Blogg

Administration och administratörsroller i Office 365

Office 365 kan elegant hantera organisationers kommunikations- och samarbetsbehov. Det innefattar bland annat e-postkommunikation, dokumenthantering, delad lagring, snabbmeddelanden, intranät och så vidare. Den omfattande paketeringen och de medföljande applikationerna är några av anledningarna till att många företag väljer att använda Office 365 i stället för andra plattformar.

Med det sagt så är administrationen i Office 365 något som måste hanteras. Och hanteringen är inte inte helt uppenbar vid en första anblick. Det innefattar uppgifter som exempelvis abonnemangsåtgärder, licens- och användarhantering, säkerhetsinställningar, samt övrig konfiguration och anpassning. Den främsta anledningen att lägga fokus på administrationen är för att skapa struktur i it-miljön.

Att bortse från ett grundligt administrationsarbete i Office 365 riskerar att bli dyrt och osäkert. Men det bäddar också för lägre produktivitet och försämrad användarupplevelse.

Vad en Office 365-administratör gör

Rollen för administratörer är krävande, och förutsätter teknisk områdeskunskap, planerings- och prioriteringsförmåga och goda kommunikationsfärdigheter. Så för att underlätta för den ytterst ansvariga administratören i Office 365-miljön så finns det en rad olika administratörsroller som kan tilldelas till användare.

Användare kan anges som olika typer av administratörer och får genom det ökade behörigheter och befogenheter att utföra administrativa åtgärder inom olika delar av Microsoft-miljön. Att dra nytta av administratörsroller är också ett sätt att förenkla och effektivisera användningen inom organisationen. Vissa har exempelvis mer att göra med support och andra med den interna driften.

Gemensamt för många administratörsroller är ansvarsbiten som innebär att överblicka tjänster och lösningar, samt att åtgärda hot och problem. Administratörsroller innebär djupare insynsmöjlighet i delar av Office 365 och ger fler åtgärdsmöjligheter än vad användare vanligtvis har.

Listan över alla roller är lång – det finns över 50 roller att ange för användare. Dessutom är det möjligt att skapa helt anpassade administratörsroller. Se Microsofts lista över alla tillgängliga administratörsroller här.

Några administratörsroller i Office 365:

Global administratör

Den globala administratören har den högsta nivån av behörigheter och rättigheter i hela Office 365-tenanten, och kan tilldela dessa till andra användare. En global administratör har i princip fri tillgång att se och ändra allt i hela Office 365-miljön. Det är möjligt att ha flera globala administratörer, men på grund av säkerhetsriskerna så rekommenderas att så få användare som möjligt är globala administratörer.

Det är dubbelt så vanligt att globala administratörers konton kapas jämfört med andra administratörers. Därför rekommenderas att antalet globala administratörer hålls så lågt som det är möjligt. Ett sätt att komma runt osäkerheten som råder för globala administratörer är att använda rollen ”Global läsare” (på engelska ”Global Reader”). Det är en roll som ger åtkomst till allt, men utan möjligheten att kunna göra ändringar.

Exchange-administratör

En Exchange-administratör hanterar e-post, inkorgar och grupper som baseras i administrationscentret för Exchange eller i Exchange PowerShell. Exchange-administratörer har den övergripande vyn över supportförfrågningar, men även tjänstens drift och stabilitet.

Exchange-administratörer kan även återskapa borttagna e-postmeddelanden och konfigurera inställningar för e-post. För att effektivt migrera e-post är den här rollen vital.

SharePoint-administratör

Det är en SharePoint-administratörs ansvar att se över datalagring och samarbetsaktiviteter via administrationscentret för SharePoint. En SharePoint-administratör har tillgång till de många aktivitetsrapporterna som skapas i administrationscentret. SharePoint-administratörens roll är också central när det gäller att migrera till Office 365.

En SharePoint-administratör kan skapa och ta bort webbplatser i SharePoint. De kan även ange globala inställningar för SharePoint och hantera sidsamlingar.

Compliance-administratör

Administrationscentret för säkerhet och compliance innehåller känsliga uppgifter och har omfattande åtkomsträttigheter. En säkerhets- och compliance-administratör hanterar säkerhetsinställningar och -frågor, samt efterlevnadspolicyer. Administratören har åtkomst till administrationscentren för Office 365, Exchange, säkerhet och compliance och mer. De kan även se och hantera efterlevnadsaspekter i Office 365. Med tanke på området så är det en kritisk roll som inte bör innehas av för många, på grund av säkerhetsriskerna.

