Microsoft 365 Governance dlaczego domyślne ustawienia mogą narazić Twoją firmę na ryzyko

„Korzystamy z Microsoft 365 od kilku lat, mamy Teams, SharePointa, OneDrive’a – wszystko działa” – to zdanie słyszymy bardzo często. I zazwyczaj jest… prawdziwe. Ale „działa” nie znaczy „jest bezpieczne” ani „jest zarządzane zgodnie z polityką organizacji”.

Microsoft 365 to potężna platforma, która daje użytkownikom ogromną swobodę. Niestety, ta sama swoboda – jeśli nie jest świadomie zarządzana – może stać się źródłem poważnych problemów: wycieków danych, naruszeń RODO, nieuporządkowanego tenanta i niebezpiecznych ustawień, które działają cicho w tle od miesięcy, a nawet lat.

Warsztat Light Governance powstał po to, żeby pomóc organizacjom odzyskać kontrolę – bez paraliżowania codziennej pracy.

Co to jest Governance w Microsoft 365

Microsoft sam definiuje to tak:

„Skuteczne zarządzanie – Governance – w Microsoft 365 to nie tylko kontrola dostępu i bezpieczeństwo danych, ale przede wszystkim zapewnienie równowagi między produktywnością użytkowników a zgodnością z przepisami i politykami organizacji.”

W praktyce Governance oznacza odpowiedzi na pytania:

• Kto może tworzyć nowe zespoły i grupy?
• Kto ma dostęp do jakich danych – i czy na pewno tylko te osoby?
• Jak nazywają się zasoby w organizacji – czy ktoś w ogóle to wie?
• Co dzieje się z danymi, gdy pracownik odchodzi?
• Czy goście zewnętrzni mogą usunąć wiadomości, które wysłali?
• Czy Copilot może pokazać pracownikowi dokumenty, do których nie powinien mieć dostępu?

Brak odpowiedzi na te pytania to nie abstrakcyjne ryzyko. To codzienne scenariusze, które obserwujemy w organizacjach korzystających z M365.

Domyślne ustawienia M365 – dlaczego są problemem?

Ustawienia domyślne Microsoft 365 zostały zaprojektowane w jednym celu: maksymalizacji wygody użytkownika. Nie bezpieczeństwa. Nie zgodności z RODO. Nie audytowalności.

To świadoma decyzja produktowa Microsoftu – platforma ma działać od razu, bez barier. Problem polega na tym, że większość organizacji nigdy tych ustawień nie zmienia. Tymczasem w ramach warsztatu Light Governance przechodzimy przez ponad 100 ustawień, które mogą zagrażać organizacji.

Poniżej przedstawiamy kilka przykładów z życia wziętych.

Przykładowe trzy scenariusze ryzyka

Scenariusz 1 – Dostawca usuwa potwierdzenie kluczowych ustaleń projektowych

Wyobraź sobie sytuację: tworzysz zespół projektowy w Teams i doproszasz do niego zewnętrznego dostawcę. Przez kilka tygodni trwają ustalenia – zakres prac, terminy, warunki odbioru. Część z nich pada właśnie w wiadomościach na czacie, bo tak po prostu działa codzienne tempo projektu.

W pewnym momencie, gdy pojawia się spór o zakres lub jakość wykonania, okazuje się, że kluczowe potwierdzenia – „Tak, zgadzamy się na ten termin”, „Akceptujemy tę specyfikację” – po prostu zniknęły. Dostawca usunął swoje wiadomości. Bez retencji nie ma po nich śladu.

Konsekwencje:

• Osłabienie pozycji firmy w ewentualnym postępowaniu sądowym lub arbitrażowym – usunięte wiadomości to utracone dowody, których nie da się odtworzyć
• Niemożność ustalenia, kto i kiedy zaakceptował dany zakres lub warunki
• Naruszenie RODO (art. 5 ust. 2) – organizacja musi umieć udowodnić, że dane osobowe (jeżeli takie zostały przesłane w wiadomościach) były przetwarzane zgodnie z prawem. Usunięte wiadomości to usunięte dowody zgodności.

