Ця стаття була спочатку розміщена на: https://jasperbernaers.com/how-to-build-your-zero-trust-modern-workplace-with-microsoft-365/
Щиро дякую, що прочитали мій блог про: Як побудувати своє сучасне робоче місце за допомогою Microsoft 365. У цій статті я написав підхід на високому рівні до впровадження та переходу від більш традиційної організації до організації, орієнтованої на хмару. Я хотів би отримати відгук у коментарі, на Linkedin чи Twitter.
Цей блог описує стратегічні можливості на високому рівні Microsoft 365. Також читайте технічну реалізацію M365 на високому рівні та значення Microsoft 365 E3 та E5
Стратегія та бачення
Ласкаво просимо в 2021 році! Світ змінився з часу останньої пандемії. Організації намагаються краще передбачити свою робочу силу, щоб допомогти та досягти своїх кінцевих цілей.
Щоб співпрацювати краще, контактувати не так, як раніше необхідний більш сучасний підхід – потрібні зміни.
Це величезна проблема для ІТ-директорів, технічного директора та ІТ-менеджера, оскільки світ перейшов у нову еру. Працювати по-іншому стало новим стандартом. І драйвер зміни – ззовні всередину. Це відбувається – немає можливості не прийняти сигнали. Немає можливості не змінитись, щоб залишатися актуальним, залишатися на лідируючій позиції на ринку, що руйнує.
Зіставляючи ці виклики з реальними технологічними потребами, я підсумував деякі теми, які згодом повернуться до моєї статті. Основними проблемами є:
Зв’язати людей для співпраці по-іншому за допомогою нових технічних можливостей – Маючи на увазі, що досвід повинен бути чудовим. Це повинно бути просто. Прозорий. Керований командою, ніякої індивідуальності.
Використовувати перевірені стандарти, які працюють, оскільки вони використовуються в багатьох організаціях. Повільність того, що не віриш цим стандартам і посиланням і йде своїм шляхом, вбиває організації. Це призводить до повільної швидкості впровадження – відсутність впевненості та довіри, що призводить до надмірного мислення. І висновок: невдача.
Надати правильні інструменти, які працюють для організацій – у сучасному світі – без огорожі фізичних місць і, що важливіше, з таким самим рівнем безпеки, як і в перші дні роботи.
Щоб бути досить швидким і прискорити свої ділові цілі. Час = все.
Щоб ви дозріли в безпеці, щоб краще, безпечніше перерости на технічно безпечніше робоче місце – це важливіше, ніж будь-коли. Якщо ви бачите тенденції розвитку кібер-ризиків, щось має змінитися.
Компанії працюють інакше, ніж раніше. І я справді вірю, що той, хто є найбільш пристосованим до змін, виживає.
Це не найсильніший з видів, який виживає, і не найрозумніший, який виживає. Саме вона є найбільш пристосованою до змін.
Традиційна корпоративна інфраструктура ізольована від зовнішнього світу
Як ви можете бачити на цій прекрасній картині, яку представляє Microsoft у концепції нульової довіри, організація створила чудові рішення у своїх центрах обробки даних у своїх приміщеннях. У їхніх децентралізованих надлишкових центрах обробки даних, де є все на місці, щоб їх DRP та відмовостійкий стан працювали чудово. Я не нападаю на розумних людей, які чудово впорались із цією масовою складною інтеграцією, щоб постійно працювати в режимі цілодобово, у своїх сервісних центрах або центрах обробки даних.
Проблема в тому, що рішення … Як я вже згадував у своєму останньому пункті. Організації зробили чудову роботу у своїх приміщеннях, щоб все працювало чудово. Але світ змінився.
Підривні для хмарних організацій, як Microsoft, Amazon і Google, пропонували масштабовані та відносні швидкі розгортання рішень. Рішення, що не вимагають технічної потреби в приміщенні або «власності» інфраструктури в приміщеннях. Рішення Software-as-a-Service (SaaS), які були ізольовані від цих корпоративних середовищ із функціями підключення та відтворення до найважливіших рішень для цих організацій – і це найважливіший аспект усього цього. Рішення для організацій, щоб досягти більшого. Дістатися до кінцевих цілей цих організацій. Нетехнічні сценарії, бізнес-кейси та бізнес-сценарії. Я думаю, ми дещо наївно не розуміємо, чому прийшов підрив. Це головним чином тому, що ми не змогли адаптуватися до змін, необхідних для того, щоб зробити наші організації більш сучасними. З високою швидкістю реалізації. Уявіть нового клієнта Office 365 у хмарному сценарії з: Exchange, Sharepoint, Teams та управлінням мобільними пристроями. Вони можуть розпочатися через кілька годин впровадження в M365.
