Nowe funkcje w Microsoft 365: jak wpływają na bezpieczeństwo i współpracę

0
40
5/5 - (1 vote)

Nawigacja:

Dlaczego nowe funkcje Microsoft 365 zmieniają zasady gry w firmach

Od pakietu biurowego do platformy pracy i bezpieczeństwa

Microsoft 365 nie jest już „pakietem Office w chmurze”. To spójna platforma do pracy, zarządzania tożsamością, zabezpieczania danych i automatyzacji procesów. Nowe funkcje trafiają jednocześnie do Teams, SharePoint, OneDrive, Outlooka, a w tle do Entra ID (dawniej Azure AD), Intune i narzędzi bezpieczeństwa.

W praktyce oznacza to, że decyzja o wdrożeniu Microsoft 365 jest decyzją o całym ekosystemie bezpieczeństwa i współpracy, a nie tylko o narzędziu do edycji dokumentów. Nowe funkcje są ze sobą powiązane – zmiana ustawień udostępniania w OneDrive wpływa na Teams, a zasady etykiet poufności działają zarówno w dokumentach, jak i w mailach.

Dla firm oznacza to konieczność myślenia całościowego: polityki, procedury, uprawnienia, szkolenia użytkowników – wszystko trzeba spiąć z możliwościami platformy. Zyskiem jest to, że wiele zabezpieczeń można wdrożyć raz, centralnie, a korzystają z nich wszystkie aplikacje.

Połączenie współpracy, automatyzacji i ochrony danych

Nowe funkcje Microsoft 365 celowo łączą wygodę pracy z bezpieczeństwem. Przykładowo:

  • użytkownicy mogą udostępniać pliki jednym kliknięciem, ale domyślnie w ramach organizacji,
  • zespoły w Teams powstają szybko, ale są oparte na grupach Microsoft 365 z kontrolą właścicieli i cyklem życia,
  • automatyczne procesy (Power Automate, Copilot) działają na danych, które są chronione etykietami poufności i zasadami DLP.

Z punktu widzenia IT i bezpieczeństwa to ogromny skok jakościowy. Zamiast doklejać osobne narzędzia do backupu, DLP, kontroli urządzeń i logowania, można budować strategię na jednym ekosystemie. Jednocześnie rośnie odpowiedzialność za poprawną konfigurację tenant’a – błąd na poziomie domyślnych ustawień udostępniania lub dostępu warunkowego szybko się mści.

Różne konsekwencje dla małych, średnich i dużych firm

Małe firmy zwykle startują od prostego celu: przenieść pliki z dysku sieciowego do chmury i „jakoś” to zabezpieczyć. Dzięki dzisiejszym funkcjom Microsoft 365 mogą od razu włączyć MFA, ograniczyć dostęp z prywatnych urządzeń, ustawić podstawowe etykiety poufności i domyślne linki „tylko dla organizacji”. Bez dużych kosztów dodatkowych narzędzi.

Średnie organizacje wybierają bardziej zaawansowane funkcje: dostęp warunkowy, rejestrowanie i zarządzanie urządzeniami przez Intune, zasady DLP obejmujące dokumenty i e‑maile, a teraz także dane przetwarzane przez Copilota. Pojawia się potrzeba precyzyjnych ról administracyjnych i procesów zatwierdzania zmian.

Duże firmy integrują Microsoft 365 z istniejącymi systemami bezpieczeństwa, SIEM, rozwiązaniami klasy CASB, stosują rozbudowane zasady retencji, eDiscovery, mechanizmy Insider Risk. Nowe funkcje pomagają im automatyzować to, co wcześniej było realizowane ręcznie lub w kilku rozproszonych systemach.

Jak wyglądała praca w Microsoft 365 2–3 lata temu, a jak dziś

Jeszcze kilka lat temu większość organizacji korzystała z Microsoft 365 głównie jako z poczty (Exchange Online), SharePoint Online do plików i podstawowego Teams do spotkań. MFA i Conditional Access były z reguły opcją „dla chętnych zaawansowanych”, a udostępnianie plików bywało niekontrolowane.

Dzisiaj standardem jest:

  • powszechne MFA z aplikacją Microsoft Authenticator,
  • dostęp warunkowy zależny od urządzenia i lokalizacji,
  • nagrania spotkań przechowywane w OneDrive/SharePoint z zasadami retencji,
  • etykiety poufności stosowane automatycznie na podstawie zawartości,
  • Copilot, który ma dostęp do danych firmowych, ale w ramach uprawnień użytkownika.

