Microsoft 365 -lisenssit ja tietoturva pk-yrityksessä: mitä ominaisuuksia oikeasti tarvitaan?

Miksi Microsoft 365 -lisenssivalinta on myös tietoturvapäätös

Monessa pk-yrityksessä Microsoft 365 on arjen selkäranka: sähköposti, Teams-keskustelut, SharePoint-tiedostot, OneDrive, kalenterit ja laitekirjautumiset. Lisenssivalinta tehdään usein kustannus- ja toiminnallisuusnäkökulmasta, mutta samalla päätetään myös siitä, millä tasolla organisaatio pystyy hallitsemaan riskejä kuten tilikaappauksia, haitallisia kirjautumisia, tiedon vuotoa ja poikkeamiin reagointia.

Ongelma ei yleensä ole se, että “turva puuttuu kokonaan”, vaan se, että turvaominaisuuksia on osittain käytössä, ne ovat väärissä paikoissa (esimerkiksi väärillä käyttäjäryhmillä) tai käyttöönotto on jäänyt kesken. Tällöin organisaatio luulee olevansa suojassa, vaikka hyökkääjä tarvitsee vain yhden heikon lenkin: heikon MFA-käytännön, liian laajat oikeudet tai suojaamattoman postilaatikon.

Käpy A.I. Oy auttaa pk-yrityksiä yhdistämään kolme asiaa: oikean lisenssitasoon liittyvän tietoturvakyvykkyyden, käytännönläheisen käyttöönoton sekä henkilöstön toimintatavat. Tämä tapahtuu tyypillisesti tietoturvakartoituksen, kohdennettujen koulutusten ja tarvittaessa konsultoinnin kautta.

Mitä tietoturvaa Microsoft 365 -ympäristössä pitää pystyä tekemään (riippumatta lisenssistä)

Ennen kuin vertaillaan lisenssejä, kannattaa määrittää, mitä organisaation on käytännössä hallittava. Kun nämä peruskyvykkyydet ovat selkeitä, lisenssivalinta on helpompaa ja vältytään siltä, että ostetaan “liikaa väärää” tai “liian vähän oikeaa”.

1) Identiteetin ja kirjautumisen suojaus

Suurin osa Microsoft 365 -ympäristön vakavista poikkeamista alkaa identiteetistä: tunnus ja salasana vuotaa, MFA ohitetaan, tai käyttäjä houkutellaan hyväksymään kirjautuminen. Tämän takia vähimmäistaso on aina:

  • vahva monivaiheinen tunnistautuminen kaikille käyttäjille
  • erityisen tiukat käytännöt ylläpito- ja pääkäyttäjätileille
  • kirjautumisten seuranta ja poikkeamien tunnistaminen

Käytännössä tämä tarkoittaa, että organisaation pitää sopia pelisäännöt ja viedä ne läpi teknisesti ja toiminnallisesti. Usein tarvitaan sekä asetuksia että henkilöstön ymmärrystä. Tässä auttaa esimerkiksi tietoturvakoulutus, jossa kirjautumiseen liittyvät huijausmallit ja oikea toiminta harjoitellaan konkreettisilla esimerkeillä.

2) Sähköpostin ja yhteistyökanavien suojaus

Sähköposti on edelleen keskeinen hyökkäysvektori. Lisäksi Teamsin ja SharePointin jakamiskäytännöt ovat monessa organisaatiossa “oletusasetuksilla”, vaikka tiedon jakamiseen liittyvät riskit vaihtelevat toimialan ja datan mukaan. Oleellisia kysymyksiä ovat:

  • miten estetään haitalliset liitteet ja linkit (sekä käyttäjän että teknisen suodatuksen tasolla)
  • miten rajoitetaan ulkoinen jakaminen ja vieraskäyttäjät hallitusti
  • miten estetään tilikaappauksen kautta tapahtuvat lasku- ja maksuhuijaukset

Nämä eivät ole vain asetuksia, vaan myös prosesseja: kuka saa muuttaa jakamisasetuksia, miten poikkeamat tutkitaan ja miten laskujen maksamiseen liittyvät tarkistukset tehdään. Käpy A.I. Oy tekee näistä selkeän, roolitetun toimintamallin osana kartoitusta ja konsultointia.

3) Laitteiden hallinta ja tietojen suojaaminen päätelaitteissa

Pk-yrityksessä työ tehdään usein kannettavilla ja puhelimilla, myös matkoilla. Jos laite katoaa tai siihen asennetaan haittaohjelma, riski ei rajoitu yhteen laitteeseen: istuntotunnisteet, synkronoidut tiedostot ja sähköposti voivat avata pääsyn yrityksen aineistoihin.

