Beveiligingsinstellingen in Office 365 voor analyses
Microsoft heeft aangekondigd dat het uitvoeren van macro's in Office 365 standaard geblokkeerd zal worden in van het internet gedownloade bestanden, vanaf juni 2022. Dit betekent dat je een macro in een analyse niet kunt uitvoeren in Office 365, als je de analyse hebt gedownload via InSite.
Let op:
Update 12 mei 2022: Microsoft heeft de maatregel die in dit artikel beschreven wordt, ingetrokken. Voor meer informatie, zie dit artikel van Microsoft. We laten dit artikel staan tot er meer duidelijkheid is over dit onderwerp.
Algemene informatie
Wat is de impact van deze wijziging
Microsoft geeft aan dat bij bestanden die van het internet gedownload zijn, het uitvoeren van een macro in zo’n bestand standaard geblokkeerd wordt. De definitieve versie van de Office update is nog niet uitgebracht. Daarnaast bestaan er veel verschillende Office security-instellingen die je als gebruiker of organisatie zelf kan bepalen. AFAS kan daarom niet met zekerheid zeggen wat de wijziging in de praktijk zal betekenen voor elke AFAS-klant.
Naar verwachting heeft deze wijziging van Microsoft impact als je een analyse downloadt via InSite en daar een macro in wilt uitvoeren.
Hoe kan ik zien of een analyse een macro bevat?
Deze Office wijziging heeft naar verwachting géén impact in de volgende situaties:
- De analyse bevat geen macro.
- Je opent de analyse, maar deze bevat een macro die je niet uitvoert.
- Je bewerkt een macro, maar je voert deze niet uit.
- Je opent een analyse door op de notificatie van het Profit Communication Center te klikken.
- Je downloadt de analyse met uit te voeren macro via Profit (via Algemeen / Uitvoer / Mijn bestanden).
- Je hebt instellingen vastgelegd om het uitvoeren van macro's in analyses toe te staan.
Om welke Office-versie gaat het:
- Zie dit artikel van Microsoft voor meer informatie en de versies (uitleverschema) waarvoor deze wijziging geldt. Als je deze Office-versie gebruikt, dan heeft dit gevolgen voor het bewerken en raadplegen van analyses.
Het gaat alleen om Windows-versies van Office, niet om andere besturingssystemen zoals Mac, Office Web of Office voor Android of iOS.
Op welke manieren kun je veilig blijven werken?
De onderstaande methodes zijn mogelijke oplossingen. AFAS kan hier geen advies in geven aangezien dit iets is dat onder je eigen systeembeheer valt. De IT-beheerder in je eigen organisatie moet dan ook bepalen wat de beste methode is.
- Methode 1: Analyse openen via PCC-notificatie of Profit
Open de analyse via de notificatie van het Profit Communication Center of via Mijn bestanden in Profit.
- Methode 2: Deblokkeer per keer handmatig het gedownloade bestand
Als je de analyse hebt gedownload via InSite, wordt het bestand standaard geblokkeerd. Je kunt het bestand deblokkeren, dit moet je bij elke download doen.
- Methode 3: Voeg de InSite toe als vertrouwde sites van Windows
Dit voorkomt dat Windows het bestand als onveilige download markeert waardoor Office het uitvoeren van macro's blokkeert.
- Methode 4: Open de analyse vanaf een veilige locatie (zie hieronder)
Deze methode werkt voor Profit-analyses en je eigen analyses. Deze methode is aan te bevelen als je de analyse Verzuimgegevens Vernet (Profit) gebruikt voor het aanleveren van verzuimdata aan Vernet. AFAS adviseert namelijk om bij Vernet altijd gebruik te maken van de Profit-analyse, niet van een kopie.
- Methode 5: Koppel een certificaat aan de macro's in de analyse (zie hieronder).
Hierdoor kun je je eigen analyses blijven gebruiken. Je koppelt in elke analyse een certificaat, hiermee geef je aan dat de macro's uitgevoerd mogen worden.
Deze methode werkt niet voor Profit-analyses, deze bevatten immers nooit jouw eigen certificaat. Als je een Profit-analyse wilt beveiligen met een certificaat, dan maak je eerst een kopie van de analyse.
- Methode 6: Gebruik een Microsoft-policy
Let op:
Los van de hier beschreven wijzigingen in het beveiligingsbeleid van Office 365 kan Office 365 Defender Endpoint Attack Surface Reduction in de organisatie ingeschakeld zijn. Hierdoor kan de volgende melding optreden: Bestand kan niet worden geopend omdat de bestandsindeling of de bestandsextensie niet geldig is. Voor meer informatie, zie deze veelgestelde vraag.
