokonaisuuksia, jotka muokkaavat sinusta rautaisen ammattilaisen tai voit tarpeesi mukaan käydä yksittäisiä kursseja osaamistasi täydentämään. Metrokarttamme auttavat suunnistamaan oikeille asemille. Katso aikataulut: https://sulava.com/kurssit/
Tähtäätkö guruksi?
Tai valitse yksittäisiä kursseja ja muodosta kokonaisuuksia:
Jos perustaisit tänä vuonna uuden yrityksen, tuskin lähtisit pystyttämään sitä varten AD-palvelimia. Tai palvelimia ylipäänsä. Tämän päivän startup voi rakentaa palvelunsa hyvin pitkälle täysin julkisen pilven varaan. Se on kova paikka vanhemmille organisaatioille, joiden pitäisi pystyä toimimaan samalla ketteryydellä säilyttääkseen asemansa. Liiketoiminnoilla on tarve ottaa uusia sovelluksia ja pilvipalveluita nopeasti käyttöön. IT:n täytyy mahdollistaa tämä, ja tukea nopeaa käyttöönottoa – kuitenkin varmistaen käyttäjähallinnan ja kirjautumisen tietoturvan.
Sovellusten hankinta ja identiteettien hallinta on perinteisemmillekin toimijoille helppo paikka aloittaa ketteröityminen. Microsoft-maailmassa avainasemassa on Azure AD, joka on jatkossa käyttäjäidentiteettien lisäksi myös sovellusten ja laitehallinnan keskushubi. Identiteetit ja sovellukset hyötyvät joustavasta ja älykkäästä pääsynhallinnasta, joka mahdollistaa esimerkiksi hallittuihin laitteisiin ja monivaiheiseen tunnistautumiseen nojaavan pääsynhallinta-arkkitehtuurin.
Näillä pääseet liikkeelle kohti uutta maailmaa:
1. Luo pilvipohjainen malli uusien liiketoimintasovellusten käyttöönottoon
Malli pitää sisällään vastaukset esimerkiksi seuraaviin kysymyksiin:
Jos sovellustoimittaja tarjoaa SaaS-palvelun, kuinka se liitetään kertakirjautumisen ja pääsynhallinnan piiriin? Jos sovellus toimitetaan asiakkaan Azure-ympäristöön, miten IaaS- ja PaaS-palikat integroidaan Azure AD:n kanssa? Jos sovellus joudutaan asentamaan perinteiseen konesaliin, miten se voidaan julkaista kaikkialle käyttöön esimerkiksi Azure AD App Proxyn avulla? Azure-hallintamallin tekeminen tarjoaa tähän hyvän pohjan. Täältä voit tutustua kuinka hallintamalli helpottaa Azure-ympäristön hallintaa ja kehittämistä Kuopion Energialla.
2. Virtaviivaista pilvikirjautuminen
Perinteisesti Azure AD / Office 365 -kirjautumiseen on toteutettu kertakirjautuminen oman konesalin ADFS-palvelinten avulla. Nykyisellään saman kertakirjautumisen voi toteuttaa pilvipohjaisesti, jolloin käyttökokemus nopeutuu ja vikasietoisuus paranee. Tätä suosittelee esimerkiksi Iso-Britannian kansallinen tietoturvaviranomainen.
3. Sano hyvästit ADFS:lle
Kun olet saanut Azure AD:n pois AD-federoinnin piiristä, jää ADFS:ään jäljelle joukko muita liiketoimintasovelluksia. Nekin hyötyisivät Azure AD:n tarjoamasta paremmasta pääsynhallinnasta ja tietoturvaominaisuuksista. Microsoftin analyysityökalulla voidaan tutkia sovellusten siirrettävyys etukäteen.
Haluatko oppia lisää? Sulavan konsultit kertovat mielellään aiheesta tarkemmin. Lisäksi opit aihepiiristä lisää myös Sulavan julkisilla kursseilla, esimerkiksi MS-100 – Microsoft 365 Identity and Services -kurssilla ja Azure-hallintamalli -kurssilla, jossa käydään läpi miten tehdään Azure-hallintamalli, joka helpottaa Azuren käyttöönottoa ja yhdenmukaistaa Azure-ympäristön käyttöä.
Tietojenkalasteluhyökkäykset Microsoft 365 -organisaatioiden käyttäjiin ovat valitettavasti arkipäivää, kuten Helsingin Sanomat ja Viestintävirasto kertovat. Siksi meidänkin asiakkaistamme käytännössä kaikilla on työlistalla monivaiheisen tunnistautumisen (multi-factor authentication, MFA) käyttöönotto käyttäjille. Mutta mitä se oikeastaan tarkoittaa, ja miten se kannattaa tehdä?
MFA on yksinkertaisimmillaan otettavissa käyttäjille käyttöön parilla klikkauksella. Mutta onnistunutta käyttöönottoa varten on syytä perustaa projekti, jolla on yleensä useita eri tavoitteita. Tässä oma kuuden vaiheen listani, jolla pääset hyvin liikkeelle.
Aluksi on syytä käydä läpi se, millä menetelmillä MFA-tunnistautumisen voi tehdä ja miten MFA:n vaatima loppukäyttäjärekisteröityminen tai massa-aktivointi hoidetaan. Ja mitä tehdään esimerkiksi vieraskäyttäjien osalta?