Siksi lisenssivalintaa pitää arvioida myös sen mukaan, pystytäänkö laitteita hallitsemaan (päivitykset, salaus, sovellusten hallinta) ja pystytäänkö erottamaan työdata henkilökohtaisesta datasta. Jos mobiililaitteita käytetään laajasti, kannattaa huomioida myös kokonaisuus, joka liittyy Mobile Threat Defense -tyyppiseen mobiilisuojaukseen ja poikkeamien havaitsemiseen.

Lisenssit käytännön riskien kautta: miten valita oikea taso

Yleisin virhe on lähteä liikkeelle lisenssitaulukoista. Pk-yrityksessä parempi tapa on aloittaa siitä, millaisia riskejä on oikeasti nähty tai mitä on realistista tapahtua seuraavan 12 kuukauden aikana: tilikaappaukset, BEC-huijaukset, tiedostojen laaja jakaminen, avainhenkilöiden korkea riski, kumppaniverkoston laajuus, etätyö ja alihankkijat.

Käpy A.I. Oy:n lähestymistapa on käytännöllinen: kartoitetaan nykytila ja verrataan sitä tavoitetasoon, jonka liiketoiminta tarvitsee. Tämä voidaan toteuttaa esimerkiksi nykytilakartoituksena tai ISO 27001 -näkökulmasta, jos organisaatiolla on sertifiointitavoitteita. Tämän jälkeen lisenssitarve ja käyttöönotot priorisoidaan.

Perustaso: kun tärkeintä on minimoida tilikaappausten todennäköisyys

Jos organisaatiolla ei ole vielä johdonmukaista MFA-käytäntöä, kirjautumisten seurantaa tai selkeitä roolimalleja ylläpitotileille, lisenssivalinnan “turvahyppy” ei yksin ratkaise ongelmaa. Ensimmäinen tavoite on saada perusasiat oikein:

  • MFA kaikille, erikseen vahvistettu suoja ylläpitotileille
  • salasanakäytännöt ja palautusprosessit, jotka eivät ohita suojausta
  • peruslähtökohtien tarkistus: ulkoinen jakaminen, vierastilit, postilaatikkojen suojaus

Tässä vaiheessa suurin hyöty syntyy usein siitä, että tekninen konfigurointi ja henkilöstön toiminta saadaan kohtaamaan. Koulutuksissa käsitellään muun muassa tietojenkalastelun tunnistamista, tunnistautumispyyntöjen väärinkäyttöä ja sitä, miten poikkeamista ilmoitetaan nopeasti ja oikein.

Kasvuvaihe: kun tarvitaan hallintaa, näkyvyyttä ja yhtenäisiä käytäntöjä

Kun käyttäjiä on enemmän, dataa jaetaan laajemmin ja yhteistyö kumppaneiden kanssa kasvaa, hallinnan tarve korostuu. Tyypillisiä kipupisteitä ovat:

  • kuka omistaa Teams- ja SharePoint-työtilat, ja millä säännöillä ulkoiset käyttäjät pääsevät sisään
  • miten tiedostojen jakaminen rajataan liiketoiminnan tarpeen mukaan
  • miten havaitaan epäilyttävä toiminta (esim. mahdottomat kirjautumiset, massalataukset, epätyypilliset säännöt postilaatikossa)

Tässä kohtaa lisensseihin liittyvät lisäominaisuudet voivat tuoda paljon arvoa, mutta vain jos ne otetaan käyttöön hallitusti. Käpy A.I. Oy auttaa määrittämään tavoitetason, rakentamaan käyttöönottosuunnitelman ja varmistamaan, että IT:llä ja liiketoiminnalla on yhteinen käsitys prioriteeteista.

Sääntely ja sopimusvaatimukset: kun pitää pystyä osoittamaan vaatimustenmukaisuus

Moni pk-yritys kohtaa vaatimuksia asiakkailta tai toimialalta: pitää pystyä osoittamaan, miten tietoja suojataan, miten pääsyjä hallitaan ja miten poikkeamia käsitellään. Tällöin lisenssitaso on vain yksi osa kokonaisuutta. Tarvitaan myös dokumentoituja käytäntöjä, mittareita ja näyttöä siitä, että malli toimii.

