ProHoster > blog > Gweinyddiaeth > Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Yn yr erthygl hon, hoffem ddangos sut olwg sydd ar weithio gyda Thimau Microsoft o safbwynt defnyddwyr, gweinyddwyr TG a staff diogelwch gwybodaeth.

Yn gyntaf, gadewch i ni fod yn glir ynghylch sut mae Teams yn wahanol i'r mwyafrif o gynhyrchion Microsoft eraill yn eu cynnig Office 365 (O365 yn fyr).

Mae Teams yn gleient yn unig ac nid oes ganddo ei raglen cwmwl ei hun. Ac mae'n cynnal y data y mae'n ei reoli ar draws amrywiol gymwysiadau O365.

Byddwn yn dangos i chi beth sy'n digwydd "o dan y cwfl" pan fydd defnyddwyr yn gweithio mewn Teams, SharePoint Online (y cyfeirir ato o hyn ymlaen fel SPO) ac OneDrive.

Os hoffech symud ymlaen i'r rhan ymarferol o sicrhau diogelwch gan ddefnyddio offer Microsoft (1 awr o gyfanswm amser y cwrs), rydym yn argymell yn gryf eich bod yn gwrando ar ein cwrs Archwilio Rhannu Office 365, sydd ar gael ar y ddolen. Mae'r cwrs hwn hefyd yn ymdrin â gosodiadau rhannu yn O365, na ellir ond eu newid trwy PowerShell.

Cyfarfod â Thîm Prosiect Mewnol Acme Co.

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Dyma sut olwg sydd ar y Tîm hwn mewn Timau, ar ôl iddo gael ei greu a bod y mynediad priodol wedi’i roi i’w aelodau gan Berchennog y Tîm hwn, Amelia:

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Mae'r tîm yn dechrau gweithio

Mae Linda yn awgrymu mai dim ond James a William, y buont yn trafod y peth â nhw, fydd yn cael mynediad i'r ffeil gyda'r cynllun talu bonws a osodwyd yn y Sianel a greodd.

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Mae James, yn ei dro, yn anfon dolen i gael mynediad at y ffeil hon at weithiwr AD, Emma, ​​nad yw'n rhan o'r Tîm.

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Mae William yn anfon cytundeb gyda data personol trydydd parti at aelod arall o’r Tîm yn sgwrs MS Teams:

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Rydyn ni'n dringo o dan y cwfl

Gall Zoey, gyda chymorth Amelia, nawr ychwanegu neu dynnu unrhyw un o’r Tîm ar unrhyw adeg:

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Wrth bostio dogfen gyda data critigol y bwriedir ei defnyddio gan ddau o’i chydweithwyr yn unig, gwnaeth Linda gamgymeriad gyda’r math o Sianel wrth ei chreu, a daeth y ffeil ar gael i holl aelodau’r Tîm:

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Yn ffodus, mae yna gymhwysiad Microsoft ar gyfer O365 y gallwch chi (gan ei ddefnyddio'n gyfan gwbl at ddibenion eraill) ei weld yn gyflym pa ddata hanfodol y mae gan bob defnyddiwr fynediad iddo?, gan ddefnyddio ar gyfer y prawf ddefnyddiwr sy'n aelod o'r grŵp diogelwch mwyaf cyffredinol yn unig.

Hyd yn oed os yw'r ffeiliau wedi'u lleoli y tu mewn i Sianeli Preifat, efallai na fydd hyn yn warant mai dim ond cylch penodol o bobl fydd â mynediad atynt.

Yn enghraifft James, rhoddodd ddolen i ffeil Emma, ​​nad yw hyd yn oed yn aelod o’r Tîm, heb sôn am fynediad i’r Sianel Breifat (pe bai’n un).

Y peth gwaethaf am y sefyllfa hon yw na fyddwn yn gweld gwybodaeth am hyn yn unrhyw le yn y grwpiau diogelwch yn Azure AD, gan fod yr hawliau mynediad yn cael eu rhoi iddo'n uniongyrchol.

Bydd y ffeil PD a anfonwyd gan William ar gael i Margaret unrhyw bryd, ac nid dim ond wrth sgwrsio ar-lein.

Rydyn ni'n dringo i'r canol

Gadewch i ni ei chyfrifo ymhellach. Yn gyntaf, gadewch i ni weld beth yn union sy'n digwydd pan fydd defnyddiwr yn creu Tîm newydd yn MS Teams:

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

  • Mae grŵp diogelwch Office 365 newydd yn cael ei greu yn Azure AD, sy'n cynnwys perchnogion Tîm ac aelodau tîm
  • Mae gwefan Tîm newydd yn cael ei chreu yn SharePoint Online (y cyfeirir ati o hyn ymlaen fel SPO)
  • Mae tri grŵp lleol newydd (yn ddilys yn unig yn y gwasanaeth hwn) yn cael eu creu yn SPO: Perchnogion, Aelodau, Ymwelwyr
  • Mae newidiadau'n cael eu gwneud i Exchange Online hefyd.

