Paytrailin Microsoft 365 -ympäristön suojausominaisuuksien kokonaisvaltainen koventaminen
Rauhala, Henri (2026)
2026
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202603164371
https://urn.fi/URN:NBN:fi:amk-202603164371
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli arvioida Paytrailin Microsoft 365 -ympäristön suojaustasoa ja tunnistaa mahdollisia kehityskohteita, joiden avulla organisaation tietoturvaa voidaan vahvistaa johdonmukaisesti ja suunnitelmallisesti. Tutkimusongelmana oli selvittää, miten ympäristöä voidaan parantaa ajantasaisen tietoturvakirjallisuuden, tunnettuja suojamalleja kuvaavan sekundäärisen aineiston ja primäärisen järjestelmäaineiston välisen vertailun avulla.
Tutkimus toteutettiin tapaustutkimuksena, jossa sekundääristä aineistoa verrattiin systemaattisesti Paytrailin Microsoft 365 -ympäristöön. Sekundäärinen aineisto koostui kansainvälisistä suosituksista, ohjeistuksista, dokumentaatiosta sekä tutkimuksista, kun taas primäärinen aineisto muodostui organisaation omista asetuksista ja käytännöistä. Aineisto analysoitiin laadullisella sisällönanalyysillä. Havaitut kehitysehdotukset lueteltiin ja kategorisoitiin Paytrailin kehitystyötä varten hallintapaneeleittain, minkä jälkeen ne teemoitettiin opinnäytetyössä kokonaisuuksiin. Kolme merkittävintä teemaa esitettiin tulososuudessa keskeisinä kehityskokonaisuuksina: identiteetinhallinta, viestintä- ja yhteistyöympäristöjen suojaaminen sekä tiedonhallinta ja -suojaaminen.
Tulosten perusteella ympäristö täyttää huomattavan osan keskeisistä suosituksista, ja identiteetinhallinta nousi keskeisimmäksi kehitysteemaksi. Identiteetin suojaaminen on vahvaa, mutta käyttäjäryhmien yhteiset periaatteet eivät vielä toteudu yhdenmukaisesti, mikä vaikuttaa ympäristön kokonaisriskitasoon. Viestintä- ja yhteistyökanavat olivat pääosin hyvin suojattuja, mutta niiden välillä havaittiin tasoeroja, jotka voivat heikentää kokonaisuutta. Tiedonhallinnan käytännöissä ilmeni epäyhtenäisyyttä, ja ne edellyttävät selkeyttämistä ja johdonmukaista toimeenpanoa. Lisäksi tutkimus osoitti, että osa kehittyneemmistä suojausominaisuuksista perustuu maksullisiin lisäpalveluihin, mikä kytkee tietoturvan kehittämisen lisenssi- ja investointipäätöksiin.
Johtopäätöksenä työ korostaa, että Microsoft 365 -ympäristön suojaaminen on jatkuva ja kokonaisvaltainen prosessi, jossa tekniset ratkaisut, hallintamallit ja organisaation turvallisuusperiaatteet muodostavat toisiinsa kytkeytyvän kokonaisuuden. Kategorisointi, teemoitus ja kehitysehdotuslista tarjoavat Paytrailille selkeän pohjan jatkokehitykselle ja auttavat kohdentamaan toimenpiteet vaikuttavimpiin osa-alueisiin. The purpose of this thesis was to assess the security level of Paytrail’s Microsoft 365 environment and to identify potential development areas that could strengthen the organisation’s information security in a consistent and systematic manner. The research problem focused on determining how the environment could be improved by comparing up-to-date information security literature, recognised security frameworks, and primary system data derived from the organisation’s own configurations and practices.
The study was conducted as a case study in which selected security frameworks and recommendations were systematically compared with Paytrail’s Microsoft 365 environment. The secondary material consisted of international recommendations, guidelines, official documentation and research, while the primary material comprised the organisation’s existing configurations, policies and technical observations. The data was analysed using qualitative content analysis. Identified development proposals were first categorised and prioritised for the comissioner’s internal development purposes based on their criticality, risk impact, and implementation feasibility. For the purpose of the thesis, they were grouped into broader thematic areas.