2. Käyttäjien käyttökokemuksen helpottaminen – MFA-vaatimuksen rajaaminen vain riskikäyttäytymiseen
Oletusasetuksilla MFA:ta kysytään käyttäjiltä koko ajan ja kaikkialla. Todennäköisesti halutaan kuitenkin, että luotetuilta ja hallituilta laitteilta MFA:ta ei turhaan kysytä, sillä mahdollinen kalasteluhyökkäyksen hyödyntäjä tuskin niitä käyttää – ja onhan laitteet suojattu jo muuten. Näiden esivaatimusten rakentaminen on usein projektin työläin osa.
3. Vanhojen turvattomien protokollien käytön esto
Sen lisäksi että ns. moderneissa kirjautumisissa vaaditaan MFA:ta, on tärkeä estää myös ne vanhat protokollat, jotka eivät MFA:ta tue. Riskinä on varsinkin järjestelmäintegraatioiden hajoaminen, jos tätä ei toteuteta huolella.
4. Muiden käyttörajoitusten asettaminen tietojen suojaamiseksi
MFA-käyttöönoton yhteydessä on mahdollista asettaa myös muita käytön rajoituksia. Tyypillisesti tällainen rajoitus voi olla käytön rajoittaminen selainkäyttöön ei-hallituilla laitteilla, tai joidenkin työntekijäryhmien tai kohdejärjestelmien osalta palveluiden käytön salliminen vain organisaation sisäverkosta.
Teknisten ohjeiden osalta loppukäyttäjille täytyy kertoa, miksi toimenpiteitä tehdään ja mitä vastaan niillä suojaudutaan. MFA ei poista varsinaisen tunnuskalastelun mahdollisuutta, joten siitä uhasta on edelleen syytä kertoa käyttäjille.
Jotta käyttöönotto ei riskeeraa päivittäistä työtä ja viestintä voidaan kohdentaa onnistuneesti, halutaan käyttöönotto yleensä tehdä käyttäjäryhmä kerrallaan. Käyttöön otetun teknologian täytyy tukea vaiheistuksen tekemistä.
Kiinnostaako kuulla aiheesta lisää? Ilmoittaudu kevään SharePoint HPR -tapahtumaan 23. ja 24. toukokuuta, jossa puhun aiheesta otsikolla ”Monivaiheinen tunnistautuminen M365:ssa – parhaat käytännöt”.
Kirjoitin vuonna 2012 blogin otsikolla ”Pilvipalvelut: kymmenen kysymystä, joita et ole koskaan kehdannut kysyä”. Seitsemässä vuodessa maailma on muuttunut, mutta tuo blogikirjoitus kiinnostaa edelleen lukijoita todella paljon. Tässä sen kunniaksi uudet kymmenen vastausta samoihin seitsemän vuotta sitten esitettyihin kysymyksiin.
1. Mistä termi pilvipalvelut tulee? Eikö se ole vähän hölmö nimi?
Vuonna 2019 suurin osa uusista yritysten IT-palveluista hankintaan palveluna netistä tai kehitetään alusta asti pilvialustalla pyöriväksi. Silloin on harvemmin enää tarvetta edes mainita, että palvelu tulee ”pilvestä”. Sen sijaan paikalliset konesalipalvelut alkavat olla kummajainen, jonka jatkamista täytyy erikseen perustella.
2. Pitääkö pilvipalveluista maksaa?
Totta kai pitää, mutta niistä maksetaan käytön mukaan, eli esimerkiksi käyttäjien määrän mukaan kuukausitasolla tai käytetyn kapasiteetin mukaan. Seitsemässä vuodessa tästä on tullut valtavirtaa, ja lisenssien omistaminen on mallina kuollut.
3. Mikä sitten on private cloud? Voiko pilven omistaa?
Private Cloud eli pilvikonesali omasta kellarista on ehtinyt vuosien varrella käytännössä kadota välivaiheen hype-terminä kartalta. Moni organisaatio on konesalinsa tähän malliin muuntanut ja pystyy nopeasti ja helposti luomaan virtuaalikoneita eri tarpeisiin. Mutta samalla maailma muuttui niin, että uusimmat alusta- ja loppukäyttäjäpalvelut saa parhaiten vain julkisesta pilvestä.
4. Entä Office 365, mitä se tarkoittaa? Minulla on jo työasemassani Office.
Office 365:n eli Microsoftin tuottavuuspilvipalvelut tuntevat nyt kaikki, mutta termi alkaa väistyä taka-alalle. Microsoft tuo entistä vahvemmin esille Microsoft 365 -palvelunimeä, joka kattaa Office 365:n lisäksi myös tietoturva- ja laitehallintatoiminnot sekä Windows-käyttöjärjestelmän palveluna. Lisäksi yksittäiset osapalvelut, erityisesti Teams, kasvavat itsessään isoiksi brändeiksi.