Data Timau MS a ble mae'n byw

Nid yw Teams yn warws data nac yn blatfform. Mae wedi'i integreiddio â holl atebion Office 365.

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

  • Mae O365 yn cynnig llawer o gymwysiadau a chynhyrchion, ond mae'r data bob amser yn cael ei storio yn y mannau canlynol: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
  • Mae data rydych chi'n ei rannu neu'n ei dderbyn trwy MS Teams yn cael ei storio ar y platfformau hynny, nid o fewn Teams ei hun
  • Yn yr achos hwn, y risg yw'r duedd gynyddol tuag at gydweithio. Gall unrhyw un sydd â mynediad at ddata yn y llwyfannau SPO ac OD sicrhau ei fod ar gael i unrhyw un y tu mewn neu'r tu allan i'r sefydliad
  • Cesglir holl ddata'r Tîm (ac eithrio cynnwys sianeli preifat) yn y wefan SPO, a grëir yn awtomatig wrth greu Tîm
  • Ar gyfer pob Sianel a grëir, mae is-ffolder yn cael ei greu yn awtomatig yn y ffolder Dogfennau yn y wefan SPO hon:
    • mae ffeiliau mewn Sianeli yn cael eu huwchlwytho i is-ffolderi cyfatebol ffolder Dogfennau gwefan SPO Teams (a enwir yr un peth â'r Sianel)
    • Mae e-byst a anfonir i'r Sianel yn cael eu storio yn is-ffolder “Negeseuon E-bost” ffolder y Sianel

  • Pan fydd Sianel Breifat newydd yn cael ei chreu, mae gwefan SPO ar wahân yn cael ei chreu i storio ei chynnwys, gyda'r un strwythur ag a ddisgrifir uchod ar gyfer Sianeli rheolaidd (pwysig - ar gyfer pob Sianel Breifat mae ei safle SPO arbennig ei hun yn cael ei greu)
  • Mae ffeiliau a anfonir trwy sgyrsiau yn cael eu cadw i gyfrif OneDrive y defnyddiwr sy'n anfon (yn y ffolder "Microsoft Teams Chat Files") ac yn cael eu rhannu â chyfranogwyr y sgwrs
  • Mae cynnwys sgwrsio a gohebiaeth yn cael eu storio ym mlychau post defnyddwyr a Thîm, yn y drefn honno, mewn ffolderi cudd. Ar hyn o bryd nid oes unrhyw ffordd i gael mynediad ychwanegol atynt.

Mae dŵr yn y carburetor, mae gollyngiad yn y bustach

Pwyntiau allweddol sy'n bwysig i'w cofio yn eu cyd-destun diogelwch gwybodaeth:

  • Mae rheolaeth mynediad, a dealltwriaeth o bwy all gael hawliau i ddata pwysig, yn cael ei drosglwyddo i lefel y defnyddiwr terfynol. Heb ei ddarparu rheolaeth ganolog lawn neu fonitro.
  • Pan fydd rhywun yn rhannu data cwmni, mae eich mannau dall yn weladwy i eraill, ond nid i chi.

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Nid ydym yn gweld Emma yn y rhestr o bobl sy'n rhan o'r Tîm (trwy grŵp diogelwch yn Azure AD), ond mae ganddi fynediad i ffeil benodol, y ddolen yr anfonodd James ati.

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Yn yr un modd, ni fyddwn yn gwybod am ei gallu i gyrchu ffeiliau o ryngwyneb Teams:

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

A oes unrhyw ffordd y gallwn gael gwybodaeth am ba wrthrych y mae gan Emma fynediad iddo? Gallwn, ond dim ond trwy archwilio'r hawliau mynediad i bopeth neu wrthrych penodol yn yr SPO y mae gennym ni amheuon yn ei gylch.

Ar ôl archwilio hawliau o’r fath, byddwn yn gweld bod gan Emma a Chris hawliau i’r gwrthrych ar lefel yr SPO.

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Chris? Nid ydym yn adnabod unrhyw Chris. O ble daeth e?

Ac fe “ddaeth” atom ni o’r grŵp diogelwch SPO “lleol”, sydd, yn ei dro, eisoes yn cynnwys grŵp diogelwch Azure AD, gydag aelodau o’r Tîm “Iawndal”.

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Efallai, Microsoft Cloud App Security (MCAS) yn gallu taflu goleuni ar faterion sydd o ddiddordeb i ni, gan ddarparu'r lefel angenrheidiol o ddealltwriaeth?

Ysywaeth, na... Er y byddwn yn gallu gweld Chris ac Emma, ​​ni fyddwn yn gallu gweld y defnyddwyr penodol sydd wedi cael mynediad.

Lefelau a dulliau o ddarparu mynediad yn O365 - heriau TG

Nid yw'r broses symlaf o ddarparu mynediad at ddata ar storio ffeiliau o fewn perimedr sefydliadau yn arbennig o gymhleth ac yn ymarferol nid yw'n darparu cyfleoedd i osgoi'r hawliau mynediad a ganiateir.

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Mae gan O365 hefyd lawer o gyfleoedd i gydweithio a rhannu data.

