În cei peste 5 ani de MSP am văzut scenariul ăsta de prea multe ori, o companie își dă seama că are o problemă cu datele după ce angajatul a plecat. Sau după ce laptopul a dispărut. Și atunci întrebarea urgentă devine, "cum opresc accesul?". Răspunsul depinde direct de cât de bine a fost gândită infrastructura înainte.

In over 5 years of MSP I've seen this scenario too many times, a company realises it has a data problem after the employee left. Or after the laptop disappeared. And then the urgent question becomes, "how do I stop access?". The answer depends directly on how well the infrastructure was designed beforehand.

Device management, controlul pe care îl ai sau nu îl aiDevice management, the control you have or don't have

Device management înseamnă că dispozitivele companiei sunt înregistrate centralizat, la un sistem care permite să le controlezi de la distanță. Cu Microsoft Intune (parte din Microsoft 365 Business Premium) poți:

  • Vedea lista tuturor dispozitivelor active în companie, cine le folosește, ce sistem de operare au, ce aplicații sunt instalate
  • Impune politici de securitate, obligatoriu BitLocker, obligatoriu PIN/parolă, obligatoriu criptare pe telefoane
  • Instala sau dezinstala aplicații remote, fără să fii fizic lângă dispozitiv
  • Face remote wipe, ștergere de la distanță, în caz că dispozitivul e pierdut sau furat
  • Bloca dispozitivul la nivel de cont, astfel încât nici reinstalarea Windows nu îl mai face utilizabil

Device management means company devices are centrally registered to a system that lets you control them remotely. With Microsoft Intune (part of Microsoft 365 Business Premium) you can:

  • See the list of all active devices in the company, who uses them, what OS they have, what apps are installed
  • Enforce security policies, mandatory BitLocker, mandatory PIN/password, mandatory encryption on phones
  • Install or uninstall apps remotely, without being physically next to the device
  • Perform remote wipe, remote deletion, if the device is lost or stolen
  • Block the device at account level, so that even reinstalling Windows won't make it usable again
Context

Device management nu e spionaj. Nu vezi ce ecrane are angajatul deschise, ce scrie, ce poze are pe telefon. Vezi metadate, ce device e, versiune OS, dacă e conform cu politicile. Controlul e pe date și configurație, nu pe conținutul personal.

Device management isn't spying. You don't see what screens the employee has open, what they type, what photos are on their phone. You see metadata, what device it is, OS version, whether it complies with policies. Control is over data and configuration, not personal content.

Povestea laptopului Cisco de pe eBayThe story of the Cisco laptop from eBay

Am cumpărat odată un laptop de pe eBay, preț bun, stare excelentă. Plan simplu, instalez Windows curat, îl folosesc. Nimic complicat.

I once bought a laptop from eBay, good price, excellent condition. Simple plan, install clean Windows, use it. Nothing complicated.

Am primit laptopul. Am făcut format complet pe SSD-ul original. Am pus un SSD nou. Am instalat Windows 11 curat. Până aici, totul perfect.

I received the laptop. I did a full format of the original SSD. I put in a new SSD. I installed clean Windows 11. Up to this point, everything fine.

Apoi am conectat laptopul la internet. În câteva minute, sistemul a detectat că device-ul aparține tenant-ului Microsoft al unei companii, Cisco. Laptopul fusese al unui angajat Cisco. Windows s-a blocat automat, nu mă lăsa să mai folosesc, îmi cerea credențiale Cisco pentru a activa device-ul. Fără alea, device-ul era o ușă de biserică.

Then I connected the laptop to the internet. In a few minutes, the system detected the device belonged to a company Microsoft tenant, Cisco. The laptop had belonged to a Cisco employee. Windows automatically locked, wouldn't let me use it, asking for Cisco credentials to activate the device. Without those, the device was a fancy brick.

