Microsoft 365 APK: een kijkje onder de motorkap van de tenant

Voldoet deze nog wel aan de gebruikers- en beveiligingseisen? Zijn alle rechten en rollen binnen Azure AD, SharePoint, OneDrive en Teams goed ingericht? En worden nieuwe mogelijkheden binnen de tenant wel optimaal benut?

Door onder andere de ontwikkeling richting de cloud, komt steeds meer verantwoordelijkheid voor de Microsoft 365-omgeving te liggen bij de scholen en besturen, in plaats van bij dienstverleners. “Ook wij konden er niet meer omheen. Wij moesten onze kennis over Microsoft 365 bijschaven en aspecten van de inrichting voor eigen rekening nemen”, vertelt Jelle Bos, stafmedewerker ICT bij Stichting Veldvest. Bos regelt de dagelijkse zaken rondom ICT bij de stichting, zoals het inrichten van de Microsoft 365-omgeving en helpen bij het coördineren van contracten met dienstverleners. “Voor elke beslissing die ik maak, geldt: safety first. Maar ook ik heb blinde vlekken. Daarom vind ik het belangrijk dat een onafhankelijke partij onze omgeving toetst.”

Twee weten meer dan één

Op aandringen van Bos liet Stichting Veldvest een Microsoft 365 APK uitvoeren door APS IT-diensten. Voor de APK kwam een expert langs die gezamenlijk met Bos in een dag tijd de hele omgeving doorliep en controleerde. “Twee paar ogen zien meer dan één! Ik weet binnen de stichting dan wel het meest af van onze omgeving, maar een externe expert heeft ook kijk op ontwikkelingen in de toekomst”, legt Bos uit. Zo is de veiligheid van de tenant, de centrale opslagplaats van de online services van Microsoft, ook op de lange termijn gewaarborgd.

En er was nog een reden voor Bos om aan te sturen op een APK. Hij vindt het namelijk niet alleen belangrijk om te weten of de stichting met de inrichting van de Microsoft 365 -omgeving op de goede weg zit, maar wil ook graag weten of hij zelf wel naar behoren functioneert. “Als stichting heb je een erg kwetsbare positie, zeker als het gaat over dataveiligheid. Aangezien ik daar verantwoordelijk voor ben, vind ik het belangrijk dat ook mijn handel en wandel onder de loep wordt genomen.”

Goedgekeurd

Allereerst bepaal je met de expert wat de uitgangspunten zijn, waarom de APK nodig is en met welk doel je de keuring doorloopt. Vervolgens kan de APK direct van start gaan en zal de expert de inrichting toetsen aan de hand van de gekozen punten. “De expert nam gezamenlijk met mij de belangrijkste aspecten door. Het is fijn dat hij eerst inventariseert hoe jij en je collega’s bepaalde toepassingen in de praktijk gebruiken, zodat hij de instellingen hierop kan aanpassen en een werkbare oplossing kan zoeken. Bepaalde wijzigingen die ik zonder verder overleg kon aannemen, voerden we meteen door en de rest van de aanbevelingen kreeg ik later in de vorm van een rapport.”

Naar aanleiding van de APK werden bij Stichting Veldvest direct enkele wijzigingen doorgevoerd. Zo werd het e-mailbeleid aangescherpt en de spamfilter kritischer ingesteld. Ook werd direct een automatisch scansysteem aangezet dat de opslag (SharePoint en OneDrive) checkt op ongewenste mal- en ransomware. Andere aanbevelingen in het rapport, zoals die over multi-factor authenticatie (MFA), zijn werkpunten waar de stichting zich in de toekomst mee bezig zal houden. “Tijdens de APK kwam ik te weten dat MFA nu ook via een externe tag of USB-stick kan verlopen. Normaal gebeurt dit via de telefoon, maar ik weet van collega’s dat dit voor hen niet optimaal werkt. Met deze nieuwe mogelijkheid wordt het inzetten van MFA opeens weer bespreekbaar.”

Plankgas

Naast de directe verbeteringen in de Microsoft 365-omgeving, leverde de APK nog meer op. “Gemoedsrust bijvoorbeeld. Ik weet nu van een betrouwbare, onafhankelijke partij dat we goed op weg zijn. Daarbij draait het om de professionalisering van je stichting, omdat je nu objectief kunt aantonen dat je jouw tenant op orde hebt. Ook stelt het je in staat om optimaal gebruik te maken van de diensten van Microsoft. Je kunt namelijk verschrikkelijk veel inregelen binnen je tenant. Maar van veel ontwikkelingen ben ik niet op de hoogte, omdat ik me ook nog met onderwijsinhoudelijke zaken bezighoud. De APK is dan een geschikte manier om op de hoogte te blijven van de laatste ontwikkelingen.”

Om met een gerust hart achter het stuur plaats te nemen, is het – net als bij een reguliere keuring – zaak om de APK op gezette tijden te herhalen. “Mede door de gevoelige informatie waarover wij binnen de stichting beschikken, zou ik deze APK het liefst jaarlijks of misschien één keer per twee jaar herhalen. Zo blijven we up-to-date en voorkom je een herhaling van bijvoorbeeld de hack van Universiteit Maastricht vorig jaar”, concludeert Bos. Met het rapport van de eerste keuring op zak, kan Stichting Veldvest in ieder geval het komende jaar weer even plankgas vooruit.