Rehngruppens informationssäkerhetsarbete säkerställer att information alltid är tillförlitlig, korrekt och komplett. Vårt arbete säkerställer att information är tillgänglig när den behövs i den dagliga verksamheten och att den inte sprids till obehöriga.
Myndigheten för samhällsskydd och beredskap (MSB) rekommenderar kontinuerliga säkerhetskontroller genom hela utvecklingsprocessen; från krav till implementering. Rehngruppen har implementerat dessa riktlinjer genom att ha en tät samverkan i utvecklingsteamet. På så sätt säkerställer vi att alla säkerhetskrav tas i beaktning redan i början av projektet.
MSB föreslår även att man använder verktyg som Microsoft Defender for Cloud och Azure säkerhet för att identifiera och hantera säkerhetshot. Rehngruppen har integrerat dessa verktyg i vår säkerhetskontroll. Både för att få en komplett bild av säkerhetsläget och för att snabbt kunna reagera på eventuella sårbarheter.
Rehngruppen tar säkerhet på allvar och arbetar enligt de rekommendationer och riktlinjer som Myndigheten för samhällsskydd och beredskap har satt upp. De har en systematisk tillvägagångssätt för att säkerställa att alla deras utvecklingsprojekt är säkra och uppfyller de högsta säkerhetskraven.
Rehngruppen tar säkerhet på allvar. Vi arbetar enligt de rekommendationer och riktlinjer som MSB bestämt. Vi har ett systematiskt tillvägagångssätt för att säkerställa att alla utvecklingsprojekt är säkra och uppfyller de högsta säkerhetskraven.
Rehngruppen använder Microsoft Defender forCloud för att säkerställa säkerheten av Microsoft addinet 365 | Templates. Microsoft Defender for Cloud är en allt-i-ett säkerhetsplattform. Plattformen erbjuder ett brett utbud av verktyg och tjänster för att skydda organisationens Microsoft365-miljö.
Med Microsoft Defender for Cloud kan Rehngruppen få information om potentiella säkerhetshot och bedrägerier som riktas mot add-ins. Plattformen använder avancerad säkerhetsskanning för att upptäcka och skydda mot; skadliga filer, e-postmeddelanden, skript och program. Dessutom erbjuder Microsoft Defender for Cloud insyn i de senaste säkerhetshoten och ger information om hur de bör hanteras.
Microsoft Defender for cloud erbjuder detaljerad information om utvecklingsmiljöns säkerhetsstatus. Exempelvis information om säkerhetskonfigurationer, patch- och uppdateringsnivåer samt händelseloggar. Genom att följa de rekommendationer som ges av Microsoft Defender for Cloud kan vi på Rehngruppen vidta nödvändiga åtgärder för att säkerställa utvecklingsmiljön. Tillsammans med Azure säkerhet erbjuder Microsoft Defender for Cloud en heltäckande säkerhetslösning för Rehngruppens Microsoft365-miljö.
Azure säkerhet ger ytterligare skydd mot bedrägerier och cyberhot. De erbjuder möjlighet till övervakning och respons vid säkerhetsincidenter.
Sammanfattningsvis skapar Microsoft Defender for Cloud och Azure säkerhet den skyddsnivå som är nödvändig för Rehngruppen. Både för att säkerställa säkerheten för Microsoft addinet 365|Templates och för att förhindra potentiella säkerhetshot.
Microsoft Office 365 Add-ins lägger till fler funktioner i Office-programmen. Exempelvis i Word, Excel och PowerPoint. Add-ins är utvecklade med hjälp av webbtekniker, som React och Typescript, och körs i en inbyggd webbläsare inuti Office-programmen.
Säkerhet är en viktig fråga när det gäller add-ins. Microsoft Office 365 säkerställer att add-ins bara har tillgång till de funktioner och data som de behöver för att fungera. Add-ins måste dessutom uppfylla en mängd säkerhetskrav, såsom autentisering och kryptering.
Rehngruppens add-ins är, enligt Microsofts rekommendationer, uppbyggda med hjälp av React och Typescript.
365 | Templates består av två program. Ett Office add-in är registrerat i Microsoft 365 för Word, PowerPoint och/eller Excel. Det kommer också att finnas en webbapplikation, 365 | TemplatesAdmin-portal på templateextender.com, där du kan hantera allt kontorsinnehåll.
Var står servrarna?
Servrarna står i Amsterdam (Microsoft Azure West Europe).
Vilken plattform använder 365|TemplateExtender?
Det är en molnbaserad lösning. Alla våra applikationer (webbappar och APIer) ligger i Azure, därmed har vi 99,9% SLA på Microsofts plattform. Datacentret är Microsoft Western Europe. Enbart ett fåtal personer på utvecklingsavdelningen har administratörsrättigheter för att ändra i och skapa nya tjänster i Azure. På alla Azuretjänster så har vi slagit på Defender och vi öppnar inte upp mer än nödvändigt, vi har även diagnostics logs aktiverat för våra Azure appar.
