Blog

  • Home
  • Blog
  • Limited access en SharePoint Online

Limited access en SharePoint Online

Category: Blog

Het beveiligen van bedrijfsdata is een belangrijk onderdeel van de werkzaamheden van elke systeembeheerder. Vanwege het open karakter van Office 365 geldt dit nog meer dan vroeger. Waar ooit bijvoorbeeld het gebruik van multifactor authenticatie (MFA) een optie was, is dit nu eerder de norm. M.a.w. op welke wijze kan je limited access binnen SharePoint Online realiseren.

Ook het gebruik van Bitlocker is nu veel meer gemeengoed dan tien jaar geleden. Gebruikers hebben in verschillende vormen data op laptops staan. Denk bijvoorbeeld aan de Outlook cache maar ook de OneDrive folder, waarin gesynchroniseerde bestanden afkomstig van SharePoint of OneDrive staan. Bitlocker, gecombineerd met veilige (lokale) aanlog methodes, is een effectieve manier om ervoor te zorgen dat bij verlies of diefstal van de laptops de data niet op straat komt te liggen.

Intune en/of Active Directory Group Policies zijn geschikt om Bitlocker en veilige aanlogmethodes op te leggen aan managed laptops. Maar hoe zit het met unmanaged devices? Zonder verdere maatregelen staat immers niets de gebruikers in de weg om het Office 365 portal of zelfs de Office desktop apps te gebruiken op een thuis PC, een laptop van de dochter des huizes, een PC in een internet café of waar dan ook. Al deze PC’s zijn unmanaged en er kan vrij gemakkelijk bedrijfsdata op achterblijven als de gebruiker ook maar even niet oplet of zich er überhaupt niet bewust van is.

Gelukkig biedt Intune Conditional Access. Binnen Conditional Access is het mogelijk om policies te definiëren waarmee je kunt bepalen welke devices toegang hebben tot de verschillende diensten van Office 365. Een populaire keuze binnen Conditional Access is dan ook om toegang alleen toe te staan vanaf devices die zijn opgenomen in MDM/Intune. Niemand kan dan meer de PC op ongeoorloofde locaties gebruiken om zijn mail te beantwoorden. Wel zo veilig.

Maar in bepaalde gevallen is bovenstaand toch niet helemaal praktisch. Wat te denken van bedrijven die werken met ZZP’ers? Je kunt natuurlijk een bedrijfspolicy hebben die voorschrijft dat alle ZZP’ers werken met ter beschikking gestelde laptops van het bedrijf. Echter ZZP’ers vinden dat vaak niet prettig en als het bijvoorbeeld gaat om ingehuurde developers, die allerlei tools op hun laptops hebben, dan is het zelfs ronduit een belemmering in hun functioneren. En je kunt ZZP’ers niet dwingen om hun eigen laptops op te voeren binnen Intune/MDM van de opdrachtgever.

Conditional Access biedt daarom nu ook de mogelijkheid om toegang voor unmanaged devices niet volledig te ontzeggen maar dusdanig te beperken dat het onmogelijk wordt om documenten af te drukken, te downloaden of te bewerken in de desktop Office applicaties. Daarmee voorkom je dat er data op wat voor manier dan ook op de laptop zelf terecht komt. Het realiseren van deze “limited access” gaat in twee stappen: het aanmaken van een Conditional Access policy en een PowerShell commando binnen de SharePoint Online Management Shell.

Stap 1: de Conditional Access policy.

  1. Log in op het Azure portal en ga naar Azure Active Directory \ Conditional Access.
  2. Maak een nieuwe policy aan.
    1. Geef de policy een naam.
    1. Onder Users and Groups kun je aangeven voor wie de policy geldt. In ons geval kies je hier dus voor user accounts van de ZPP’ers of een groep waar wij in zitten.
    1. Onder Cloud apps or actions kun je kiezen op welke apps de policy betrekking heeft. De  methode die wij gebruiken werkt op dit moment alleen met Exchange Online en SharePoint Online. In ons voorbeeld kiezen we Office 365 SharePoint Online.
  • Bij Conditions kun je nog keuzes maken gerelateerd aan Sign-in risk, het gebruikte device platform (OS), de locatie van waaruit wordt ingelogd en device status (bijvoorbeeld compliant status binnen Intune). Interessante opties maar voor wat wij willen bereiken doen ze allemaal niet ter zake. Vul hier alleen het tabblad Client apps als volgt in:
  • Bij Access Control/Grant  kun je de toegang volledig blokkeren of alleen toestaan onder bepaalde omstandigheden. Ook dit is niet van toepassing op onze situatie. We willen immers niet blokkeren maar beperkte toegang geven.
    • Access Control/Session is het tabblad waar het hier om gaat. Deze stelt ons in staat om een “beperkte ervaring binnen een cloud app” aan te bieden. Kies hier voor Use app enforced restrictions.

De policy is nu af.

Stap 2: de policy koppelen aan de SharePoint sites.

  1. Download en installeer de SharePoint Online Powershell shell als dat nog niet is gedaan.
  2. Maak binnen deze shell een connectie met SharePoint:

Connect-SPOService -Url https://<orgName>-admin.sharepoint.com

  • Koppel de Conditional Access policy aan elke SharePoint site die je maar wilt met:

Set-SPOSite -Identity https://<SharePoint online URL>/sites/<name of site or OneDrive account> -ConditionalAccessPolicy AllowLimitedAccess

Resultaat

Het resultaat van deze twee stappen is zichtbaar als je daarna inlogt op SharePoint Online met het account van een ZZP’er en naar een site gaat die in Stap 2 is gekoppeld aan de policy: de waarschuwing in het geel geeft aan dat downloaden, afdrukken en synchroniseren niet mogelijk is op dit device.

Op deze manier is het relatief eenvoudig om ZZP’ers een beperkte toegang te geven tot SharePoint Online vanaf hun eigen, unmanaged device. Het is natuurlijk wel nodig nog een tweede Conditional Access policy te hebben waarbij toegang vanaf unmanaged devices voor alle andere gebruikers dan ZZP’ers eenvoudigweg wordt geblokkeerd. Anders hebben de eerdere inspanningen niet veel zin.

Tenslotte moeten we ons natuurlijk altijd blijven realiseren dat een maatregel als deze goed werkt tegen onvrijwillig dataverlies. Het werkt niet tegen moedwillige bedrijfsspionage. Immers, kwaadwillenden kunnen nog altijd een foto maken van het beeldscherm.

Mocht u meer willen weten over limited access in combinatie met SharePoint Online of op welke wijze deze oplossing het beste binnen uw organisatie kan worden geïmplementeerd. Neem dan contact met ons op.

Vincent Timmermans
System Engineer Compello

Laat een bericht achter