Tra le funzionalità più importanti che Microsoft Office 365 offre agli amministratori IT ci sono quelle offerte dal Security & Compliant Center, deputate al controllo dei permessi e dell’accesso ai dati e all’operatività delle applicazioni. Quando un’azienda adotta in modo non occasionale dei servizi applicativi in cloud, diventa fondamentale poter stabilire i limiti e le possibilità delle persone deputate alla gestione di ciò che serve per garantire la sicurezza e la continuità dell’ambiente di lavoro. Compiti che incrociano nodi di privacy e di conformità normative tutt’altro che semplici da svolgere, per i quali Office 365 mette a disposizione funzioni limitate che fanno riferimento al modello di Role Based Access Control (RBAC) e che sono state pensate per essere utili nella maggioranza delle situazioni ed eventualmente essere integrate con componenti di management esterne di terze parti per rispondere alle esigenze più specifiche delle grandi organizzazioni.
Come opera RBAC in Microsoft Office 365
Al modello RBAC sono ispirate le funzionalità offerte da Office 365 Security & Compliant Center allo scopo di garantire la privacy dei dati e l’isolamento degli ambienti di lavoro nell’unico tenant di gestione dei servizi. Un compito che si traduce in uno schema di autorizzazioni in grado di dare agli amministratori la capacità di realizzare alcune azioni e allo stesso tempo di negarne delle altre.
Nella sua essenza RBAC realizza un sistema di autorizzazioni molto più flessibile e articolato di quello presente, per esempio, in NTFS (il file system di Windows) per regolare l’accesso a file e cartelle. Lo schema RBAC offre infatti il supporto a più livelli delle autorizzazioni amministrative che riguardano le diverse componenti applicative di Office 365, come Exchange, SharePoint, OneDrive, Skype for Business, ecc.
RBAC fa riferimento a un vocabolario di termini a cui si associano le prerogative operative date ai “members” ossia agli amministratori abilitati. Un “role” (ruolo) garantisce la possibilità di compiere un certo compito, per esempio il “case management” che permette di operare con i casi eDiscovery. Un “role group” (gruppo di ruoli) è invece un insieme di ruoli che permette alle persone di realizzare compiti estesi, per esempio per dare al “compliance administrator” le capacità contenute nei ruoli di case management, di content search, di organization configuration e di altri necessari a questo compito.
I ruoli previsti dal Security & Compliance Center
Il Security & Compliant Center di Office 365 comprende gruppi di ruoli pensati per svolgere i compiti più comuni, ai quali diventa più facile associare le persone abilitate. Tra questi ruoli ci sono il già citato compliance administrator (che gestisce i settaggi di gestione dei device e degli strumenti di data loss prevention); il data compliance administrator (che ha funzioni in comune con il precedente, ma anche quelle specifiche sella data protection) e il data investigator (che ha ruolo nella ricerca dei dati nelle mailbox, nei siti SharePoint e negli account OneDrive).
L’eDiscovery Manager ha le capacità che permettono di fare ricerche e conservare mailbox, siti SharePoint e Onedrive, di creare e gestire casi eDiscovery, di aggiungere o rimuovere membri a un caso, creare e modificare le ricerche di contenuto associate ai casi. L’eDiscovery Administrator è a sua volta membro del gruppo degli eDiscovery Manager, ma dispone delle prerogative ulteriori per vedere tutti i casi eDiscovery in azienda e aggiungersi come membro per subentrarne nella gestione.
Altri raggruppamenti di ruoli riguardano il Global Reader (accede a report, alert e al controllo delle configurazioni); il Mailflow Administrator (accede ai dati sui flussi di e-mail e report); l’Organization Management (ha controllo sui permessi d’accesso alle funzioni del Security & Compliance Center); il Quarantine Administrator (gestisce le azioni di quarantena su contenuti pericolosi); il Records Manager (per la gestione e la cancellazione dei record di dati) e il Reviewer (per la visione dei casi eDiscovery).
La sicurezza di Office 365 è infine assicurata dalle funzioni raggruppate nei ruoli di Security Administrator, Security Operator e Security Reader. Si aggiungono a quelle di Service Assurance User e Suprvisory Review. Alcuni ruoli non sono assegnati di default a gruppi, e riguardano capacità molto specifiche o critiche, sono: Communication, Custodian, Data Investigation, Export, Preview, Review, RMS Decript e Supervisor Review Administration.
I problemi con le implementazioni RBAC in Office 365
La modalità con cui è realizzato l’access control in Office 365 non è sempre efficace come sarebbe desiderabile nelle realtà aziendali più grandi e soprattutto non è coerente tra le differenti applicazioni. Se da una parte ci si può attendere che fornitori differenti di software abbiano proprie interpretazioni nell’implementazione delle funzioni RBAC, nel caso di Office 365 queste differenze sono riscontrabili a livello delle singole applicazioni all’interno del servizio Microsoft.
Alcune differenze significative sono riscontrabili, per esempio nelle implementazioni del RBAC che caratterizzano Exchange Online e Skype for Business. In Exchange Online, è possibile creare ruoli RBAC personalizzati solo a partire da ruoli già esistenti, rimuovendo o restringendo le autorizzazioni alla PowerShell. In Skype for Business Online è invece possibile creare ruoli RBAC da zero.
Il risultato è che le funzioni RBAC per Office 365 non seguono un set coerente di regole. Ogni applicazione ha le proprie e, se si vuole gestire Office 365 in modo efficace, occorre conoscere le specificità di ogni applicazione e costruire manualmente il set di autorizzazioni e regole con cui dare differenti capacità agli amministratori. Una condizione difficile da gestire all’interno delle grandi aziende che hanno organizzazioni complesse, con più amministratori.
L’uso dei tool di terze parti per ampliare le capacità RBAC
Un aspetto importante nell’impiego di Office 365 nelle realtà aziendali più grandi e articolate riguarda le limitazioni dell’utilizzo di un singolo tenant aziendale per più dipartimenti, sedi, filiali e agenzie. Si aggiunge per molte aziende internazionali l’esigenza di dover garantire il rispetto dei requisiti di conformità con normative sulla privacy di Paesi diversi (il GDPR in Europa) rendendo necessaria una segmentazione del tenant aziendale oppure la creazione di tenant virtuali.
Un’esigenza che oltre ai motivi normativi può essere motivata da questioni d’efficienza. Software di gestione RBAC di terze parti può aiutare a creare una sovrastruttura all’interno del tenant aziendale Office 365, in modo da creare un ambiente di gestione RBAC più coerente, non solo nella gestione delle autorizzazioni amministrative delle applicazioni Office 365, ma anche di altri servizi, semplificando la vita ai responsabili.
Se si è alla ricerca di strumenti che possano unificare e gestire in modo coerente le autorizzazioni su tutte le applicazioni, come delegare le attività operative agli amministratori locali, in modo che questi ultimi possano supportare la propria Business Unit, oppure delegare all’help desk compiti semplici che non siano solo la mera modifica della password, anziché inoltrare le richieste di support al team IT centrale e rallentare i tempi di risoluzione, RBAC è sicuramente la strada da percorrere.
L’uso corretto di RBAC permette al personale IT di gestire non solo più velocemente le richieste di supporto, dando più potere agli amministratori locali, ma anche di risparmiare sui costi di gestione IT. Da una ricerca fatta dal National Institute of Standards and Technology nel suo report “Economic Analysis of Role-Based Access Control” è emerso che in media una società di 10.000 persone può risparmiare circa 24.000 dollari in attività operative e altri 300.000 dollari, semplicemente utilizzando correttamente le fuonzionalità di RBAC.