Hur hanteras källkoden för 365|TemplateExtender?
Vi använder DevOps med continues integration. Vi har olika deployment slots när vi behöver testa kod eller när vi behöver göra en buggrättning. Enbart utvecklare som arbetar med projektet har tillgång till källkoden, dessa användare är skyddade med 2 faktors autentisering.I DevOps sker backup och versionshantering.
Vad loggas på servrarna?
Det som loggas på servrarna är hur många unika användare som startar panelen varje månad. Användarna sparas i form av deras Microsoft ID. Det är alltså inte spårbart om man inte kan logga in i er Microsoft 365-miljö med rätt behörigheter.
Hur ofta sker backuptagning?
Backup av data (såsom mallar och bilder) sker en gång i timmen till en Azure storage.
Vilka, hos Rehngruppen, kommer åt informationen för en kund på servern? Kommer Rehngruppens underleverantörer åt informationen?
På Rehngruppen finns det tvåsuperadministratörer. Superadministratörerna når materialet som hos er som kund. De har även åtkomst till servrar och den tekniska miljön. Superadministratörerna kan ge behörighet till övriga, som behöver det, i projektet. Om en användare har rollen administratör kan även den användaren ge behörighet åt fler användare.
Är TemplateExtender tänkt att användas för konfidentiell information?
Nej. TemplateExtender används för brandade Officemallar, samt bilder och ikoner, som användarna återkommande kan använda i sina dokument. Rehngruppen lagrar ingen information om användarna. Den personliga information som man kan använda i Wordmallar hämtas via Microsoft Graph. Rehngruppen mellanlagrar aldrig personlig data. Rehngruppen skriver inte in data i något annat system. En administratör måste godkänna att systemet får läsa data som hämtas från M365 via Graph.
Krypteras data i TemplateExtender?
Template Extender arbetar mot https - HypertextTransfer Protocol Secure, TLS 1.2 gällande addin, portal och API:er. TemplateExtender använder MSAL och OAUTH2 för att verfiera användare och skickar även HMAC SHA-256-krypterade nycklar i API-anrop.
Vem administrerar lösningen?
Template Extender administreras av en eller fler utvalda administratörer hos er som kund. De har behörighet att skapa fler användare i portalen, och även fler administratörer som har rätt att administrera användare. Vem som får tillgång till add-innet administreras av kundens Microsoft 365-administratör (under Settings/Integrated apps).
Vad händer med vår data om vi avslutar tjänsten?
Efter att prenumeration på lösningen är uppsagd raderas allt innehåll i samråd med kund, inom 30 dagar.
Är det möjligt att, i portalen, ladda upp virus eller skadlig kod som påverkar organisationens användare av Office add-innet?
För att ladda upp material (såsom mallar, bilder och PowerPoint-slides) behövs ett konto med tillräckliga rättigheter i portalen (templateextender.com).
Enbart mallar i formaten docx, xlsx eller pptx och presentationer (slides) i formatet pptx kan laddas upp i portalen. Vid uppladdning verifieras att filerna är i rätt format och inte innehåller makron.
Innehåll i Word (contents) laddas upp från Office add-innet av användare med behörighet för det. Detta genom att markera innehåll i aktivt dokument och spara det. Denna markering laddas upp i formatet ooxml, och kan inte innehålla makron.
Är det möjligt att få ut känslig information från organisations Microsoft 365 tenant - såsom mejl, dokument eller SharePointinnehåll?
Nej. Add-innet registreras med ett manifest. I manifestet definieras hur 365|TemplateExtender ska kommunicera med organisationens Microsoft 365 tenant (genom Microsoft Graph). När manifeste tregistreras av en administratör i Microsoft 365 visas vilka behörigheter som krävs för att kunna köra add-innet. Två läsbehörigheter är obligatoriska för att använda 365|TemplateExtender; User.Read och Organization.Read.All. Dessa används för att kunna logga in via oAuth2, med användarens Microsoft365-lösenord. De används även för att användaren ska få rätt mallar, bilder, presentationer, och så vidare.
Om organisationen önskar att medlemmar i olika Microsoft 365-grupper ska få tillgång till olika innehåll så behöver även behörigheten Group.Read.All tillåtas. Det görs av en administratör som får lov att ändra på behörigheten.
Vi sparar ingen känslig information i våra system. Om man väljer att knyta innehåll till en viss Microsoft grupp sparar vi ID och namn på gruppen. Men vi sparar inte vilka som ingår i gruppen, eller någon annan information. Likaså sparar vi inga användaruppgifter i våra system, utan dessa nås genom Microsofts graph API:er.