Scenariusz 2 – Copilot pokazuje dokumenty, do których pracownik nie powinien mieć dostępu

Domyślnie nowe pliki SharePoint i OneDrive są udostępniane wszystkim w organizacji. Copilot przeszukuje wszystko, do czego użytkownik ma uprawnienia – w tym pliki udostępnione przez przypadek.

Pracowniczka działu obsługi klienta prosi Copilota o podsumowanie ostatnich decyzji dotyczących warunków współpracy z kontrahentem. Copilot – poza dokumentami, do których powinna mieć dostęp – zwraca fragmenty wewnętrznej prezentacji zarządu z planowanymi zmianami kadrowymi oraz arkusz z wynagrodzeniami. Pliki zostały kiedyś udostępnione bez zmiany domyślnych uprawnień.

Konsekwencje:

• Ujawnienie danych kadrowych, wynagrodzeń lub planów strategicznych
• Copilot „nagłaśnia” problem oversharingu, który dotychczas działał cicho
• Naruszenie zasady minimalizacji dostępu wymaganej przez RODO

Scenariusz 3 – Niekontrolowany rozrost grup M365 i brak ładu dostępowego

Firma zatrudnia 300 pracowników. Przez trzy lata korzystania z Teams każdy tworzył zespoły według własnego uznania – na projekty, spotkania, „tymczasowe” tematy. Nikt nie pytał o zgodę, nikt nie nadzorował procesu. Dziś dzierżawa zawiera 800 grup M365, z czego połowa nieaktywna od ponad roku. Nikt nie wie, kto ma dostęp do jakich danych.

Część grup nie ma właścicieli – ich poprzedni właściciele odeszli z firmy. Pliki, wiadomości i nagrania wideo w tych zespołach pozostają dostępne dla osób, które nadal mają aktywne konta, w tym dla dawnych pracowników kontraktowych.

Konsekwencje:

• Brak możliwości przeprowadzenia audytu dostępów bez ogromnego nakładu pracy manualnej
• Ryzyko oversharingu – dane handlowe i kadrowe dostępne dla nieupoważnionych osób
• Naruszenie zasady rozliczalności i minimalizacji dostępu wymaganych przez RODO
• Brak możliwości bezpiecznego wdrożenia AI w organizacji

Czym jest warsztat Light Governance?

Light Governance to seria kompaktowych sesji warsztatowych w ciągu trzech tygodni, prowadzonych wspólnie z zespołem IT i osobami odpowiedzialnymi za bezpieczeństwo.

Nie jest to projekt wdrożeniowy trwający miesiące. To skoncentrowana, praktyczna praca nad prawdziwym środowiskiem – Twoim tenantem M365 – której celem jest:

• Uporządkowanie i ustandaryzowanie zasad zarządzania środowiskiem Microsoft 365
• Wsparcie organizacji w podejmowaniu świadomych decyzji dotyczących współpracy, bezpieczeństwa i zgodności
• Przekazanie wiedzy, która pozwoli na samodzielne rozwijanie polityki governance w przyszłości

Co otrzymujesz w ramach warsztatu?

Na koniec warsztatu dostarczamy sześć konkretnych produktów:

1. Diagnoza stanu aktualnego. Przegląd rzeczywistej konfiguracji Twojego tenanta M365 wraz z identyfikacją ustawień, które mogą stanowić ryzyko dla bezpieczeństwa, zgodności lub ciągłości działania.
2. Rekomendacje polityk governance.  Rekomendacje zmian opracowane przez specjalistów ds. security i compliance, dostosowane do profilu ryzyka Twojej organizacji. Każda rekomendacja zawiera ocenę priorytetu, poziomu ryzyka oraz łatwości wdrożenia.
3. Macierz ról i odpowiedzialności. Tabela określająca dostępne role administracyjne oraz osoby odpowiedzialne za poszczególne obszary M365, wraz z rekomendacjami pod kątem zasady najmniejszego uprzywilejowania (PoLP), pojedynczego punktu awarii (SPOF).
4. Opis konwencji nazewniczych.  Propozycja konwencji nazewniczych dla grup, witryn, zespołów i innych zasobów – tak, żeby za rok wciąż było wiadomo, co jest czym.
5. Scenariusze „Which Tool When”. Graficzny przewodnik pomagający użytkownikom końcowym wybrać właściwe narzędzie M365 w zależności od celu (np. SharePoint vs OneDrive vs Teams).

