Get best of the week

Office 365 et équipes Microsoft - Commodité de collaboration et impact sur la sécurité



Dans cet article, nous aimerions montrer à quoi ressemble le travail avec Microsoft Teams du point de vue des utilisateurs, des administrateurs informatiques et des employés du SI.

Tout d'abord, clarifions la différence entre les équipes et la plupart des autres produits Microsoft dans leur offre Office 365 (ci-après, par souci de concision - O365).

Teams n'est qu'un client qui n'a pas sa propre application cloud. Et il place les données qu'il gère dans diverses applications O365.

Nous montrerons ce qui se passe «sous le capot» lorsque les utilisateurs travaillent dans Teams, SharePoint Online (ci-après SPO) et OneDrive.

Si vous souhaitez maintenant passer à la partie pratique sur la sécurité à l'aide des outils Microsoft (1 heure sur la durée totale du cours), nous vous recommandons vivement d'écouter notre cours Audit de partage Office 365, disponible ici. Ce cours couvre, entre autres, les paramètres de partage dans O365, qui ne sont modifiables que via PowerShell.

Rencontrez l'équipe de projet interne d'Acme Co.




Voici à quoi ressemble cette équipe dans les équipes, après sa création et la fourniture d'un accès approprié à ses membres par le propriétaire de cette équipe - Amelia:



L'équipe commence à travailler


Linda implique que seuls les James et William avec lesquels ils ont discuté de ce contact contacteront le fichier avec le plan de paiement de bonus qu'elle a créé dans la chaîne qu'elle a créée.



James, à son tour, dirige un lien pour accéder à ce fichier à une employée du service des ressources humaines, Emma, ​​qui ne fait pas partie de l'équipe.



William envoie un contrat avec les données personnelles d'un tiers à un autre membre de l'équipe via le chat MS Teams:



On grimpe sous le capot


Zoey, avec la main légère d'Amelia, peut désormais ajouter n'importe qui à l'équipe à tout moment ou en supprimer:



Linda, présentant un document avec des données critiques destinées à être utilisées par seulement deux de ses collègues, s'est trompée avec le type de canal lors de sa création, et le fichier est devenu accessible à tous les membres de l'équipe:



Heureusement, il existe une application Microsoft pour O365, dans laquelle vous pouvez (en l'utilisant complètement à d'autres fins) voir rapidement à quelles données critiques tous les utilisateurs ont accès , en utilisant pour tester un utilisateur qui n'est inclus que dans le groupe de sécurité le plus courant .

Même si les fichiers se trouvent à l'intérieur des chaînes privées (chaînes privées), cela ne garantit pas que seul un certain cercle de personnes y aura accès.

Dans l'exemple avec James, il a fourni un lien vers le fichier Emma, ​​qui n'est même pas inclus dans la commande, sans parler de l'accès à la chaîne privée (si elle en était une).

Dans cette situation, le pire est que nous ne verrons aucune information à ce sujet nulle part dans les groupes de sécurité dans Azure AD, car les droits d'accès lui sont accordés directement.

Le fichier PDN envoyé par William sera disponible à tout moment pour Margaret, pas seulement pendant le chat en ligne.

Nous montons jusqu'à la taille


Nous comprenons mieux. Voyons d'abord ce qui se passe exactement lorsqu'un utilisateur crée une nouvelle équipe dans MS Teams:



  • Un nouveau groupe de sécurité Office 365 est en cours de création dans Azure AD, y compris les propriétaires et les membres de l'équipe
  • Le site de la nouvelle équipe est créé dans SharePoint Online (ci-après - SPO)
  • Trois nouveaux groupes locaux (actifs uniquement dans ce service) sont créés dans SPO: Propriétaires, Membres, Visiteurs
  • Des modifications sont apportées dans Exchange Online

Données des équipes MS et où elles vivent


Les équipes ne sont pas un entrepôt de données ou une plate-forme. Il est intégré à toutes les solutions Office 365.



  • O365 propose de nombreuses applications et produits, mais les données sont toujours stockées aux endroits suivants: SharePoint Online (SPO), OneDrive (ci-après - OD), Exchange Online, Azure AD
  • Les données que vous partagez ou recevez via MS Teams sont stockées sur ces plateformes, et non dans Teams lui-même
  • Dans ce cas, le risque est une tendance croissante à la collaboration. Quiconque a accès aux données sur les plateformes SPO et OD peut les mettre à la disposition de n'importe qui, à l'intérieur comme à l'extérieur de l'organisation.
  • ( ) SPO,
  • Documents SPO:
    • Documents SPO ( , )
    • Email-, , “Email Messages”

  • , SPO, , ( — SPO)
  • , , OneDrive ( “Microsoft Teams Chat Files”),
  • Le chat et le contenu du chat sont stockés dans les boîtes aux lettres d'utilisateur et d'équipe, respectivement, dans des dossiers cachés. Désormais, il n'y a aucun moyen d'y accéder.