5. Eikö pilvipalvelu ole vähemmän turvallinen kuin oma palvelu?
Seitsemän vuotta sitten pilvipalveluiden tietoturva mietitytti ensimmäisiä siirtyjiä. Nyt tilanne on kääntynyt täysin toisin päin. Microsoftin viimeisin tietoturvateknologia on tarjolla vain pilvestä käsin, ja pilvipalveluiden lisäksi sillä voidaan suojata myös paikallisia ympäristöjä. Tietoturvaan liittyvien teknisten signaalien määrä on niin valtava, että niiden seulomiseen tarvitaan pilvipohjaista kapasiteettia, koneälyä ja automaattista reagointia. Toisaalta myös loppukäyttäjien kouluttaminen on muuttunut entistä tärkeämmäksi, kun hyökkäykset kohdistuvat suoraan ihmisiin.
Tietosuojasääntely on kehittynyt GDPR:n myötä, ja Office 365 on GDPR-yhteensopiva. Myös Helsinki on saanut oman Office 365 -datakeskuksen, mutta vikasietoisuussyistä suomalaisten asiakkaiden data on edelleen hajautettu ympäri Eurooppaa.
7. Eikö ole riski, kun pilvipalveluun pääsee mistä vain?
Pääsy kaikkialta yhdistettynä siihen, että Office 365 -palvelulla on yli miljoona käyttäjää, voi muodostua riskiksi, sillä pilvipalvelusta voi tulla suosittu sosiaalisten hyökkäysten kohde. Olemme Viestintäviraston tavoin suosittaneet asiakkaillemme pitkään monivaiheisen tunnistautumisen käyttöönottoa, ja viimeaikaiset tietojenkalasteluhyökkäykset ovat laittaneet sen käyttöönottoon lisävauhtia. Tästä voit oppia lisää päivän kurssilla sähköpostin tietoturvasta Office 365:ssa, jonka pidän.
8. Mitä sitten, jos pilvipalvelu ei toimi?
Office 365 on alusta asti saavuttanut lupaamansa 99,9% SLA:n eli palvelun saatavuuden. Yksittäisissä osapalveluissa on edelleenkin silloin tällöin katkoja, jotka voivat vaikuttaa osaan käyttäjistä.
9. Entä jos haluan lopettaa pilvipalvelun käytön?
Office 365 tarjoaa rajapinnat datan siirtämiseen pois, ja palveluntarjoajia aihealueella riittää. Kun paikalliset palvelut ovat pudonneet kelkasta kehitysvauhdissa, kysymys onkin enemmän siitä, että mihin toiseen palveluun voisi järkevästi siirtyä.
10. Mihin enää tarvitaan konsulttia?
Office 365:n tekniikka on muuttunut vuosi vuodelta helpommaksi, ja varsinkin kollaboraatiopalvelut vastaavat yhä paremmin tarpeeseen suoraan paketista. Niinpä konsultointityön fokus on siirtynyt siihen, että uusien välineiden mahdollistamat uudet toimintatavat saadaan otettua onnistuneesti käyttöön organisaatiossa.
Kaizala on Microsoftin Garage-projektina alkunsa saanut mobiilisovellus. Sen idea on olla suorittavan työn tekijöiden keskustelun ja työnohjauksen ainut sovellus sellaisille työntekijöille, jotka eivät ole muiden tuottavuuspalveluiden piirissä. Kaizala on kirjoitushetkellä virallisesti saatavilla vain tietyissä maissa (listan mukaan ei vielä Suomessa), eikä sitä ole vielä liitetty O365-lisensointiin.
Sulavassa haluamme kokeilla aina kaikkea uutta, joten Kaizala on julkaisustaan asti kiinnostanut. Työkäytössä Teams hoitaa meillä kuitenkin Kaizalan roolin oikein hyvin. Sen sijaan keksimme, että voisimme kokeilla Kaizalaa vapaa-ajan keskusteluissa.
Tähän asti sulavalaiset ovat kuuluneet ”Sulava Free Time”-nimiseen WhatsApp-ryhmään, jossa on juteltu työn ulkopuolisista asioista. Joulukuun ajaksi ryhmä pantiin jäihin, ja perustettiin vastaava ryhmä Kaizalaan.
Miten Kaizala toimii?
Ylläpitäjän näkökulmasta Kaizala oli iso parannus aiempaan WhatsApp-käyttöön. Kaizalaan pystyttiin luomaan ryhmä, joka vaati tunnistautumisen Sulavan Azure AD -tunnuksella, mutta johon kuka tahansa organisaatiossa sai liittyä. Liittyminen onnistui helposti: asenna sovellus, kirjaudu Sulavan tunnuksella ja liity Teamsissa jaetulla QR-koodilla. Ylläpidon ei tarvitse enää lisätä uusia ja poistaa entisiä työntekijöitä puhelinnumeron perusteella kuten WhatsAppissa.
Loppukäyttäjän kokemus ei paljoa WhatsAppista eroa – samat pikaviestitoiminnot löytyvät molemmista. Kaizala on hieman työsuuntautuneempi tehtävä- ja kyselytoimintojensa ansiosta. Myös kuvien sijaintitiedon jako, peukutus ja kommentointi keräsi kiitosta. Kuvien kommentit menevät myös omaan säikeeseensä kuvan yhteyteen. Jotain yksittäisiä WhatsAppista tuttuja toimintoja vielä puuttuu, kuten esimerkiksi GIF-animaatiot.
