اس آرٹیکل میں، ہم یہ بتانا چاہیں گے کہ مائیکروسافٹ ٹیمز کے ساتھ کام کرنا صارفین، IT ایڈمنسٹریٹرز اور انفارمیشن سیکیورٹی اسٹاف کے نقطہ نظر سے کیسا لگتا ہے۔
سب سے پہلے، آئیے اس بارے میں واضح کریں کہ ٹیمیں اپنے Office 365 (O365 مختصر طور پر) پیشکش میں مائیکروسافٹ کی دیگر مصنوعات سے کس طرح مختلف ہیں۔
ٹیمیں صرف ایک کلائنٹ ہے اور اس کی اپنی کلاؤڈ ایپلی کیشن نہیں ہے۔ اور یہ مختلف O365 ایپلی کیشنز میں اس ڈیٹا کی میزبانی کرتا ہے۔
جب صارفین ٹیمز، شیئرپوائنٹ آن لائن (اس کے بعد SPO کہا جاتا ہے) اور OneDrive میں کام کرتے ہیں تو ہم آپ کو دکھائیں گے کہ "انڈر دی ہڈ" کیا ہو رہا ہے۔
اگر آپ مائیکروسافٹ ٹولز (کل کورس کے وقت کا 1 گھنٹہ) کا استعمال کرتے ہوئے سیکیورٹی کو یقینی بنانے کے عملی حصے کی طرف بڑھنا چاہتے ہیں، تو ہم اپنے آفس 365 شیئرنگ آڈٹ کورس کو سننے کی انتہائی سفارش کرتے ہیں، جو دستیاب ہے۔ یہ کورس O365 میں اشتراک کی ترتیبات کا بھی احاطہ کرتا ہے، جسے صرف PowerShell کے ذریعے تبدیل کیا جا سکتا ہے۔
Acme Co. کی اندرونی پروجیکٹ ٹیم سے ملیں۔
ٹیموں میں یہ ٹیم کی طرح نظر آتی ہے، اس کے بننے کے بعد اور اس ٹیم کے مالک امیلیا کی طرف سے اس کے اراکین کو مناسب رسائی دی گئی ہے:
ٹیم کام کرنا شروع کر دیتی ہے۔
لنڈا کا مطلب ہے کہ اس کے بنائے ہوئے چینل میں بونس کی ادائیگی کے منصوبے والی فائل تک صرف جیمز اور ولیم ہی رسائی حاصل کریں گے، جن کے ساتھ انہوں نے اس پر تبادلہ خیال کیا تھا۔
جیمز، بدلے میں، اس فائل تک رسائی کے لیے ایک HR ملازم ایما کو ایک لنک بھیجتا ہے، جو ٹیم کا حصہ نہیں ہے۔
ولیم MS ٹیمز چیٹ میں کسی تیسرے فریق کے ذاتی ڈیٹا کے ساتھ ٹیم کے دوسرے ممبر کو ایک معاہدہ بھیجتا ہے:
ہم ہڈ کے نیچے چڑھتے ہیں۔
زوئی، امیلیا کی مدد سے، اب کسی کو بھی ٹیم میں شامل یا ہٹا سکتا ہے:
لنڈا نے، تنقیدی اعداد و شمار کے ساتھ ایک دستاویز پوسٹ کرنا جس کا مقصد صرف اس کے دو ساتھیوں کے استعمال کے لیے ہے، اسے بناتے وقت چینل کی قسم میں غلطی ہوئی، اور فائل ٹیم کے تمام اراکین کے لیے دستیاب ہو گئی:
خوش قسمتی سے، O365 کے لیے ایک مائیکروسافٹ ایپلی کیشن موجود ہے جس میں آپ (اسے مکمل طور پر دوسرے مقاصد کے لیے استعمال کرتے ہوئے) تیزی سے دیکھ سکتے ہیں۔ تمام صارفین کو کس اہم ڈیٹا تک رسائی حاصل ہے؟، ٹیسٹ کے لیے ایک صارف کا استعمال کرتے ہوئے جو صرف سب سے عام سیکیورٹی گروپ کا رکن ہے۔
یہاں تک کہ اگر فائلیں پرائیویٹ چینلز کے اندر موجود ہیں، تو یہ اس بات کی ضمانت نہیں ہو سکتی ہے کہ لوگوں کے صرف ایک مخصوص حلقے کو ان تک رسائی حاصل ہو گی۔
جیمز کی مثال میں، اس نے ایما کی فائل کا ایک لنک فراہم کیا، جو کہ ٹیم کا رکن بھی نہیں ہے، نجی چینل تک رسائی چھوڑ دیں (اگر یہ ایک تھا)۔
اس صورتحال کے بارے میں سب سے بری بات یہ ہے کہ ہم Azure AD میں سیکیورٹی گروپس میں کہیں بھی اس کے بارے میں معلومات نہیں دیکھیں گے، کیونکہ رسائی کے حقوق اسے براہ راست دیئے گئے ہیں۔
