An dësem Artikel wëlle mir weisen wéi d'Aarbecht mat Microsoft Teams aus der Siicht vun de Benotzer, IT Administrateuren an Informatiounssécherheetspersonal ausgesäit.
Als éischt, loosst eis kloer sinn wéi Teams anescht ass wéi déi meescht aner Microsoft Produkter an hirer Office 365 (O365 fir kuerz) Offer.
Teams ass nëmmen e Client an huet keng eege Cloud Applikatioun. An et héiert d'Donnéeën déi se iwwer verschidden O365 Uwendungen geréiert.
Mir weisen Iech wat "ënnert der Hood" geschitt wann d'Benotzer an Teams schaffen, SharePoint Online (nodréiglech SPO bezeechent) an OneDrive.
Wann Dir wëllt op de prakteschen Deel vun der Sécherheet mat Hëllef vu Microsoft Tools weidergoen (1 Stonn vun der Gesamtzäitzäit), empfeele mir Iech op eisen Office 365 Sharing Audit Cours ze lauschteren, verfügbar Dëse Cours deckt och Deele-Astellungen an O365, déi nëmmen duerch PowerShell geännert kënne ginn.
Trefft d'Acme Co Intern Project Team.
Dëst ass wéi dëst Team an Teams ausgesäit, nodeems et erstallt gouf an de passenden Zougang zu senge Membere vum Besëtzer vun dësem Team, Amelia, zougelooss gouf:
D'Equipe fänkt un ze schaffen
D'Linda implizéiert datt d'Datei mam Bonusbezuelungsplang, deen am Kanal gesat gouf, deen se erstallt huet, nëmme vum James a William zougänglech ass, mat deenen se et diskutéiert hunn.
James, am Tour, schéckt e Link fir Zougang zu dëser Datei un en HR Mataarbechter, Emma, deen net Deel vum Team ass.
De William schéckt en Accord mat de perséinlechen Donnéeë vun enger Drëtt Partei un en aneren Teammember am MS Teams Chat:
Mir klammen ënnert der Hood
Zoey, mat der Hëllef vun Amelia, kann elo iergendeen aus dem Team zu all Moment derbäisetzen oder ewechhuelen:
D'Linda, en Dokument mat kriteschen Donnéeën gepost, geduecht fir nëmmen zwee vun hire Kollegen ze benotzen, huet e Feeler mam Channel Typ gemaach beim Erstellen, an d'Datei gouf fir all Teammemberen verfügbar:
Glécklecherweis gëtt et eng Microsoft Applikatioun fir O365 an där Dir (benotzt se komplett fir aner Zwecker) séier gesinn op wéi eng kritesch Donnéeën hunn absolut all Benotzer Zougang?, benotzt fir den Test e Benotzer dee Member vun nëmmen déi allgemeng Sécherheetsgrupp ass.
Och wann d'Dateie bannent Private Channels lokaliséiert sinn, ass dëst vläicht keng Garantie datt nëmmen e bestëmmte Krees vu Leit Zougang zu hinnen hunn.
Am James Beispill huet hien e Link op dem Emma seng Datei zur Verfügung gestallt, deen net emol Member vum Team ass, eleng Zougang zum Private Channel (wann et een wier).
Déi schlëmmst Saach iwwer dës Situatioun ass datt mir keng Informatioun iwwer dëst iwwerall an de Sécherheetsgruppen an Azure AD gesinn, well d'Zougangsrechter direkt ginn.
D'PD-Datei, déi vum William geschéckt gëtt, wäert d'Margaret zu all Moment verfügbar sinn, an net nëmme beim Chat online.
Mir klammen bis op d'Taille
Loosst eis et weider erausfannen. Als éischt, loosst eis kucken wat genau geschitt wann e Benotzer en neit Team an MS Teams erstellt:
- Eng nei Office 365 Sécherheetsgrupp gëtt an Azure AD erstallt, déi Team Besëtzer an Teammemberen enthält
- En neien Team Site gëtt am SharePoint Online erstallt (nodréiglech SPO bezeechent)
- Dräi nei lokal (gülteg nëmmen an dësem Service) Gruppen ginn am SPO erstallt: Besëtzer, Memberen, Besucher
- Ännerungen ginn och op Exchange Online gemaach.
MS Teams Daten a wou et wunnt
Teams ass keen Datelager oder Plattform. Et ass mat all Office 365 Léisungen integréiert.