Kumpi voitti?
Tammikuun alussa järjestettiin Sulavalla Teamsin Polly-appin avulla äänestys siitä, kumman käyttöä jatketaan. Tätä kirjoittaessani Kaizala oli saanut äänistä 54%, WhatsApp 20% ja vaihtoehto ”Ihan sama” 26%. WhatsAppia äänestäneet perustelivat mielipidettään sillä, että kun muu keskustelukäyttö on joka tapauksessa WhatsAppissa, on Kaizala yksi ylimääräinen sovellus lisää. Mutta enemmistö vakuuttui Kaizalan näppäryydestä, ja samalla opimme paljon sovelluksen hyödyntämismahdollisuuksista myös asiakkaillamme.
Samassa keskusteliin myös siitä, miksi myös vapaa-ajan keskusteluja ei voisi hoitaa Teamsissa. Teknisesti näin toki voisi, mutta moni käyttäjä haluaa pitää työ- ja vapaa-ajan kanavat erillään. Näin voi esimerkiksi ilmoitusasetuksia hallita erikseen eri välineissä.
Pari vuotta sitten SharePoint-maailmassa oltiin murheen alhossa. Viisitoista vuotta vanhat tiimisivustot ruksuttivat raskailla palvelimilla tuottaen megatavukaupalla HTML:ää hitaiden selainten piirrettäväksi. Vaikka SharePointia käytettiin yleisesti intranet-ratkaisuna, tuote tarjosi yllättävän vähän valmista viestinnällisen konserni-intran tarpeisiin. Näitä puutteita paikattiin erilaisilla raskailla lisäosilla ja paketeilla.
Syksyllä 2018 muutos aiempaan näyttää hurjalta. SharePointin käyttö on siirtynyt organisaatioissa käytännössä kokonaan Office 365:een, jolloin palvelinten silittelyyn ei enää tarvitse käyttää aikaa vaan SharePointin saa käyttöön napin painalluksella. Tiimisivustojen kanssa ei enää juuri puuhata, koska ne ovat osa Teamsia, joten SharePoint-asioissa paino on taas enemmän intra-tekemisessä.
Toisena isona asiana Microsoft on laittanut koko SharePointin käyttöliittymäkerroksen uusiksi. Moderneiksi nimetyt sivustomallit latautuvat murto-osassa aiemmasta, käyttävät viimeisimpiä web-standardeja ja skaalautuvat nätisti eri päätelaitteisiin. Jos jotain puuttuu, SharePoint on modernien sivustojen maailmassa helposti laajennettavissa. Microsoft-salatieteilyn sijasta laajennosten tekeminen onnistuu nyt yleisillä frontend-kehityskäytännöillä.
Modernilla viestintäsivustolla teet tyylikkäitä intran osasivustoja, ja hubisivustoilla yhdistät sivustoja isommiksi kokonaisuuksiksi. Kanssamme isotkin konsernit ovat saaneet muutamassa päivässä näyttävää valmista aikaiseksi modernien sivustojen maailmassa.
Uusi SharePoint-maailma vie pohjan pois valmiilta paketti-introilta, sillä SharePoint on nyt itsessään valmis intranet-alusta. Hyödyntämällä vakiotoimintoja mahdollistat alustan automaattisen päivittymisen ja uusien toimintojen nopean hyödyntämisen.
Intranettien toteutuksessa tekniikka onkin vihdoin siirtymässä taka-alalle, ja projekteissa päästään pohtimaan kuinka informaatioarkkitehtuurin suunnittelu, sisällön ajantasaisena pitäminen ja uuden intran lanseeraus hoidetaan onnistuneesti.
Sulava Fast on satojen käyttöönottojen hioutunut malli intra-projektin läpiviemiseksi. Toteutuksessa hyödynnetään taitavasti SharePointin vakiotoimintoja, mitään turhaa lisäämättä ja mitään olemassa olevaa poistamatta.
Suomalaisiin Microsoft 365:ttä käyttäviin organisaatioihin on kohdistunut sähköpostiin ja tietojen kalasteluun perustuvia huijausyrityksiä. Tätä on tapahtunut vuosien varrella jo jonkin aikaa, mutta tämän vuoden aikana tahti on kiihtynyt ja hyökkäykset kehittyneet huomattavasti. Viestintävirasto on antanut asiasta useita varoituksia, ja organisaatiot ovat menettäneet hyökkäyksissä paikoitellen suuria rahasummia.
Miksi tällaista tapahtuu?
Hyökkäysten määrän ja onnistumisten taustalla on muutama perussyy. Microsoft 365 on suurin yksittäinen yrityspilvipalvelu, joten siihen liittyvät hyökkäykset voidaan monistaa lähes sellaisenaan eri organisaatioihin.
Suuret rahasummat houkuttavat hyökkääjiä, jolloin voidaan panostaa hyökkäysviestien hyvään suomen kieleen. Pilvipalvelut ovat myös kiihdyttäneet hyökkäysten ja torjuntatoimien kilpajuoksua – jos organisaatio ei seuraa tarkkaan uusia suojauspalveluita, on se pian jäljessä varustautumisessa.