Зображте це налаштування локально. Як багато часу це займе? Перспектива = все.
Нова концепція багатошарового підходу, що вбиває рибний бак у межах корпоративної інфраструктури
На малюнку нижче ви побачите корпоративний центр обробки даних з усіма серверами, що працюють у віртуалізованому стані, сегментований додатковими рішеннями безпеки. Сегментація мережевого сховища та багато інших послуг. Це настільки екстремальний комплекс. Одна помилка може вплинути на все. поруч із помилками: Вимагальники, цільові атаки, фішинг-атаки, .. та всі інші погані актори скористалися цією можливістю, щоб проникнути та зруйнувати цю інфраструктуру. Продавати дані. Підсумок: стало настільки складно реагувати на всі аспекти лише основної інфраструктури, де знаходяться ваші сервери та служби.
Корпорація Майкрософт не винайшла шаруватий підхід, коли мова йде про: ідентифікацію, пристрої, послуги, дані та мережу. Це не нова модель, ані реальне рішення, яке вирішує будь-яку проблему. Ні, це спосіб розуміння та інтеграції ваших активів, щоб привести їх у багаторівневе рішення, коли воно не може торкнутися об’єкта поруч із ним. І ізоляція завжди була найбільшою проблемою власної інфраструктури. Навіть коли ваша організація величезна, все одно надзвичайно важко взяти все під свій контроль і під захист. Правильний висновок: багатошаровий підхід.
Створення рішення про управління ідентичністю фонду
Майже кожна організація починала роботу з серверів / служб Microsoft Active Directory з Windows 2000 або Windows Server 2003. Оновлена до більш надійних версій для кращої інтеграції. Більше функцій, більше можливостей інтеграції, більше безпеки. Новіші версії.
Хмарні рішення стали такими руйнівними, як BPOS, Office 365, і ми інтегрували нашу поточну інфраструктуру з рішеннями федерації ідентичності як Microsoft FIM, щоб забезпечити наші локальні «облікові записи» активних каталогів для Azure Active Directory. Пізніше процес був добре оптимізований для синхронізації всіх локальних ідентифікаційних даних із підключенням Azure AD. Сучасний інструмент, який допомагає розширити поточний локальний каталог Active Directory до Azure Active Directory. Але ми не думали, що Office 365 є найважливішою частиною нашої основної організації.
Azure Active Directory відрізняється від Active Directory On-premise. Is має більше можливостей і більше базових рівнів безпеки, ніж сервер Active Directory. Я не кажу, що Azure AD за своєю конструкцією є більш безпечним. Я кажу, що є варіанти, щоб розпочати з більш безпечної платформи. Будівельні блоки. Простіше для активації, наприклад, за замовчуванням: Azure AD Security Defaults. Максимальне значення, менша складність, швидша швидкість реалізації.
Гібридне хмарне рішення для підприємств, яке поширюється на office 365 та azure
До 2020 року багато організацій перенесли навантаження зі своєї локальної системної інфраструктури на Office 365. Найпоширенішим навантаженням було Exchange On-premise на Exchange Online. Пізніше ці робочі навантаження змістилися в середовищі Office 365. Наприклад:
Файлові сервери стали -> OneDrive, SharePoint або Microsoft Teams
Місцева умова SharePoint -> Гібридна -> SharePoint Online
Локальна пошта / обмін -> Exchange Online
Голос / Skype до гібридного Skype -> Skype Online -> тепер команди Microsoft з PSTN, прямою маршрутизацією та всіма голосовими можливостями.
Як бачите, я переніс найбільше навантаження на папері, і нічого не залишилось, крім серверів додатків, інших систем електронної пошти, голосових рішень та інших рішень. (Див. Програми та сценарії)
Як ви всі знаєте, іноді невеликі інфраструктури або деякі додаткові програми вбудовуються в архітектурні проекти – я не думаю, що нам потрібно переоцінювати той факт, що в кожній зміні деякі речі повинні змінюватися! Стара спадщина, поступово її припиніть, перейдіть до різних рішень. Фокус довгостроковий. Фокус стратегічний.
