Návod: Audit členství a oprávnění uživatelů v rámci skupin M365, týmů MS Teams a dalších prostředků v M365
Obecné informace k auditu přístupů a oprávnění
- V univerzitním prostředí Microsoft 365 často dochází k manuálnímu přidávání členství a oprávnění k nejrůznějším prostředkům, jako jsou skupiny M365, sdílené schránky, kalendáře, týmy Microsoft Teams, komunity Viva Engage a další.
- Úkolem vlastníků takových prostředků je zajistit, že jsou všechna manuálně přidělená členství a oprávnění pravidelně revidována (např. při odchodu zaměstnance z univerzity, při změnách členství v projektovém týmu, při odchodu na mateřskou nebo přechodu na jinou fakultu).
- Pravidelná kontrola členství a oprávnění uživatelů k prostředkům Microsoft 365 je klíčová pro bezpečnost a ochranu dat organizace. Pomáhá odhalovat neoprávněné přístupy, zajišťuje dodržování stanovených předpisů a chrání před únikem dat.
- Pro usnadnění kontrol členství a oprávnění ze strany vlastníků je automaticky na začátku každého měsíce prováděn audit oprávnění a členství zaměstnanců, kteří ukončili nebo přerušili své pracovní působení na univerzitě. Následně:
- Příslušní vlastníci dostanou e-mailem upozornění, že mají potvrdit nebo odebrat členství a oprávnění těchto bývalých zaměstnanců.
- Kontrolu mohou provést v jednoduché webové aplikaci, na kterou se dostanou přes odkaz v zaslaném e-mailu.
Návody pro manuální revize členství a oprávnění
- Jak opustit objekty Microsoft 365 (týmy, skupiny, Viva Engage)
- Zakládání a správa skupin zabezpečení s podporou pošty
- Kontrola oprávnění a členství v SharePointu
Dokumentace: Jak pracovat s aplikací Audit přístupů a oprávnění
Auditování pomocí aplikace Power Apps
K provedení auditu je možné využít grafickou Power Apps aplikaci Audit členství a oprávnění, ke které lze přistupovat přes URL https://muni.cz/go/M365AuditApp.
Po načtení aktuálních dat vypíše aplikace přihlášenému uživateli v levé části obrazovky seznam uživatelů, jejichž přístupy a oprávnění má možnost spravovat:
Při výběru konkrétního uživatele k auditu se v pravé části obrazovky zobrazí seznam všech prostředků Microsoft 365, ke kterým má vybraný uživatel přístup. U každého prostředku se zobrazuje:
- Název prostředku (při kliknutí na název se otevře v novém okně detail prostředku na portálu Microsoft
- Typ prostředku (např. Skupina M365) a oprávnění daného uživatele k tomuto prostředku (v závorce)
Pomocí tlačítek Ponechat/Odebrat lze zvolit, co se má provést s přístupem/oprávněním daného uživatele u vybraného prostředku. Pro ponechání (resp. odebrání) veškerých přístupů/oprávnění zvoleného uživatele je možné použít tlačítka Ponechat vše/Odebrat vše v levé části obrazovky vedle jména uživatele.
|
Pozor! Změny přístupů/oprávnění zadané přes aplikaci se u prostředků neaplikují ihned, ale jsou aplikací uloženy do databáze, odkud jsou v dávkách postupně zpracovávány nastavovacím skriptem. Odebrání přístupů/oprávnění tedy není okamžité a může nějakou dobu trvat. |
Jaká oprávnění se auditují
| Prostředek |
Oprávnění |
| Distribuční skupiny | Vlastník, člen |
| Skupiny zabezpečení | Vlastník, člen |
| Skupiny zabezpečení s podporou pošty | Vlastník, člen, moderátor |
| Skupiny M365 (bez MS Teams) | Vlastník, člen |
| Týmy v rámci MS Teams | Vlastník, člen |
| Sdílené e-mailové schránky | Plný přístup, oprávnění posílat jako a posílat za |
| Schránky místností (Resource mailbox) | Delegát |
| Kalendáře | Náhled, úprava, delegát |
| Komunity Viva Engage | Vlastník, člen |
| Stránky a uložiště SharePointu | Správce, vlastník, člen, návštevník |
Pozn.: U distribučních skupin, skupin zabezpečení (včetně těch s podporou pošty) a skupin M365 se audituje pouze členství ve skupině, vlastnictví skupiny jen v případě cloudových skupin.
Report pro konkrétního vlastníka obsahuje jen podmnožinu prostředků/oprávnění, která jsou pro vlastníka relevantní. Oprávnění a členství přebírána z nadřazených prostředků nejsou uváděna (např. členství v SharePointu zprostředkované přes členství v týmu, jehož je daný SharePoint součástí). Reporty v současné době rovněž neobsahují vlastnictví skupin zabezpečení s podporou pošty přebíraných z IdM Perun a členství uživatele v různých distribučních skupinách přidělujících role.
Často kladené otázky
- Proč mi přišel požadavek na provedení revize?
- Protože jste vlastníkem nějakého prostředku v prostředí M365 (tým v Teams, skupina M365, prostor SharePointu…), ke kterému má přístup osoba, které se nějakým způsobem změnil pracovní vztah s univerzitou (např. odchod na mateřskou, popř. ukončení PP). Z důvodu ochrany univerzitních dat je potřeba provádět revize především u manuálně přidaných přístupů k prostředkům M365, u kterých nedochází k automatickému odebírání.
- Proč vidím jen některé uživatele/zaměstnance a ne studenty?
- Data pro revize přístupů a oprávnění se stahují vždy pro zvolenou množinu zaměstnanců, kterým se nějakým způsobem změnil pracovní poměr s daným pracovištěm (např. ukončení PP). Účty studentů nejsou v rámci auditování zahrnuty.
- V aplikaci jsou uvedeny i prostředky spojené se studijní agendou bývalého zaměstnance, který na MU může nadále působit jako student.
- Z pohledu M365 nelze jednoznačně rozlišit prostředky zřízené pro studijní a pracovní účely. Proto mezi revidovanými prostředky naleznete i např. studijní skupiny. K revizi jsou vyzváni i studenti, kteří jsou vlastníky takových prostředků.
Návody
- Nová konverzace ve Skupině Microsoft 365
- Nahrání souboru do úložiště Skupiny Microsoft 365
- Přístup k Planneru na mobilním telefonu
- Popis komponent skupin Microsoft 365
- Založení standardní skupiny M365
- Nastavení standardní (Outlook) skupiny
- Správa členství a sdílení
- Jak změnit skupinu, tým nebo komunitu Microsoft 365 na soukromou či veřejnou