之前在另外一篇文章中谈到过如何阻止向Office 365中上传文件,但是针对于Teams的文件上传没有详细介绍过。
这里首先让大家知道两个概念:
- Teams本身不止是一个软件在独立运行,后面包含了很多可以和文件互动的软件
- 向Teams上传的任何文件不能单单看成是一个上传动作,而是一个分享的操作
除了我们知道SharePoint Online以及OneDrive for Business是Teams的后台存储之外,很多我们可以通过选项卡,连接器,bot添加进来的app其实都是一个潜在的文件共享出口,如果一一去梳理哪些app,不管微软自己的还是第三方的app可能会有文件的交互,那需要花太大的功夫了。直接禁用所有第三方app即可:
对于微软自己的app,可以采用禁用许可证的方式,那么一般来说除了SharePoint Online OneDrive之外,还有Planner, Stream, PowerBI等一些软件会导致文件的互动
这里最重要的还是SharePoint和OneDrive,因为几乎所有的文件都存放在这里。那么大家注意了,这两项没有办法通过吊销许可证来达到禁用的目的。
先看OneDrive:
如果用户已经**启用了OneDrive,那么就算把SharePoint Online Plan1/2的许可证取消掉也是没用的,虽然用户无法看到OneDrive的logo,但是仍然可以直接通过url(https://domain-my.sharepoint.com/personal/upn)来访问,所以在Teams里也就顺理成章的可以从OneDrive在Teams中分享文件。
对于这个情况,使用管理员账号登录用户的OneDrive,把用户自己从网站所有者/管理员列表里删除即可:
这样等于是封了用户对自己OneDrive的访问权限,如果用户尝试点击Teams里的Onedrive或者在聊天里上传文件就会报错:
因为他/她已经没有了访问权限:
如果还没有给用户分配SharePoint许可证,或者更进一步,没有Pre-provision用户的OneDrive,那么不去分配许可证就可以了,另外就是要确保在SharePoint Online管理员界面的用户配置里取消掉对onedrive的所有权限:
这样用户使用的时候就会看到下面的提示信息:
有人会问,这么设置,用户Teams还怎么用?当然这是针对很特殊的部门或者场景,很多企业认为文件到了数据中心就是出了公司了,就不可以。
继续来看,另外一个方式就是使用信息屏障策略,不允许大家互相聊天,也就无法上传文件,那么一般这个场景就是只能用Teams来开会,因为聊天按钮是无法禁用掉的,只能做到隐藏,除非是使用Teams的升级模式来禁用聊天。不过这个也要搭配上面的方法才更进一步锁死文件共享。详细的方式可以参考官方文档或者我另一篇博客。
如果使用微软自己的解决方案,那么就是使用Cloud App Security里的session policy–会话策略了,当然这个需要E5的许可证,不过目前的bug就是,哪怕你们组织只有1个许可证,也可以给全公司来部署策略。但是肯定不久的将来就把这个bug给修复了。
最后的解决方案就是从网络层面抹杀掉,也就是禁用office 365里相关服务的url和ip地址。是的,网络规划的最佳实践微软一直是建议全部开放以及绕过防火墙和代理服务器,但是对于当前的情况,可以就把部分服务的url和ip加入黑名单不允许访问。因为以上讲到的很多都是限制公司自己的服务不可以访问,但是对于被邀请到其他office 365租户的情况就比较复杂,Teams自己是只有teams.microsoft.com这个域名,但是对于SharePoint这种还是可以有办法阻拦的。
数据安全与用户体验本身就是很难达到平衡的状态,各位IT量力而行,不过还是要以数据安全优先。