Пристрої кінцевих точок та надійне управління пристроями
Пристрої як Windows XP, Vista, 7, 8, 8,1, Windows 10 (з 2015) 1703, 1706, 1709, 1803, 1806, 1809, 1903, 1909. Були організовані System-Center Configuration Manager у локальному приміщенні рішення. І тепер вони представлені в гібридному розгортанні з Microsoft EndPoint Manager.
Менеджер Microsoft EndPoint – це поєднання SCCM + Intune. Щоб отримати найкраще з обох світів. Керуйте робочим навантаженням із хмари та локально. Приклад: Ви можете впровадити під час Covid-19 зміну механізмів оновлення з SCCM на Endpoint Manager.
У цьому чудовому огляді ви бачите ліворуч інтеграцію поточного середовища Active Directory до Azure Active Directory. Справа ви бачите майбутні будівельні блоки, які повинні бути активними на ваших пристроях кінцевих точок, щоб бути готовими до підходу, що не є фішовим. Тому що більшу частину часу ви вже обрали Microsoft, Windows 10 та Office 365. Можливі сценарії управління пристроями кінцевої точки:
Тільки SCCM або сторонні рішення
Управління SCCM CO з менеджером EndPoint
Тільки менеджер EndPoint
Як вибрати, що підходить для вашої організації? Яким є правильний шлях для сучасного менеджменту? Які товари вам слід вибрати, щоб бути готовими до майбутнього державного робочого місця?
Я шанувальник того, щоб стати менеджером кінцевих точок у хмарному світі. Тому що, якщо ви новачок у сучасному управлінні, у вас є можливість використовувати гібридний ідентифікатор (з локальної мережі) та вашу робочу станцію Azure AD Windows 10, приєднану лише до хмари.
Чому? Тому що швидкість, що відрізнялася від раніше, стала величезним фактором реалізації. А зосередження уваги лише на розгортанні та основній реєстрації Windows 10 стало менш важливим у порівнянні із впровадженнями та вдосконаленнями безпеки.
Перша причина: конфігурація та реалізація проста. Не тому, що мені лінь застосовувати більш складні рішення, але створення спрощених стандартних рішень для управління пристроями Windows 10 так важливо. Чудово мати стандартні набори в Intune, які ввімкнено чи вимкнено. Це допомагає діалогу та складним дискусіям та швидкій інтеграції.
Друга причина: мобільні пристрої, управління мобільними пристроями з базовою функціональністю дуже просто та прозоро за допомогою Endpoint Manager. І як ми всі знаємо: вам потрібно мати кілька сценаріїв для: BYOD, CYOD, COPE та COBE. BYOD – це принести свій власний пристрій; CYOD – це вибрати власний пристрій; COPE – це власність компанії / особистий доступ; і COBO є власністю компанії / лише для бізнесу. Ви думаєте, це обговорення бла-бла класного терміна? Давайте розберемося: чи можете ви безпечно працювати над своїми мобільними додатками та захищати ІР своїх компаній. Чи знаєте ви, де знаходяться дані вашої компанії?
Третя причина: Дозрівання безпеки та спроби впровадження мають плюси: активація Bitlocker, Windows Hello For Business, які працюють у повній хмарі, проста активація. Я вважаю, що сегментація цього шару пристрою важлива, щоб не було бічного переміщення з приєднаними до домену пристроями, підключеними локально. Це навіть не технічно можливо, якщо пристрою не довіряють. (нульова довіра)
П’ята причина: відсутність гібридної складності, простіша постановка за допомогою Windows Autopilot. Постановка з будь-якого місця. На даний момент це неможливо в гібридних сценаріях. Це оголошено і стане можливим найближчим часом.
Шоста причина: Go Cloud. Якщо у вас немає локальної інфраструктури, і ви можете перейти без „традиційних” контролерів домену до Azure AD або ADDS. Базова лінія є найважливішим реальним фактором, який можна торкнутися. Є більше можливостей, які простіше реалізувати. Довготривала причина – справжня.
Чому ви повинні обрати управління CO та які моменти прийняття рішень?
Коли ви не поспішаєте переходити в повнохмарний. І, наприклад, визначено, що ви перейдете на роботу в 2025 році. І до цього часу збережете своє локальне ядро-середовище в цілості до того часу. Стратегічне рішення.