The results indicate that the environment already complies with a significant proportion of key recommendations. Identity management emerged as the most critical development area. While identity protection mechanisms are generally strong, inconsistencies in the application of common principles across user groups increase the overall risk level. Communication and collaboration services were largely well protected, although differences in configuration levels were identified between services. Information management practices showed inconsistencies and require clearer governance and more systematic implementation. The analysis also revealed that several advanced security capabilities depend on paid add-on licences, linking security development to licensing and investment decisions.
In conclusion, securing a Microsoft 365 environment is a continuous process in which technical controls, governance practices and organisational security principles must function together. The categorisation, prioritisation and thematic structuring of development proposals provide Paytrail with a clear and practical foundation for further security hardening.
Tutkimus toteutettiin tapaustutkimuksena, jossa sekundääristä aineistoa verrattiin systemaattisesti Paytrailin Microsoft 365 -ympäristöön. Sekundäärinen aineisto koostui kansainvälisistä suosituksista, ohjeistuksista, dokumentaatiosta sekä tutkimuksista, kun taas primäärinen aineisto muodostui organisaation omista asetuksista ja käytännöistä. Aineisto analysoitiin laadullisella sisällönanalyysillä. Havaitut kehitysehdotukset lueteltiin ja kategorisoitiin Paytrailin kehitystyötä varten hallintapaneeleittain, minkä jälkeen ne teemoitettiin opinnäytetyössä kokonaisuuksiin. Kolme merkittävintä teemaa esitettiin tulososuudessa keskeisinä kehityskokonaisuuksina: identiteetinhallinta, viestintä- ja yhteistyöympäristöjen suojaaminen sekä tiedonhallinta ja -suojaaminen.
Tulosten perusteella ympäristö täyttää huomattavan osan keskeisistä suosituksista, ja identiteetinhallinta nousi keskeisimmäksi kehitysteemaksi. Identiteetin suojaaminen on vahvaa, mutta käyttäjäryhmien yhteiset periaatteet eivät vielä toteudu yhdenmukaisesti, mikä vaikuttaa ympäristön kokonaisriskitasoon. Viestintä- ja yhteistyökanavat olivat pääosin hyvin suojattuja, mutta niiden välillä havaittiin tasoeroja, jotka voivat heikentää kokonaisuutta. Tiedonhallinnan käytännöissä ilmeni epäyhtenäisyyttä, ja ne edellyttävät selkeyttämistä ja johdonmukaista toimeenpanoa. Lisäksi tutkimus osoitti, että osa kehittyneemmistä suojausominaisuuksista perustuu maksullisiin lisäpalveluihin, mikä kytkee tietoturvan kehittämisen lisenssi- ja investointipäätöksiin.
Johtopäätöksenä työ korostaa, että Microsoft 365 -ympäristön suojaaminen on jatkuva ja kokonaisvaltainen prosessi, jossa tekniset ratkaisut, hallintamallit ja organisaation turvallisuusperiaatteet muodostavat toisiinsa kytkeytyvän kokonaisuuden. Kategorisointi, teemoitus ja kehitysehdotuslista tarjoavat Paytrailille selkeän pohjan jatkokehitykselle ja auttavat kohdentamaan toimenpiteet vaikuttavimpiin osa-alueisiin.
The study was conducted as a case study in which selected security frameworks and recommendations were systematically compared with Paytrail’s Microsoft 365 environment. The secondary material consisted of international recommendations, guidelines, official documentation and research, while the primary material comprised the organisation’s existing configurations, policies and technical observations. The data was analysed using qualitative content analysis. Identified development proposals were first categorised and prioritised for the comissioner’s internal development purposes based on their criticality, risk impact, and implementation feasibility. For the purpose of the thesis, they were grouped into broader thematic areas.
The results indicate that the environment already complies with a significant proportion of key recommendations. Identity management emerged as the most critical development area. While identity protection mechanisms are generally strong, inconsistencies in the application of common principles across user groups increase the overall risk level. Communication and collaboration services were largely well protected, although differences in configuration levels were identified between services. Information management practices showed inconsistencies and require clearer governance and more systematic implementation. The analysis also revealed that several advanced security capabilities depend on paid add-on licences, linking security development to licensing and investment decisions.
In conclusion, securing a Microsoft 365 environment is a continuous process in which technical controls, governance practices and organisational security principles must function together. The categorisation, prioritisation and thematic structuring of development proposals provide Paytrail with a clear and practical foundation for further security hardening.