Aktuality pro správce Microsoft 365 - první pololetí 2020

Sensitive by default - blokování externího sdílení u neindexovaných souborů

Aplikování DLP pravidel v SharePointu Online funguje na základě indexace souboru a následném proskenování obsahu, zda se na něj některá DLP pravidla vztahují, přičemž proces indexování a skenování může nějakou dobu trvat, třeba i několik hodin. Než k němu dojde, je možné soubor libovolně externě sdílet – to samozřejmě není ideální, protože právě tomu by měla DLP pravidla zabránit. Microsoft proto přichází s řešením ve formě zablokování externího sdílení u souborů, které zatím nejsou indexovány a proskenovány – tuto funkcionalitu můžete zapnout přes cmdlet Set-SPOTenant –MarkNewFilesSensitiveByDefault BlockExternalSharing, což doporučujeme provést, pokud v tenantu používáte DLP pravidla zabraňující externímu sdílení a chcete mít jistotu, že pravidla nepůjdou obcházet.

Výchozí typ odkazu sdílení pro uživatele s existujícím přístupem

Další nová funkcionalita zní téměř triviálně a je vlastně neuvěřitelné, že ji trvalo v Microsoft 365 tak dlouho implementovat. Správci Microsoft 365 měli doposud možnost nastavit výchozí odkazy ke sdílení na SharePointu a OneDrivu na:

• Všechny uživatele (=anonymní odkaz pro sdílení)

• Všechny interní uživatele

• Konkrétní uživatele

Odkaz, který mně osobně přijde jako nejlogičtější, tedy odkaz na soubor pro všechny uživatele s již exitujícím přístupem (bez přidání nových či jejich vypisování), nebylo bohužel doposud možné nastavit jako výchozí.

Navíc po poslední změně UI dialogu pro sdílení souboru (v cca třetím čtvrtletí roku 2019) funguje sdílení v SharePointu Online a OneDrivu tak, že už se vás dialog neptá na to, jaký typ odkazu chcete vytvořit, ale rovnou vytvoří výchozí odkaz a ten až následně můžete změnit. To znamená, že když se uživatel uklikne a dialog sdílení otevře omylem a následně ho zase zavře, tak už zůstává vytvořený výchozí odkaz ke sdílení. Pokud jako výchozí typ odkazu používáte třeba ten pro externí uživatele, tak tímto způsobem můžete nasdílet soubory, u kterých jste to vůbec neměli v úmyslu (osobní zkušenost).

Stejně problematické je i přikládání cloudových příloh do Outlooku, kdy automaticky dochází k vytvoření výchozího typu odkazu - tedy posílám odkaz na soubor uživateli pavel.otych@gurot.cz, který už k souboru sice má přístup, ale pokud je nastaven jako výchozí typ odkazu ten pro všechny interní uživatele, vytvoří se a odešle tento odkaz. To může být problematické, protože přeposlání odkazu dalším interním uživatelům je otázkou pár kliknutí.

Microsoft nyní přichází s možností nastavit jako výchozí typ odkazu takový, u kterého mají oprávnění pouze uživatelé s již existujícím přístupem. To je skvělá zpráva, protože to řeší problémy uvedené výše. Aktuálně nemáme možnost nastavit toto v UI, ale pouze přes PowerShell a pouze na konkrétní SharePoint stránku. Postup pro provedení najdete zde.

Pokud vás aktuální možnosti výchozích odkazů trápí, doporučujeme toto nastavit, v opačném případě můžete počkat, až funkci půjde globálně zapnout v SharePoint admin centru na všechny weby, což je přislíbeno, že půjde.

Podpora Sensitivity Labels v SharePoint Online a desktopových Office aplikacích

Už nějakou dobu máme možnost zapnout nativní podporu Sensitivity Labels v SharePointu Online, která u šifrovaných souborů umožňuje jejich indexaci, aplikaci DLP pravidel, co-authoring apod. Zapnutí preview je otázka jednoho PowerShell příkazu, ale přináší docela zásadní komplikace a omezení, doporučuji proto nejprve pročíst podrobnější informace na této stránce.

Mimoto máme k dispozici další preview funkci, a to podporu hromadného aplikování Sensitivy Labels na celé Office 365 skupiny, SharePoint stránky a Teams kanály. Informace o tomto preview najdete zde, ale doporučoval bych se jím zatím příliš nezatěžovat - aktuální funkcionalita je strohá a vypadá to, že doladění bude ještě nějakou dobu trvat - například u SharePoint stránek je nefunkční aplikace Sensitivity Labels na soubory uložené v dokumentových knihovnách.

Co je však aktuální a funkční, je nativní podpora Sensitivity Labels of desktopových Office aplikacích. Již od podzimu 2019 je k dispozici v měsíčních kanálech Office balíčku a nyní se nám dostává i do půlročního kanálu. Je to funkce, na kterou čeká řada firemních uživatelů, protože jim pomůže zbavit se Azure Information Protection klienta. Nativní podpora v Office dále umožní u štítků vypnout umožnění přístupu k obsahu přes makra (do této doby bylo nutné kvůli správné funkčnosti AIP add-inu).