Zmiana jest istotna: tożsamość (konto użytkownika) stała się główną granicą ochrony, a dane są zabezpieczane na poziomie pliku i kontekstu, a nie tylko lokalizacji (serwer, share, folder). To wypycha klasyczny model „VPN + serwer plików” w przeszłość.

Przegląd kluczowych nowości w Microsoft 365 związanych z bezpieczeństwem i współpracą

Funkcje ogólnoplatformowe na poziomie tenant’a

Na poziomie całego tenant’a Microsoft 365 pojawiło się kilka grup funkcji, które bezpośrednio wpływają zarówno na bezpieczeństwo danych, jak i na codzienną współpracę:

  • Zaawansowane zabezpieczenia tożsamości w Entra ID (dawniej Azure AD): MFA, dostęp warunkowy, polityki haseł, ochrona przed ryzykownymi logowaniami.
  • DLP (Data Loss Prevention) dla plików, maili, czatów w Teams oraz (coraz mocniej) dla treści analizowanych przez Copilota.
  • Etykiety poufności (Sensitivity Labels) działające w całym środowisku: Office, SharePoint, OneDrive, Exchange, Teams.
  • Zasady udostępniania globalne, wpływające na to, kto i jak może dzielić się plikami oraz zapraszać gości.
  • Centrum zgodności i bezpieczeństwa z raportami, alertami, audytem i eDiscovery.

Te funkcje definiują „ramy” bezpieczeństwa, w których pracują wszystkie aplikacje. Ich dobra konfiguracja to fundament. Wiele organizacji zaczyna od drobnych korekt (np. zmiana domyślnego typu linków udostępniania), a kończy na kompletnym modelu Zero Trust opartym na dostępie warunkowym i etykietach poufności.

Nowe funkcje aplikacyjne: Teams, SharePoint, OneDrive, Outlook, Copilot

Na poziomie aplikacji nowe funkcje wpływają głównie na wygodę współpracy, ale przy okazji wprowadzają dodatkowe mechanizmy ochrony:

  • Teams – dokładniejsze zasady dotyczące gości, spotkań, nagrań, czatów, kanałów współdzielonych, retencji.
  • SharePoint i OneDrive – granulatne zasady udostępniania, kontrola linków anonimowych, tryb „tylko do odczytu” dla urządzeń niespełniających wymogów, integracja z etykietami poufności.
  • Outlook – polityki szyfrowania, blokady wysyłek na zewnątrz dla określonych klas informacji, integracja z DLP i etykietami.
  • Copilot – dostęp do danych zgodnie z uprawnieniami użytkownika, logowanie działań, polityki ochrony danych obejmujące także „pytania” i wygenerowane odpowiedzi.

Ważne jest to, że te funkcje nie są od siebie oderwane. Udostępnienie pliku przez Teams w tle korzysta z mechanizmów OneDrive/SharePoint. Mail z poufnym załącznikiem jest blokowany lub szyfrowany zgodnie z tymi samymi etykietami, które obowiązują w dokumentach.

Obszary zmian: tożsamość, dostęp warunkowy, DLP, współdzielenie

Największe zmiany, które mają bezpośredni wpływ na bezpieczeństwo i współpracę, można pogrupować w kilku obszarach.

Tożsamość i dostęp – MFA, logowanie bezhasłowe, dostęp warunkowy (Conditional Access) uzależniony od ryzyka logowania, stanu urządzenia, lokalizacji, aplikacji klienta. Z poziomu użytkownika różnica jest niewielka (dodatkowe zatwierdzenie logowania), ale dla bezpieczeństwa to kluczowy element.

Ochrona przed wyciekiem danych – nowa generacja DLP obejmuje nie tylko pliki i maile, ale także wiadomości w Teams, a w niektórych planach również dane Copilota. Przykładowo można zablokować udostępnianie numerów kart płatniczych na zewnątrz, a przy danych osobowych (PESEL, NIP) wyłączyć możliwość kopiowania/wklejania w określonych aplikacjach.

Udostępnianie i współpraca – domyślne linki „tylko dla organizacji”, ograniczenia dla gości, kontrole czasu życia linków zewnętrznych, mechanizmy recenzji gości w zespołach i witrynach. To wszystko zmniejsza ryzyko pozostawienia otwartych „furtek” po zakończonych projektach.

Copilot i funkcje AI – nowe ryzyko i nowe wsparcie

Copilot w Microsoft 365 to nowy element układanki. Wspiera użytkowników w pracy na dokumentach, mailach, notatkach i danych biznesowych. Jednocześnie korzysta z dużej ilości danych firmowych. To tworzy dodatkowe wymagania bezpieczeństwa.

