jannenevalainen.com logo

Vaatimustenmukaisuuden hallinta ja erilaisten standardien täyttäminen on nykyisin hyvin yleistä varsinkin toimintakriittisillä toimialoilla. Organisaatioiden on kyettävä näyttämään toteen että niiden toiminta edellyttää erilaisten standardien kuten GDPR tai ISO27001 vaatimukset.

Microsoft Purview Compliance Manager on suunniteltu helpottamaan kyseistä prosessia. Compliance Manager tarjoaa keskitetyn hallintatyökalun jonka avulla organisaatiot voivat arvioida, hallinnoida ja parantaa vaatimustenmukaisuuden tilannettaan. Tämän lisäksi työkalu tarjoaa mahdollisuuden osoittaa vaatimustenmukaisuus esimerkiksi auditointitilanteessa.

Compliance Manager

Kuten aikaisemmatkin tarkastelemamme työkalut, myös Compliance Manager löytyy

suunnistamalla Purview -portaaliin ja valitsemalla sieltä vasemmanpuoleisesta valikosta soveltuva alue joka on tällä kertaa siis tietenkin Compliance Manager. Käydään seuraavaksi läpi osa-alue kerrallaan mitä Compliance Managerin eri osa-alueet pitävät sisällään.

microsoft purview compliance manager jannenevalainen.com

Overview

Compliance Managerin Overview-näkymä antaa sinulle näkymän compliance-tilanteestasi. Esimerkkikuvassa ympäristön compliance score on 60%. Huomioitava asia joka löytyy compliance scoren viisarin alta on jaottelu mitkä pisteistä ovat Microsoftin hallinnassa (Microsoft managed points) ja jotka ovat tenantin haltijan vastuulla (Your points achieved). Yleisnäkymä antaa myös listauksen tärkeimmistä toimenpiteistä (Key improvement actions) sekä Compliance score breakdown -näkymän. Ympäristön tilanne ei ole ihan niin lohduton kuin kuvassa olevat 0% taulut antavat ymmärtää koska kyseiseen kuvaan on otettu valittuja kriteereitä näkyviin jota vastaan yleisnäkymää peilataan. Yksi tärkeä nappi tässä ikkunassa onkin oikeasta yläkulmasta löytyvä Filter-nappi josta voit valita useita osatekijöitä (regulations, solutions, action types, groups, service) joiden valintojen perusteella näkymä luodaan Overview -näkymään. Löydät lisää tietoa Compliance managerin pisteytyksestä Microsoft Learnin artikkelista (Linkki).

compliance manager overview purview jannenevalainen.com

Improvement Actions

Kuten Overview -sivulla näimmekin, Compliance Manager tarjoaa Improvement Actioneja eli parannustoimenpiteitä käyttöympäristön compliance-tilanteen parantamiseksi. Improvement Actions -valikko näyttää meille kaikki voimassa olevat parannustoimenpiteet joita kuvan mukaan näyttäisi olevan vaatimattomat 499 kappaletta! Epätoivoon ei pidä kuitenkaan vaipua sillä kyseinen suodattamaton näkymä näyttää kaiken mahdollisen valittuihin regulaatioihin nähden sisältäen niin tekniset, toiminnalliset kuin dokumentointiin liittyvät parannukset. Näkymää voi tarvittaessa suodattaa paremmin itseään palvelevaksi usean filtterin kautta. Löydät Microsoft Learn -artikkelin aiheeseen liittyen tämän linkin kautta.
compliance manager jannenevalainen.com

Vaikka moni kontrolli voikin olla testattavissa teknisesti, suuri osa vaatii käyttäjän puuttumista peliin. Hyvänä esimerkkinä on kuvassa alimpana näkyvä ”Provide privacy training” jonka täyttymisen tarkistamiseen Purviewilla ei ole mahdollisuutta. Klikataanpa siis kyseistä kontrollia jolloin saamme kyseiseen kontrolliin liittyvän ikkunan auki jonka näemme alla. Täällä voimme antaa tehtävälle omistajan (eli vastuuhenkilön) sekä lisätä materiaalia jota voi käyttää tukena esimerkiksi auditoinnissa ”Add evidence” -napin kautta.

purview compliance jannenevalainen.com

Mutta kuten huomaamme kyseinen kontrolli on Not implemented -tilassa joten muutetaanpa se oikean yläkulman Edit details -napin kautta.Voimme muuttaa statusta, implementointi/testauspäivää sekä lisätä muistiinpanoja tehtävään liittyen. Muutaman klikkauksen jälkeen kyseinen kontrolli onkin implemented sekä passed -tilassa.