Miten voin suojautua?
Microsoft 365 tarjoaa hyvät mahdollisuudet hyökkäyksiltä suojautumiseen. Yksittäistä taikatemppua ei kuitenkaan ole olemassa. Eri teknologiat tarjoavat jokainen oman kerroksensa, jotka vaikeuttavat hyökkäyksen onnistumista. Osa teknologioista kuuluu peruslisensseihin, ja osa vaatii lisäinvestointeja.
Tyypillisesti on syytä aloittaa sähköpostin autentikaation kuntoon laittamisella. Siihen liittyvät teknologiat (SPF, DKIM ja DMARC) auttavat erottamaan organisaation oikean sähköpostiliikenteen huijausyrityksistä. Tämä on teknisesti helppo vaihe, mutta vaatii aikaa, jotta kaikki organisaation sähköpostia lähettävät järjestelmät löydetään. Sulavalla on tähän onneksi hyvä kumppanityökalu tarjolla.
Toinen iso osa-alue on pääsynhallinta. Viestintävirasto suosittelee monivaiheisen tunnistautumisen käyttöönottoa, jolloin esimerkiksi muulta kuin organisaation laitteelta kirjauduttaessa vaaditaan lisätunnistautuminen matkapuhelimella. Tähän voidaan yhdistää sellaisten vanhojen kirjautumismenetelmien esto, jotka eivät monivaiheista tunnistautumista tue – ne ovat hyökkääjien aarreaitta.
Microsoft 365 tarjoaa myös täsmäsuojaa tietojenkalasteluun ja nollapäivähaavoittuvuuksiin Office 365 Advanced Threat Protection -palvelun avulla. Palvelulla voidaan suojata koko organisaatio tai vain tärkeimmät käyttäjät. Lisäksi on olennaista kouluttaa loppukäyttäjät varomaan kalasteluyrityksiä, esimerkiksi suhtautumaan erilaisiin tunnuskyselyihin varauksella.
Pitkällä tähtäimellä on syytä siirtyä pääsynhallinnasta enemmän kohti tärkeiden tietojen suojausta, johon myös teknologiaa löytyy. Myös organisaation prosessit esimerkiksi laskujen käsittelyn ja hyväksymisen osalta on syytä käydä läpi ja varmistua siitä, että käyttäjät toimivat niiden mukaisesti.
Kuinka lähteä liikkeelle?
Sulavan asiantuntijat voi kutsua paikalle tutkimaan tapahtuneen vahingon jälkiä. Mieluummin kuitenkin olemme suunnittelemassa sähköpostin tietoturvan parantamista, monivaiheista tunnistautumista ja tietojenkalastelun torjumista jo hyvissä ajoin etukäteen.
Autamme parhaillaan näissä asioissa suuria ja pieniä toimialojensa kärkiyrityksiä Suomessa, ja olemme selvillä Microsoft 365:n viimeisimmistä suojautumismahdollisuuksista.
Aiheesta opit lisää myös Sulavan kurssilla Sähköpostin tietoturva Office 365:ssä.
Microsoft oli varannut kasan julkistuksia Pohjois-Amerikan SharePoint-konferenssin avauspuheenvuoroon. Keskustelu näistä aiheista jatkuu Twitterissä #SPC18-aihetunnisteella. SharePointin pilvikäyttöä juhlittiin, sillä jo 400 000 organisaatiota käyttää sitä, ja SharePointin kokonaiskäyttäjämäärästä jo 70% käyttää SharePoint Onlinea.
Isoin yllätys oli SharePoint Spaces -projektin esittely. Sen lisäksi julkaistiin kasa pieniä käytännön toimintoja SharePointiin, OneDriveen ja Teamsiin, mikä tekee käyttäjien elämästä taas asteen helpompaa. Tässä blogissa esittelen näistä lukuisista julkistuksista ne omasta näkökulmasta merkittävimmät.
Teemana uusissa toiminnoissa tuntuu olevan se, kuinka nykyisiä toimintoja laajennetaan ja autetaan entistä paremmin toimimaan yhteen keskenään tekoälyä hyödyntäen. Esitellyt toiminnot pitäisivät tulla saataville tämän vuoden aikana, mutta julkaisuaikataulu tarkentuu kun toiminnot listataan Office 365 roadmap-sivustolla.
SharePoint Spaces!
SharePoint ja virtuaalitodellisuus kuulostaa äkkiseltään hieman oudolta yhdistelmältä. Nyt julkaistiin hyvin pimennossa pidetty projekti SharePoint Spaces, jonka avulla käyttäjät pystyvät tekemään mixed reality -sovelluksia ilman teknistä syväosaamista. Oman Spaces-sovelluksen rakentamisen voi aloittaa valmista mallipohjista, joka luo selaimeen tyhjän 3D-tilan muokkausta varten. Listasta saa valittua haluamansa ambient-äänimaailman. 3D-tilaan voi lisätä tutusta web osa -käyttöliittymästä MR-yhteensopivia web-osia: videoita, kuvia, 3D-objekteja ja datan visualisointeja. Sen jälkeen vain täyden kokemuksen saavuttamiseksi Microsoftin MR-lasit päähän ja 3D-maailmaan. MR-lasit ovat Hololens-laseja huokeampia laseja, joilla voidaan pyörittää Windows 10-sovelluksia sekä WebVR-pohjaisia VR-sovelluksia työasemalla.
