Delve ger en översikt över kollegor och innehåll som är relaterade till det egna arbetet i en enda vy. Delve har alltid varit datasäkert, men en ny egenskap gör Delves dataskydd mer lätthanterligt.
Fler än en gång har jag behövt försäkra mina kunder om att Delve är säkert. Delve är en Microsoft 365-tjänst som innehåller varje användares egen profilsida och en vy över organisationens information och användare, på ett sätt som påminner om sociala medier – och mycket mer. Jag måste erkänna att trots att mina kunder inte alltid oroat sig över rätt aspekter av Delve, har jag inte lyckats befria dem från alla deras bekymmer.
I vissa särskilda situationer, t.ex. vid facklig verksamhet på arbetsplatsen eller arbetsträning, kan Delve avslöja för mycket information om vem som har att göra med vem. Efter de uppdateringar som släpptes i juni 2021 är Delve bättre i detta avseende och därmed finns det också färre skäl att oroa sig.
Som namnet antyder går Delve in på djupet av Microsoft 365-tjänsten. Motorn bakom Delve är Office Graph, som kontinuerligt samlar in och analyserar signaler för de aktiviteter som användarna utför i Microsoft 365-miljön. Office Graph som helhet är aningen svår att definiera, eftersom dess betydelse har levt vidare sedan Delve släpptes år 2014. Enligt Microsofts officiella dokumentation är Office Graph mestadels ett kodnamn för de tjänster och analysverktyg som baseras på den infrastruktur som skapats av FAST Office Graph Team.
Den exakta strukturen för Office Graph är Microsofts företagshemlighet, som det är svårt att hitta aktuell information om. Det som man känner till är att Office Graph är en grafdatabas och bygger alltså på noder och förbindelser, och lämpar sig därigenom för hantering av komplexa data som beskriver förhållanden mellan olika objekt. En liknande datastruktur används av många sociala medietjänster, såsom Facebook.
När en Microsoft 365-användare granskar eller redigerar samma dokument som sin kollega är det en signal om att de samarbetar. Signaler uppstår också utifrån vem de skickar e-post eller delar dokument med, vem som är deras chef, vem som har samma chef och så vidare. Analyser och utnyttjande av signaler i Delve baseras på inlärningsalgoritmer, det vill säga artificiell intelligens. Algoritmerna är också Microsofts företagshemligheter.
Microsoft Graph (API) är ett REST-gränssnitt för alla Microsoft 365-tjänster, såsom SharePoint, Teams, Planner, OneNote, Outlook, Microsoft Search och Windows 10 samt Azure Active Directory och så vidare. Microsoft Graph nyttjar Office Graph genom att även erbjuda gränssnitt till Office Graph. Till exempel kan ”trendande innehåll” som identifieras av Office Graph och algoritmerna utnyttjas programmatiskt via Microsoft Graph API. Till skillnad från Office Graph är Microsoft Graph väldokumenterat och tillgängligt för användning.
Delves datasäkerhet
Ett typiskt bekymmer med Delve (även känt som ”Delve-panik”) uppstår när organisationens användning av Microsoft 365 utökas, till exempel när ett nytt intranät i SharePoint lanseras. Vanligtvis tar någon från högsta ledningen kontakt med IT-avdelningen och berättar med oro att konfidentiella dokument som inte är avsedda att ses av hela organisationen är synliga i Delve.
Det stämmer givetvis att man kan se konfidentiella dokument i Delve, men man kanske inte vet eller tänker på att varje användare ser en personlig vy. Delve ändrar inte användarbehörigheterna för dokument eller annan information, och användare ser bara sådan information som de redan har beviljats åtkomst till. Ur datasäkerhetsperspektiv orsakar Delve under inga omständigheter problem, men kan avslöja brister i datasäkerheten genom att synliggöra information som även vore tillgänglig utan Delve, men inte lika lätt.
Delves dataskydd
Dataskydd är en något annorlunda sak. Delve använder data från alla Microsoft 365-tjänster och Azure AD. Mellan dessa finns hemliga algoritmer och Office Graph.
Delve är alltså huvudsakligen ett användargränssnitt. Det kan inaktiveras, men inaktiveringen påverkar inte databearbetningen i bakgrundssystem. Dataanalyserna grundar sig på artificiell intelligens, och det är inte transparent hur denna används. Microsoft 365 och Delve följer visserligen bestämmelserna (bl.a. EU:s modellklausuler) men det finns brister i informationsbehandlingens transparens.
