Rozwiązanie umowy z pracownikiem a dane w M365
Co powinniśmy zrobić, aby zabezpieczyć dane i chronić dostęp, gdy pracownik opuszcza organizację? Kluczową kwestią jest zaplanowanie przechowywania firmowych danych w taki sposób, aby były one odpowiednio utrzymywane i dostępne dla osób które potrzebują tych danych np. osoby przejmujące obowiązki byłego pracownika.
Pierwszym krokiem w przypadku gdy pracownik opuszcza organizację powinno być zablokowanie dostępu do danych. Aby natychmiast uniemożliwić zalogowanie się w usługach M365 należy z poziomu centrum administracyjnego usług Microsoft365 zresetować hasło użytkownika. Jest to o tyle istotne, że standardowe zablokowanie konta użytkownika uniemożliwiające logowanie może trwać nawet do 24 godzin. Zresetowanie hasła skraca ten czas do maksymalnie jednej godziny gdyż token dostępu użytkownika jest ważny przez godzinę. Możliwe jest natychmiastowe zresetowanie tokenów dostępu użytkownika z wykorzystaniem polecenia cmdlet Revoke-AzureADUserAllRefreshToken, które unieważnia tokeny wystawione dla aplikacji, do plików cookie sesji w przeglądarce dla użytkownika i resetuje właściwości konta użytkownika refreshTokensValidFromDateTime do bieżącej daty i godziny. Następnie należy zablokować możliwość logowania do konta użytkownika. W kolejnym kroku należy zablokować dostęp byłego pracownika do poczty e-mail (Exchange Online), jeśli korzystamy z poczty e-mail w ramach subskrypcji usługi Microsoft 365. W tym celu z poziomu centrum administracyjnego programu Exchange z poziomu skrzynki pocztowej w oknie szczegółów zarządzania ustawieniami aplikacji poczty e-mail należy wyłączyć wszystkie opcje: Mobile (Exchange ActiveSync), Outlook on the web, Outlook desktop (MAPI), Exchange web services, POP3, and IMAP.
Po zablokowaniu możliwości logowania zaleca się zapisać/wyeksportować zawartość skrzynki byłego pracownika np. do pliku pst w celach dowodowych lub ewentualnego postępowania sądowego. Jednocześnie na skrzynkę, jeżeli wykupiony plan Microsoft 365 posiada takie funkcje, na skrzynkę można założyć blokadę związaną z postępowaniem sądowym lub blokadę miejscową. Gdy skrzynka pocztowa pracownika zostanie oznaczona jako nieaktywna nie będzie można odbierać wiadomości e-mail i nie będzie już wyświetlana w udostępnionej książce adresowej organizacji ani na innych listach. Jeśli organizacja korzysta z usługi Intune MDM/MEM, umożliwia to usunięcie wszystkich danych z zarządzanych urządzeń lub przywrócenie ustawień fabrycznych po wcześniejszym utworzeniu kopii zapasowej danych. Następnie, aby zapewnić ciągłość pracy poprzez dostęp do danych byłego pracownika należy przypisać adres e-mail byłego pracownika innemu pracownikowi lub przekonwertować skrzynkę pocztową byłego pracownika na udostępnioną skrzynkę pocztową i nadać do niej właściwe uprawnienia. Po przekonwertowaniu skrzynki pocztowej użytkownika na udostępnioną skrzynkę pocztową wszystkie wiadomości e-mail oraz zawartość kalendarza byłego pracownika zostanie zachowana, tylko że w udostępnionej skrzynce pocztowej nawet kilka osób będzie mogło mieć do nich dostęp. Istnieje również możliwość powrotnego przekonwertowania udostępnionej skrzynki pocztowej na prywatną skrzynkę pocztową użytkownika. Utworzenie udostępnionej skrzynki pocztowej wydaje się lepszym sposobem niż przypisanie tej skrzynki innemu pracownikowi ponieważ nie trzeba płacić za licencję, o ile skrzynka pocztowa jest mniejsza niż 50 GB, w innym wypadku również konieczne będzie przypisanie licencji. Nowy pracownik będzie miał dostęp do całej historii korespondencji swojego poprzednika, a jednocześnie możemy zablokować wysyłanie wiadomości w imieniu byłego pracownika. Jeżeli natomiast nie zdecydujemy się na udostępnienie skrzynki pocztowej byłego pracownika osobom zastępującym, a tylko skorzystamy z przekazywania wiadomości e-mail, to tylko nowe wiadomości e-mail wysłane do byłego pracownika będą wysyłane do osób zastępujących bez dostępu do historii korespondencji. Ważne jest, aby w sytuacji gdy skonfigurujemy przekierowanie poczty e-mail lub udostępnioną skrzynkę pocztową, nie usuwać konta byłego pracownika. Konto musi pozostać, aby zakotwiczyć przekierowanie poczty e-mail lub udostępnioną skrzynkę pocztową. Umożliwia nam to natomiast usunięcie licencji byłemu pracownikowi. Warto pamiętać, aby anulować zaplanowane w kalendarzu spotkania byłego pracownika, dzięki temu pozostali użytkownicy będą mogli usunąć spotkania utworzone przez byłego użytkownika, a także umożliwi to zarezerwowanie urządzeń czy np. sali zablokowanej przez byłego pracownika.
W kolejnym etapie warto zapewnić dostęp do plików przechowywanych w usłudze OneDrive przez byłego pracownika. W tym celu powinien zostać przyznany dostęp do OneDrive byłego pracownika, a następnie przeniesione wszystkie pliki, które powinny zostać zachowane. Jeśli zostanie usunięta licencja z konta byłego pracownika, a samo konto nie będzie usuwane wówczas możliwe jest przyznanie sobie dostępu do zawartości w usłudze OneDrive użytkownika. Jeśli natomiast konto użytkownika zostanie usunięte, domyślnie jest 30 dni na dostęp do danych OneDrive byłego użytkownika.
Następnie można usunąć licencje z konta byłego pracownika i przypisać ją innej osobie lub jeśli nie chcemy nikomu jej przypisać i płacić należy usunąć taką licencję ze swojej subskrypcji. Jeśli skrzynka pocztowa byłego pracownika musi być dostępna dla upoważnionych osób, którym przyznano uprawnienia do zbierania elektronicznych materiałów dowodowych ze względu na zgodność lub ze względów prawnych, należy do niej przypisać np. licencję Exchange Online — plan 2, aby można było zastosować blokadę do skrzynki pocztowej przed jej usunięciem.
Po usunięciu licencji wszystkie dane użytkownika są przechowywane przez 30 dni i można uzyskać dostęp do tych danych lub przywrócić konto w tym okresie. Po 30 dniach wszystkie dane użytkownika (z wyjątkiem dokumentów przechowywanych w usłudze SharePoint Online) są trwale usuwane z platformy Microsoft 365 i nie można ich odzyskać. Tak więc konta byłego pracownika nie usuwamy, jeśli zostało skonfigurowane przekazywanie wiadomości e-mail lub przekonwertowana prywatna skrzynka pracownika na udostępnioną skrzynkę pocztową.
Autor: Piotr Maziakowski