Z jednej strony Copilot:

  • dziedziczy uprawnienia użytkownika – nie pokaże danych, do których użytkownik nie ma dostępu,
  • podlega zasadom DLP i etykiet poufności – może np. odmówić użycia określonych treści w odpowiedzi,
  • jest objęty logowaniem i audytem – widać, do jakich danych sięgał w ramach zapytań użytkownika.

Z drugiej strony pojawia się ryzyko:

  • generowania podsumowań zbyt szerokiego zakresu danych,
  • „wyciągania” poufnych informacji do szerszego grona odbiorców, jeśli użytkownik niewłaściwie podzieli się wygenerowaną treścią,
  • nowej powierzchni ataku w postaci promptów (treści zapytań).

Kluczem jest połączenie konfiguracji (etykiety, DLP, dostęp warunkowy) ze szkoleniem użytkowników: co wolno, czego nie wolno wprowadzać do Copilota i jak interpretować to, co proponuje.

Funkcje a plany licencyjne – ogólny przegląd

Zakres funkcji bezpieczeństwa i współpracy zależy od planu licencyjnego. W uproszczeniu można to ująć tak:

ObszarPlany Business (Basic/Standard/Premium)Plany Enterprise (E1/E3/E5)
MFA, podstawowy dostęp warunkowyDostępne w większości planów, podstawowe scenariuszeRozszerzone scenariusze, integracje, polityki ryzyka
Etykiety poufnościPodstawowe etykietowanieAutomatyczne, oparte na zawartości, rozbudowane scenariusze
DLPOgraniczony zakres (w wybranych planach)Pełne DLP dla plików, maili, Teams, Copilot (w zależności od licencji)
Zaawansowane funkcje zgodnościPodstawowy audyt, proste zasady retencjieDiscovery, zaawansowany audyt, Insider Risk, rozbudowana retencja
Copilot w Microsoft 365Dodatkowa licencja, dostępność ograniczonaDodatkowa licencja, pełna integracja z narzędziami Enterprise

Konkretny dobór planów warto oprzeć na analizie ryzyka i procesów. W wielu przypadkach najlepszy efekt daje połączenie planów Business Premium (dla większości użytkowników) z licencjami E3/E5 lub dodatkami bezpieczeństwa dla kluczowych ról i działów.

Zespół pracowników call center przy laptopach i w słuchawkach
Źródło: Pexels | Autor: MART PRODUCTION

Nowe możliwości zabezpieczenia tożsamości i dostępu w Microsoft 365

Tożsamość jako nowa granica ochrony

Przy pracy z chmurą klasyczny model „sieć firmowa + VPN” przestaje być wystarczający. Użytkownicy logują się z domu, z podróży, z prywatnych i służbowych urządzeń. Wiele usług jest dostępnych bezpośrednio z Internetu. W Microsoft 365 punktem odniesienia jest już nie adres IP czy segment sieci, ale przede wszystkim tożsamość użytkownika i stan urządzenia.

Dlatego Microsoft konsekwentnie wprowadza nowe funkcje w Entra ID (Azure AD), które wymuszają silne uwierzytelnianie, monitorują ryzykowne logowania i pozwalają reagować automatycznie. Główne mechanizmy to MFA, logowanie bezhasłowe, dostęp warunkowy oraz ochrona przed wyciekami haseł.

Wieloskładnikowe uwierzytelnianie – standard, nie opcja

MFA (Multi-Factor Authentication) jest obecnie traktowane przez Microsoft jako domyślne wymaganie. W praktyce oznacza to:

  • coraz częstsze wymuszanie MFA podczas pierwszej konfiguracji kont,
  • rekomendację używania aplikacji Microsoft Authenticator zamiast kodów SMS,
  • zachętę do przechodzenia na logowanie bezhasłowe (passwordless).

Aktualne podejście zakłada, że sama nazwa użytkownika i hasło nigdy nie są wystarczające. Nawet „silne” hasło jest za słabe wobec phishingu i ataków na wycieki danych z innych serwisów. Microsoft 365 daje kilka wariantów MFA:

  • aplikacja Microsoft Authenticator (powiadomienie push, kod jednorazowy),
  • klucze bezpieczeństwa FIDO2,
  • Windows Hello for Business (biometria + PIN sprzętowy),
  • SMS i połączenie telefoniczne (mniej rekomendowane).

Najlepszą praktyką jest przejście na logowanie bezhasłowe (np. Authenticator z zatwierdzeniem numeru lub FIDO2) przynajmniej dla pracowników z podwyższonym ryzykiem: zarząd, finanse, HR, administratorzy.

