Nan atik sa a, nou ta renmen montre ki jan travay ak ekip Microsoft sanble nan pwen de vi itilizatè yo, administratè IT ak anplwaye sekirite enfòmasyon yo.
Premyèman, se pou nou klè sou fason Ekip yo diferan de pifò lòt pwodwi Microsoft nan ofrann Office 365 yo (O365 pou kout).
Ekip se yon kliyan sèlman epi li pa gen pwòp aplikasyon nwaj li yo. Epi li gen tout pouvwa a done li jere atravè divès aplikasyon O365.
Nou pral montre w sa k ap pase "anba kapo a" lè itilizatè yo travay nan Ekip, SharePoint Online (ki rele SPO) ak OneDrive.
Si ou ta renmen ale nan pati pratik pou asire sekirite lè l sèvi avèk zouti Microsoft (1 èdtan nan tan total kou a), nou rekòmande anpil koute kou Odit Pataje Biwo 365 nou an, ki disponib. Kou sa a kouvri tou paramèt pataje nan O365, ki ka chanje sèlman atravè PowerShell.
Rankontre ekip pwojè entèn Acme Co.
Men ki jan Ekip sa a sanble nan Ekip yo, apre li fin kreye epi li te bay manm li yo aksè apwopriye pa Pwopriyetè Ekip sa a, Amelia:
Ekip la kòmanse travay
Linda vle di ke James ak William sèlman pral jwenn aksè nan fichye a ki gen plan peman bonis yo mete nan Chèn li te kreye a, ak ki moun yo te diskite sou li.
James, nan vire, voye yon lyen pou jwenn aksè nan dosye sa a bay yon anplwaye HR, Emma, ki pa fè pati Ekip la.
William voye yon akò ak done pèsonèl yon twazyèm pati bay yon lòt manm Ekip nan chat MS Teams la:
Nou monte anba kapo a
Zoey, avèk èd Amelia, kapab kounye a ajoute oswa retire nenpòt moun ki nan Ekip la nenpòt ki lè:
Linda, ki te poste yon dokiman ki gen done enpòtan pou de nan kòlèg li yo sèlman, te fè yon erè ak kalite Chèn nan lè li te kreye li, epi fichye a te vin disponib pou tout manm Ekip la:
Erezman, gen yon aplikasyon Microsoft pou O365 kote ou ka (sèvi ak li konplètman pou lòt rezon) byen vit wè ki done kritik absoliman tout itilizatè yo gen aksè a?, lè l sèvi avèk pou tès la yon itilizatè ki se yon manm nan sèlman gwoup sekirite ki pi jeneral.
Menm si fichye yo sitiye andedan Chèn Prive, sa ka pa yon garanti ke sèlman yon sèk sèten moun ap gen aksè a yo.
Nan egzanp James, li te bay yon lyen nan dosye Emma a, ki pa menm yon manm nan Ekip la, se pou kont li aksè nan Chèn Prive a (si li te youn).
Bagay ki pi mal nan sitiyasyon sa a se ke nou pa pral wè enfòmasyon sou sa a nenpòt kote nan gwoup sekirite yo nan Azure AD, depi dwa aksè yo akòde li dirèkteman.
Fichye PD William voye a ap disponib pou Margaret nenpòt ki lè, epi li pa sèlman pandan y ap chat sou entènèt.
Nou monte jiska ren
Ann kalkile li pi lwen. Premyèman, ann wè kisa egzakteman k ap pase lè yon itilizatè kreye yon nouvo Ekip nan MS Teams:
- Yon nouvo gwoup sekirite Office 365 kreye nan Azure AD, ki gen ladan pwopriyetè ekip yo ak manm ekip yo
- Yo kreye yon nouvo sit Ekip nan SharePoint Online (ki rele SPO)
- Twa nouvo gwoup lokal (valid sèlman nan sèvis sa a) yo kreye nan SPO: Pwopriyetè, Manm, Vizitè.
- Chanjman yo ap fè nan Exchange Online tou.
Done MS Teams ak kote li rete
Ekip yo pa yon depo done oswa platfòm. Li entegre ak tout solisyon Office 365.