- O365 bitt vill Uwendungen a Produkter, awer d'Donnéeën ginn ëmmer op de folgende Plazen gespäichert: SharePoint Online (SPO), OneDrive (OD), Exchange Online, Azure AD
- Daten déi Dir deelt oder kritt iwwer MS Teams ginn op dëse Plattformen gespäichert, net bannent Teams selwer
- An dësem Fall ass de Risiko de wuessenden Trend zu Zesummenaarbecht. Jiddereen mat Zougang zu Daten an der SPO an OD Plattformen kann et fir jiddereen bannent oder ausserhalb vun der Organisatioun verfügbar maachen
- All Teamdaten (ausser den Inhalt vu privaten Channels) ginn um SPO Site gesammelt, automatesch erstallt wann Dir en Team erstellt
- Fir all erstallt Kanal gëtt automatesch en Ënnerdopper am Dossier Dokumenter op dësem SPO Site erstallt:
- Dateien an Channels ginn an déi entspriechend Ënnerfolder vum Dokumenter Dossier vun der SPO Teams Site eropgelueden (genannt d'selwecht wéi de Channel)
- E-Mailen, déi un de Kanal geschéckt ginn, ginn am Ënnerdopper "E-Mail Messagen" vum Kanal Dossier gespäichert
- Wann en neie Private Channel erstallt gëtt, gëtt eng separat SPO Site erstallt fir säin Inhalt ze späicheren, mat der selwechter Struktur wéi uewen beschriwwen fir regulär Channels (wichteg - fir all Private Channel gëtt säin eegene SPO Site erstallt)
- Dateien, déi duerch Chats geschéckt ginn, ginn op den OneDrive Kont vum Sendende Benotzer gespäichert (am "Microsoft Teams Chat Dateien" Dossier) a gi mat Chat Participanten gedeelt
- Chat a Korrespondenz Inhalter sinn an Benotzer an Team Mailboxen gespäichert, respektiv, a verstoppt Classeure. Et gëtt de Moment kee Wee fir zousätzlech Zougang zu hinnen ze kréien.
Et ass Waasser am Vergaser, et gëtt e Leck am Bilge
Schlësselpunkten déi wichteg sinn am Kontext ze erënneren Informatiounen Sécherheet:
- Zougangskontroll, a Verständnis vu wien d'Rechter op wichteg Donnéeë ka kréien, gëtt op den Endbenutzerniveau transferéiert. Net virgesinn voll zentraliséiert Kontroll oder Iwwerwachung.
- Wann iergendeen Firmendaten deelt, sinn Är blann Flecken fir anerer siichtbar, awer net fir Iech.
Mir gesinn d'Emma net an der Lëscht vu Leit, déi Deel vum Team sinn (iwwer e Sécherheetsgrupp an Azure AD), awer si huet Zougang zu enger spezifescher Datei, de Link op deen den James hatt geschéckt huet.
Och wësse mir net iwwer hir Fäegkeet fir Zougang zu Dateien aus der Teams Interface ze kréien:
Gëtt et e Wee kënne mir Informatiounen iwwer kréien wat Objet Emma Zougang zu huet? Jo, mir kënnen, awer nëmmen duerch d'Untersuchung vun den Zougangsrechter op alles oder e spezifescht Objet am SPO iwwer deen mir Verdacht hunn.
Nodeems mir esou Rechter ënnersicht hunn, wäerte mir gesinn datt d'Emma an de Chris Rechter op den Objet um SPO Niveau hunn.
Chris? Mir kennen keen Chris. Wou koum hien hier?
An hien "koum" bei eis aus der "lokaler" SPO Sécherheetsgrupp, déi, am Tour, schonn d'Azure AD Sécherheetsgrupp enthält, mat Membere vum "Compensations" Team.
Kann, Microsoft Cloud App Security (MCAS) wäert fäeg sinn Themen déi eis interesséieren Liicht ze werfen, déi néideg Verständnisniveau ubidden?
Och, nee ... Och wa mir de Chris an d'Emma kënne gesinn, kënne mir déi spezifesch Benotzer net gesinn, déi Zougang zougelooss hunn.
Niveauen a Methoden fir Zougang zu O365 - IT Erausfuerderungen ze bidden
Deen einfachste Prozess fir Zougang zu Daten op Dateispeicher am Perimeter vun Organisatiounen ze liwweren ass net besonnesch komplizéiert a bitt praktesch keng Méiglechkeete fir déi zougänglech Zougangsrechter ze ëmgoen.
O365 huet och vill Méiglechkeeten fir Zesummenaarbecht an Deele Daten.