Nowsze warianty MFA i ochrona przed atakami MFA fatigue

Ochrona przed zmęczeniem uwierzytelnianiem i phishingiem na MFA

Nowe ataki skupiają się na samym procesie MFA – masowo wysyłają powiadomienia, licząc, że użytkownik w końcu „z przyzwyczajenia” coś zaakceptuje. Microsoft reaguje na to kilkoma mechanizmami uszczelniającymi logowanie.

  • Potwierdzanie numeru w Authenticatorze – użytkownik widzi na ekranie logowania numer, który musi przepisać w aplikacji, zamiast tylko kliknąć „Zatwierdź”. Utrudnia to zatwierdzanie przypadkowych powiadomień.
  • Ograniczenia liczby prób MFA – przy wykryciu nietypowej liczby żądań uwierzytelnienia logowanie może zostać zablokowane, a konto oznaczone jako ryzykowne.
  • Informacje kontekstowe – w powiadomieniu pojawia się informacja o lokalizacji, aplikacji, adresie IP, co pomaga użytkownikowi ocenić, czy to on faktycznie się loguje.

W praktyce dobrze działa połączenie: wymuszenie numeru potwierdzenia w Authenticatorze, blokada kodów SMS dla wrażliwych ról oraz krótki instruktaż dla pracowników, jak reagować na nietypowe powiadomienia MFA.

Logowanie bezhasłowe i klucze FIDO2 jako docelowy model

Microsoft promuje model, w którym hasło praktycznie znika z codziennej pracy. Zamiast niego użytkownik korzysta z urządzenia lub klucza sprzętowego powiązanego z konkretną tożsamością.

Podstawowe warianty to:

  • Windows Hello for Business – logowanie do Windows za pomocą biometrii (odcisk palca, rozpoznawanie twarzy) lub PIN-u sprzętowego, zintegrowane z Entra ID.
  • Klucze FIDO2 – fizyczne tokeny (USB, NFC) pozwalające logować się do Microsoft 365 bez hasła, także na współdzielonych stacjach.
  • Authenticator jako główny czynnik – scenariusze, w których hasło jest tylko awaryjne, a standardem staje się potwierdzanie logowania w aplikacji.

Przy wdrożeniu logowania bezhasłowego opłaca się zacząć od małej, reprezentatywnej grupy (IT, finanse, wybrany dział biznesowy). Po sprawdzeniu procesów odzyskiwania dostępu i rejestracji urządzeń resztę organizacji można przełączać stopniowo, często przy okazji wymiany komputerów.

Ryzyko tożsamości i automatyczne reakcje

Entra ID analizuje zachowanie użytkownika: nietypowe lokalizacje, nagłe logowania z wielu krajów, użycie znanych anonimizerów. Na tej podstawie wyliczany jest poziom ryzyka tożsamości.

Nowe funkcje pozwalają powiązać to bezpośrednio z politykami dostępu:

  • przy średnim ryzyku można wymusić ponowną rejestrację MFA lub zmianę hasła,
  • przy wysokim ryzyku automatycznie blokować dostęp, dopóki administrator nie zweryfikuje incydentu,
  • dla nieznanych lokalizacji stosować dodatkowe kroki uwierzytelniania lub wymuszać użycie urządzenia zgodnego z polityką.

Dobrą praktyką jest osobne potraktowanie kont uprzywilejowanych (administratorzy, konta serwisowe). Dla nich próg tolerancji na „dziwne” zachowania powinien być dużo niższy, a reakcje – ostrzejsze.

Finansowanie i aplikacje z dostępem uprzywilejowanym

Przejęcie kont księgowych, handlowych czy HR ma zwykle dużo poważniejsze skutki niż zwykłego użytkownika. Microsoft oferuje tu dodatkowe zabezpieczenia: Privileged Identity Management (PIM) i dedykowane zasady dostępu warunkowego.

PIM pozwala na model „just-in-time” – konto administracyjne lub rola z wyższymi uprawnieniami jest aktywna tylko na czas konkretnego zadania. Użytkownik zgłasza wniosek, podaje uzasadnienie, a system może wymagać MFA i rejestrować wszystkie działania w tym okresie.

Dla aplikacji z wysokim wpływem na finanse (ERP, systemy płatności) warto stosować osobne zasady:

  • dostęp tylko z urządzeń zgodnych z polityką,
  • wymuszone MFA przy każdym logowaniu (bez „zapamiętaj mnie”),
  • blokada logowań z krajów, w których firma faktycznie nie prowadzi działalności.