ولیم کی طرف سے بھیجی گئی PD فائل مارگریٹ کو کسی بھی وقت دستیاب ہوگی، نہ کہ صرف آن لائن چیٹنگ کے دوران۔
ہم کمر تک چڑھتے ہیں۔
آئیے اس کا مزید پتہ لگائیں۔ سب سے پہلے، آئیے دیکھتے ہیں کہ جب صارف MS ٹیموں میں ایک نئی ٹیم بناتا ہے تو کیا ہوتا ہے:
- Azure AD میں ایک نیا Office 365 سیکیورٹی گروپ بنایا گیا ہے، جس میں ٹیم کے مالکان اور ٹیم کے اراکین شامل ہیں۔
- شیئرپوائنٹ آن لائن میں ایک نئی ٹیم سائٹ بنائی جا رہی ہے (اس کے بعد SPO کہا جائے گا)
- SPO میں تین نئے مقامی (صرف اس سروس میں درست) گروپ بنائے گئے ہیں: مالکان، اراکین، مہمان
- ایکسچینج آن لائن میں بھی تبدیلیاں کی جا رہی ہیں۔
MS ٹیموں کا ڈیٹا اور یہ کہاں رہتا ہے۔
ٹیمیں ڈیٹا گودام یا پلیٹ فارم نہیں ہے۔ یہ آفس 365 کے تمام حل کے ساتھ مربوط ہے۔
- O365 بہت سی ایپلیکیشنز اور مصنوعات پیش کرتا ہے، لیکن ڈیٹا ہمیشہ درج ذیل جگہوں پر محفوظ کیا جاتا ہے: شیئرپوائنٹ آن لائن (SPO)، OneDrive (OD)، Exchange Online، Azure AD
- MS ٹیموں کے ذریعے آپ جو ڈیٹا بانٹتے یا وصول کرتے ہیں وہ ان پلیٹ فارمز پر محفوظ کیا جاتا ہے، ٹیموں کے اندر نہیں۔
- اس صورت میں، خطرہ تعاون کی طرف بڑھتا ہوا رجحان ہے۔ SPO اور OD پلیٹ فارم میں ڈیٹا تک رسائی رکھنے والا کوئی بھی شخص اسے تنظیم کے اندر یا باہر کسی کو بھی دستیاب کر سکتا ہے۔
- ٹیم کا تمام ڈیٹا (نجی چینلز کے مواد کو چھوڑ کر) SPO سائٹ میں جمع کیا جاتا ہے، جو ٹیم بناتے وقت خود بخود بن جاتا ہے۔
- بنائے گئے ہر چینل کے لیے، اس SPO سائٹ کے دستاویزات کے فولڈر میں ایک ذیلی فولڈر خود بخود بن جاتا ہے۔
- چینلز میں فائلیں ایس پی او ٹیمز سائٹ کے دستاویزات کے فولڈر کے متعلقہ ذیلی فولڈرز پر اپ لوڈ کی جاتی ہیں (جس کا نام چینل جیسا ہے)
- چینل کو بھیجی گئی ای میلز کو چینل فولڈر کے "ای میل پیغامات" کے ذیلی فولڈر میں محفوظ کیا جاتا ہے۔
- جب ایک نیا پرائیویٹ چینل بنایا جاتا ہے، تو اس کے مواد کو ذخیرہ کرنے کے لیے ایک علیحدہ SPO سائٹ بنائی جاتی ہے، جس کی ساخت وہی ہوتی ہے جیسا کہ باقاعدہ چینلز کے لیے اوپر بیان کیا گیا ہے (اہم - ہر نجی چینل کے لیے اس کی اپنی خصوصی SPO سائٹ بنائی جاتی ہے)
- چیٹس کے ذریعے بھیجی گئی فائلیں بھیجنے والے صارف کے OneDrive اکاؤنٹ ("Microsoft Teams Chat Files" فولڈر میں) میں محفوظ کی جاتی ہیں اور چیٹ کے شرکاء کے ساتھ شیئر کی جاتی ہیں۔
- چیٹ اور خط و کتابت کا مواد بالترتیب صارف اور ٹیم کے میل باکس میں پوشیدہ فولڈرز میں محفوظ کیا جاتا ہے۔ فی الحال ان تک اضافی رسائی حاصل کرنے کا کوئی طریقہ نہیں ہے۔
کاربوریٹر میں پانی ہے، بلج میں رساو ہے۔
اہم نکات جو سیاق و سباق میں یاد رکھنا ضروری ہیں۔ انفارمیشن سیکورٹی:
- رسائی کا کنٹرول، اور یہ سمجھنا کہ اہم ڈیٹا کے حقوق کس کو دیے جا سکتے ہیں، آخری صارف کی سطح پر منتقل ہو جاتے ہیں۔ نہیں دیا گیا مکمل مرکزی کنٹرول یا نگرانی.