- O365 ofri anpil aplikasyon ak pwodwi, men done yo toujou estoke nan kote sa yo: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD.
- Done ou pataje oswa resevwa atravè MS Teams yo estoke sou platfòm sa yo, pa nan ekip li menm
- Nan ka sa a, risk la se tandans k ap grandi nan direksyon pou kolaborasyon. Nenpòt moun ki gen aksè a done nan platfòm SPO ak OD yo ka rann li disponib pou nenpòt moun ki andedan oswa andeyò òganizasyon an
- Tout done Ekip (eksepte kontni an nan chanèl prive) yo kolekte nan sit la SPO, kreye otomatikman lè yo kreye yon Ekip.
- Pou chak Chèn ki kreye, yo kreye yon sousdosye otomatikman nan katab Dokiman yo nan sit SPO sa a:
- Fichye ki nan Chanèl yo telechaje nan sousdosye korespondan yo nan katab Dokiman yo nan sit SPO Ekip yo (yo rele menm jan ak Chèn nan)
- Imèl yo voye bay Chèn nan estoke nan subdosier "Mesaj Imèl" nan katab Chèn nan
- Lè yo kreye yon nouvo Chèn Prive, yo kreye yon sit SPO separe pou estoke kontni li yo, ak menm estrikti ki dekri pi wo a pou Chèn regilye yo (enpòtan - pou chak Chèn Prive yo kreye pwòp sit SPO espesyal pa l)
- Fichye yo voye nan chat yo sove nan kont OneDrive itilizatè ki voye a (nan katab "Microsoft Teams Chat Files") epi yo pataje ak patisipan yo chat.
- Kontni chat ak korespondans yo estoke nan bwat lèt itilizatè yo ak ekip yo, respektivman, nan dosye kache. Kounye a pa gen okenn fason pou jwenn plis aksè a yo.
Gen dlo nan karburateur la, gen yon koule nan bilge a
Pwen kle ki enpòtan pou sonje nan yon kontèks sekirite enfòmasyon:
- Kontwòl aksè, ak konpreyansyon sou ki moun ki ka akòde dwa nan done enpòtan, transfere nan nivo itilizatè fen. Pa bay total kontwòl santralize oswa siveyans.
- Lè yon moun pataje done konpayi, tach avèg ou yo vizib pou lòt moun, men se pa pou ou.
Nou pa wè Emma nan lis moun ki fè pati Ekip la (atravè yon gwoup sekirite nan Azure AD), men li gen aksè a yon fichye espesifik, lyen kote James voye li a.
Menm jan an tou, nou pa pral konnen sou kapasite li pou jwenn aksè nan dosye ki soti nan koòdone ekip la:
Èske gen nenpòt fason nou ka jwenn enfòmasyon sou ki objè Emma gen aksè a? Wi, nou kapab, men sèlman lè nou egzamine dwa aksè a tout bagay oswa yon objè espesifik nan SPO a sou ki nou gen sispèk.
Lè w fin egzamine dwa sa yo, nou pral wè ke Emma ak Chris gen dwa sou objè a nan nivo SPO.
Chris? Nou pa konnen okenn Chris. Ki kote li soti?
Apre sa, li "te vini" nou soti nan "lokal" SPO sekirite gwoup la, ki, nan vire, deja gen ladan Azure AD sekirite gwoup la, ak manm nan "Konpansasyon" Ekip la.
Petèt, Microsoft Cloud App Security (MCAS) yo pral kapab fè limyè sou pwoblèm ki enterese nou yo, bay nivo konpreyansyon ki nesesè yo?
Ay, non... Malgre ke nou pral kapab wè Chris ak Emma, nou pa pral kapab wè itilizatè espesifik yo ki te akòde aksè.
Nivo ak metòd pou bay aksè nan O365 - IT défis
Pwosesis ki pi senp pou bay aksè a done sou depo dosye ki nan perimèt òganizasyon yo pa patikilyèman konplike epi pratikman pa bay opòtinite pou kontoune dwa aksè yo akòde yo.
O365 tou gen anpil opòtinite pou kolaborasyon ak pataje done.
