Miksi kirjautumisen suojaaminen on tärkeää? Tietoturvauhat kehittyvät jatkuvasti, ja pelkkä salasana ei enää riitä suojaamaan käyttäjätilejä. Lähes kaikissa palveluissa, mitä nykypäivänä käytetään, pyritään mahdollistamaan monivaiheisen tunnistautumisen käyttö (Multifactor Authentication, MFA). MFA tarkoittaa, että kirjautumiseen vaaditaan salasanan lisäksi toinen tunnistautumistapa, kuten puhelimeen tuleva koodi, authenticator-sovellus tai erillinen turvalaite. Tämä tuo äärimmäisen ison harppauksen tietoturvaan, kun katsellaan käyttäjän kirjautumista.
Miksi tämä koskee juuri sinua? Monivaiheinen tunnistautuminen suojaa tilisi, vaikka salasana päätyisi vääriin käsiin. Yksi ylimääräinen varmistusaskel voi estää ison vahingon.
Mitä on monivaiheinen tunnistautuminen (MFA)?
Monivaiheinen tunnistautuminen edellyttää aina perinteisen käyttäjätunnus ja salasana -kombinaation lisäksi jotain lisäpalikkaa, esimerkiksi erilaisia authenticator-sovelluksia, matkapuhelimeen napsahtavaa tekstiviestiä tai jopa tähän tarkoitettua turvalaitetta, joka liitetään USB-liitännällä käytettävään laitteeseen.
Yleisimpiä MFA-tapoja ovat:
- Sovelluksen kautta tuleva hyväksyntä (esim. Microsoft Authenticator)
- Tekstiviestillä saatu kertakäyttökoodi
- Fyysinen turvalaite, kuten USB-avaimenperä
Onko MFA riittävä suoja?
Noh, se MFA on nyt päällä. Tarvitseeko sille mitään tehdä? Ollaanko sitä nyt täysin turvassa? Nykypäivän Microsoft 365 -ympäristöissä MFA on jo lähes kaikkialla arkipäivää, mutta valitettavasti niin kauan kuin on olemassa jokin tietoturvakontrolli, löytyy aina joku, joka pyrkii sen ohittamaan.
Nämä rötöstelijät löytävät myös keinot uiskennella monivaiheisen tunnistautumisen ohi, jos siihen annetaan tarpeeksi mahdollisuuksia. Siksi pelkkä MFA ei riitä, vaan tarvitaan lisää älyä kirjautumisen hallintaan.
Ehdollinen pääsy (Conditional Access) tuo lisäturvaa
Miten Conditional Access toimii? Monivaiheista tunnistautumista ja sen käyttöä voidaan tehostaa äärettömän hyvin Microsoft Entran Conditional Access -ominaisuudella. Conditional Access, eli ehdollinen pääsy, mahdollistaa erilaisten sääntöjen luomisen kirjautumiseen.
Pelkistettynä Conditional Access on liuta kysymyksiä
- Kuka tai mikä käyttäjä on kirjautumassa?
- Mistä päin tämä kirjautuminen ympäristöön on tulossa?
- Millaista laitetta tähän kirjautumiseen käytetään?
- Minnekkäs sitä ollaan pyrkimässä?
Näihin kysymyksiin kirjautumisen yhteydessä kerätään vastaukset ja sääntöjen perusteella voidaan päästää kirjautumiset läpi, vaatia kirjautumisen yhteydessä jotain pääsynhallinnan kontrollia, esimerkiksi monivaiheista tunnistautumista, tai jopa suoraan estää pääsy.
Käytännön esimerkki, miten säännöt toimivat arjessa
Jokainen ympäristö on omanlaisensa, ja käyttötavat vaihtelevat. Siksi on tärkeää kartoittaa ja testata, mitkä säännöt sopivat juuri teidän organisaatiollenne.
Yksi helpoimmista ja tehokkaimmista säännöistä on paikkasidonnainen rajoitus. Jos yrityksen toiminta tapahtuu vain Suomessa, miksi sallia kirjautumisia muualta? Kuvitellaan, että ripustetaan maailmankartta seinälle ja heitetään tikkaa: darts-harrastajat osuvat Suomeen, mutta useimmat tikat menevät muualle. Tarvitaanko teidän Microsoft 365 -ympäristöön pääsyä niistä maista? Jos ei, kirjautumiset voi rajata helposti pois.
Toki, joskus joku käy lomalla ulkomailla, ja haluaa lukea työsähköpostit, niin tällöin voidaan tehdä poikkeus, mutta vain hetkellisesti.
Poikkeukset ja joustavuus
Tällaiset säännöt voidaan kohdentaa käyttäjäryhmille, jolloin voidaan eri tarpeisiin pohjaten rakentaa ratkaisuja, jotka tuovat lisäturvaa M365-kirjautumisiin ilman, että se vaikuttaa negatiivisesti arjen askareisiin.
Entä jos joku tarvitsee pääsyn ulkomailta, esimerkiksi työmatkalla? Tällöin voidaan aina luoda poikkeuksia sääntöihin, mutta vain tarvittaessa ja määräajaksi.
Jos käyttäjällä ei voi olla päällä kaksivaiheista tunnistautumista (esimerkiksi tietyt laitteet tai sijainnit), voidaan sallia kirjautuminen vain yrityksen verkosta tai hallinnoiduilta laitteilta. Näin saadaan lisäturvaa ilman, että työnteko vaikeutuu, mutta pääsy muualta estyy tehokkaasti.
Miten otan Conditional Accessin käyttöön?
No mitenkäs se Conditional Access sitten saadaan käyttöön? Kuten lähes kaikki Microsoftin tuotteet ja ominaisuudet, niin myös Conditional Access on lisensoitava tuote. Hyvä uutinen: monella yrityksellä tämä on jo käytössä, sillä Conditional Access sisältyy Microsoft 365 Business Premium -pakettiin (vaatii Entra ID P1 -lisenssin).
Jokainen ympäristö on omanlaisensa, joten käyttöönotto kannattaa suunnitella yhdessä asiantuntijan kanssa. Conditional Access tuo merkittävän lisäturvan Microsoft 365 -ympäristöihin. Oikein toteutettuna se suojaa käyttäjiä ja yritystä ilman, että arjen työ vaikeutuu.
Toimi näin: Ota yhteyttä Marskidataan, jos haluat varmistaa, että yrityksesi kirjautumiset ovat mahdollisimman hyvin suojattuja. Me autamme mielellämme! Tutustu myös sivuumme yrityksen tietoturva.