Ochrona dokumentów i informacji w nowym ekosystemie Microsoft 365

Etykiety poufności jako wspólny język ochrony

Centralnym elementem ochrony danych są etykiety poufności (Sensitivity Labels). Jedna etykieta może równocześnie wpływać na dokumenty w SharePoint, pliki w OneDrive, maile w Exchange, czaty w Teams oraz odpowiedzi Copilota.

Typowy, prosty model obejmuje kilka poziomów:

  • Publiczne – brak wymagań, materiały marketingowe, oferty ogólne.
  • Wewnętrzne – dostępne tylko dla pracowników, bez wysyłki na zewnątrz.
  • Poufne – szyfrowanie, ograniczenia udostępniania, zakaz drukowania.
  • Ściśle poufne – ścisły krąg odbiorców, kontrola kopiowania, dodatkowe wymogi MFA.

Etykiety można przypisywać ręcznie (użytkownik wybiera poziom przy tworzeniu dokumentu) lub automatycznie – na podstawie zawartości (np. wykrycie numerów PESEL, danych kart płatniczych, słów kluczowych).

SharePoint i OneDrive: od prostego udostępniania do pełnej kontroli

Nowe funkcje SharePoint i OneDrive skupiają się na kontrolowaniu „gdzie i na jakich zasadach” dane są udostępniane. Chodzi o to, by współpraca nie wymykała się spod kontroli po kilku miesiącach projektów.

Kilka zmian, które robią największą różnicę:

  • Domyślne linki tylko dla organizacji – zamiast „Każdy z linkiem”, użytkownik z góry dostaje bezpieczniejszą opcję. Linki anonimowe można całkowicie wyłączyć lub mocno ograniczyć.
  • Czas życia linków zewnętrznych – link udostępniony partnerowi może wygasać po określonej liczbie dni. Po zakończeniu projektu dostęp wygasa automatycznie.
  • Tryb tylko do odczytu na niezaufanych urządzeniach – użytkownik na prywatnym komputerze może widzieć dokument w przeglądarce, ale nie pobierze go lokanie ani nie zapisze kopii poza chmurą.
  • Integracja z Endpoint DLP – próba skopiowania pliku z etykietą „Poufne” z OneDrive na pendrive może być zablokowana lub zarejestrowana jako incydent.

W praktyce konfiguracja SharePoint/OneDrive zaczyna się od odpowiedzi na kilka pytań: czy akceptujemy linki anonimowe? Jeśli tak, to komu je włączamy i na jak długo? Kiedy wymuszamy logowanie gościa, a kiedy wymagamy, by miał on konto firmowe?

Exchange Online: ochrona informacji w mailach

Mail nadal jest głównym kanałem wymiany dokumentów z klientami i partnerami. Nowe funkcje Exchange Online pomagają ograniczyć ryzyko „wysłania nie tam, gdzie trzeba”.

Kluczowe elementy to:

  • Szyfrowanie i ograniczenia praw (IRM) – możliwość ustawienia zasad typu „Nie przekazuj dalej”, „Tylko do odczytu”, „Tylko wewnątrz organizacji”. Użytkownik wybiera je jak zwykłą opcję w Outlooku.
  • Powiązanie z etykietami poufności – nadanie etykiety „Poufne” może automatycznie wymusić szyfrowanie maila i ograniczyć listę odbiorców.
  • DLP dla treści i załączników – wysłanie na zewnątrz pliku z danymi osobowymi może wymagać uzasadnienia lub akceptacji przełożonego.
  • Bezpieczne linki i załączniki (Defender for Office 365) – linki i załączniki w mailach są sprawdzane pod kątem malware i phishingu, także w momencie kliknięcia przez użytkownika.

W wielu firmach prosty zestaw zasad Exchange rozwiązuje częsty problem: „pomyliłem odbiorcę”. Blokada wysyłki na prywatne domeny (gmail, wp, onet) dla określonych typów danych w praktyce usuwa większość takich incydentów.

Nowe scenariusze DLP: od pliku do wiadomości w Teams

DLP w Microsoft 365 nie dotyczy już tylko plików i maili. Obejmuje także czaty i kanały w Teams, a w wyższych planach – interakcje z Copilotem.

Możliwe są scenariusze typu:

  • blokada wysyłki numerów kart płatniczych lub dokumentów tożsamości w czatach Teams,
  • ostrzeżenie użytkownika i wymaganie uzasadnienia przy próbie udostępnienia pliku z danymi osobowymi do zewnętrznego czatu,
  • rejestrowanie i oznaczanie prób „wynoszenia” danych do zewnętrznych aplikacji przez schowek lub drukowanie.