Spaces tarjoaa huikeita mahdollisuuksia esim. valmistavalle organisaatiolle esitellä tuotteitaan omille työntekijöille ja asiakkaille. Toisaalta datavisualisointi tuo 3D:n lisähyödyn kaikille organisaatiolle vaikka karttavisualisointien tai organisaatiokaavion tutkimisen avulla. Tässä on meille vanhoillekin SharePoint-konkareille sulattelemista.
SharePointin sisältöjä on jatkossa helppo analysoida Azuren Cognitive Services -tekoälypalveluiden avulla. Näiden avulla voidaan tunnistaa kuvia tai vaikka tunnetiloja tekstistä. Tämä sopii hyvin vaikka tilanteeseen, jossa asiakaspalautteita tallennetaan SharePointiin jatkokäsittelyä varten. PowerApps ja Flow kytkeytyvät entistä tiiviimmin SharePointin listoihin.
Omien listamallien hyödyntäminen SharePoint Onlinessa on jatkossa näppärämpää, samoin tiedon kopiointi Excelistä SharePoint-listalle. Listat tukevat jatkossa uusia saraketyyppejä, mm. karttasijaintia esiteltiin. SharePoint-listojen kaikkien rivien yhtäaikainen editointi on myös pian mahdollista. SharePointin listasta voi suoraan myös luoda tehtävän Planneriin, ja tehtävässä on linkki takaisin listan riviin josta tehtävä tehtiin. Power BI osaa tehdä suoraan päätelmiä SharePoint-listadatan perusteella uuden Insights-toiminnon avulla.
OneDrive saa useita pieniä parannuksia. OneDriven Files on Demand -tuki laajenee myös SPO:n dokumenttikirjastoihin. Lisäksi omien valokuvien automaattinen varmuuskopiointi OneDrive for Business -tallennustilaan tulee tarjolle tämän vuoden aikana. Tiedostojen jakoon tulee uusi malli, jossa tiedoston voi jakaa salasanasuojattuna. Tuleva paikallisen SharePointin 2019-versio tukee samaa uutta synkronointityökalua kuin Office 365, ja on-demand tiedostosynkronoinnin.
Moni asiakasorganisaatio on toivonut Windowsin oletuskansioiden (Kuvat, Tiedostot, Työpöytä) synkronointia OneDriveen, jotta käyttäjät eivät vahingossa tallentaisi tiedostoja pelkästään omalle konelleen. Nyt se tulee viimein mahdolliseksi niin, että ylläpitäjä voi sen pakottaa oletuskansioiden synkronoinnin tapahtuvaksi käyttäjien työasemille Tähän malliin voi siirtyä joko OneDrive-käyttöönoton yhteydessä tai erikseen sen jälkeen.
Moni ylläpitäjä on kaivannut keskitettyä raportointia organisaatiosta ulos jaetuista tiedostoista – sellainen tulee vihdoin tarjolle Microsoftin toimesta.
SharePointin sivut saa pian välilehtinä Teamsiin ilman muuta SharePointin ulkoasukuorrutusta. Lisäksi jatkossa myös SharePointin kirjastot näkyvät Teamsissa näkyviin täysillä toiminnoilla – tämä helpottaa esimerkiksi metatiedoitettujen dokumenttien hyödyntämistä Teamsin kanssa. Osaltaan tämä tuo Teamsia ja SharePointia lähemmäs toisiaan – erityisesti helpottaen SharePoint-sisällön hyödyntämistä suoraan Teams-clientista.
Dokumentinhallinta
Wordin kommentointiin tulee sähköpostista ja Teamsista tuttu tägäys @-symbolilla, jolloin käyttäjä saa ilmoituksen joka kehoittaa liittymään dokumentin muokkaukseen ja tarvittaessa myös jakokutsun. SharePointissa jaetuista dokumenteista saa jatkossa myös paremmin tiedot siitä, ketkä ovat katselleet ja muokanneet dokumenttia.
SharePoint Onlinen moderni tiedostokirjaston web-osa tukee jatkossa kaikkia dokumenttikirjaston toimintoja. Dokumenttikirjasto myös päivittää reaaliajassa näkyville toisten käyttäjien lisäämät dokumentit. Myös Planner saa uuden monipuolisemman web-osan SharePointiin.
SharePoint 2019
Uusimmasta SharePointin paikallisesta palvelinversiosta luvattiin julkinen esiversio kesällä, ja valmis versio syksyllä. OneDrive-uudistusten lisäksi mainittiin tuki moderneille tiimi- ja viestintäsivustoille sekä parantuneet hybriditoiminnot. Pilvijulkistusten jälkeen tälle varattiin keynotessa noin yksi minuutti, joka kertoo hyvin paikallisen version painoarvosta nykyisellään. Kiinnostuneet voivat lukea lisää Microsoftin blogista.