Bohužel by to nebyl Microsoft, aby s nativní podporou nebyla okleštěna podpora některých funkcí, a to bohužel docela důležitých – třeba automatické štítkování podle obsahu či zakázání odebrání štítků. Proto doporučujeme pročíst aktuální srovnání funkcionality AIP klienta a nativní podpory. Pokud necháte nainstalovaného AIP klienta, bude se v Office aplikacích používat jeho add-in, pokud nebude AIP klient k dispozici, bude použita nativní podpora v Office aplikacích.

Vypnutí jednotlivých oznámení „Co je nového“ v desktopových Office aplikacích

Od února 2020 mají správci možnost vypnout oznámení o nových funkcích, které se uživatelů, zobrazují v desktopových aplikacích. Bohužel nelze nastavit výchozí hodnotu všech nových oznámení na automaticky nezobrazovat, je potřeba čekat na soupis novinek u každé měsíční verze a u ní jednotlivá oznámení povypínat. Sice je to otázka pár kliků, ale snad to Microsoft ještě doladí, ať nemusíme klikat každý měsíc.

Kolekce aplikací v My Apps portálu

Již dlouho mají správci možnost přidávat uživatelům odkazy na vlastní aplikace do App Launcheru v Office 365, případně do Azure My Apps portálu. Nastavení se spravuje na dvou místech, a to buď při registraci aplikace v Azure, anebo v Office 365 v nastavení organizace. Každá z těchto možností se uživateli zobrazuje trochu jinak v O365 Launcheru - jedny aplikace jsou připnuté nahoře se speciálním nadpisem, druhé naopak úplně dole. Prostě je to trochu chaos.

Microsoft přichází se sjednocenou správou připnutých aplikací a s tím souvisí i nový Azure Launcher na https://myapplications.microsoft.com. Nově přibyla možnost sjednocovat připnuté aplikace do kolekcí a až ty následně přiřazovat uživatelským skupinám. Funkcionalita vyžaduje Azure AD Premium P1 licenci a v současné době je k dispozici v preview verzi.

Žádosti uživatelů o přístup k aplikacím

Už od podzimu 2019 je v preview další zajímavá funkce, která umožňuje Azure AD uživatelům požádat svého správce, aby povolil cizí webové službě přístup k firemním údajům (to platí samozřejmě za předpokladu, že schválení není nastaveno na automatické). Typicky jde o příklady, kdy se uživatel chce přihlásit k nějaké webové aplikaci přes Azure AD účet.

Schvalovací workflow je celkem promyšlené, dají se nastavovat typy notifikací pro administrátory či expirace žádostí uživatelů. Doporučujeme proto určitě podrobněji se na tuto funkcionalitu podívat.

Security Defaults nahrazují Azure AD baseline policies

Významná změna, kterou snad již všichni správci zaznamenali, je zrušení baseline policies v Azure AD a nahrazení jednotným připínadlem označovaným jako Security Defaults. To v sobě zahrnuje vše, co bylo dříve odděleně v jednotlivých baselines, tedy v podstatě MFA a blokaci starých autentizačních protokolů.

Obecně je to nástroj vhodný pro jednotlivce, menší firmy či takové, kteří nechtějí nastavovat sofistikovaná řešení. Problémem totiž je, že pokud požíváte Conditional Access v Azure, tak Security Defaults nemůžete zapnout. Tato nevýhoda se dle mého názoru vztahuje téměř na všechny, kteří si chtějí s Azure AD trochu „vyhrát“ či chtějí nastavení přizpůsobit svým požadavkům.

Podpora Windows Information Protection v novém Edge

Nový Edge na jádru Chromium aktuálně podporuje Windows Information Protection pouze v omezené míře. To se nám konečně změní od verze 82, která je aktuálně v testovacích kanálech, a která vyjde finálně koncem dubna 2020. Čeká nás tedy plná podpora, včetně kopírovaní obsahu, drag & drop souborů apod.

Office aplikace iOS/Android

Začátkem roku 2020 vydal Microsoft novou Office aplikaci pro iOS a Android zařízení. Jde o jednoduchou aplikaci, která zastřešuje ostatní aplikace v Office balíčku, umožnuje spojovaní dokumentů, skenování přes fotoaparát apod. Aplikace samozřejmě podporuje MAM politiky, je tedy potřeba přidat si Office aplikaci do seznamu spravovaných aplikací, pokud MAM používáte.

Závěr

Dnes jsme si shrnuli některé změny v Microsoft 365, o kterých je dobré vědět, abychom byli v průběhu prvního pololetí 2020 v obraze. Výhledově nás čeká i řada novinek ve druhé polovině roku 2020 - především půjde o blokaci basic autentizace, podporu ATP na jiných operačních systémech, či nové možnosti správy tisku přes cloud. O těch třeba ale zase někdy příště.