Är det möjligt att skapa, redigera eller radera innehåll i organisationens Microsoft 365 tenant - såsom mejl, dokument eller SharePointinnehåll?
Nej. Vi läser enbart data från User.Read, Organization.Read.All och i förekommande fall Group.Read.All. Det är bara dessa delar som vi har läsrättigheter till. Vi har aldrig rättighet till att skapa, redigera eller radera något på organisationens Microsoft 365 tenant.
Hur vet jag att innehållet som laddas upp av mig inte är tillgänglig för en annan organisation?
För att identifiera vem du är använder vi oss av OAuth2 och MSAL. Du loggar in med ditt Microsoft 365 konto. Från din inloggning läser vi ut vilken tenant du tillhör. Alla anrop du gör innehåller denna information krypterat. Vi kontrollerar att din inloggning är giltig. Informationen om vem du är ligger i din inloggning. Det innebär att andra användare inte har tillgång till det du har laddat upp på templateextender.com.
1. 365 | Templates begär en bootstrap-token från Office-programmet.
2. Om användaren inte är inloggad öppnar Office klient-programmet ett popup-fönster för användaren att logga in via.
3. Om 365 | Templates inte är registrerad som en företagsapplikation i klientens Azure AD, visas ett popup-fönster för att samtycka till registrering.
4. Office-klientprogrammet begär en token från Azure AD v2.0-slutpunkten för den aktuella användaren.
5. Azure AD skickar add-in-token till Office-klientprogrammet.
6. Office-programmet returnerar token till 365 | Templates.
7. Tokenen avkodas för att läsa information om användaren.
8. Tokenen används för att komma åt Microsoft Graph API.
Följande data hämtas alltid från Microsoft Graph API vid varje inloggning. Data är inte lagrad utanför kundens tenant. De enda två värdena som skickas är userPrincipalName och den förvalda verifierade domänen. Dessa skickas krypterade och används endast för att verifiera användarens identitet.
Användarprofil inklusive profilbild (https://graph.microsoft.com/v1.0/me)
a. displayName
b. jobTitle
c. officeLocation
d. mail
e. mobilePhone
f. businessPhones
g. userPrincipalName
h. photo
Organisationinformation från (https://graph.microsoft.com/v1.0/organization)
a. displayName
b. street
c. postalCode
d. city
e. state
f. country
g. businessPhones
h. verifiedDomains
Valfritt
Det är möjligt att få olika innehåll beroende på vilka Office 365-grupper användaren är medlem i. Om den här funktionen är aktiverad hämtas en lista med grupp-id (unikt identifierare) som är registrerad i Rehn REST API. Listan postas (https://graph.microsoft.com/v1.0/me/checkMemberGroups) för att kontrollera om användaren är medlem i någon av dessa grupper.
Endast grupp-id och gruppnamn för grupper som har valts av en administratör lagras utanför kundens tenant. Detta innebär att gruppmedlemmar eller annan information inte lagras i vår miljö.
Trafiken mellan API:et och programmen är krypterad. Vi använder OAUTH2 och MSAL för autentisering av Microsoft 365-användaren. Genom att läsa användarprofilen kan vi hämta den förvalda domänen för Microsoft 365-tenanten som användaren tillhör. Den förvalda domänen ingår (krypterad) i alla förfrågningar till API:et. Det säkerställer att användaren endast får data för tenanten som användaren tillhör.
Innehållet (såsom mallar, ikoner, bilder och presentationer) lagras i Rehngruppens Azure-tenant. Azure-servrarna finns i regionen Västeuropa.
Rehn Admin REST API fungerar på samma sätt som Rehn REST API. Denna API används främst av adminportalen för att stödja användare och domäner. Det använder en annan kryptering. Alla förfrågningar identifieras med användaren istället för den förvalda domänen för tenanten.
Varför fungerar inte min mallknapp i Excel?
Om du har en mallknapp i Excel som inte fungerar, kan det bero på en inställning i din Group Policy som heter "Force file extension to match file type". Den här inställningen kan förhindra Excel från att öppna mallar via din mallknapp.
För att säkerställa att Excel kan öppna mallar korrekt bör denna policy vara inställd på något av följande alternativ:
0 - Allow different: Tillåt olika filändelser utan varning.
1 - Allow different but warn: Tillåt olika filändelser men visa en varning.
Om policyn däremot är inställd på "2 - Always match file type", kommer Excel att blockera filer där filändelsen inte exakt matchar filtypen. Detta kan stoppa mallknappen från att fungera som den ska.
För att lösa problemet, kontakta din IT-administratör och be dem ändra denna Group Policy till antingen "0" eller "1".
Group Policy sökväg: HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\excel\security\extensionhardening
Mer information finns här: Force file extension to match file type