Mer konkret syns dataskyddsproblemen med Delve i de situationer jag nämnde i början. Inom organisationen finns personer som blir kontaktade i mycket konfidentiella ärenden. Kontakterna eller organisationen vill inte att dessa kopplingar mellan personer avslöjas.
Om Harry Herring och Peter Pollock varit i kontakt med varandra visas detta på Peter Pollocks Delve-sida. Delve säger att ”du bara ser de dokument som du har användarbehörighet till”. Det stämmer, men det faktum att de dokument som Harry haft att göra med över huvud taget är synliga på Peters Delve-sida kan i vissa situationer vara för mycket information.
Inaktivering av Delve
På grund av de tvivel som rör Delve har en del organisationer beslutat att inte använda Delve eller att inaktivera Delve efter att intranätet har lanserats. Förut försvann även vissa andra vyer när Delve inaktiverades, såsom rekommenderade SharePoint-sidor, rekommenderat innehåll i Outlooks mobila gränssnitt, rekommenderade dokument på Microsoft Office-startsidan och så vidare.
Från och med den 1 juli 2021 kan Delve inaktiveras med en kontroll som finns på den klassiska SharePoint-administrationssidan, vilket endast påverkar Delves användargränssnitt och inte dess bakgrundsprogram. Med andra ord löser inte inaktiveringen av Delve längre de dataskyddsproblem som rör dess användning.
Varje användare kan själv inaktivera eller aktivera Delve. Funktionsinställningar är åtkomliga via kugghjulssymbolen på Delve-sidan. Om dokument inaktiveras i Delve kan andra användare fortfarande komma åt dokumenten i Office 365 om de har behörighet till dessa. Dokumenten är bara inte synliga i Delve längre.
Sandys Delve-sida ser ut så här direkt efter att Sandy har ändrat funktionsinställningarna så att dokument inte längre visas i Delve. Sandy kan inte heller se dokument på andra användares Delve-sidor, även om de fortfarande använder Delve.
Att inaktivera Delve innebär även i detta fall att endast dokumentvisning via Delve begränsas medan andra vyer som baseras på objektinsikter fortfarande är i bruk.
Item Insights dvs. objektinsikter
I juni 2021 lanserade Microsoft Item Insights-kontrollen som förhandsversion för administratörer, och redan tidigare som version avsedd för alla användare. Med kontrollen kan användare förhindra eller tillåta att signaler som uppstår från dokument lagras i Office Graph.
Kontrollen är synlig för alla Microsoft 365-användare via kontots Inställningar och sekretess-sida under Insikter.
Administratörer har tillgång till Item Insights-kontrollen, objektinsikter på svenska, med vilken man kan inaktivera signaler för alla användare eller vissa användargrupper i Azure AD.
Peter har stängt av objektinsikterna och objekträkningen för sitt eget Office-konto via Inställningar och sekretess-sidan. Peter kan fortfarande se dokument som rekommenderats av andra användare i Delve och andra vyer.
Till skillnad från den gränssnittsfiltrering som sker genom Delve förhindrar verkligen den här kontrollen att signaler som uppstår mellan användare och dokument lagras i bakgrunden i Office Graph, och påverkar även sökningar som görs via Microsoft Graph-gränssnittet.
Gränssnittets resurs itemInsightsSettings, som kontrollerar synligheten och räkningen av objekts- och mötesinsikter, finns tills vidare endast i Microsoft Graph API-gränssnittets betaversion. Den torde dock vara tillgänglig som produktionsversion inom kort, då motsvarande kontroller för det grafiska användargränssnittet redan är tillgängliga som produktionsversion i Microsoft 365-administrationsportalen.
Item Insights är därför det rätta verktyget för att kontrollera Delves dataskydd, och de organisationer som tidigare beslutat att inaktivera Delve borde ändra inställningarna omgående för att begränsa de signaler som lagras i bakgrunden, snarare än Delves gränssnitt.
Denna kontroll behövs inte i de allra flesta organisationer. Man bör överväga och planera om man vill använda den, då det kan ta upp till en vecka innan ändringarna träder i kraft. Huruvida kontrollen genomförs på användar-, grupp- eller organisationsnivå beror på organisationen och dess behov.
Henry Scheinin
Ledande konsult, partner