Kuinka jaettu tietokone tai jaetut tietokoneet lisensoidaan Microsoft 365 ympäristössä?

Tätä kysymystä kysytään meiltä usein, eli tilanne on seuraava: Yrityksessä X työskentelee 15 henkilöä. 5 henkilöllä on käytössään läppäri ja heidän työnteko tapahtuu henkilökohtaisilla työvälineillä. Lopuilla 10 käyttäjillä ei ole henkilökohtaisia työvälineitä, mutta heidän pitäisi aika-ajoin käyttää esim kassaa tai lähettämön konetta, jolla ajetaan tulosteita. Millaiset käyttöoikeudet lopuille 10 käyttäjille tulisi ostaa?

Sanottakoon suoraan, Microsoftin lisensointia ei ole suunniteltu PK-yritysten tarpeisiin ja tällaisessa tilanteessa vaihtoehtoja on useita. Pyrin pitämään kirjoituksen tiiviinä ja käymään eri vaihtoehdot läpi. Koska me todella tunnemme miten tekniikka pelaa, käymme läpi myös lisenssiehtojen vastaiset käyttötapaukset.

Microsoftin virallinen kanta ja Microsoft 365 lisenssisäännöt jaetuille tietokoneille

Ensimmäinen vaihtoehto

Jaetun tietokoneen ns. ”laitteen lisensointia” Microsoft ei varsinaisesti Microsoft 365 ympäristössä tunne. Lähtökohta on että Microsoft 365 ympäristön kaikki käyttäjät lisensoidaan, sitten palveluita saa käyttää millä laitteilla vain.

Näin oikeaoppinen lisensointi on varsin yksinkertainen. Kaikille 10 työntekijälle ostetaan käyttöoikeudet ohjelmistoihin joita he käyttävät.

Teknisesti tämä kuitenkin tarkoittaa ikävää tilannetta, työn sujuvuuden osalta, sillä oletustilanteessa käyttäjät kirjautuvat päätelaitteelle aina kukin omilla tunnuksillaan.

Toinen vaihtoehto

Toinen vaihtoehto on eriyttää ”tehtaan puolen” laitteet muusta ympäristöstä. Tällaiselle laitteelle hankitaan oma tietoturvaratkaisu, niille kirjaudutaan laitteen omilla tunnuksilla ja kyseiselle laitteelle ostetaan esim. Office 2024 home and business käyttöoikeus. Ikävä kyllä ratkaisu tarkoittaa että myös sähköpostipalvelut, Teams ja Sharepoint (tiedostojen tallentaminen) tulisi hoitaa erillisellä järjestelmällä, koska käyttöoikeutta Microsoftin pilvijärjestelmiin ei ole hankittu.

Kolmas vaihtoehto ja Microsoftin ajatus miten homma hoidetaan!

Kolmas vaihtoehto on laajentaa käyttötapausta. Tehtaan hallintoon ostetaan Microsoft Business Premium -lisenssit, jotka sisältävät mm. laitehallinnan ja tietoturvan lisenssit. Tähän ympäristöön voidaan lisätä edullisempia Microsoft 365 F3 -käyttäjiä, joilla on oikeus käyttää samoja palveluita kuin hallintoporukalla, edullisempi käyttöoikeus koskee käyttöä vain mobiililaitteilla. Meillä parhaat asetukset on jo määritelty valmiiksi ns. Terävä Microsoft 365 Business Premium -kokonaisuuteemme.

Kun ympäristö on toteutettu näin, voidaan jaetuille tietokoneille ostaa seuraavat lisenssit:

• Microsoft Defender for Endpoint P1
• Microsoft Intune Plan 1 Device
• Patch Management (Robopack)

Näistä lisensseistä ensimmäinen liittää laitteen samaan päätelaitteiden suojaamisen ympäristöön, missä muut laitteet jo ovat. Intune lisenssillä laitteeseen saadaan hallinta, voimme siis etänä määrätä kyseiselle laitteelle esimerkiksi samat tietoturvan asetukset, joita yrityksen muilta laitteilta jo vaaditaan. Viimeinen lisenssi tarvitaan, jotta ei Microsoft -ohjelmistot, kuten Java, Firefox tai Acrobat Reader saavat päivityksensä ajallaan.

Tällä mallilla asiakas saa valtavan määrän lisää ominaisuuksia, joita älylaitteissa voidaan turvallisesti hyödyntää. Samalla kustannukset pysyvät varsin maltillisena. Me Jalo IT:llä suosittelemme tätä vaihtoehtoa asiakkaillemme!

Voiko jaetun tietokoneen lisensoinnin sääntöjä kiertää ja mitä tapahtuu jos niin tekee?

Jokainen voi tietenkin omalla vastuullansa valita, että haluaa helppouden tai säästön nimissä astua rajan yli ja lisensoida ympäristönsä väärin. Jälleenmyyjänä tai palveluntarjoajana emme kuitenkaan voi suositella tällaista lähestymistä. Käydään nyt kuitenkin läpi tällaisetkin scenariot.