SharePoint Online
Moderneja sivuja voi jatkossa merkitä omalla metadatamallilla, ja metadataa voi hyödyntää sivujen nostoon ja kohdentamiseen. Vanha yleisöpohjainen kohdistaminen tekee paluun moderneille sivustoille, ja muutenkin SPO saa organisaatiotasoisten uutisten luontiin tarvittavat toiminnot. Sivuilla on myös sisäänrakennettu Flow-hyväksyntätyönkulku .
Sivuston liittäminen sivustokokoelmia yhteisen navigaation ja aloitussivun alle kokoavaan site hubiin onnistuu jatkossa käyttöliittymän kautta. Kun sivusto liitetään site hubiin, voidaan jatkossa käynnistää samalla skripti saitin kustomoimiseksi. Microsoftin koulutussisältöä saa uudella web-osalla upotettua osaksi moderneja sivuja.
SharePointin modernit sivut saavat uuden hienon hakukeskuksen tulosten näyttämiseen. SharePointin mobiilisovellus ja office.com aloitussivu saavat lisää älyä nostettujen sisältöjen älyyn ja kohdennukseen, ja hakutuloksia ehdotetaan jo ennen ensimmäisenkään hakusanan kirjoittamista. Tekoäly alkaa myös tunnistaa Office 365:een tallennettujen kuvien sisältöä esimerkiksi sanahakuja varten. Ignitessa julkaistu Bing for Business on nyt suljetussa esiversiossa, eli Bingistä tehdyt haut voi ulottaa kirjautuneille käyttäjille myös O365:n dataan.
Hallintapuolella Uusi SharePoint-hallintakeskus kehittyy hitaasti mutta varmasti, ja sen uusia toimintoja esiteltiin. SharePointin ja OneDriven datan hajautus eri maanosiin on tullut tarjolle, mutta koskee toistaiseksi vain isoja organisaatioita ja vain lisämaksusta. Työaseman Windows Defender pelaa jatkossa yhteen OneDriven kanssa ransomware-suojauksen ja korjaustoimien osalta.
SharePoint Framework -sovelluskehittäjät voivat jatkossa julkaista räätälöintinsä saataville kaikissa SharePoint Onlinen sivustokokoelmissa yhdellä kertaa. Azuren dataa saa tuotua entistä helpommin omiin SharePointin web-osiin. Lisäksi itse kehitettyjä web-osia voi tuoda välilehdiksi myös Teamsin puolelle. Nämä meille kertoi Vesa Juvonen, keynoten lavalle edennyt suomalaisten pilvikonsulttien Microsoft-sankari!
Office 2019:n julkinen esiversio tuli vastikään saataville, ja Jussi esitteli sitä laajemmin aiemmassa blogikirjoituksessa. Mutta kuinka uusi Office otetaan aikanaan käyttöön organisaatioissa?
Yhä useampi organisaatio siirtyy hankkimaan Officen käyttäjilleen osana Office 365 -lisensointia (Office 365 ProPlus). Nekin jotka eivät pilvilisensointiin vielä siirry, joutuvat kuitenkin siirtymään paketointi- ja jakelumalliin nimeltä Click-to-Run- (C2R). Office 365 ProPlussan kanssa C2R-mallia on käytetty jo 2013-versiosta lähtien, joten sen hyvät ja huonot puolet ovat tulleet tutuksi.
Kun huomioit seuraavat asiat, onnistuu Office-päivityksesi paremmin:
Testaa ajoissa
ProPlus-siirtymässä sinulla voi vaihtua parhaimmillaan kolme asiaa: Officen versio, paketointimenetelmä ja Officen bittisyys. Jokainen näistä muutoksista voi teoriassa aiheuttaa ongelmia nykyisissä sovellusintegraatioissa – siis siinä, kuinka Office pelaa yhteen muiden liiketoimintasovellusten kanssa. Suurin muutos näistä on siirtyminen C2R-paketointiin, joka käytännössä mahdollistaa vain Office 2010:n myötä lanseeratun add-in-mallin mukaiset laajennukset.
Uuden version käyttö kannattaa aloittaa mahdollisimman pian laajemman jakelun valmistelun rinnalla. Koska jos vaikka ERP-järjestelmän käytössä tunnistetaan ongelma, sen ratkaiseminen voi viedä useamman kuukauden kalenteriaikaa, jos järjestelmä vaati päivityksen. Ei riitä, että innokkaimmat ihmiset IT-osastolla hoitavat testauksen, vaan testaajia tarvitaan laajasti eri puolilta organisaatiota, jotta ongelmalliset järjestelmät jäisivät haaviin. Samalla tunnistetaan myös se, miten Officen asetuksia pitää mukauttaa organisaation tarpeisiin.
Tunnista käyttäjät ja työasemat
Office 365 lisensoidaan käyttäjäkohtaisesti, mutta Office-ohjelmisto jaetaan työasemakohtaisesti. Kuulostaa helpolta, mutta matkalla on usein mutkia. Vaiheistetussa jakelussa käyttäjien työasemat pitäisi tunnistaa, eli työasemainventaarion tulisi olla ajan tasalla.
Yhteiskäyttöiset työasemat saattavat vaatia hieman erilaisen konfiguraation kuin tietotyöläisten työaesmat. Tuotantojärjestelmiä ohjaavia työasemia ei myöskään haluta sekoittaa yllätyspäivityksillä. Poikkeustapaukset pitää siis saada pois jakelun piiristä ja käsiteltyä erikseen, ja pohjatieto työasemien tyypistä pitää siis olla saatavilla.