Jak przebiega warsztat?

Tydzień 1 – Zebranie wymagań i diagnoza środowiska

Zaczynamy od rozmowy wstępnej, w której poznajemy specyfikę organizacji: branżę, liczbę użytkowników, obecne obawy i priorytety. Następnie przechodzimy przez ponad 100 ustawień Twojego tenanta M365 – od zarządzania grupami i tożsamością, przez dostęp zewnętrzny i SharePoint, po Teams i retencję danych. Na tym etapie nie wprowadzamy żadnych zmian – tylko rzetelnie dokumentujemy stan faktyczny.

Tydzień 2 – Opracowanie rekomendacji i warsztat ról

Na podstawie diagnozy przygotowujemy rekomendacje dopasowane do profilu ryzyka Twojej organizacji. Każde zalecenie zawiera: opis obecnego stanu, proponowaną zmianę, uzasadnienie biznesowe oraz ocenę priorytetu. W tym samym tygodniu przeprowadzamy warsztat poświęcony rolom i odpowiedzialności w M365 – wspólnie ustalamy, które role administracyjne powinny być przypisane do jakich osób w organizacji. Omawiamy też scenariusze „Which Tool When”, czyli kiedy sięgnąć po SharePoint, kiedy po OneDrive, a kiedy po Teams.

Tydzień 3 – Przekazanie wyników i wdrożenie po stronie organizacji

Wyniki diagnozy wraz z kompletem rekomendacji przekazujemy organizacji. Spotykamy się z zespołem, żeby wspólnie przejść przez wnioski – omówić priorytety, wyjaśnić wątpliwości i upewnić się, że rekomendacje są zrozumiałe i gotowe do działania. Od tego momentu organizacja samodzielnie wprowadza zmiany. Jeśli cokolwiek sprawia trudność – gdzie i jak coś zmienić – jesteśmy dostępni, żeby podpowiedzieć.

Dla kogo jest Light Governance?

Warsztat jest przeznaczony dla organizacji, które:

• Korzystają z Microsoft 365 i chcą wiedzieć, czy ich konfiguracja jest bezpieczna,
• Planują wdrożenie Microsoft Copilot i wiedzą, że do tego potrzebny jest porządek w uprawnieniach,
• Właśnie przeszły lub planują audyt bezpieczeństwa / certyfikację (ISO 27001, KNF, UODO),
• Mają wrażenie, że „coś jest nie tak” z chaosem w Teams i SharePoincie, ale nie wiedzą, od czego zacząć

W warsztatach powinni uczestniczyć:

• Zespół IT odpowiedzialny za zarządzanie M365 z uprawnieniami na poziomie Global Reader lub wyższym,
• Osoby odpowiedzialne za bezpieczeństwo, zgodność i audyt,
• Właściciele biznesowi krytycznych procesów, których działanie nie może zostać zakłócone,
• Prace i decyzje governance podejmowane są na poziomie całego tenanta – dlatego ważne jest zaangażowanie osób z różnych ról.

Najczęstsze pytania

Gotowy, żeby odzyskać kontrolę nad Microsoft 365?

Brak Governance nie sprawia, że problemy znikają. Sprawia, że rosną cicho – aż do pierwszego incydentu, audytu lub wdrożenia AI, które je ujawni.

Podczas warsztatów analizujemy ponad 100 ustawień — i w każdym tenantcie, który do tej pory zbadaliśmy, znajdowaliśmy co najmniej kilka wymagających natychmiastowej uwagi. Umów się na bezpłatną rozmowę wstępną – pokażemy, jak może wyglądać bezpieczeństwo Twojego tenanta i co możesz zyskać.