Get best of the week

Office 365和Microsoft团队-协作的便利性以及对安全性的影响



在本文中,我们将从用户,IT管理员和IS员工的角度展示与Microsoft Teams合作的样子。

首先,让我们澄清一下Teams和大多数其他Microsoft产品在其Office 365产品中的区别(以下简称为O365)。

Teams只是没有自己的云应用程序的客户。并将其管理的数据放置在各种O365应用程序中。

我们将展示当用户使用团队,SharePoint Online(以下称SPO)和OneDrive时“幕后”的情况。

如果您现在想继续学习使用Microsoft工具提供安全性的实际部分(总课程时间的1小时),我们强烈建议您收听此处提供的Office 365共享审核课程本课程除其他外,涵盖O365中的共享设置,这些共享设置只能通过PowerShell进行编辑。

认识Acme Co.的内部项目团队




在创建团队并由该团队的拥有者-Amelia提供适当的成员访问权限后,此团队在团队中的外观如下:



团队开始工作


琳达(Linda)暗示,只有与他们讨论过的詹姆士(James)和威廉(William)才会联系文件,并在她的频道中放置奖金计划。



詹姆斯反过来将访问此文件的链接定向到人力资源部门员工艾玛(Emma),该员工不属于团队。



威廉通过MS Teams聊天将包含第三方个人数据的合同发送给另一名Team成员:



我们爬到引擎盖下


Zoey现在有了Amelia的帮助,现在可以随时将任何人添加到团队中,也可以从团队中删除:



Linda布置了一个文档,其中包含仅供她的两个同事使用的关键数据,在创建该文档时会误认为Channel类型,该文件成为所有团队成员都可以访问:



幸运的是,有一个针对O365的Microsoft应用程序,您可以在其中(完全将其用于其他目的)快速查看所有用户可以访问的关键数据,用于测试仅包含在最常见安全组中的用户。

即使文件位于专用通道(专用通道)内,也不能保证只有特定人群才能访问它们。

在James的示例中,他提供了指向Emma文件的链接,该文件甚至没有包含在团队中,更不用说访问私有频道了(如果是私人频道)。

在这种情况下,最糟糕的是,由于直接向访问权限授予了访问权限,因此我们不会在Azure AD的安全组中的任何位置看到有关此信息的信息。

威廉发送的PDN文件将随时提供给玛格丽特,而不仅仅是在在线聊天时。

我们爬到腰部


我们进一步了解。首先,让我们看看当用户在MS Teams中创建一个新Team时到底发生了什么:



  • 正在Azure AD中创建一个新的Office 365安全组,其中包括团队所有者和成员
  • 新团队的网站是在SharePoint Online(以下称为SPO)中创建的
  • 在SPO中创建了三个新的本地(仅在此服务中处于活动状态)组:所有者,成员,访问者
  • 在Exchange Online中进行更改

MS Teams数据及其居住地


团队不是数据仓库或平台。它与所有Office 365解决方案集成在一起。



  • O365提供了许多应用程序和产品,但数据始终存储在以下位置:SharePoint Online(SPO),OneDrive(以下简称OD),Exchange Online,Azure AD
  • 您通过MS Teams共享或接收的数据存储在这些平台上,而不是存储在Teams本身内
  • 在这种情况下,风险是协作的增长趋势。有权访问SPO和OD平台上的数据的任何人都可以将其提供给组织内部和外部的任何人。
  • ( ) SPO,
  • Documents SPO:
    • Documents SPO ( , )
    • Email-, , “Email Messages”

  • , SPO, , ( — SPO)
  • , , OneDrive ( “Microsoft Teams Chat Files”),
  • 聊天和聊天内容分别存储在用户和团队邮箱的隐藏文件夹中。现在无法获得对它们的更多访问权限。

化油器中有水,货舱中有水


信息安全方面要记住的重要要点

  • 访问控制以及对谁可以被授予重要数据权限的理解被转移到最终用户级别。没有完整的集中控制或监视
  • 当某人共享公司数据时,别人看不到您的“盲点”,但您却看不到。



在团队成员的列表中(通过Azure AD中的安全组),我们看不到Emma,但是她可以访问特定文件,这是James发送给她的链接。



同样,我们不会从Teams界面中找到其访问文件的能力:



我们能否以某种方式获得有关Emma可以访问哪个对象的信息?是的,我们可以,但是只能通过研究对我们怀疑的所有内容或对SPO中特定对象的访问权限来实现。

研究了此类权利之后,我们将看到Emma和Chris在SPO级别上拥有该对象的权利。



克里斯?我们不认识克里斯。他来自哪里?

然后他从“本地”安全组“ SPO”“找我们”,该组织已经包括Azure AD安全组以及补偿团队的成员。



也许Microsoft Cloud App Security(MCAS)通过提供正确的理解水平可以阐明我们感兴趣的问题?

las,不...尽管我们可以看到Chris和Emma,但我们看不到被授予访问权限的特定用户。

O365访问级别和技术-IT挑战


提供对组织范围内文件存储上的数据的访问的最简单过程并不特别复杂,并且实际上并没有提供绕过授予的访问权限的机会。



O365有很多协作和数据访问的机会。

  • , , , , , ,
  • ,

Microsoft在O365可能已经提供了太多修改访问控制列表的方法。此类设置位于租户,站点,文件夹,文件,对象本身以及指向它们的链接的级别。配置辅助功能设置很重要,不应忽略。

我们提供了一个免费的,大约一个半小时的视频教程,介绍有关这些参数的配置的信息,本文开头提供了一个链接。

无需三思,就可以阻止所有外部文件共享,但是然后:

  • O365平台的某些功能将保留不使用,特别是如果某些用户习惯在家中或以前的工作中使用它们时
  • “高级用户”将“帮助”其他员工通过其他方式违反您的规定

配置共享功能包括:

  • 每个应用程序的不同配置:OD,SPO,AAD和MS团队(部分配置只能由管理员来完成,部分-只能由用户自己来完成)
  • 租户级别和每个特定站点级别的配置配置

这对IB意味着什么


正如我们在上面看到的,不能在单个界面上看到对数据的完全可靠的访问权限:



因此,为了了解谁有权访问每个特定的文件或文件夹,您将需要独立创建一个访问矩阵,为它收集数据,并考虑以下因素:

  • 在Azure AD和团队中可见团队成员,但在SPO中不可见
  • 团队所有者可以指定共同所有者,他们可以自己扩展团队列表
  • 团队可能还包括外部用户-“来宾”
  • 提供给共享或下载的链接在团队或Azure AD中不可见-仅在SPO中,并且仅在单调乏味的点击后
  • 在Teams中看不到仅对SPO站点的访问

缺乏集中控制意味着您不能:

  • 查看谁有权访问哪些资源
  • 查看关键数据在哪里
  • 符合法规要求,要求以规划服务的方法为重点,其核心是访问的保密性
  • 检测有关关键数据的异常行为
  • 限制攻击范围
  • 根据评估结果,选择一种降低风险水平的有效方法

摘要


作为结论,我们可以说

  • , O365, , , , - O365
  • , , , - O365 , O365

More articles:


All Articles