Mai mult decât atât, am realizat rapid că echipa IT de la Cisco putea, în teorie, să vadă unde este laptopul (GPS sau IP), să facă remote wipe, și chiar să instaleze aplicații remote pe el fără consimțământul meu. Device-ul era tehnic încă al lor, chiar dacă eu îl cumpărasem în mod legal de pe eBay. Ori angajatul Cisco îl furase și eBay-ul nu știa, ori îl vânduse fără să îl raporteze pierdut la IT-ul companiei.

More than that, I quickly realised the Cisco IT team could, in theory, see where the laptop was (GPS or IP), do a remote wipe, and even install apps remotely on it without my consent. The device was technically still theirs, even though I'd legally bought it on eBay. Either the Cisco employee had stolen it and eBay didn't know, or had sold it without reporting it lost to company IT.

Am contactat cei de la eBay, am explicat situația, mi-au restituit banii rapid. Laptopul l-am returnat la vânzător.

I contacted eBay, explained the situation, they refunded me quickly. I returned the laptop to the seller.

Lecția

Device management corect configurat nu doar că previne pierderea de date, descurajează activ furtul. Hoții înțeleg repede că laptopurile companiilor cu IT serios sunt inutile pe piața second-hand. Valoarea dispozitivului scade la zero.

Properly configured device management doesn't just prevent data loss, it actively discourages theft. Thieves quickly understand that laptops from companies with serious IT are useless on the second-hand market. The device's value drops to zero.

SharePoint vs Google Drive, două filosofii diferiteSharePoint vs Google Drive, two different philosophies

Diferența nu e de preț sau de interfață. E de filosofie a proprietății datelor.

The difference isn't about price or interface. It's about data ownership philosophy.

Google Drive, per utilizator

La Google, fiecare utilizator are propriul său Drive. Când cineva creează un document, documentul e în Drive-ul lui personal. Îl partajează cu colegii, ei pot edita, dar proprietarul rămâne el. Când utilizatorul pleacă din companie și contul e șters, documentele pot dispărea sau pot rămâne orfane dacă ownership-ul nu a fost transferat manual înainte.

With Google, each user has their own Drive. When someone creates a document, the document lives in their personal Drive. They share it with colleagues, who can edit, but the owner remains them. When the user leaves the company and the account is deleted, documents can disappear or become orphaned if ownership wasn't manually transferred beforehand.

Shared Drives (fostele Team Drives) rezolvă parțial problema, documentele sunt ale "echipei", nu ale unui individ. Dar Shared Drives nu sunt active pe toate planurile și trebuie configurate explicit.

Shared Drives (formerly Team Drives) partially solve the problem, documents belong to the "team", not an individual. But Shared Drives aren't active on all plans and must be explicitly configured.

SharePoint, pe site-uri și librării

În Microsoft 365, structura e invers. Creezi SharePoint sites (de exemplu, Finance, Marketing, Sales). În fiecare site ai una sau mai multe librării de documente. Adaugi utilizatori (sau grupuri Entra ID) cu permisiuni clare, citire, editare, administrare.

In Microsoft 365, the structure is reversed. You create SharePoint sites (e.g. Finance, Marketing, Sales). In each site you have one or more document libraries. You add users (or Entra ID groups) with clear permissions, read, edit, administer.

Documentele aparțin site-ului, nu individului. Când un angajat pleacă, îi scoți accesul din grup și gata. Documentele rămân unde erau, accesibile colegilor rămași. Fără orfani, fără transferuri de ownership, fără panică.

Documents belong to the site, not the individual. When an employee leaves, you remove their access from the group and done. Documents stay where they were, accessible to remaining colleagues. No orphans, no ownership transfers, no panic.

Management practic

Un site SharePoint "Finance" cu o librărie "Facturi" și grupul "Departament Financiar" cu permisiuni de editare. Când un contabil se angajează, îl adaugi în grup, are acces imediat la toate facturile. Când pleacă, îl scoți din grup, acces tăiat instant, documentele nu se clintesc.

