Gelegentlich fragen Kunden nach der Möglichkeit, auf Microsoft 365 von Geräten zuzugreifen, die nicht von ihrer Organisation verwaltet werden. Dies kann auf eine Bring-your-own-device (BYOD)-Strategie zurückzuführen sein, den Wunsch, unterwegs auf Arbeitsdateien zuzugreifen, die Zusammenarbeit mit Gästen oder eine Vielzahl anderer Gründe.
Speziell für VDI: Nutzung des vollständigen Teams-Desktop-Clients anstelle der eingeschränkten virtuellen Desktop-Version erlauben. Es wird erwartet, dass sich dies mit der Neuentwicklung der Integrations-Engine verbessert, aber ähnliche Versprechen höre ich schon seit den Skype for Business-Tagen.
Obwohl dies zunächst wie eine einfache Anfrage erscheinen mag, da M365 als SaaS theoretisch von überall aus zugänglich ist, gibt es normalerweise einen Haken: Benutzer sollten keine Dateien auf ein nicht verwaltetes Gerät herunterladen können (Anforderungen können je nach Sicherheitsbedenken variieren).
In diesem Artikel werde ich in die Funktionen aus Conditional Access eintauchen, „app enforced restrictions“ und „Conditional Access App Control“ (CAAC). Dies sind oft die ersten konfigurierten Maßnahmen. Der Hauptvorteil, den ich sehe, ist, dass sie minimalen Aufwand erfordern, um eingerichtet zu werden. Es könnte aber helfen, dass sie unter den ersten Ergebnisse sind, wenn Sie nach „Dateidownload Office 365 blockieren“ suchen.
Während Ausgangspunkte also offensichtlich sein mögen, fällt es mir schwer, aktuelle Verhaltensweisen der Optionen und deren bekannte Einschränkungen zu finden. Daher habe ich meine Erfahrungen und Gedanken organisiert, um Ihnen zu helfen, eine genauere Passform für Ihren Anwendungsfall zu finden und meine Fehler bei der Implementierung zu vermeiden.
Mir sind keine „kostenlosen“ Lösungen bekannt. Um Kontrolle über Daten zu übernehmen, benötigen Sie eine Lizenz, die Conditional Access umfasst, und für CAAC muss auch „Defender for Cloud Apps“ abgedeckt sein.
Ich empfehle M365 Maps für einen aktuellen Überblick darüber, welche Pläne diese Funktionen beinhalten.
Unsere beiden Conditional Access-Kontrollkästchen repräsentieren sehr unterschiedliche Steuerungen. „Use app enforced restrictions“ wird von den Anwendungen selbst durchgesetzt. Conditional Access gibt das Signal, die Apps übernehmen den Schutz. Je nach gewählten Einstellungen können diese Einschränkungen entweder Benutzer darauf beschränken, Dateien nur im Browser zu öffnen, den Zugriff auf nicht unterstützte Dateien vollständig blockieren oder mehr. Zu den betreffenden „Anwendungen“ gehören die Outlook-Webanwendung (nicht Exchange Online!), SharePoint Online und in der Verlängerung OneDrive, Word Online, Teams und andere.
Im Gegensatz dazu nutzen Conditional Access App Controls Microsoft Defender for Cloud Apps (MDCA). Nach der Authentifizierung wird der Benutzer zu einem Proxy zwischen ihm und der Anwendung weitergeleitet, der dann die Sitzung kontrolliert. Warum heißt es dann nicht MDCA App Controls? Fragen Sie nicht mich 🤷♂️
Defender for Cloud Apps kann viel mehr, als hier aufgeführt. Ich konzentriere mich auf Funktionen, die mit app enforced restrictions vergleichbar sind.
Beide Lösungen bieten die gewünschte Kontrolle über Dateidownloads in Office 365. Lassen Sie uns ihr Verhalten genauer untersuchen, um zu verstehen, wie sie diese Anforderungen erfüllen.