purview jannenevalainen.com
compliance

Solutions

Solutions-osuus näyttää eri tekniset ratkaisualueet joita voit hyödyntää Compliance Managerissa (Azure, Intune, Defender, Sharepoint yms). Näet myös täältä kuinka paljon pisteitä on vielä saatavilla milläkin osa-alueella.
compliance manager purview solutions

Assessments

”Okei” ajattelet varmasti tässä vaiheessa, ”Nämä on kaikki tosi hienoja juttuja mutta puhuttaisiko jo pikkuhiljaa niistä regulaatioista?!”. Kärsivällisyytesi on palkittu koska nyt pääsemme tälle osa-alueella ja aloitamme Assessments -osiosta. Tämä osio näyttää mitkä säännökset ja regulaatiot on valittu kyseiseen ympäristöön. Alla olevan kuvan mukaisesti seuraavat regulaatiot ovat valittu testiympäristössä arviointeihin:

  • ISO 27001
  • Data Protection Baseline for Microsoft 365
  • NIS2
Nyt pääsemmekin keskusteluun lisensseistä: Kaikki lisenssitasot sallivat Data Protection Baseline for Microsoft 365 -arvioinnin käytön. A5/E5 -lisenssien käyttäjät voivat valita korkeintaan 3 valittavissa olevista arvioinneista ympäristöönsä. Voit lukea lisää assessmenteista ja lisenssivaatimuksista täältä.
purview compliancemanager

Aktiivisen assessmentin voi myös avata erilliseen ikkunaan josta sen yksityiskohtia voi tarkkailla. Raportin voi myös halutessaan ladata tarkempaa työskentelyä varten.

compliancemanager assessment

Regulations

Regulations -osuus on se paikka jossa kaikki käytettävissä olevat regulaatiot oleskelevat. Kirjoitushetkellä regulaatioita on käytettävissä 389 erilaista jotka voit katsoa tästä linkistä. Kuten aikaisemmassa kappaleessa sanottiin, regulaatioiden käyttäminen vaatii A5/E5 -lisenssin. Mutta valitaan listasta CIS M365 Foundation Level 2.

Valittu regulaatio aukeaa uuteen ikkunaan josta voi katsoa yleisnäkymän sen toiminnasta ja ruudun oikeassa yläkulmassa olevasta Create Assessment -napista kyseisen regulaation voi lisätä omaan ympäristöön. Muutaman kysymyksen jälkeen (käytettävä näyttönimi, käytetyt palvelut), arviointi lisätään aikaisempien joukkoon aiemmin katsottuun Assessments- ikkunaan.

compliance purview

Policies

Policies -osuus antaa ylläpitäjien luoda Compliance Manageriin liittyviä hälytyksiä. Esimerkkikuvassa on käytössä vain oletushälytys joka ilmoittaa Compliance Scoren muutoksesta mutta ylläpitäjät voivat luoda uusia hälytyksiä perustuen esimerkiksi pisteiden, testitulosten tai implementaatioiden muutoksiin.Voit lukea lisää policyista täältä.
purview compliance alerts

Alerts

Kuten arvata saattaa, Alerts -osuus sisältää hälytyksiä joita luodaan Purviewiin aikaisemmin käsitellyn Policies -ikkunan asetuksien perusteella.
compliance alert purview

Reports

Reports-osuus puolestaan sisältää historiallisia raportteja Purviewin Compliance Managerin kehityksestä. Ylläpitäjä voi tarvittaessa katsoa raportin yksityiskohtia.

compliance report purview

Kattavaa hallintaa ja raportointia

Purview Compliance Manager antaa organisaatioille todella monipuoliset työkalut joiden avulla ne voivat tarkkailla, valvoa sekä parantaa omaa tilannettaan vaatimustenmukaisuuden valvonnassa sekä sen noudattamisen osoittamisessa. Onkin harmillista että Compliance Manager tuntuu vielä olevan varsin tuntematon työkalu Purviewin työkalupakissa. Mutta kiristyvien vaatimuksien ja raportointitarpeiden lisääntyessä Compliance Managerin käytölle varmasti löydetään paljon hyödyllisiä käyttökohteita tulevaisuudessa.
RSS Kyberturvallisuuskeskus
Artikkelit
Sanapilvi
apt Azure AD CVE CVSS forms identiteetti intune kyberrikollisuus kyberturvallisuus kyberturvallisuussuunnitelma MFA Microsoft 365 Microsoft 365 Business Premium Mitä kuuluu Microsoft Passwordless Purview Salasanat Stream supply chain attack Teams tietoturva tuottavuus ubuntu Windows 11 yleinen

Copyright jannenevalainen.com. All rights reserved

Youtube Linkedin

Tietosuojaseloste