A SharePoint site "Finance" with a library "Invoices" and the "Finance Department" group with edit permissions. When an accountant is hired, you add them to the group, they get immediate access to all invoices. When they leave, you remove them from the group, access severed instantly, documents don't budge.

Remote wipe, cum arată în practicăRemote wipe, how it looks in practice

Scenariu real, un director își lasă laptopul în mașină, îi spargem mașina, laptopul dispare. Ce se întâmplă, minut cu minut:

Real scenario, a director leaves his laptop in the car, the car is broken into, the laptop disappears. What happens, minute by minute:

  1. Minutul 0, directorul mă sună sau îmi scrie. "Mi-au furat laptopul."
  2. Minutul 1, intru în Intune, găsesc device-ul în listă.
  3. Minutul 2, apăs "Wipe". Lansez comanda remote. Când laptopul se conectează data viitoare la internet (după vreo 10 minute de stat aprins), toate datele companiei sunt șterse automat.
  4. Minutul 3, în același timp, revoc sesiunile active ale contului în Entra ID. Dacă hoțul a reușit deja să se logheze înainte de wipe, orice aplicație Microsoft 365 deschisă (Outlook, Teams, OneDrive) îl deconectează și cere parola din nou.
  5. Minutul 5, schimb parola contului Microsoft al directorului și reactivez MFA pe o altă metodă.
  6. Minutul 10, BitLocker protejează discul. Chiar dacă hoțul scoate SSD-ul, nu citește nimic.

Real scenario, a director leaves his laptop in the car, the car is broken into, the laptop disappears. What happens, minute by minute:

  1. Minute 0, the director calls or writes to me. "My laptop was stolen."
  2. Minute 1, I log into Intune, find the device in the list.
  3. Minute 2, I hit "Wipe". I send the remote command. When the laptop next connects to internet (after about 10 minutes powered on), all company data is wiped automatically.
  4. Minute 3, at the same time, I revoke the account's active sessions in Entra ID. If the thief already managed to log in before the wipe, any open Microsoft 365 app (Outlook, Teams, OneDrive) logs them out and asks for the password again.
  5. Minute 5, I change the director's Microsoft account password and re-enable MFA on another method.
  6. Minute 10, BitLocker protects the disk. Even if the thief removes the SSD, they read nothing.

Totul durează sub 15 minute. Fără device management, fără BitLocker, fără MFA, aceeași situație ar însemna ore de panică, breșă GDPR, clienți de informat.

Everything takes under 15 minutes. Without device management, without BitLocker, without MFA, the same situation would mean hours of panic, GDPR breach, clients to inform.

Când un angajat pleacă, procedura corectăWhen an employee leaves, the correct procedure

Offboarding-ul unui angajat nu începe în ultima zi. Începe când e configurat corect de la început.

Employee offboarding doesn't start on the last day. It starts when the employee is configured correctly from day one.

Pașii unui offboarding corect:

  1. Dezactivarea contului. În Microsoft 365 admin, dezactivezi contul. Toate sesiunile active se închid. Utilizatorul nu se mai poate loga nicăieri.
  2. Redirect email. Emailurile care vin spre adresa lui se redirectează automat către managerul său sau înlocuitorul său pentru o perioadă de tranziție (de obicei 30, 60 de zile).
  3. Transfer OneDrive. Dacă angajatul avea documente personale de business în OneDrive-ul său, Microsoft 365 permite "transferul" acestor fișiere către alt utilizator. Nu se pierde nimic.
  4. Retragere permisiuni SharePoint. Se scoate din toate grupurile de acces. Documentele de proiect rămân accesibile echipei.
  5. Retragere licențe. Licența Microsoft 365 se eliberează și se poate reatribui unui angajat nou.
  6. Remote wipe pe laptopul de companie. Dacă laptopul e dat înapoi, îl resetezi. Dacă nu e dat înapoi imediat, îl ștergi remote.