Älä lopeta testaamista
Päivitykset jaetaan C2R-maailmassa hyvin eri tavalla kuin aiemmin. Yksittäisten korjausten sijaan julkaistaan kuukausittaisia buildeja eli uusia versioita koko sovelluksesta. Buildit sisältävät sekä toiminnallisia päivityksiä että tietoturvapäivityksiä. Eri päivityskanavien avulla hallitaan sitä, miten nopeasti käyttäjät saavat uudet toiminnot käyttöönsä.
Jotta ympäristösi pysyy tietoturvallisena, tuettuna ja pilvipalveluiden kanssa yhteensopivana, pitää päivitysten testaukseen rakentaa jatkuva prosessi, jotta niitä voidaan jaella tasaiseen tahtiin. Ykkös- ja kakkosaallon testaajat saavat uudet buildit ennen muita, jolloin mahdolliset yhteensopivuusongelmat huomataan etukäteen. Samalla tunnistetaan myös se, miten uusista toiminnoista pitää ohjeistaa ja tiedottaa loppukäyttäjiä.
Office 365 -asiakkaat ja konsultit elävät mielenkiintoisia aikoja, kun tiimityön välineet päivittyvät vauhdilla. Microsoft Teams on uusi kukkulan kuningas, kuten kirjoitimme aiemmissa blogeissa. Tutkimusyhtiö Gartnerin suositus on selvä: ”Plan strategically for Microsoft Teams to evolve as the primary user experience for employees involved in collaborative teamwork using Office 365.” (linkki artikkeliin)
Mitä tämä tarkoittaa nykyisten välineiden käytön osalta? Tässä omat ennustukseni:
Tiimin chattikanavat ovat jatkuva pulssi tiimin työhön, tuoden näkyvyyden ja yhteisen tekemisen tunnun. Tämä on iso uudistus tiimityössä, ja muuttaa radikaalisti tiimin työtapoja. Itse laittaisin koulutuspanoksia juuri tähän, että tiimin keskustelu siirtyy sähköpostista ja privaattiviestittelystä kaikkien näkyviin.
Groupin jakelulistapohjainen keskustelu jäänee Teamsin kanssa vähälle käytölle, eikä näy Teamsin käyttöliittymässä. Unohda se siis suosiolla, ja käytä vain poikkeustapauksissa – kun tiimin pitää ottaa säännöllisesti viestejä vastaan tiimin ulkopuolelta.
Erillisiä SharePoint-projektisaitteja (tai Grouppeja ilman tiimiä) pian turha perustaa, kunhan vieraskäyttäjien pääsy Teamsiin on kunnossa. Tämän vuoden ensimmäisellä kvartaalin jälkeen olemassa olevat tiimisaitit voi liittää osaksi Grouppeja, ja sitä kautta Teams-toiminnallisuuskin tulee niiden yhteyteen. Teamsin kansa SharePoint-työtila jää entistä enemmän taustalle, vakiomuotoiseksi dokumenttivarastoksi.
Yammer jää yritystason ilmoitustauluksi – siellä viestitään ihmisten kanssa joita ei tunneta, tai joiden kanssa ei tehdä päivittäin töitä. Vai tarvitaanko Yammeria enää ollenkaan? Tiimiin mahtuu 2500 käyttäjää, joten moni organisaatio voisi toteuttaa Yammerin toiminnot Teams-palvelulla. Ainoa huono puoli on tiedon siiloutuminen Teamsissa – Yammer nostaa paremmin näkyviin keskustelua avoimista ryhmistä, joihin et kuulu.
Intranetin korvaaminen Teamsilla on pienten yritysten villi mahdollisuus. Dokumentit, ohjesivut, kiinnitetyt välilehdet… perustoiminnot näppärään intraan löytyvät Teamsista.
Pienen porukan tiedostojen jaolle löytyy oman OneDriven sijaan parempi paikka Teamsista, jolloin dokumentit ovat entistä paremmin muiden nähtävillä alusta asti.
Miten käy sähköpostin? Teamsilla on potentiaalia vähentää sähköpostia, koska Teams-keskustelut ovat kaikkien nähtävillä yhdestä paikasta. Keskustelut eivät enää haaraudu, ja pikaviestejä on helppo lähettää matalalla kynnyksellä. Toisaalta käyttäjät pitää opastaa hallitsemaan Teams-ilmoitusasetuksia, jotta Outlook ei täyty Teamsin ilmoituksista. Käytön raportit mahdollistavat muutoksen seurannan, eli O365:n raporteista näet mitä sähköpostin määrälle Teams-siirtymän osalta tapahtuu.
Ja kuten hyvin tiedetään, Skype for Business -käyttö siirtyy kokonaan Teamsiin, ensin pikaviestintä ja myöhemmin myös palaverit.
Näillä eväillä rakentuu tiimityö vuonna 2018. Mietityttääkö muutosten määrä? Ei hätää, autamme mielellämme!
Haluatko hands-on pikastartin Teamsin käyttöön? Ota yhteyttä!