Коли у вас велика послідовність завдань і велике розгортання програмного забезпечення, яке неможливо перенести до диспетчера кінцевих точок. Але важливіше стратегія. Буде дивно, якщо ви будете тримати SCCM без будь-якого іншого навантаження на місці. Виберіть стратегічний, довгостроковий.
Якщо визначена стратегія повнохмарності. Не вкладайте гроші в спільне управління. Наприклад: Локальна служба, яка не відповідає бізнесу, не працює, перейдіть до Endpoint Manager Краще інвестувати в сучасні інструменти порівняно з добре відомим менеджером конфігурацій.
Коли у вас є 20 мовних пакетів та власні сценарії. Іноді потрібно приймати важкі рішення, щоб бути більш гнучкими на пізнішому стадіоні. Знову ж таки, стратегічне рішення.
Послуги, сервери та інфраструктура
Active Directory – сервери … Де ви говорите?
Це стосується відповідальності, складності, стандартів, управління та способу стабілізації критичних систем вашого бізнесу.
Відповідальність та безпека: Як ви можете бачити в цій матриці, завдяки зміні локальних серверів, приладів, служб під управлінням Windows Server або різних операційних систем право власності перебуває в руках організацій.
Недоліком загалом є безпека. Важко сегментувати, виправляти, оновлювати, оновлювати та відстежувати ризики в ланцюзі атак. Сервери інтегровані з активним каталогом. Поряд із TCO безпеки це важливо. Чи знали ви, що ми витрачаємо багато часу на виконання основних завдань інфраструктури, щоб все працювати. Це така важлива інфраструктура. Ми справді хочемо продовжувати працювати та підтримувати цю інфраструктуру, коли є інші варіанти? Це ілюзія думати, що організації можуть продовжувати розвиватися та трансформуватися, коли фокус не зміщений, а битва з хмарним фокусом ще не виграна.
На наступній схемі показано обов’язки – імпорт для знання можливостей для інженерів, архітекторів та вплив на цих людей. Поряд із навантаженням та впливом технологія, напевно, важливіша.
“Rehost, Refractor, Rearchitect, rebuild, replace” – ЯКЩО ви хочете перейти на сучасний підхід до переробки дизайну на Програмне забезпечення як послугу, якщо це можливо, це дуже важливо.
Приклад: Azure FileServer, Azure SQL. Немає сервера Windows 2016, на якому запущено екземпляри SQL. Просто рішення SaaS. Простіше для технічних працівників.
Дані (документи)
Зрілість даних. автоматична обробка. Автоматизація ,. Ви зрозуміли суть. Дані (документа) мають вирішальне значення і потребують захисту. Дані є ядром кожної організації. І все-таки ми надсилаємо документи по електронній пошті, обмінюємося сторонніми рішеннями, яким не довіряють тощо. Нам потрібен консолідований підхід для виправлення «проблеми» даних документів та виявлення ризиків безпеки, відповідності. Нам потрібно повернути контроль над корпоративними даними. Іноді важко зрозуміти, що компанії будують сховища даних із високим рівнем безпеки і залишають двері відкритими для інформаційних документів / управління. Ми будуємо надскладні системи з машинним навчанням, інтелектуальні архітектури для сучасних потреб. З супер розумними людьми – але ми залишаємо «основне робоче місце позаду», можливо, тому, що у нас є менш розумні люди, які насправді розуміють, що ми робимо. І куди ми прямуємо.
Довіра / Платформа / Вирішіть -> Виберіть Microsoft. Якщо ви вибрали Office 365 для кращої співпраці, і ви не довіряєте середовищу, ви зробили неправильний вибір. Я маю на увазі, використовуйте технологію, щоб зробити своє середовище більш безпечним. Не використовуйте його, якщо це лише для пошти. Технологія виходить за рамки самого інструменту.
Перенесіть особисті документи в OneDrive, організаційні документи в SharePoint of Teams та інші дані додатків на Azure Fileserver або інші рішення.
Основна причина – контроль даних. Коли файлові сервери та локальні копії зникають, хмара Microsoft 365 може забезпечити автоматичне маркування класифікації або принаймні інформацію про конфіденційні дані. Нам бракує контролю даних. Навіть не „розуміння” руху документів у наших організаціях.
Безпека хмарних додатків. Cloud App Security може допомогти вам усунути та вжити заходів, коли це необхідно, виявити потоки документів та допомогти встановити правила для документа, коли ризик витоку даних є дійсним. Cloud App Security не виправить «складних» рішень, коли ми зробили їх складними. Немає нічого простішого в керуванні, ніж Office 365: Teams, SharePoint, Yammer, Exchange, коли це єдина платформа, що використовується.