The steps of a correct offboarding:

  1. Account deactivation. In Microsoft 365 admin, you disable the account. All active sessions close. The user can no longer log in anywhere.
  2. Email redirect. Emails coming to their address are automatically redirected to their manager or replacement for a transition period (usually 30-60 days).
  3. OneDrive transfer. If the employee had personal business documents in their OneDrive, Microsoft 365 allows "transferring" these files to another user. Nothing is lost.
  4. SharePoint permissions removal. Removed from all access groups. Project documents remain accessible to the team.
  5. License removal. The Microsoft 365 license is freed and can be reassigned to a new employee.
  6. Remote wipe on company laptop. If the laptop is returned, you reset it. If not returned immediately, you wipe it remotely.

eDiscovery, când ai nevoie să găsești ceva anumeeDiscovery, when you need to find something specific

eDiscovery e un instrument din Microsoft Purview (Microsoft 365) care permite căutări legale peste toate datele organizației, emailuri, chat-uri Teams, documente SharePoint și OneDrive, tot.

eDiscovery is a tool in Microsoft Purview (Microsoft 365) that allows legal searches across all organisation data, emails, Teams chats, SharePoint and OneDrive documents, everything.

Când e util:

  • GDPR SAR (Subject Access Request). Un fost angajat sau client cere toate datele despre el. eDiscovery îți permite să cauți în toată organizația, să filtrezi, să exporți rezultatele cu audit trail complet.
  • Investigații interne. Trebuie să afli ce a discutat un angajat cu un anumit client, sau ce documente a modificat într-o perioadă.
  • Dispute legale. Avocații tăi au nevoie de toate emailurile pe un subiect anume. eDiscovery exportează totul cu metadatele păstrate.

When it's useful:

  • GDPR SAR (Subject Access Request). A former employee or client asks for all data about them. eDiscovery lets you search across the organisation, filter, export results with complete audit trail.
  • Internal investigations. You need to find what an employee discussed with a certain client, or what documents they modified in a period.
  • Legal disputes. Your lawyers need all emails on a certain subject. eDiscovery exports everything with metadata preserved.

Google Workspace are Vault, un echivalent funcțional, dar vine doar pe planurile Business Plus și Enterprise. Microsoft 365 Business Premium include eDiscovery Standard ca parte din pachet.

Google Workspace has Vault, a functional equivalent, but only on Business Plus and Enterprise plans. Microsoft 365 Business Premium includes eDiscovery Standard as part of the package.

Concluzie, infrastructura e o asigurareConclusion, infrastructure is insurance

Fiecare din situațiile descrise mai sus (angajat care pleacă, laptop furat, SAR GDPR, investigație internă) e inevitabilă. Întrebarea nu e dacă se întâmplă, ci când și cât de pregătit ești.

Each of the situations described above (employee leaving, laptop stolen, GDPR SAR, internal investigation) is inevitable. The question isn't if it happens, but when and how prepared you are.

Cu device management, BitLocker, SharePoint organizat corect, MFA peste tot și eDiscovery disponibil, fiecare din scenariile de mai sus se rezolvă în minute. Fără aceste fundamente, aceleași scenarii înseamnă ore sau zile de panică, plus risc legal și financiar serios.

With device management, BitLocker, properly organised SharePoint, MFA everywhere and eDiscovery available, each of the scenarios above is solved in minutes. Without these fundamentals, the same scenarios mean hours or days of panic, plus serious legal and financial risk.

"Nu te pregătești pentru momentul care se poate întâmpla. Te pregătești pentru momentul care se va întâmpla." "You don't prepare for the moment that might happen. You prepare for the moment that will happen."

Dacă vrei să evaluăm împreună cum stai cu device management și procedurile de offboarding, scrie-mi la [email protected]. O oră de discuție acum te poate scuti de zile de probleme mai târziu.

If you want us to assess together where you stand with device management and offboarding procedures, write to me at [email protected]. An hour of discussion now can save you days of problems later.