L'eau dans le carburateur, le débit dans la cale


Les principaux points importants à retenir en termes de sécurité de l' information :

  • Le contrôle d'accès et la compréhension des personnes qui peuvent se voir accorder des droits sur des données importantes sont transférés au niveau de l'utilisateur final. Il n'y a pas de contrôle ou de surveillance centralisé complet .
  • Lorsque quelqu'un partage des données d'entreprise, vos «angles morts» sont visibles pour les autres, mais pas pour vous.



Dans la liste des personnes qui font partie de l'équipe (via le groupe de sécurité dans Azure AD), nous ne voyons pas Emma, ​​mais elle a accès à un fichier spécifique, un lien auquel James lui a envoyé.



De la même manière, nous ne découvrirons pas sa capacité à accéder aux fichiers depuis l'interface Teams:



pouvons-nous en quelque sorte obtenir des informations sur l'objet auquel Emma a accès? Oui, nous le pouvons, mais seulement en étudiant les droits d'accès à tout ou à un objet spécifique dans le SPO, pour lequel nous avons des soupçons.

Après avoir étudié ces droits, nous verrons qu'Emma et Chris ont des droits sur l'objet au niveau SPO.



Chris? Nous ne connaissons aucun Chris. D'où est-ce qu'il venait?

Et il nous «est venu» du groupe de sécurité «local» SPO, qui comprend déjà, à son tour, le groupe de sécurité Azure AD, avec des membres de l'équipe de compensation.



Peut-être que Microsoft Cloud App Security (MCAS) peut faire la lumière sur des questions qui nous intéressent en fournissant le bon niveau de compréhension?

Hélas, non ... Malgré le fait que nous pouvons voir Chris et Emma, ​​nous ne pouvons pas voir les utilisateurs spécifiques qui ont accès.

Niveaux et techniques d'accès O365 - Défis informatiques


Le processus le plus simple de fournir l'accès aux données sur les stockages de fichiers dans le périmètre des organisations n'est pas particulièrement compliqué et ne donne pratiquement pas la possibilité de contourner les droits d'accès accordés.



O365 offre de nombreuses possibilités de collaboration et d'accès aux données.

  • , , , , , ,
  • ,

Microsoft à O365 a probablement fourni trop de façons de modifier les listes de contrôle d'accès. Ces paramètres sont au niveau du locataire, des sites, des dossiers, des fichiers, des objets eux-mêmes et des liens vers ceux-ci. La configuration des paramètres d'accessibilité est importante et ne doit pas être négligée.

Nous vous offrons la possibilité de suivre gratuitement un cours vidéo d'environ une heure et demie sur la configuration de ces paramètres, dont un lien est donné au début de cet article.

Sans y réfléchir à deux fois, vous pouvez bloquer tout partage de fichiers externes, mais alors:

  • Certaines fonctionnalités de la plate-forme O365 resteront inutilisées, surtout si certains utilisateurs ont l'habitude de les utiliser à la maison ou lors d'un travail précédent
  • Les «utilisateurs avancés» «aideront» d'autres employés à violer vos règles par d'autres moyens

La configuration des capacités de partage comprend:

  • Différentes configurations pour chaque application: OD, SPO, AAD et MS Teams (une partie de la configuration ne peut être effectuée que par l'administrateur, une partie - uniquement par les utilisateurs eux-mêmes)
  • Configurations de configuration au niveau du locataire et au niveau de chaque site spécifique

Qu'est-ce que cela signifie pour IB


Comme nous l'avons vu ci-dessus, les droits d'accès fiables et complets aux données ne peuvent pas être vus dans une seule interface:



Ainsi, afin de comprendre qui a accès à CHAQUE fichier ou dossier spécifique, vous devrez créer indépendamment une matrice d'accès, en collectant des données, en tenant compte des éléments suivants:

  • Membres de l'équipe visibles dans Azure AD et les équipes, mais pas dans SPO
  • Les propriétaires d'équipe peuvent désigner des copropriétaires qui peuvent étendre eux-mêmes la liste des équipes
  • Les ÉQUIPES peuvent également inclure des utilisateurs EXTERNES - «Invités»
  • Les liens fournis pour le partage ou le téléchargement ne sont pas visibles dans Teams ou dans Azure AD - uniquement dans SPO et uniquement après des clics fastidieux
  • L'accès uniquement au site SPO n'est pas visible dans Teams

L'absence de contrôle centralisé signifie que vous ne pouvez pas:

  • Voir qui a accès à quelles ressources
  • Voir où se trouvent les données critiques
  • Satisfaire aux exigences de la réglementation exigeant une approche de la planification des services en mettant l'accent sur la confidentialité de l'accès à leur base
  • Détecter les comportements anormaux concernant les données critiques
  • Limiter la zone d'attaque
  • Choisir un moyen efficace de réduire le niveau de risque, basé sur leur évaluation

Sommaire


En conclusion, on peut dire que

  • , O365, , , , - O365
  • , , , - O365 , O365

More articles:


All Articles