Безпека та управління в Microsoft 365 важкі. Але ще складніше, якщо у вас є також локальні ресурси та неконтрольовані екземпляри. Плюсом лише O365 є те, що ви можете надати практичну інформацію.
Мережа
Я не фахівець у мережі. Я нічого не знаю про мережу. Але зараз я роблю те, що через цей «розрив» IT-Pro до можливостей хакерів зросте. Через невідомі факти. Якщо ви зможете перенести всі робочі навантаження на Microsoft 365, мережева частина, і мережева безпека стане менш важливою. Коли справа стосується інформаційних порушень, а основна інфраструктура втрачається локально. Кожна організація потребує стабільної мережі, формування, пріоритетів та всього іншого для регулювання мережевої інфраструктури. Це надзвичайно важливо. Але нам потрібно припинити довіряти власним мережам так само, як і раніше. Тому що стінки силосу зникли. Найважливіші дані організації перенесли кудись ще.
Чому ми навіть повинні довіряти всередині мережі, ніж зовні, через VPN або приватні зв’язки?
Стратегічні сучасні рішення на робочому місці
Стратегічні довгострокові визначення є важливими для встановлення етапів, щоб вирости до справжнього сучасного робочого місця. Найчастіше ми проводимо оптимізацію робочого місця для 20% робочих місць – щодо можливостей та потреб. Наприклад, лише сучасний менеджмент.
Переміщення аль-або нашої традиційної інфраструктури на Azure, Microsoft 365 має вирішальне значення для довгострокової діяльності. Для надійної архітектури.
Покупка бізнесу стала одним з найважливіших кроків у створенні чудового робочого місця. Якщо ви спілкуєтесь лише з ІТ-персоналом …
Сучасний менеджмент – це частина робочого місця. Тільки для управління активами, пристроями, оновленнями, програмами та розгортанням. Але ми робимо це імпортною частиною. Це легка частина. можливо, найближчим часом Microsoft запропонує наскрізні рішення для розгортання та управління пристроями. Я сподіваюся, що вони це зроблять. Можливо, ми будемо скаржитися на перехід Microsoft. І ми не хочемо бачити можливості більш широкого робочого місця.
Основи безпеки стали важливими для отримання простіших пакетів з великою вартістю, недорогим та максимальним впливом. Блоки для впровадження, щоб підвищити рівень безпеки вашої організації.
Консолідація та перехід на Microsoft 365 дає можливість розпочати з Єдиної класифікації документів та розширеної інтеграції, наприклад, з PowerPlatform. Це надзвичайна можливість побачити, як рухаються дані на вашому робочому місці. І це створює уявлення, щоб навести порядок.
Справжнє спілкування та співпраця можливі з будь-якого місця, якщо ви перенесли всі служби з локальної мережі на Microsoft 365. Приклад: Використання команд з локальним обміном? Яка стратегія для цього? І це підводить мене до початку статті.
Немає місця для традиційних навантажень, коли ваша стратегія полягає в тому, щоб працювати та інвестувати в оптимізацію безпеки. Немає місця для традиційних Exchange, SharePoint і файлових серверів, коли ви хочете бути гнучкою хмарною компанією.
Ми бачили, як світ змінювався протягом останніх 4 місяців. Можливо, ми повернемося туди, де були. Зараз вибір:
Ви б стали тією компанією, яка готова до наступних тенденцій роботи з будь-якого місця – з майбутньою стійкою архітектурою. будувати на. Щоб збільшити безпеку, зрілість даних та легкість майбутньої інтеграції та реалізації?
Ви б повернулися назад і скористалися старими технологіями? Поки ваша організація не має значення, оскільки хтось колись зміниться швидше.
Це не найсильніший з видів, який виживає, і не найрозумніший, який виживає. Саме вона є найбільш пристосованою до змін.
Щиро дякую за читання! Якщо вам сподобалась ця стаття, будь ласка, коментуйте нижче або звертайтесь до Linkedin, Twitter або Medium.
Спочатку ця публікація була опублікована за адресою https://www.linkedin.com/pulse/how-build-zero-trust-modern-workplace-microsoft-365-jasper-bernaers/.
Jasper Bernaers люб’язно дозволив нам перекласти і опублікувати цю статтю.
Temy.co - Software Development Partner 