后疫情时期,原先充满仪式感的现场沟通纷纷转到线上,譬如法院开庭审判、商务协议签署、行业峰会等。随着远程协作的深入,安全、隐私、数据保护方面的问题浮出水面。如何控制企业数据在个人设备上的驻留、如何安全地远程会议、如何限制公司敏感信息分享等问题,成了企业 IT 运维管理的新挑战。带着疑问,软妹采访了微软 Microsoft 365 中国研发团队。
图片来源于网络01
大神分享
Microsoft Teams 安全合规最佳实践
Microsoft Teams 在全球181个国家和地区中,每天有超过4400万的活跃用户在使用。疫情期间,大中华区的使用人数增加了600%。
毛永刚,微软 Microsoft 365 中国研发团队的负责人暨首席产品经理:“Microsoft Teams 的设计与开发,遵循 Microsoft 可信计算安全开发生命周期(SDL)理念,采用安全设计的原则,从设计威胁模型开始,测试每一个功能,并在开发过程中不断进行安全性改进。”
Microsoft Teams 作为Microsoft 365 中的重要服务,遵循 Microsoft 365 的安全性和合规性,包括身份安全、信息保护、威胁防护和合规遵从等。以下是基于大量的企业 IT 管理实践,而综合出来的最需要关注的安全特性。
01 身份保护
Microsoft Teams 可以根据组织所定义的策略,强制执行团队范围和组织范围内的双重身份验证,通过 Azure AD 进行单点登录,并在传输和存放数据时进行数据加密。Azure AD 集中管理 Microsoft Teams 帐户的生命周期,包括开户、销户、启用或禁用帐户、帐户密码管理以及登录帐户的身份认证等。员工离职后,他的 Microsoft Teams 账号同步禁用,在各个群组里自动消失,避免了离职员工依然可以看到工作资料和群讨论所造成的困扰。 Azure AD 结合多因素身份认证(MFA),除了对登录帐户的密码进行验证外,还可对登录 Microsoft Teams 中的用户进行二次身份验证(如电话验证),进一步巩固用户账号的安全性。定制的 Microsoft Teams 登录界面,结合了 PIN,Smartcard 验证机制借助 Azure AD 的文档权限管理功能,当与组织外部人员协作的时候,可以有选择地控制数据访问范围和方式(包括读取、写入等),还可以通过权限管理服务(RMS)来防止外部人员下载文档,保护公司数据的安全。同样,RMS 也适用于组织内部,限制不同业务部门之间的敏感信息分享。阻止外部人员访问公司内部文件员工在会议过程中,尤其是重要机密的会议,如何保障信息安全呢?可以设置不同安全等级的Microsoft Teams 会议策略,并结合 Azure AD 中条件访问、设备管理、智能风险评估等安全策略,确保重要机密会议只有满足位置要求、设备要求以及其他安全检测要求时才能加入。
02 信息保护
Microsoft 365 中对于信息的保护,不仅适用于文件和电子邮件,Microsoft Teams 中同样适用。Microsoft Teams 上的所有聊天、文档共享、会议记录等数据都保存在企业 Microsoft 365 云端,由企业集中管控,微软不会以任何方式访问客户的云端数据,这是跟社交媒体最直观的差别。当您在团队中进行内容协作时,IT 管理员可以在企业中配置Azure 信息保护策略,通过自动或手动的方式,为机密信息添加安全标记并应用企业安全策略,从而自动完成信息检测、标记、保护和跟踪过程。仅限具有权限的人员打开查看,无法将文档共享给他人,甚至无法通过屏幕截图、桌面共享等方式分享。而且可以跟踪什么人、什么时间、在什么位置查看过机密信息,谁在无授权的情况下尝试打开信息被阻止。Azure 信息保护监控机密文档生命周期IT 管理员还可以同时配置 Windows 信息保护策略,机密信息只能通过企业授权的应用打开,例如Word、Excel 等,无法通过浏览器或其他第三方应用打开以及分享。结合 DLP 策略,在 Microsoft Teams 中不仅仅可以防止敏感文档泄露,即使会话中出现敏感内容,也会得到保护。
未授权应用中复制组织信息将会被阻止
IT 管理员可以为配置移动设备管理策略(MDM)和移动应用管理策略(MAM),这样,即使员工在个人设备上登陆Microsoft Teams 访问公司资源时,也能确保企业资源不会在设备中保留。
03 威胁防护
Microsoft 365 中的高级威胁防护(ATP)也可用于 Microsoft Teams 以及与 Microsoft Teams 整合的内容管理应用。开启安全链接、安全附件等功能,让用户避免钓鱼信息造成的企业数字资产损失。我们在平时上网时,恶意附件或恶意链接的攻击防不胜防。在 Microsoft 365 中开启“安全附件”功能,系统会对恶意内容进行实时行为恶意分析,并使用机器学习来评估恶意活动的内容,可有效防止来自恶意附件的攻击。开启“安全链接”功能后,当用户在 Microsoft Teams 中点击链接时,将实时对链接进行检查。如果链接不安全,就会警告用户不要访问网站,或告知用户该网站已被拦截,以此来避免来自恶意链接的攻击。同时还会提供报告,以便企业 IT 管理员跟踪单击链接的用户和单击时间。
Microsoft 365 安全中心的智能威胁监控
04 合规遵从
企业在开展海外业务时,往往要根据当地法律法规以及行业规范对企业信息进行合规性管理。Microsoft 365 已经获得90多项针对50多个全球区域及国家地区的合规性认证,及超过35种特定行业需要的合规认证。企业的安全合规管理部门需要对企业内的安全合规状况进行监控,并且不断完善安全合规策略。在Microsoft 365 安全与合规中心可以对安全合规策略进行统一的设置,并且通过仪表板监控到策略的实施情况,智能见解还会根据实际状况给出可行性建议。 Microsoft 365 合规中心企业配置 Microsoft 365 信息保留策略,对Microsoft Teams 中的信息进行管理,通过自动或手动处理的方式对涉及合规管理的信息执行保留、删除、法律封存等操作。同时配置电子数据展示实例,及时发现和管理企业中的合规信息。这些可适用于频道、聊天和文件、审核日志搜索以及与 Microsoft Intune 的移动应用程序管理。02
Microsoft Teams 行业实践分享
在一些具体的行业实践中,IT 管理人员是如何考虑和实施Microsoft Teams的安全性策略的呢?微软 Microsoft 365 中国研发团队高级产品经理陈希章以金融行业为例进行了说明。
金融行业作为受到监管的行业之一,很多企业需要通过对内部及外部沟通记录实施信息治理控制。Microsoft Teams 作为 Microsoft 365 信息治理的一部分,会话、消息等既可以永久保留,让团队成员随时查看,也可以应用信息治理策略,设定最短24小时的保留时长。
同时,像这样的很多的安全与合规策略都可以应用于 Microsoft Teams 中的聊天、会议和通话中。例如,可以配置会议的安全策略为特定用户禁用屏幕共享,控制用户编辑和删除消息的权限,或者通过 PowerShell 设置信息屏障,用以防止不同用户之间的非正常沟通。这为企业设置自己的信息治理策略提供了便捷安全的方式。
Microsoft Teams 通过创新的应用、智能云服务和世界一流的安全性,为用户提供了一个高安全性协作平台,抵御网络威胁并保护敏感信息。
