RedFlag CyberONE

Opis usługi

RedFlag CyberONE to standaryzowana usługa świadczona dla subskrypcji Microsoft 365 Business Premium lub subskrypcji równoważnych. Zawiera zakres czynności wdrożeniowych i administracyjnych, które dla Klienta realizuje RedFlag, zgodnie z najlepszymi praktykami branżowymi i rekomendacjami Microsoft.

Wszystkie czynności objęte są stałą miesięczną opłatą. Minimalny okres zobowiązania 12 miesięcy.

Klient otrzymuje jedną platformę do zarządzania użytkownikami, urządzeniami Windows i danymi. Pozwala to na najlepszy poziom kontroli i standaryzację ustawień i konfiguracji w całym przedsiębiorstwie. Wszystkie dane firmy przetwarzane są w ramach własnej instancji (dzierżawy) Microsoft w chmurze. Pracownicy posiadają jeden login i jedno hasło (z uwierzytelnianiem wieloskładnikowym), które wykorzystywane jest do logowania na komputerach, tabletach, telefonach, aplikacjach i usługach dostępnych przez przeglądarkę.

RedFlag korzysta z metodologii Zero Trust Security – modelu ograniczonego zaufania.

Zakres czynności realizowanych przez RedFlag

CloudAdmin to zarządzanie aspektami i możliwościami technologicznymi zawartymi w subskrypcji Microsoft 365 Business Premium i dotyczy wszystkich ustawień i technologii dostępnych w ramach tej subskrypcji.

Konfiguracja Microsof 365

• Przygotowanie indywidualnej strony logowania (Company Branding)
• Utworzenie konta dostępu awaryjnego (Break Glass Account)
• Utworzenie i przekazanie procedury logowania awaryjnego (Emergency Access)
• Ustanowienie czasowych uprawnień dla RedFlag (GDAP)
• Zalicencjonowanie użytkowników (może być dynamiczne)
• Utworzenie dynamicznych grup zabezpieczeń
• Włączenie monitoringu zdarzeń (Audit Log)
• Teams – dostosowanie magazynów przechowywania
• Ograniczenie zgody na aplikacje firm trzecich (Admin Consent)

Poczta elektroniczna

• Migracja poczty do Exchange Online po protokole IMAP
• Konfiguracja rekordów DNS
• Konfiguracja DKIM, SPF i DMARC
• Konfiguracja rekomendowanych zabezpieczeń
• Włączenie technologii Bezpieczne Załączniki (Safe Attachments)
• Włączenie technologii Bezpieczne Linki (Safe Links)
• Włączenie filtrów AntiSpam i AntiPhishing
• Włączenie łatwego szyfrowania wiadomości (Microsoft Information Protection)
• Konfiguracja skrzynek współdzielonych
• Modyfikacja utrzymywania wiadomości w koszu 2-go poziomu do 30 dni

Zarządzanie użytkownikami

• Obsługa przyjęć i odejść z archiwizacją danych OneDrive użytkownika
• Obsługa konfiguracji / rekonfiguracji uwierzytelniania wieloskładnikowego (MFA)
• Obsługa resetu hasła i poświadczeń
• Tworzenie grup zabezpieczeń do stosowania zasad zabezpieczeń
• Utworzenie grup dla zablokowanych użytkowników (Terminated Users)
• Migracja danych użytkowników do OneDrive / SharePoint (OneDrive Backup)

Zabezpieczenie tożsamości

• Utworzenie zasad dla haseł (Password Policy)
• Utworzenie grupy i zasad dla samoobsługowego resetu hasła (SSPR)
• Utworzenie zasad uwierzytelniania wieloskładnikowego (Authentication Policy)
• Wdrożenie uwierzytelniania wieloskładnikowego dla wszystkich (MFA)
• Utworzenie zasad silnego uwierzytelnienia (Authentication Strenght)
• Wdrożenie reguł dostępu warunkowego max 5 (CA)
• Udzielnie dostępu uprzywilejowanego (RBAC)