Användaradministratör

Administratören för användarhantering har verktyg för att kunna hjälpa den globala administratören med åtgärder som rör användarna. Användaradministratören kan lägga till och ta bort användare, tilldela licenser, återställa lösenord och överblicka tjänsterna i Office 365. Administratören kan inte ta bort globala administratörer eller återställa lösenord för andra administratörer.

Licensadministratör

Licensadministratörer har åtgärdsmöjligheter som är kopplade till licenshanteringen. De kan överblicka, beställa och avbeställa licenser för användare och grupper. De kan dock inte hantera själva prenumerationen.

Teams-administratörer

Det finns ett flertal administratörsroller som hanterar Microsoft Teams. Det rör olika delar av Teams-kommunikation, Teams-certifierade enheter, Teams-support och mer. Vissa roller fokuserar på enheter, andra på felsökning och andra på rutiner och efterlevnaden i Microsoft Teams.

Det här är några av de många administatörsrollerna som finns i Office 365. Den globala administratören är den viktigaste rollen, som kan styra allt inom administrationen av Office 365-miljön. Med tanke på mängden roller och de olika behörighetsnivåerna, samt hur dessa samverkar så är det ett komplext arbete att hantera och administrera behörigheter och rättigheter i Office 365.

Jämför roller

Ett effektivt verktyg för att se vilka administratörsroller som har vilka rättigheter så finns en funktion för att jämföra olika administratörsroller i Microsoft-miljön.

I administrationcentret så finns en funktion som möjliggör att upp till 3 roller kan jämföras sida vid sida. Det gör att det blir enkelt att se vilka rättigheter och behörigheter som respektive roll ger. Mer information finns i den här supportartikeln från Microsoft.

Administrativa enheter med angivna roller

Ett mycket smidigt sätt för att snabbt hantera användares roller och behörigheter är genom att använda så kallade administrativa enheter (på engelska ”Administrative Units”). En administrativ enhet är en Azure Active Directory-resurs som delar upp och strukturerar grupper av användare.

Användare kan läggas till i administrativa enheter exempelvis baserat på region eller avdelning. Sedan kan administrativa roller tilldelas till själva enheten, och därmed alla användare som ingår. Det gör att användare som delar uppgifter med andra enkelt kan hanteras samtidigt. Det fungerar förstås även om användare lämnar eller tillkommer, och gör på så vis on-/off-boarding enklare.

Även administratörer av administrativa enheter går att ange, vilket gör att de administratörerna enbart har administrationsrättigheter för den administrativa enheten. Det både skyddar och strukturerar. Men för att helt fritt kunna hantera allt med administrativa enheter så räcker det inte med administrationscentret i Office 365, utan det krävs i flera fall PowerShell-skript eller åtkomst till Azure AD-portalen. Läs mer om administrativa enheter i den här supportartikeln från Microsoft.

Virtuella tenanter

De ovan beskrivna administrativa enheterna kan med ett annat namn kallas virtuella tenanter. Principen för administrativa enheter är att dela upp organisationen i undergrupper, vilket i själva verket kan skapa en form av hierarkiskt underliggande del av tenanten. För de som är bekanta med On-Premise-terminologi så är det samma sak som där kallades organisationsenhet (på engelska ”Organizational Unit”).

Virtuella tenanter har främst varit ett sätt att gruppera användarna i tenantens Azure AD. I huvudsak har det använts av tredjepartsutvecklare för att skapa anpassningar, innan Microsoft implementerat funktionen med administrativa enheter.

Sikta mot lägsta möjliga behörighetsnivå

Ju mer omfattande behörigheter, desto högre är riskerna. I många fall finns det ingen anledning att en användare får fler behörigheter än vad som krävs för att utföra de angivna arbetsuppgifterna. Men trots det så är det oerhört vanligt att användare ändå får mer omfattande behörigheter än vad som behövs – inte heller sällan med stor marginal. Dels gör det att användaren potentiellt kan komma åt och/eller ändra dokument som i första taget inte borde vara åtkomliga, och dels så blir risken enormt mycket högre om kontot skulle kapas.

Huvudanledningen till att det ska vara få globala administratörer i Office 365 är för att det sänker risken vid eventuella intrång. En hackare har färre möjligheter att skada eller stjäla om en användares kapade konto inte har åtkomst till organisationskritiska dokument. Det är en av de starkaste anledningarna till att även personer högt i företagshierarkin inte bör ha rollen global administratör. De kan med fördel i stället kan anges som exempelvis global läsare.

Rollbaserad åtkomstkontroll – RBAC

RBAC är ett koncept som knyter samman administratörsroller och lägsta möjliga behörighetsnivå i Office 365. Termen står för Role-based Access Control. På svenska blir det ungefär rollbaserad åtkomstkontroll, och syftar till att rollerna som angivits till användare kan styra vilka behörighetsnivåer de har. I stora drag så handlar RBAC om att strukturera användare och enheter för att skydda både organisationen och användarna.

