Комментарии 6
И самое главное — запретить разбрасываться файлами в Microsoft Teams, то есть просто отключить sharing файлов для всех раз и навсегда — нельзя! Какую бы лицензию вы не купили. Просто нельзя и всё. Видимо, Teams это не продукт, который в Microsoft продают клиентам, а исключительно способ переманить всех в своё облако.
Да, отключить возможность предоставления доступа к файлам пользователями полностью нельзя. Но можно выставить, без применения сторонних средств, ограничения на предоставление доступа внешним пользователям, а также указать диапазон IP-адресов, с которого возможно подключение к O365 для вашего теннанта.
Вот в тексте у вас проскочило «Недолго думая, можно заблокировать и весь внешний файлообмен». Так все-таки можно? У меня руководство похоронило проект по Teams именно потому что все партнеры MS сказали что так нельзя.
ну и совсем тупой вопрос (на который не ответили Croc, Softline и айтеко) — есть ли все-таки способ разрешить Teams для части пользователей только с определенных «айпишников»? Говоря по простому только когда они работают внутри корпоративного периметра? Лирику про то, что «облака не для этого» и «надо воспитывать ответственного пользователя» мы тут опускаем…
Вот в тексте у вас проскочило «Недолго думая, можно заблокировать и весь внешний файлообмен». Так все-таки можно? У меня руководство похоронило проект по Teams именно потому что все партнеры MS сказали что так нельзя.

Имеется в виду, можно запретить обмениваться файлами с гостями и со сторонними облаками, но не с Microsoft.

ну и совсем тупой вопрос (на который не ответили Croc, Softline и айтеко) — есть ли все-таки способ разрешить Teams для части пользователей только с определенных «айпишников»? Говоря по простому только когда они работают внутри корпоративного периметра? Лирику про то, что «облака не для этого» и «надо воспитывать ответственного пользователя» мы тут опускаем…

При наличии Microsoft Azure AD Premium P1 лицензии и выше, можно настроить Conditional Acess Policy с разрешением захода группе пользователей только из Named Location. А Named Location настраивается по IP ranges. Опционально, можно потребовать двухфакторную аутентификацию при попытке входа извне, но надо иметь в виду, что если телефон не указан в настройках пользователя, то первый раз пустит из любого места с любым телефоном и запомнит этот телефон, что противоречит идеологии двухфакторной аутентификации на корню, но зато не надо лишний раз напрягаться.
Как вы верно отметили, мы написали о том, что внешний файлообмен (так, как понимает его Microsoft) заблокировать можно. Более детально об этом вы можете узнать, посмотрев указанный в начале статьи обучающий курс.
Если же отвечать на ваш вопрос так, как он задан:
«есть ли все-таки способ разрешить Teams для части пользователей только с определенных «айпишников»? Говоря по простому только когда они работают внутри корпоративного периметра?»
— то ответ будет скорее нет, чем да, если лица, которым требуется ограничить доступ, будут использовать для работы с O365 из периметра корпоративной сети ноутбуки и/или личные устройства.

В ином случае, есть вариант настроить MFA таким образом, чтобы, используя сертификаты, или ещё какие-либо критерии, ограничивать доступ в облако, связывая условие с конкретными устройствами. Т.е. пользователи, которым таковой доступ извне периметра будет разрешён, будут, например, иметь на носимых устройствах, или домашних компьютерах, соответствующие сертификаты. Разумеется, в таком примере, сертификаты придётся установить и на все рабочие станции/терминальные серверы внутри периметра тоже.
Эту меру можно совместить с указанием «белого списка» IP-адресов для доступа, если планируется также запретить и доступ с динамического диапазона (когда человек находится в дороге или просто решил использовать мобильную точку доступа Wi-Fi с не разрешённым к использованию Вами IP-адресом).

Вероятно, имеются какие-либо продвинутые CASB, которые могут регулировать политику доступа так же, как указано в ответе на комментарий выше (без сертификатов или иных критериев, только по IP-адресам), но разделяя на группы пользователей, для которых применяются строгие и менее строгие ограничения по диапазонам адресов, с которых возможен доступ. Нам о таких решениях неизвестно.
Есть что почерпнуть в вашей статье, но:
В M365 есть Центр администрирования «Безопасность и соответствие». В разделе «поиск в журнале аудита», можно просматривать всю цепочку предоставления прав на документы пользователями.
Так же если не ошибаюсь в политиках потери данных можно настроить политики на чувствительные данные (например оповещение отдела ИБ, если дан доступ на файл с номером счёта).
Мне кажется если забрать у людей возможность просто и быстро расшарить файл, они могут искать обходные пути, например скачать файл и перекинуть другому, открыть и скопировать информацию для передачи другому, и в таком случае вы уже теряете цепочку передачи информации.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Информация
Дата основания

1 мая 2005

Численность

1 001–5 000 человек

Дата регистрации

4 февраля 2015

Блог на Хабре