Wdożenie zarządzania komputerami Windows

• Przygotowanie profili wdrożeniowych Autopilot (2, admin, non-admin)
• Rejestracja istniejących urządzeń w AutoPilot (wymaga Windows 10/11 Pro)
• Włączenie do zarządzania (Entra ID Join)
• Konfiguracja zasad zgodności dla urządzeń (Compliance Policy)
• Wdrożenie zasad aktualizacji Windows (Quality Updates)
• Wdrożenie zasad aktualizacji dotyczących funkcji Windows (Feature Updates)
• Utworzenie uprawnień dla administratorów lokalnych na urządzeniach (LAPS)
• Wdrożenie 4 zasad dostępu warunkowego dla urządzeń zarządzanych / niezarządzanych (Conditional Access)
• Synchronizacja ustawień między urządzeniami (Enterprise State Roaming)
• Ograniczenie sesji przeglądarki (Browser Iddle Timeout)
• Wyłączenie trwałej sesji przeglądarki (Browser Persistent Session)

Wdożenie aplikacji na urządzeniach

• Instalacja Microsoft 365 Aplikacje dla Firm (Office, Microsoft 365)
• Konfiguracja aktualizacji dla aplikacji Microsoft 365 (Office, MIcrosoft 365)
• Automatyzacja konfiguracji i logowania do OneDrive (OneDrive Configuration Profile)
• Automatyzacja logowania do Microsoft Edge (Edge App Configuration Profile)
• Wdrożenie 3 aplikacji biznesowych w formatach .exe .msi, Microsoft Store (Intune App Deployment)
• Pozostałe aplikacje mogą być wdrożone manualnie

Zabezpieczenie punktów końcowych

• Wdrożenie zasad ochrony danych i dostępu na telefonach (Mobile App Management)
• Wdrożenie szyfrowania spoczynkowego dla Windows (BitLocker)
• Wdrożenie zasad działania AntiVirus (Defender for Business)
• Wdrożenie zasad ochrony obszaru ataków (ASR)
• Konfiguracja dla alertów zabezpieczeń

Ochrona informacji

• Włączenie zasad przechowywania po usunięciu danych / wiadomości przez użytkownika (Retention Policies)
• Telefony nie są zarządzane (wymagane jest prywatne konto Google albo Apple)
• Przeprowadzenie wyszukiwania audytowego – na życzenie max 1 w miesiącu (Audit Search)
• Wdrożenie monitoringu wszystkich czynności podejmowanych w chmurze Microsoft Defender for Cloud Apps (zalecane ale płatne osobno)

Monitoring ustawień i alertów

• Monitoring kondycji urządzeń
• Monitoring stanu zaawansowanych zabezpieczeń AntiVirus
• Monitoring zgodności urządzeń z zasadami
• Monitoring pokrycia przez zasady dostępu warunkowego

Wyłączenia

• Niewymienione działania będą podejmowane o ile wystąpi konieczność dostosowania do nowych, rekomendowanych standardów zabezpieczeń.

Sposób świadczenia usługi

Usługa nie wymaga fizycznej obecności u Klienta. Wszystkie działania są podejmowane zdalnie. Głównym narzędziem komunikacji jest Microsoft Teams. Usługa nie wymaga dodatkowych licencji do zdalnej konsoli i przejęcia interfejsu graficznego użytkownika. Wykorzystywana jest funkcja Windows 10/11 Szybka Pomoc.

Plan wdrożenia

Po wywiadzie z Klientem RedFlag przygotuje indywidualny  plan wdrożenia, uwzględniający sytuację wyjściową.

Klient otrzymuje bieżący wgląd do wszystkich ustawień i konfiguracji w portalach: intune.microsoft.com / admin.microsoft.com / portal.azure.com.