- Itilizatè yo pa konprann poukisa mete restriksyon sou aksè a done si yo ka tou senpleman bay yon lyen nan yon dosye ki disponib pou tout moun, paske yo pa gen ekspètiz debaz nan domèn sekirite enfòmasyon, oswa yo neglije risk, fè sipozisyon sou pwobabilite ki ba nan yo. ensidan
- Kòm yon rezilta, enfòmasyon enpòtan yo ka kite òganizasyon an epi vin disponib pou yon pakèt moun.
- Anplis de sa, gen anpil opòtinite pou bay aksè redondants.
Microsoft nan O365 te bay pwobableman twòp fason pou chanje lis kontwòl aksè. Paramèt sa yo disponib nan nivo lokatè, sit, dosye, dosye, objè tèt yo ak lyen ki mennen nan yo. Konfigirasyon anviwònman kapasite pataje yo enpòtan epi yo pa ta dwe neglije.
Nou bay opòtinite pou pran yon kou videyo gratis, apeprè inèdtan ak yon demi sou konfigirasyon paramèt sa yo, lyen ki bay nan kòmansman atik sa a.
San yo pa reflechi de fwa, ou ka bloke tout pataje dosye ekstèn, men Lè sa a:
- Gen kèk nan kapasite platfòm O365 la ap rete pa itilize, sitou si gen kèk itilizatè yo abitye itilize yo lakay yo oswa nan yon travay anvan.
- "Itilizatè avanse" pral "ede" lòt anplwaye yo kraze règ ou tabli yo atravè lòt mwayen
Konfigirasyon opsyon pataje gen ladann:
- Plizyè konfigirasyon pou chak aplikasyon: Ekip OD, SPO, AAD ak MS (kèk konfigirasyon kapab fèt sèlman pa administratè a, kèk ka sèlman fè itilizatè yo tèt yo)
- Anviwònman konfigirasyon nan nivo lokatè a ak nan nivo chak sit espesifik
Kisa sa vle di pou sekirite enfòmasyon?
Kòm nou te wè pi wo a, tout dwa aksè done autorité pa ka wè nan yon sèl koòdone:
Kidonk, pou w konprann kiyès ki gen aksè a CHAK fichye oswa katab espesifik, w ap bezwen kreye yon matris aksè poukont li, kolekte done pou li, pran an kont sa ki annapre yo:
- Manm ekip yo vizib nan Azure AD ak Ekip yo, men se pa nan SPO
- Pwopriyetè Ekip yo ka nonmen Ko-pwopriyetè, ki kapab elaji lis Ekip la poukont li
- Ekip yo kapab genyen tou itilizatè EXTERNAL - "Envite"
- Lyen yo bay pou pataje oswa telechaje yo pa vizib nan Ekip oswa Azure AD - sèlman nan SPO, epi sèlman apre yo fin klike fatigan sou yon tòn lyen.
- Aksè sit SPO sèlman pa vizib nan Ekip yo
Mank kontwòl santralize vle di ou pa kapab:
- Gade ki moun ki gen aksè a ki resous
- Gade ki kote done kritik yo ye
- Satisfè egzijans regilasyon ki mande yon apwòch vi prive pou planifikasyon sèvis yo
- Detekte konpòtman etranj konsènan done kritik
- Limite zòn atak
- Chwazi yon fason efikas pou diminye risk ki baze sou evalyasyon yo
Rezime
Kòm yon konklizyon, nou ka di sa
- Pou depatman IT nan òganizasyon ki chwazi travay ak O365, li enpòtan pou gen anplwaye ki kalifye ki ka tou de teknikman aplike chanjman nan anviwònman pataje ak jistifye konsekans yo nan chanje sèten paramèt yo nan lòd yo ekri règleman pou travay ak O365 ki dakò ak enfòmasyon. sekirite ak inite biznis yo
- Li enpòtan pou sekirite enfòmasyon yo kapab fè sou yon baz otomatik chak jou, oswa menm an tan reyèl, yon kontwòl kontab aksè done, vyolasyon règleman O365 yo te dakò ak IT ak depatman biznis ak yon analiz de kòrèkteman akòde aksè a. , osi byen ke yo wè atak sou chak nan sèvis yo nan lokatè O365 yo
Sous: www.habr.com