Konfigurując DLP, lepiej zaczynać od trybu audytu (monitorowania) niż pełnych blokad. Najpierw warto zobaczyć, gdzie faktycznie pojawiają się wrażliwe dane i jakie są nawyki użytkowników, a dopiero potem zaostrzać zasady.

Zespół omawia projekty na laptopach w nowoczesnym biurze
Źródło: Pexels | Autor: Yan Krukau

Teams jako centrum współpracy: nowe funkcje a kontrola nad danymi

Goście, współdzielone kanały i granice między organizacjami

Teams staje się główną „nakładką” na SharePoint, OneDrive i Exchange. Współpraca z partnerami jest coraz częściej realizowana przez gości lub kanały współdzielone, zamiast klasycznej wymiany maili.

Główne mechanizmy, które pomagają utrzymać porządek:

  • Zasady tworzenia zespołów i kanałów – ograniczenie, kto może tworzyć nowe zespoły, które z nich mogą mieć gości, a które są z definicji tylko wewnętrzne.
  • Kanały współdzielone (shared channels) – współpraca z inną organizacją bez przełączania tenantów, z precyzyjnym wskazaniem, do których zasobów ma dostęp partner.
  • Przeglądy dostępu gości – cykliczne sprawdzanie, czy goście w zespołach i witrynach nadal są potrzebni, z automatycznym usuwaniem niepotrzebnych kont.

Przykładowo: firma może mieć ogólną zasadę, że działy biznesowe tworzą zespoły tylko dla współpracy wewnętrznej, a zespoły z gośćmi zakłada IT lub wyznaczeni właściciele. Zmniejsza to liczbę „wolno żyjących” projektów, do których po roku nikt nie pamięta, kto ma dostęp.

Ograniczanie wycieków danych w czatach i spotkaniach

Teams gromadzi ogromną ilość rozmów, plików i nagrań. Nowe funkcje bezpieczeństwa skupiają się na tym, by te treści nie „wypływały” poza zaplanowany krąg odbiorców.

Najważniejsze mechanizmy:

  • Polityki czatu dla gości – możliwość wyłączenia czatów 1:1 z gośćmi, ograniczenia udostępniania plików lub wymuszenia, by pliki dla gości były zawsze w określonym, kontrolowanym obszarze.
  • Etykiety poufności dla spotkań – etykieta „Poufne” może automatycznie zablokować nagrywanie, udostępnianie ekranu gościom lub wymusić lobby (ręczne wpuszczanie uczestników).
  • Retencja i usuwanie czatów – zasady określające, jak długo przechowywane są wiadomości i nagrania. Można np. usuwać czaty po 90 dniach, a nagrania spotkań projektowych po roku.

W połączeniu z DLP daje to spójny efekt: nawet jeśli ktoś spróbuje wkleić w czat zewnętrzny fragment bazy klientów, system może go zablokować lub przynajmniej oznaczyć to zdarzenie jako incydent do analizy.

Nagrania spotkań i transkrypcje: wygoda kontra wrażliwe treści

Teams coraz częściej nagrywa spotkania i generuje transkrypcje. To ogromna wygoda, ale też nowe ryzyko – szczególnie gdy podczas spotkań omawiane są dane osobowe, kwestie kadrowe lub strategie biznesowe.

Microsoft wprowadził kilka funkcji ograniczających to ryzyko:

  • Domyślne lokalizacje nagrań – nagrania trafiają do OneDrive organizatora lub SharePoint danego zespołu, gdzie obowiązują te same zasady udostępniania i etykiety poufności.
  • Kontrola, kto może nagrywać – możliwość zawężenia uprawnień do nagrywania do wybranych ról lub organizatorów.
  • Ochrona transkrypcji – transkrypcje podlegają tym samym zasadom DLP i etykiet, co inne dokumenty tekstowe. Można je traktować jak wrażliwe notatki ze spotkań.

Przy pracy z nagraniami przydatny jest prosty wzorzec: spotkania o charakterze kadrowym, dyscyplinarnym lub z informacjami finansowymi wysokiej wagi z definicji nie są nagrywane, a jeśli już – to nagrania mają krótki okres retencji i wysoki poziom poufności.