- جب کوئی کمپنی کا ڈیٹا شیئر کرتا ہے، تو آپ کے اندھے دھبے دوسروں کو نظر آتے ہیں، لیکن آپ کو نہیں۔
ہم ایما کو ان لوگوں کی فہرست میں نہیں دیکھتے جو ٹیم کا حصہ ہیں (Azure AD میں سیکیورٹی گروپ کے ذریعے)، لیکن اسے ایک مخصوص فائل تک رسائی حاصل ہے، جس کا لنک جیمز نے اسے بھیجا تھا۔
اسی طرح، ہم ٹیم کے انٹرفیس سے فائلوں تک رسائی کی اس کی صلاحیت کے بارے میں نہیں جان پائیں گے:
کیا کوئی ایسا طریقہ ہے جس سے ہم معلومات حاصل کر سکیں کہ ایما کو کس چیز تک رسائی حاصل ہے؟ ہاں، ہم کر سکتے ہیں، لیکن صرف SPO میں موجود ہر چیز یا کسی مخصوص شے تک رسائی کے حقوق کی جانچ کر کے جس کے بارے میں ہمیں شک ہے۔
اس طرح کے حقوق کا جائزہ لینے کے بعد، ہم دیکھیں گے کہ ایما اور کرس کے پاس ایس پی او کی سطح پر اعتراض کے حقوق ہیں۔
کرس؟ ہم کسی کرس کو نہیں جانتے۔ وہ کہاں سے آیا؟
اور وہ ہمارے پاس "مقامی" SPO سیکورٹی گروپ سے "آیا"، جس کے نتیجے میں، Azure AD سیکورٹی گروپ پہلے سے ہی شامل ہے، "معاوضہ" ٹیم کے اراکین کے ساتھ۔
ہوسکتا ہے مائیکروسافٹ کلاؤڈ ایپ سیکیورٹی (MCAS) ان مسائل پر روشنی ڈالنے کے قابل ہوں گے جو ہماری دلچسپی رکھتے ہیں، ضروری سطح کی تفہیم فراہم کرتے ہیں؟
افسوس، نہیں... اگرچہ ہم کرس اور ایما کو دیکھ سکیں گے، لیکن ہم ان مخصوص صارفین کو نہیں دیکھ پائیں گے جنہیں رسائی دی گئی ہے۔
O365 میں رسائی فراہم کرنے کی سطح اور طریقے - IT چیلنجز
تنظیموں کے دائرہ کار میں فائل سٹوریج پر ڈیٹا تک رسائی فراہم کرنے کا آسان ترین عمل خاص طور پر پیچیدہ نہیں ہے اور عملی طور پر فراہم کردہ رسائی کے حقوق کو نظرانداز کرنے کے مواقع فراہم نہیں کرتا ہے۔
O365 کے پاس تعاون اور ڈیٹا شیئر کرنے کے بھی بہت سے مواقع ہیں۔
- صارفین یہ نہیں سمجھتے کہ ڈیٹا تک رسائی پر پابندی کیوں ہے اگر وہ ہر کسی کو دستیاب فائل کا لنک فراہم کر سکتے ہیں، کیونکہ ان کے پاس انفارمیشن سیکیورٹی کے شعبے میں بنیادی مہارت نہیں ہے، یا وہ خطرات کو نظر انداز کرتے ہیں، ان کے کم امکان کے بارے میں مفروضے بناتے ہیں۔ واقعہ
- نتیجے کے طور پر، اہم معلومات تنظیم کو چھوڑ کر لوگوں کی ایک وسیع رینج کے لیے دستیاب ہو سکتی ہیں۔
- اس کے علاوہ، بے کار رسائی فراہم کرنے کے بہت سے مواقع ہیں۔
O365 میں مائیکروسافٹ نے رسائی کنٹرول فہرستوں کو تبدیل کرنے کے بہت سارے طریقے فراہم کیے ہیں۔ اس طرح کی ترتیبات کرایہ دار، سائٹس، فولڈرز، فائلز، خود اشیاء اور ان کے لنکس کی سطح پر دستیاب ہیں۔ اشتراک کی صلاحیتوں کی ترتیبات کو ترتیب دینا اہم ہے اور اسے نظرانداز نہیں کیا جانا چاہیے۔
ہم ان پیرامیٹرز کی ترتیب پر ایک مفت، تقریباً ڈیڑھ گھنٹے کا ویڈیو کورس کرنے کا موقع فراہم کرتے ہیں، جس کا لنک اس مضمون کے شروع میں فراہم کیا گیا ہے۔
دو بار سوچے بغیر، آپ تمام بیرونی فائل شیئرنگ کو بلاک کر سکتے ہیں، لیکن پھر:
- O365 پلیٹ فارم کی کچھ صلاحیتیں غیر استعمال شدہ رہیں گی، خاص طور پر اگر کچھ صارفین انہیں گھر پر یا کسی سابقہ کام پر استعمال کرنے کے عادی ہیں۔
- "اعلی درجے کے صارفین" دوسرے ملازمین کی "مدد" کریں گے جو آپ نے دوسرے ذرائع سے مقرر کیے ہیں اصولوں کو توڑنے میں
اشتراک کے اختیارات ترتیب دینے میں شامل ہیں:
- ہر ایپلیکیشن کے لیے مختلف کنفیگریشنز: OD، SPO، AAD اور MS ٹیمیں (کچھ کنفیگریشنز صرف ایڈمنسٹریٹر کر سکتے ہیں، کچھ صرف صارفین خود کر سکتے ہیں)
- کرایہ دار کی سطح پر اور ہر مخصوص سائٹ کی سطح پر ترتیبات کی ترتیب
معلومات کی حفاظت کے لیے اس کا کیا مطلب ہے؟
جیسا کہ ہم نے اوپر دیکھا، مکمل مستند ڈیٹا تک رسائی کے حقوق کو ایک انٹرفیس میں نہیں دیکھا جا سکتا:
اس طرح، یہ سمجھنے کے لیے کہ ہر مخصوص فائل یا فولڈر تک کس کی رسائی ہے، آپ کو درج ذیل کو مدنظر رکھتے ہوئے، اس کے لیے ڈیٹا اکٹھا کرتے ہوئے، آزادانہ طور پر ایک رسائی میٹرکس بنانا ہوگا۔
- ٹیموں کے اراکین Azure AD اور Teams میں نظر آتے ہیں، لیکن SPO میں نہیں۔
- ٹیم کے مالک شریک مالکان مقرر کر سکتے ہیں، جو ٹیم کی فہرست کو آزادانہ طور پر بڑھا سکتے ہیں۔
- ٹیموں میں بیرونی صارفین بھی شامل ہو سکتے ہیں - "مہمان"
- اشتراک یا ڈاؤن لوڈ کرنے کے لیے فراہم کردہ لنکس ٹیمز یا Azure AD میں نظر نہیں آتے - صرف SPO میں، اور صرف ایک ٹن لنکس کے ذریعے کلک کرنے کے بعد
- ٹیموں میں صرف SPO سائٹ تک رسائی نظر نہیں آتی
مرکزی کنٹرول کا فقدان مطلب آپ یہ نہیں کر سکتے:
- دیکھیں کہ کن وسائل تک کس کی رسائی ہے۔
- دیکھیں کہ اہم ڈیٹا کہاں واقع ہے۔
- ریگولیٹری تقاضوں کو پورا کریں جن کے لیے خدمت کی منصوبہ بندی کے لیے رازداری کے لیے پہلے نقطہ نظر کی ضرورت ہوتی ہے۔
- اہم ڈیٹا کے حوالے سے غیر معمولی رویے کا پتہ لگائیں۔
- حملے کے علاقے کو محدود کریں۔
- ان کی تشخیص کی بنیاد پر خطرات کو کم کرنے کا ایک مؤثر طریقہ منتخب کریں۔
خلاصہ
ایک نتیجہ کے طور پر، ہم یہ کہہ سکتے ہیں
- O365 کے ساتھ کام کرنے کا انتخاب کرنے والی تنظیموں کے IT محکموں کے لیے، یہ ضروری ہے کہ اہل ملازمین کا ہونا ضروری ہے جو تکنیکی طور پر اشتراک کی ترتیبات میں تبدیلیاں لاگو کر سکیں اور O365 کے ساتھ کام کرنے کے لیے پالیسیاں لکھنے کے لیے مخصوص پیرامیٹرز کو تبدیل کرنے کے نتائج کو درست ثابت کر سکیں جن پر معلومات کے ساتھ اتفاق کیا گیا ہے۔ سیکورٹی اور کاروباری یونٹس
- معلومات کی حفاظت کے لیے یہ ضروری ہے کہ وہ روزانہ کی بنیاد پر خودکار طریقے سے، یا یہاں تک کہ حقیقی وقت میں، ڈیٹا تک رسائی کا آڈٹ، IT اور کاروباری محکموں کے ساتھ اتفاق کردہ O365 پالیسیوں کی خلاف ورزیوں اور دی گئی رسائی کی درستگی کا تجزیہ کرنے کے قابل ہو۔ ، نیز ان کے کرایہ دار O365 میں ہر ایک خدمات پر حملوں کو دیکھنے کے لئے
ماخذ: www.habr.com