- D'Benotzer verstinn net firwat den Zougang zu Daten beschränken, wa se einfach e Link op e Fichier ubidden, dee fir jiddereen verfügbar ass, well se keng Basiskompetenz am Beräich vun der Informatiounssécherheet hunn oder Risiken vernoléissegen, Viraussetzungen iwwer déi geréng Probabilitéit vun hirem Optriede
- Als Resultat kann kritesch Informatioun d'Organisatioun verloossen a fir eng breet Palette vu Leit verfügbar ginn.
- Zousätzlech ginn et vill Méiglechkeeten fir redundante Zougang ze bidden.
Microsoft an O365 hu méiglecherweis ze vill Weeër geliwwert fir Zougangskontrolllëschten z'änneren. Esou Astellunge sinn um Niveau vum Locataire, Siten, Classeure, Fichieren, Objete selwer a Linken op hinnen sinn. D'Konfiguratioun vun den Deelefäegkeeten Astellunge ass wichteg a sollt net vernoléissegt ginn.
Mir bidden d'Méiglechkeet e gratis, ongeféier eng an eng hallef Stonn Videokurs iwwer d'Konfiguratioun vun dëse Parameteren ze huelen, de Link op deen am Ufank vun dësem Artikel gëtt.
Ouni zweemol ze denken, kënnt Dir all extern Dateiedeele blockéieren, awer dann:
- E puer vun de Fäegkeeten vun der O365 Plattform bleiwen onbenotzt, besonnesch wann e puer Benotzer benotzt gi fir se doheem oder op enger fréierer Aarbecht ze benotzen
- "Fortgeschratt Benotzer" wäerten aner Mataarbechter "hëllefen" d'Regele ze briechen, déi Dir mat anere Mëttele festgeluecht hutt
Deeleoptiounen astellen enthält:
- Verschidde Konfiguratiounen fir all Applikatioun: OD, SPO, AAD a MS Teams (e puer Konfiguratiounen kënnen nëmme vum Administrateur gemaach ginn, e puer kënnen nëmme vun de Benotzer selwer gemaach ginn)
- Astellungskonfiguratiounen um Mieterniveau an um Niveau vun all spezifesche Site
Wat bedeit dat fir d'Informatiounssécherheet?
Wéi mir uewe gesinn hunn, kënnen voll autoritär Datezougangsrechter net an enger eenzeger Interface gesi ginn:
Also, fir ze verstoen wien Zougang zu ALL spezifesche Fichier oder Dossier huet, musst Dir onofhängeg eng Zougangsmatrix erstellen, Daten dofir sammelen, déi folgend berücksichtegen:
- Teammemberen sinn an Azure AD an Teams siichtbar, awer net am SPO
- Teambesëtzer kënnen Co-Besëtzer ernennen, déi d'Teamlëscht onofhängeg ausbaue kënnen
- Équipë kënnen och EXTERNAL Benotzer enthalen - "Gäscht"
- Links zur Verfügung gestallt fir ze deelen oder erofzelueden sinn net an Teams oder Azure AD sichtbar - nëmmen am SPO, an nëmmen no langweilegem Klick duerch eng Tonn vu Linken
- SPO Site nëmmen Zougang ass net an Teams sichtbar
Mangel u zentraliséierter Kontroll heescht Dir kënnt net:
- Kuckt wien Zougang zu wéi enge Ressourcen huet
- Gesinn wou kritesch Donnéeën läit
- Trefft reglementaresch Ufuerderungen déi eng Privatsphär-éischt Approche fir Serviceplanung erfuerderen
- Entdeckt ongewéinlech Verhalen betreffend kritesch Donnéeën
- Begrenzt Attackgebitt
- Wielt en effektive Wee fir Risiken ze reduzéieren op Basis vun hirer Bewäertung
Summary
Als Konklusioun kënne mir dat soen
- Fir IT Departementer vun Organisatiounen, déi wielen mat O365 ze schaffen, ass et wichteg qualifizéiert Mataarbechter ze hunn, déi souwuel technesch Ännerungen an Deele-Astellunge kënnen ëmsetzen an d'Konsequenze vun der Ännerung vu bestëmmte Parameteren justifiéieren fir Politiken ze schreiwen fir mat O365 ze schaffen, déi mat Informatioun ausgemaach sinn. Sécherheet a Betrib Unitéiten
- Et ass wichteg fir d'Informatiounssécherheet op eng automatesch alldeeglech Basis, oder souguer an Echtzäit, en Audit vum Datezougang ze maachen, Verstouss géint O365-Politik ausgemaach mat IT- a Geschäftsdepartementer an eng Analyse vun der Richtegkeet vum zouginnen Zougang , wéi och Attacken op jiddereng vun de Servicer an hirem Locataire O365 ze gesinn
Source: will.com