  • Nid yw defnyddwyr yn deall pam eu bod yn cyfyngu ar fynediad at ddata os gallant ddarparu dolen i ffeil sydd ar gael i bawb, oherwydd nad oes ganddynt arbenigedd sylfaenol ym maes diogelwch gwybodaeth, neu eu bod yn esgeuluso risgiau, gan wneud rhagdybiaethau ynghylch tebygolrwydd isel eu digwyddiad
  • O ganlyniad, gall gwybodaeth hanfodol adael y sefydliad a dod ar gael i ystod eang o bobl.
  • Yn ogystal, mae llawer o gyfleoedd i ddarparu mynediad diangen.

Mae'n debyg bod Microsoft yn O365 wedi darparu gormod o ffyrdd i newid rhestrau rheoli mynediad. Mae gosodiadau o'r fath ar gael ar lefel tenantiaid, safleoedd, ffolderi, ffeiliau, gwrthrychau eu hunain a dolenni iddynt. Mae ffurfweddu'r gosodiadau galluoedd rhannu yn bwysig ac ni ddylid eu hesgeuluso.

Rydym yn rhoi'r cyfle i gymryd cwrs fideo am ddim, tua awr a hanner ar ffurfweddiad y paramedrau hyn, y darperir y ddolen iddynt ar ddechrau'r erthygl hon.

Heb feddwl ddwywaith, gallwch rwystro'r holl rannu ffeiliau allanol, ond wedyn:

  • Bydd rhai o alluoedd y platfform O365 yn parhau i fod heb eu defnyddio, yn enwedig os yw rhai defnyddwyr wedi arfer eu defnyddio gartref neu mewn swydd flaenorol
  • Bydd “defnyddwyr uwch” yn “helpu” gweithwyr eraill i dorri'r rheolau a osodwyd gennych trwy ddulliau eraill

Mae sefydlu opsiynau rhannu yn cynnwys:

  • Ffurfweddiadau amrywiol ar gyfer pob cais: Timau OD, SPO, AAD ac MS (dim ond y gweinyddwr all wneud rhai ffurfweddiadau, dim ond y defnyddwyr eu hunain all wneud rhai)
  • Cyfluniadau gosodiadau ar lefel tenantiaid ac ar lefel pob safle penodol

Beth mae hyn yn ei olygu i ddiogelwch gwybodaeth?

Fel y gwelsom uchod, ni ellir gweld hawliau mynediad data awdurdodol llawn mewn un rhyngwyneb:

Timau Office 365 a Microsoft - rhwyddineb cydweithredu ac effaith ar ddiogelwch

Felly, er mwyn deall pwy sydd â mynediad i BOB ffeil neu ffolder benodol, bydd angen i chi greu matrics mynediad yn annibynnol, gan gasglu data ar ei gyfer, gan ystyried y canlynol:

  • Mae aelodau timau i'w gweld yn Azure AD a Teams, ond nid yn SPO
  • Gall Perchnogion Tîm benodi Cyd-berchnogion, a all ehangu rhestr y Tîm yn annibynnol
  • Gall timau hefyd gynnwys defnyddwyr ALLANOL - “Gwesteion”
  • Nid yw dolenni a ddarperir i'w rhannu neu eu lawrlwytho yn weladwy yn Teams neu Azure AD - dim ond yn SPO, a dim ond ar ôl clicio'n ddiflas trwy dunnell o ddolenni
  • Nid yw mynediad i safle SPO yn unig yn weladwy yn Teams

Diffyg rheolaeth ganolog yn golygu na allwch chi:

  • Gweld pwy sydd â mynediad at ba adnoddau
  • Gweld ble mae data critigol wedi'i leoli
  • Bodloni gofynion rheoliadol sy'n gofyn am ddull preifatrwydd yn gyntaf wrth gynllunio gwasanaethau
  • Canfod ymddygiad anarferol o ran data critigol
  • Cyfyngu ardal ymosodiad
  • Dewis ffordd effeithiol o leihau risgiau yn seiliedig ar eu hasesiad

Crynodeb

Fel casgliad, gallwn ddweud hynny

  • Ar gyfer adrannau TG sefydliadau sy'n dewis gweithio gydag O365, mae'n bwysig cael gweithwyr cymwys a all roi newidiadau technegol ar waith mewn gosodiadau rhannu a chyfiawnhau canlyniadau newid paramedrau penodol er mwyn ysgrifennu polisïau ar gyfer gweithio gydag O365 y cytunir arnynt gyda gwybodaeth. unedau diogelwch a busnes
  • Mae’n bwysig bod y gwasanaeth diogelwch gwybodaeth yn gallu cynnal, yn awtomatig, bob dydd, neu hyd yn oed mewn amser real, archwiliad o fynediad at ddata, achosion o dorri polisïau O365 y cytunwyd arnynt ag adrannau TG a busnes a dadansoddiad o gywirdeb y mynediad a ganiateir. , yn ogystal â gweld ymosodiadau ar bob un o'r gwasanaethau yn eu tenante O365

Ffynhonnell: hab.com

Ychwanegu sylw