Entä jos käyttöoikeudet ostetaan kuitenkin jaetuille laitteille, eikä henkilöille (lisenssisääntöjen vastaisesti)

Jos näin halutaan menetellä, on syytä tarkastella tietoturvan toteutumista erityisen tarkasti. Tilanne jossa useampi käyttäjä kirjautuu samoilla tunnuksilla aiheuttaa merkittävän uhkakuvan tietoturvalle. Yhteiskäyttötunnuksien käyttöä on erittäin hankala valvoa. Käytännössä ihan vähintään tulee rajata hyvin tarkkaan tilanne, milloin ja mistä kirjautuminen näillä jaetuilla salasanoilla tai tunnuksilla sallitaan. Käytännössä tämä tarkoittaa minimissään siirtymistä Microsoft 365 Business Premium -tasolle, sillä vasta tämän tason lisensseillä kyetään rajaamaan kirjautuminen esimerkiksi sallituksi ainoastaan näiltä etukäteen valikoiduilta tietokoneilta. Kirjautuminen muualta ei siis olisi enää edes mahdollista.

Käytännössä näin voitaisiin kuitenkin saada aikaiseksi varsin toimiva kokonaisuus. Ongelmaksi jäisi tietoinen valinta lisenssiehtojen rikkomisesta.

Entä jos laitteen tietoturvan ja hallinnoinnin lisensointiin käytetään hallinnon työntekijän lisenssiä (Business Premium) ja yhteiskäyttöön sähköpostille, Teamsille ja Sharepoint tiedostoille ostetaan yksi edullisempi lisenssi (Business Basic)

Ensinnäkin näin meneteltynä laitteella ei olisi käytössä Office työasemaohjelmistoja lainkaan. Käytännössä kirjautumisruutu myös ehdottaa aina kirjautumaan tämän hallinnon työntekijän tunnuksilla, kenen lisenssillä laite on hallinnassa.

Käyttäjän pitää siis valita aina erikseen ”kirjaudu käyttäen eri tunnusta”. Käytännössä tämä kuitenkin toimii, eli sieltä saa tietokoneen ihan oikein auki ja selaimella työntekijä pääsee näin tarkastamaan yhteiskäyttöön annetun sähköpostilaatikon sisällön. Ongelmaksi muodostuu edelleen tilanne, jossa useampi käyttäjä tietää tämän yhteiskäyttöisen sähköpostilaatikon salasanan. Monivaiheista tunnistautumista ei voida käyttää, koska vahvistus kirjautumisesta voi tulla vain yhden työntekijän kännykkään kerrallaan. – Ilman monivaiheista tunnistautumista on käytännössä vain ajan kysymys, kun verkkorikolliset saavat pääsyn kyseiseen sähköpostilaatikkoon.

Entä jos laitteen tietoturvan ja hallinnoinnin lisensointiin käytetään hallinnon työntekijän lisenssiä (Business Premium) ja sähköposti, Teams ja tiedostojen tallennus ei ole yhteinen, vain henkilökohtainen (Business Basic)

Tähän kannattaa lukea ylempi kohta myös, jotta huomaa esimerkiksi miten tuo kirjautuminen toimii. Jos laitteelta on tarkoitus lukea ja kirjoitella henkilökohtaista sähköpostia selaimen läpi, käsitellä omia tiedostoja ja Teamsia, tämä käyttötapaus toimii kyllä. Laitteessa on suojaukset päällä, laite on hallittu, se on päivitetty ja sillä on ihan turvallista käyttää selaimen kautta sähköpostia. MFA vahvistus tulee aina käyttäjän henkilökohtaiseen puhelimeen.

Tietoturvaa kannattaa kenties terästää vielä Defender -tuotteella. Näin sitten ainakin työntekijän sähköposti on suodatettu pelkkien Viagra-mainosten lisäksi myös kehittyneemmiltä haittaohjelmilta ja huijauksilta.

Entä jos laitteen tietoturvan ja hallinnoinnin lisensointiin käytetään hallinnon työntekijän lisenssiä (Business Premium) ja laitteen on tarkoitus antaa mahdollisuus lukea Iltalehteä taukohuoneessa.

Jos laitteella ei ole tarkoitus tehdä mitään työhön liittyvää, ehkä tämän voisi vain ohjeistaa, että työhön liittyvää ei sovi tällä laitteella tehdä. Kun laite ei liity työn tekemiseen millään tavalla ja se on liitetty esimerkiksi vierailijaverkkoon, sen tietoturvasta ei luultavasti tarvitse enää huolehtia.

Olemme Microsoft asiantuntijoita

Jäikö joku tapaus käymättä läpi? Ota rohkeasti yhteyttä, me tunnemme tekniikan ja tarjoamme erilaiset vaihtoehdot etenemiselle. Annamme aina asiakkaalle vapauden tehdä omat päätöksensä.

Kiinnostuitko?

Lähetä meille viesti, otamme sinuun yhteyttä viimeistään seuraavana päivänä.

Yhteydenotto

Nimi *

Yritys

Puhelin

Sähköposti

Viesti

ehdot *

Hyväksyn ehdot

Ehdot

Kunnioitamme tietojesi luottamuksellisuutta. Lomakkeen tietojen lähetys on suojattu ja annettuihin tietoihin on pääsy vain Jalo IT:n valtuuttamilla henkilöillä. Tietoja käsitteleviä henkilöitä sitoo salassapito- ja vaitiolovelvollisuus.

Tarkemman kuvauksen tietojen käsittelystä löydät sivumme äärimmäisestä alalaidasta (Tietosuojaseloste).

Captcha

Lähetä

If you are human, leave this field blank.

Kirjoittaja: