确保Microsoft团队安全的5条提示
确保Microsoft团队安全的5条提示
Microsoft Teams是一个非常适合远程办公的协作工作解决方案。借助团队,远程团队可以围绕多个聊天渠道进行协作,在内部和外部共享文件,甚至可以直接在团队界面中进行协作编辑。
但是,从信息系统安全员(RSSI)的角度来看,对Microsoft团队的工作方式,尤其是此解决方案如何在现有基础结构上建立良好的了解至关重要。因为在团队之后,我们找到了OneDrive和传统的Sharepoint。因此,最终,团队可以被视为常规文件共享服务的新前端。它为员工提供了传播信息的新方法,尤其是在可以与外部人员融合的讨论小组中,并且能够控制传播非常重要
轻松分享
鼓励团队用户共享文档,解决方案界面完美体现了这一理念:因此,在小组对话中添加文档很简单,因此,共享的所有文件都按以下方式分类在易于访问的标签中设置格式。在所有这些内容的背后,文档存储在Sharepoint实例上,并且相关讨论通道的参与者可以访问这些文档。
尽管管理员通常很容易理解Sharepoint权限的控制,但是Team和所谓的“来宾”帐户的出现可以改变游戏规则。因为原本会在其“团队”报价上稍微激活“来宾”访问权限的管理员可能不知道每个来宾实际上是他的Active Directory上的新用户,并且可以邀请后者来加入n任何聊天频道。而且,如果在讨论过程中共享内部文件,则只要他们有权访问该频道,所有参与者(包括来宾)都将可以使用这些文件。
这种情况当然是完全合理的,甚至是解决方案的一部分。但是,对于RSSI而言,这意味着它不仅必须保持可见性,而且不但要保持其Sharepoint上可用内容的可见性,而且还必须现在保持如何通过对访客开放的新团队聊天通道访问它的可见性(此功能仅在2019年11月才出现,因此它是最近的并且并不总是被很好地理解)。
以下是与Microsoft团队共享安全性的五个基本规则:
- 实施多因素访问控制
MFA被认为是减少标识符盗窃影响的最有效方法之一,在团队环境中,MFA可以保证至少访客会独自一人联系,即使他们被盗了也是如此。标识符(这更加重要,因为RSSI无法控制如何保护它们)。 - 在Sharepoint Online上对文档进行分类
由于在团队讨论框架内共享的任何文档最终都将存储在Sharepoint Online上,因此这是理想的位置,无需跟踪敏感信息,包括来自共享的信息在小组讨论中。 - 防止在不受控制的设备上下载
在Teams讨论框架内共享的任何文档都不一定需要由外部参与者下载,尤其是因为Teams已经直接从其界面提供其版本。如果业务需要允许,将文件下载限制到仅由ISD管理的终端(因此是内部)可能会很有用。 - 定期检查访客用户
可以激活的外部用户(“来宾”)的数量取决于Azure AD许可证的级别(请参阅https://docs.microsoft.com/fr-fr/azure/active-directory/b2b /许可指南)。因此,它们的数量是有限的,并且最好定期审核Azure AD实例,以监视创建了多少个来宾帐户,停用最旧的并可能检测到异常的帐户,或者标识将滥用此功能的内部用户。供个人使用 - 审核SharePoint“来宾”共享
这是经典SharePoint管理中的良好做法,但在团队环境中同样重要:持续审核公共共享的文档。在SharePoint中,这通常涉及共享配置为所有人均可访问的链接。在团队中,这现在还将涉及分配给特定“来宾”用户的文档。因此,有必要在这样的来宾用户,其所属的讨论渠道和已共享给他的文档之间建立链接,以确保这些用户中不会出现外部不希望访问的敏感信息。应该没有访问权限。
每日时事通讯
通讯订阅
看一个例子
收集的信息旨在提供给CCM Benchmark Group,以确保发送您的新闻通讯。
它们还将根据订阅的选项使用,以用于广告定位。
您有权访问和更正您的个人数据,并有权在法律规定的范围内要求将其删除。
您也可以随时查看定位选项。详细了解我们的隐私政策。
最终,Microsoft Teams为用户提供了新的,有效的方式来使用和与外部人共享和共享业务信息。 RSSI必须充分了解这些新共享的工作方式,并将其集成到SharePoint的信息保护策略中。