Copilot w Teams i aplikacjach Office: praca na danych bez utraty kontroli

Copilot integruje się z Teams, Wordem, Excelem, PowerPointem i Outlookiem. W praktyce oznacza to szybkie generowanie podsumowań spotkań, analiz dokumentów czy propozycji odpowiedzi na maile. Jednocześnie każde takie działanie odbywa się na danych objętych politykami bezpieczeństwa.

Najistotniejsze elementy z punktu widzenia ochrony danych:

Granice dostępu Copilota: kto co widzi i na jakiej podstawie

Copilot nie ma „magicznego” dostępu do wszystkiego. Działa w ramach tych samych uprawnień, które ma użytkownik w SharePoint, OneDrive, Exchange czy Teams.

Kluczowe mechanizmy kontroli:

  • Dziedziczenie uprawnień z M365 – jeśli użytkownik nie ma dostępu do biblioteki SharePoint, Copilot również nie wykorzysta znajdujących się tam plików.
  • Respektowanie etykiet poufności – dokument z etykietą „Ściśle tajne” może być wykluczony z podpowiedzi Copilota lub widoczny tylko dla wąskiej grupy.
  • Logowanie zapytań i odpowiedzi – interakcje z Copilotem trafiają do logów i mogą być analizowane pod kątem bezpieczeństwa i zgodności.

Jeśli ktoś spróbuje „wyciągnąć” od Copilota informacje z działu HR, a nie ma do nich dostępu w SharePoint, asystent po prostu nie pokaże tych danych.

Copilot a DLP i scenariusze wysokiego ryzyka

DLP obejmuje także zapytania i wyniki Copilota. To ważne w sytuacjach, gdy użytkownicy próbują „skompresować” duże ilości danych w jednym pytaniu.

Typowe scenariusze zabezpieczeń:

  • blokada generowania podsumowań zawierających duże bloki danych osobowych (np. eksport z CRM),
  • ostrzeżenia przy próbie poproszenia Copilota o „listę wszystkich klientów z numerami PESEL”,
  • monitorowanie prób łączenia informacji z różnych źródeł w celu zbudowania profili pracowników lub klientów.

Polityki DLP dla Copilota dobrze zaczynać od trybu raportowania. Po kilku tygodniach widać, które typy zapytań generują ryzyko i gdzie trzeba wprowadzić twardsze reguły.

Konfiguracja Copilota od strony bezpieczeństwa: minimum do wdrożenia

Przed uruchomieniem Copilota sensownie jest uporządkować podstawy: uprawnienia w SharePoint, etykiety i retencję. Bez tego asystent może tylko spotęgować istniejący bałagan.

Prosty zestaw kroków startowych:

  • przegląd witryn i zespołów z otwartymi uprawnieniami „każdy w organizacji”,
  • oznaczenie kluczowych repozytoriów (HR, finanse, zarząd) odpowiednimi etykietami poufności,
  • ustalenie, jakie typy danych nie powinny być używane w zapytaniach do Copilota (np. dane medyczne, akta osobowe).

Dopiero przy takim minimum Copilot staje się narzędziem wspierającym pracę, a nie kolejnym kanałem potencjalnego wycieku danych.

Integracja funkcji bezpieczeństwa: jak skleić wszystko w spójny model

Od pojedynczych ustawień do polityk na poziomie organizacji

Większość nowości w Microsoft 365 ma sens dopiero wtedy, gdy działa w pakiecie. Same etykiety, bez DLP i bez kontroli udostępniania, niewiele zmienią.

Przykładowy model docelowy może wyglądać tak:

  • jedna, wspólna taksonomia etykiet poufności dla plików, maili, czatów i spotkań,
  • spójne DLP obejmujące SharePoint, OneDrive, Exchange, Teams i urządzenia końcowe,
  • zasady dostępu warunkowego spinające logowanie, urządzenia i lokalizacje.

Użytkownik widzi wtedy te same poziomy poufności w Wordzie, Outlooku i Teams, a niezależnie od kanału obowiązują go bardzo podobne zasady.

Priorytety wdrożenia: co ustawić najpierw, żeby zobaczyć efekt

Wdrażanie wszystkich funkcji naraz kończy się zwykle frustracją użytkowników i IT. Lepsza jest kolejność małych kroków, ale przemyślana.

Najczęściej sprawdza się podejście:

  1. Tożsamość i dostęp – MFA, dostęp warunkowy, podstawowe role i zasady tworzenia zespołów/ witryn.
  2. Etykiety i prosty DLP – 3–4 poziomy klasyfikacji, kilka zasad blokujących najbardziej ryzykowne działania.
  3. Porządek w udostępnianiu – domyślne ustawienia linków, okresy ważności, kontrola gości.
  4. Rozszerzenie na Teams i Copilota – polityki czatów, spotkań, nagrań, zapytań do asystenta.