Methode 1: Analyse openen via PCC-notificatie of Profit
Wanneer je de analyse via InSite downloadt markeert je computer door als onveilig. Je voorkomt dit via een van de volgende werkwijzen:
- Als het Profit Communication Center geïnstalleerd en gekoppeld is, krijg je een popup zodra de analyse gereed is. Door hier op te klikken wordt de analyse direct geopend in Excel.
- Als je via Profit een analyse opent, download je het analyse-bestand via Algemeen / Uitvoer / Mijn bestanden.
Methode 2: Deblokkeer per keer handmatig het gedownloade bestand
Als het uitvoeren van macro's in de analyse geblokkeerd wordt, zie je de onderstaande rode balk:
Als je klikt op de rode balk van de melding opent het volgende artikel. Microsoft legt daarin de situatie uit en let uit hoe je per keer het bestand kan deblokkeren (‘Unblock’), zodat je de macro's toch kunt uitvoeren.
Methode 3: Voeg de InSite toe als vertrouwde sites van Windows
- Druk op de Windows-toets en zoek op ‘internet’.
- Open ‘Internet options’.
- Ga naar tabblad ‘Security’ ('Beveiliging').
- klik op ‘Trusted Sites’ ('Vertrouwde sites') en dan op ‘Sites’.
- Voeg het adres van InSite toe, eventueel ook die van Test-site (en eventuele Accept-site).
Bijvoorbeeld: https://12345.afasinsite.nl en https://12345.insitetest.afas.online.
De systeembeheerder kan dit eventueel voor alle gebruikers instellen met een group policy.
Methode 4: Veilige locatie instellen
Je legt een veilige bestandslocatie vast in Excel. Bij een analyse die vanuit deze locatie geopend wordt, kunnen de macro's worden uitgevoerd.
Let op:
Als je een analyse opent vanuit Profit, wordt deze standaard in de map Downloads op je pc opgeslagen. Elke keer als je een analyse opent, moet je deze van de map Downloads verplaatsen naar de veilige map en vervolgens open je de analyse. Als je dit te lastig vindt, kun je beter gebruik maken van certificaten.
Bij Profit-analyses kun je geen certificaat koppelen, dan moet je de analyse altijd verplaatsen naar de veilige map.
Stappen om een veilige locatie in te stellen
Methode 5: Certificaat aan analyse koppelen
Je kunt certificaten gebruiken in de volgende situaties:
- Voor alle analyses die je in het verleden zelf hebt aangemaakt/aangepast.
- Voor nieuwe analyses die gebaseerd zijn op een Profit-analyse of een gegevensverzameling.
Als je een certificaat hebt gekoppeld in een analyse en je kopieert deze analyse, dan zal de nieuwe analyse ook het certificaat bevatten. In die situatie hoef je dus geen certificaat te koppelen.
Let op:
Bij het genereren van cockpits via AFAS Online wordt jouw certificaat niet gebruikt. AFAS handelt de beveiliging op een andere manier af zodat je macro's blijven werken.
AFAS geeft zelf geen certificaten uit voor klanten. AFAS heeft immers geen inzicht in de macro's die door klanten gemaakt en gebruikt worden, daarom moet je je eigen certificaat gebruiken.
Je hebt verschillende manieren om certificaten in te zetten. De IT-beheerder in je eigen organisatie moet bepalen wat de beste optie is. Het gebruik van een centraal beheerd certificaat kost je in het begin meer moeite en tijd, maar voor je gebruikers is dit de makkelijkste aanpak. Dit zijn de mogelijkheden:
- Je organisatie schaft een commercieel certificaat aan.
Het gebruik van commerciële certificaten wordt niet toegelicht in het Help Center.
- Je organisatie heeft een interne Certificate Authority (CA) die certificaten uitgeeft. Daarmee kun je certificaten uitgeven voor de hele organisatie. Dit brengt geen extra kosten met zich mee, in tegenstelling tot een publiek/commercieel certificaat.
Stappen om certificaten uit te geven via Active Directory Certificate Authority
- Je gebruikt een self-signed certificaat en je koppelt dit in het Excel-bestand.
Stappen om een self-signed certificaat aan te maken en te beheren
Methode 6: Microsoft-policy
Gebruik een Microsoft-policy om te vookomen dat macro's ongewenst worden geblokkeerd. AFAS biedt hierop geen ondersteuning en de inrichting wordt niet in de help beschreven. De inrichting van deze policy is een taak voor de systeembeheerder in je eigen organisatie. Zie dit artikel van microsoft voor meer informatie.