EdgeGuide har dessutom publicerat ett whitepaper om ämnet. Se lite längre ner för information om hur du kan ta del av det. Microsoft har även en informativ introduktionsvideo som visar och beskriver RBAC, se videon här.

Tredjepartsverktyg kan effektivisera administrationen

Microsoft har äntligen börjat implementera vissa efterfrågade funktioner som gör behörighetshanteringen enklare. Men det har innan dess varit fullt möjligt att skapa samlade gränssnitt och anpassningar via tredjepartsverktyg. EdgeGuides samarbetspartner CoreView är en av organisationerna som anammat möjligheten att skapa anpassade lösningar, bland annat för att hantera RBAC. Företaget skapar plattformar som samlar och visualiserar data från olika delar av Office 365, i syfte att förenkla den annars omfattande manuella administrationen.

CoreView beskriver i sin rapport för säkerhet och styrning i Office 365 för år 2020 att säkerhetsrisker till följd av höga behörighetsnivåer är vanliga. 57 % av organisationer har behörigheter för administratörerna som överskrider vad arbetsuppgifterna kräver. Dessutom uppges hela 36 % av administratörerna i Office 365 vara globala administratörer.

Men i synnerhet för enterprise-organisationer är det väldigt riskfyllt att låta så många administratörer ha den typen av omfattande åtkomst. Exempelvis så finns det sällan anledning för en administratör vid ett kontor att behöva redigeringsåtkomst till uppgifter för ett annat kontor. I de fall som personalomsättningen är hög så riskerar höga behörighetsnivåer dessutom att många användare har potentiell insyn i känsliga dokument och uppgifter. Verizon har noterat upp att upp till 14 % av intern aktivitet leder till dataläckor. Läs mer i det här blogginlägget.

Tredjepartsverktyg har lyst med möjligheterna och funktionerna Microsoft själva inte erbjudit. Även om Microsoft nu börjar rulla ut funktioner som tidigare endast funnits som tilläggstjänster från tredje part så kan det än i dag finnas anledning att se vilka avancerade funktioner som kan erbjudas via tredjepartsutvecklare. Microsoft AppSource kryllar av tillägg, verktyg och integrationsmöjligheter.

Var försiktig med skugg-it

Skugg-it, eller shadow IT, kallas it-användningen inom en organisation som inte officiellt har godkänts av it-avdelningen. Det handlar exempelvis om programvaror som installerats på företagets enheter eller nyttjandet av användaruppgifter för tjänster som de inte är ämnade för. I många fall kan det tyckas harmlöst och som positivt för att kunna anpassa de digitala arbetsytorna. Problem uppstår dock då administratörer inte kan överblicka eller skydda om det mot förmodan skulle gå snett.

Och det är helt enkelt så att det finns både för- och nackdelar med skugg-it. Fördelar är att organisationen inte behöver detaljstyra varje del av it-användningen och att användare får möjlighet att anpassa mer. Nackdelar är att det dels blir osäkert och dels blir svårt att följa. Men skugg-it är svårt att helt kontrollera. I teorin är det möjligt att blockera webbplatser från att besökas och applikationer från att användas, men konsekvenserna av det kan i sin tur vara oönskade. Det är en balansgång, och vad som fungerar och är säkert vid en organisation behöver inte överensstämma med nästa. Microsoft har publicerat ett inlägg som handlar om metoder för att minska hoten inom en organisation, vilket även inkluderar skugg-it.

Vidare läsning

Det är ett stort och komplext ämne att prata om Office 365-administration. Det handlar om behörigheter, rättigheter, rutiner, rapporter, möjligheter, åtgärder och mycket mer. Därför är det svårt att ge en tydlig väg att gå vidare på. Och förutom de länkar som finns ovan så presenteras ett urval av förslag nedan.

Klicka här för att läsa om rättigheter och behörigheter i SharePoint Online.

Här listas styrkor och svagheter i SharePoint Online.

Läs om vikten av en centraliserad it-miljö i kontexten av bolagsuppköp här.

Klicka här för att läsa om en kostnadsfri lägesrapport om er Office 365-miljö.

Du kan även hämta vårt nedladdningsbara whitepaper om RBAC där vi tipsar om hur roller och struktur kan hanteras effektivare. Ange din e-postadress nedan så skickar vi dig ett mejl med en länk där du kan hämta filen.

Klicka här och ange din e-post

Magnus Roos

Magnus är marknadsförare och copywriter på EdgeGuide. Har du frågor eller kommentarer om något du läst? Skicka gärna ett mejl eller kontakta via LinkedIn.