Po każdym etapie warto przejrzeć logi i uwagi użytkowników. Często wychodzą na wierzch nieoczywiste nawyki, np. masowe korzystanie z prywatnych skrzynek do wysyłki raportów.

Rola działu biznesowego i HR w ustawianiu zasad

Nowe funkcje bezpieczeństwa nie są wyłącznie tematem IT. Granice współpracy z partnerami czy poziomy poufności dokumentów to decyzje biznesowe.

Praktyczny podział ról wygląda tak:

  • IT – tłumaczy możliwości techniczne na język opcji („możemy blokować X, ostrzegać przy Y, logować Z”),
  • działy biznesowe – definiują, jakie dane i procesy wymagają jakiej ochrony,
  • HR/Compliance – pilnują zgodności z regulacjami i spójności zasad między działami.

Efektem jest prosty słownik: który typ danych należy do którego poziomu poufności i co to praktycznie oznacza dla użytkownika.

Szkolenia i komunikacja: jak nie zablokować pracy ludziom

Najlepsze polityki upadną, jeśli użytkownicy nie rozumieją, co się zmieniło. Chodzi nie o długie szkolenia, tylko zwięzłe komunikaty i krótkie sesje „na żywo”.

Sprawdza się prosty schemat komunikacji:

  • krótki opis „co się zmienia od dnia X” – 3–4 konkretne punkty,
  • ekranowe przykłady: jak nadać etykietę, jak bezpiecznie udostępnić plik, co zrobić przy komunikacie DLP,
  • jasny punkt kontaktu: gdzie zgłaszać blokady, które uniemożliwiają pracę.

Dobrze też wyjaśnić, że część działań jest logowana z powodów regulacyjnych, ale celem nie jest szczegółowa inwigilacja, tylko ochrona przed realnymi incydentami.

Bezpieczeństwo a produktywność: jak znaleźć kompromis w Microsoft 365

Minimalne tarcie dla użytkownika końcowego

Nowe funkcje Microsoft 365 pozwalają „schować” dużą część złożoności za sensownymi domyślnymi ustawieniami. Użytkownik nie musi klikać dziesiątek opcji, żeby pracować bezpiecznie.

Kilka praktycznych zasad projektowania konfiguracji:

  • bezpieczne domyślne ustawienia linków i udostępniania,
  • etykiety, które są zrozumiałe po nazwie (np. „Tylko wewnętrznie”, „Tylko zarząd”),
  • komunikaty DLP pisane ludzkim językiem, z propozycją alternatywnego działania.

Celem jest sytuacja, w której użytkownik robi „to, co zawsze”, a system automatycznie pilnuje większości ryzyk i odzywa się dopiero w bardziej nietypowych scenariuszach.

Współpraca z partnerami: mniej maili, więcej kontrolowanych przestrzeni

Nowe funkcje Teams, SharePoint i Entra ID zachęcają, by zamiast wymieniać się plikami przez mail, tworzyć dedykowane przestrzenie współpracy. To wymaga na początku więcej pracy przy zakładaniu zespołu, ale potem porządkuje projekt.

Model, który działa w wielu organizacjach:

  • każdy większy projekt z klientem ma osobny zespół w Teams z jasno zdefiniowanymi kanałami,
  • dokumenty „backoffice” (np. wewnętrzne notatki, rozliczenia) są w osobnym, tylko wewnętrznym kanale,
  • goście mają dostęp wyłącznie do kanałów zewnętrznych, z lżejszym zestawem danych.

Copilot, DLP i etykiety działają wtedy w konkretnym kontekście projektu, zamiast na luźno wymienianych załącznikach w Outlooku.

Monitorowanie i ciągłe doskonalenie konfiguracji

Microsoft 365 generuje dużo sygnałów: alerty DLP, logi dostępu warunkowego, raporty udostępniania. Bez prostej rutyny przeglądu te dane pozostaną niewykorzystane.

Dobry rytm pracy to np.:

  • miesięczny przegląd alertów DLP i incydentów udostępniania na zewnątrz,
  • kwartalna weryfikacja zasad dostępu gości i zespołów z partnerami,
  • półroczny przegląd etykiet i ich użycia – czy nie są zbyt złożone, czy użytkownicy ich faktycznie używają.

Na tej podstawie można korygować polityki: tam, gdzie jest za dużo blokad, poluzować; tam, gdzie nadal dochodzi do incydentów, wprowadzić bardziej automatyczne kontrole.