Usługa nie zawiera

• Administracji systemami innymi niż Microsoft 365 Business
• Wsparcia technicznego świadczonego bezpośrednio użytkownikom (użytkownicy otrzymują dostęp do instrukcji / wideo instruktarzy / artykułów pomocy); RedFlag oferuje CloudHelp Desk jako osobną usługę wsparcia użytkownika
• Usług tworzenia kopii zapasowych / archiwizacji dotychczasowych danych firmy (organizacja przenosi swoje dane do SharePoint / Teams; użytkownicy do OneDrive / Teams); RedFlag oferuje Backup zewnętrzny jako osobną usługę
• Szkoleń technicznych, szkoleń z administracji, szkoleń wykorzystania technologii i podnoszenia kompetencji cyfrowych; RedFlag oferuje szkolenia jako osobną usługę
• Analizy działań podejrzanych na urządzeniach użytkowników wykraczających poza działanie oprogramowania antywirusowego; RedFlag oferuje taki monitoring jako osobną usługę, która wymaga wyższej licencji Microsoft
• Wdrożenia pełnego zarządzania dla urządzeń mobilnych iOS, integracji synchronizacji katalogów dla tożsamości na urządzeniach mobilnych iOS
• Integracji z lokalnym Active Directory
• Automatyzacji wdrożenia wielojęzykowego dla Windows 10/11
• Zarządzania hybrydową tożsamością dla urządzeń pochodzących z Active Directory
• Wdrożenia i zarządzania wydrukiem przez Druk Uniwersalny (Azure) – osobno płatne
• Nie zawiera konfiguracji profili spoza dostępnego katalogu ustawień Intune Settings Catalog, np. profili typu OMA-URI.

Wymagania techniczne

• Dostęp do Internetu (wszystko realizowane jest w oparciu o chmurę)
• Komputery z Windows 10/11 Pro (jeśli jest Windows 7/8/8.1 Pro / Home lub W10/11 Home – wymagana jest aktualizacja licencji 399 PLN za sztukę + czasochłonność związana z reinstalacją Windows 10/11 na komputerach)
• Komputery powinny być wyposażone w TPM 2.0 (standardowe wymaganie dla Windows 10/11); bez tego niektóre funkcje związane z szyfrowaniem nie mogą być zrealizowane bez udziału użytkownika (nie automatycznie)

Poziom zgodności z rekomendacjami branżowymi

Spodziewany poziom zgodności z zaleceniami dotyczącymi zabezpieczeń wg CISA (Cybersecurity and Infrastructure Security Agency USA z 2022-10 - Microsoft Azure Active Directory M365 Minimum Viable Secure Configuration Baseline) zakłada spełnienie wszystkich wymagań, które są realne dla licenjic Premium. Nierealne to te, na których realizację nie pozwala funkcjonalność techniczna zawarta w licencji.
‍
Referencja: https://www.redflag.tech/wpisy/zalecane-ustawienia-zabezpieczen-dla-azure-ad-i-microsoft-365-wg-cisa

‍

Zastrzeżenie

Żadna technologia ani żadna konfiguracja usług w chmurze nie gwarantuje 100% bezpieczeństwa i nie oferuje 100% zabezpieczeń.

Ochrona danych

RedFlag wymaga podpisania umowy obowiązującej Klienta i RedFlag przez 12 miesięcy.

RedFlag dostarcza umowę o poufności oraz umowę RODO - powierzenia przetwarzania danych osobowych.

Podmiotem przetwarzającym staje się również Microsoft (czasami także dystrybutor subskrypcji).

Microsoft gwarantuje przetwarzanie zgodne z RODO i przechowywanie danych w ramach obszaru Unii Europejskiej.

Klient zobowiązuje się do przestrzegania umów Microsoft. Bieżący wykaz i kopię treści tych umów Klient otrzymuje od RedFlag jako część umowy CloudAdmin.

Microsoft składa następujące zobowiązania w zakresie prywatności danych: "W umowach firma Microsoft oświadcza, że może dokonać tylko dwóch czynności w odniesieniu do danych Klienta: świadczyć usługi żądane przez Klienta i przestrzegać zobowiązań prawnych. Żaden inny dostęp lub wykorzystanie treści Klienta nie jest dozwolone. Firma Microsoft używa danych diagnostycznych, aby zapewnić a) bezpieczeństwo i aktualność systemu Windows 365 (oraz platformy Microsoft 365); b) wykrywanie, diagnozowanie i rozwiązywanie problemów; c) wprowadzać ulepszenia produktów. Te dane diagnostyczne nie obejmują jednak nazwy użytkownika ani adresu e-mail, ani zawartości jego aplikacji i plików."