Käpy A.I. Oy toteuttaa vaatimustenmukaisuuden näkökulmasta käytännönläheisiä kartoituksia, joissa tuloksena syntyy selkeä GAP-kuva: mitä puuttuu, mitä kannattaa korjata ensin ja mitä voi jättää myöhempään. Tämä auttaa tekemään päätöksiä myös Microsoft 365 -kehityksessä ilman arvailua.

Tyypillisimmät virheet Microsoft 365 -tietoturvassa (ja miten ne korjataan järkevästi)

MFA on käytössä, mutta ei kaikille tai se on liian heikko

Organisaatio saattaa ajatella, että “meillä on MFA”, vaikka osa käyttäjistä on poikkeuksissa, kirjautuminen sallitaan riskialueista ilman lisätarkistuksia tai ylläpitotilit ovat samassa käytössä kuin arkitilit. Korjaus ei ole vain asetus, vaan roolimalli: ylläpitotilit erikseen, vahvemmat todennukset ja selkeä prosessi poikkeuslupiin.

Liikaa globaaleja oikeuksia ja pysyviä admin-tilejä

Pk-yrityksessä oikeudet annetaan helposti “varmuuden vuoksi”, koska kiire. Tämä kasvattaa vahinkoa, jos tili kaapataan. Käytännön ratkaisu on vähimmäisoikeusmalli ja tilapäiset admin-oikeudet. Tarvittaessa tähän voidaan yhdistää ratkaisuja, joissa oikeuksien käyttö on auditoitavaa, kuten tilapäisten pääkäyttäjäoikeuksien hallinta.

Jaettu data elää omalla painollaan

SharePointin ja OneDriven jakolinkit, vanhat projektikansiot ja vierastilit jäävät voimaan vuosiksi. Tämä on tyypillinen “hiljainen riski”: mitään ei tapahdu, kunnes tapahtuu. Kartoituksessa käydään läpi jakamisen periaatteet, omistajuudet ja sovitaan siivous- sekä seurantarutiinit, jotka eivät kuormita arkea liikaa.

Varmuuskopiointi ymmärretään väärin

Microsoft 365 tarjoaa palvelutasoa ja roskakoripalautuksia, mutta se ei automaattisesti tarkoita, että organisaatiolla on liiketoiminnan tarvitsema palautuskyky kaikissa tilanteissa (poistetut tiedot, tahallinen tuhoaminen, laajat synkronointivirheet). Siksi moni pk-yritys täydentää ympäristöä erillisellä varmistuksella, kuten Microsoft 365 -varmuuskopioinnilla, joka tukee hallittua palautusta ja auditointia.

Miten Käpy A.I. Oy auttaa: lisenssit, käyttöönotot ja osaaminen samaan suunnitelmaan

Microsoft 365 -tietoturvan kehittäminen ei ole pelkkä tekninen projekti eikä pelkkä koulutus. Se on yhdistelmä: mitä pitää suojata, miten se suojataan ja miten ihmiset toimivat arjessa. Käpy A.I. Oy:n tyypillinen eteneminen pk-yrityksessä sisältää:

  • Nykytilan kartoitus: asetukset, käytännöt, roolit ja suurimmat riskit näkyviksi.
  • Priorisoitu toimenpideohjelma: mitä korjataan heti (esim. MFA/ylläpitotilit), mitä seuraavaksi (esim. jakamiskäytännöt) ja mitä kehitetään vaiheittain.
  • Käyttöönotto- ja muutoskonsultointi: tekniset muutokset hallitusti ja dokumentoidusti, liiketoiminnan tarpeet huomioiden.
  • Henkilöstön koulutus: tietojenkalastelu, turvallinen tiedon jakaminen, poikkeamista ilmoittaminen ja käytännön toimintamallit.

Kun nämä tehdään yhdessä, lisenssien ominaisuudet eivät jää “paperille”, vaan ne näkyvät vähentyneinä poikkeamina, selkeämpänä hallintana ja parempana varautumisena.

CTA: aloita Microsoft 365 -tietoturvan ja lisenssien läpikäynti käytännönläheisesti

Jos Microsoft 365 -lisenssit ovat uudistumassa tai ympäristön tietoturva kaipaa selkeyttä, järkevin ensimmäinen askel on yhteinen nykytila-arvio ja priorisointi. Pyydä Käpy A.I. Oy:ltä kartoitus tai sparraus, jossa käydään läpi riskit, vaatimukset ja se, mitä ominaisuuksia organisaatio todella tarvitsee.

Ota yhteyttä ja sovitaan eteneminen: kartoitus, koulutus ja tarvittaessa käyttöönottojen konsultointi samaan suunnitelmaan.

Päivitetty: 2026-06-22T01:00:40.034-04:00