Mein Testsetup war einfach: Ich aktivierte app enforced restrictions für SharePoint und Outlook Web App (OWA) mit den Standardeinstellungen und wies die zugehörige Conditional Access-Richtlinie einem Testbenutzer zu. Zusätzlich erstellte ich eine einfache Session Policy in Defender for Cloud Apps und wandte die entsprechende Conditional Access-Richtlinie auf einen anderen Testbenutzer an.
Detaillierte Einrichtungsschritte finden Sie im Setup-Kapitel.
Die meisten meiner Tests wurden aus der Perspektive des neuen Teams durchgeführt, mit regelmäßiger Überprüfung des Verhaltens mit dem Edge-Browser unter Windows (ohne die neue Sitzungsunterstützung in Enterprise Edge).
Warum der Fokus auf Teams? In vielen Artikeln zu diesem Thema wird Teams oft übersehen. Dies ist bis zu einem gewissen Grad verständlich, da app enforced restrictions nicht explizit für Teams entwickelt wurden und Conditional Access App Controls (CAAC) auf jede Anwendung angewendet werden können. Da Teams jedoch eine der am häufigsten nachgefragten Anwendungen für diese Kontrollen ist, habe ich mich entschieden, den Fokus darauf zu legen.
Darüber hinaus konzentrierte ich mich auf die Teams-Desktopanwendung, da sie im Wesentlichen als Browser fungiert und die meisten Verhaltensweisen von SharePoint oder dem Teams-Browserclient erbt. Ich werde Unterschiede dort hervorheben, wo sie zutreffen.
Lassen Sie uns in die Testergebnisse eintauchen.
Sobald Sie die Voraussetzungen eingerichtet und sie über Conditional Access auf einen Benutzer angewandt haben, wird dieser die folgende Warnung sehen, wenn er eine SharePoint-Seite oder ein Dokument öffnet:
Im Teams-Client wird diese Warnung nicht in der Dateiansicht oder den meisten Registerkarten angezeigt. Sie erscheint nur, wenn Sie im Word- oder Excel-Plugin sind, was für den Benutzer verwirrend sein kann, da einige Funktionen fehlen oder nicht funktionieren. Die Anwendung informiert den Benutzer nicht über diese Einschränkungen; daher muss er sich dieser Einschränkungen durch organisatorische Kommunikation bewusst sein.
Vergessen Sie nicht, Ihren Helpdesk vorzubereiten.
Der auffälligste und einfachste Unterschied ist das Entfernen der Option zum Herunterladen von Dateien. Unter aktiven app enforced restrictions ist die Download-Option in der Dateiansicht nicht mehr verfügbar, ebenso wie in einer SharePoint-Bibliothek.
|
app enforced restrictions |
Normal |
---|---|---|
Schnellöffnungsoptionen |
|
|
Erweiterte Optionen |
|
|
Die Option „In Desktop-App öffnen“ wird nicht konsistent in allen Szenarien ausgeblendet. Zum Beispiel kann in SharePoint oder während 1:1-Chats beim Navigieren zu Dateien aus der Desktop-App diese Option weiterhin angezeigt werden.
Durch Klicken auf diese Schaltfläche wird die entsprechende Office-Anwendung (Word, PowerPoint usw.) geöffnet, aber der Benutzer wird aufgefordert, sich erneut zu authentifizieren und erhält dann eine irreführende „Zugriff verweigert“-Meldung, die möglicherweise sogar eine Aufforderung zum „Anfordern von Berechtigungen vom Eigentümer in SharePoint“ enthält.
Optionen |
Fehler in Word, wenn „desktop app“ ausgewählt wird |
---|---|
|
|
Ich würde definitiv nicht empfehlen, sich auf Defender for Cloud Apps zur Verwaltung von Office-Desktop-Anwendungen zu verlassen. Während meiner Tests war das Verhalten äußerst inkonsistent, was mich dazu veranlasste, detaillierte Ergebnisse für diese Anwendungen auszuschließen. Beispielsweise wurden manchmal Downloads blockiert, und manchmal nicht, was zu einer unzuverlässigen Durchsetzung führte.
Dies ist eine Download-Blockierungsrichtlinie als Beispiel. Es gibt keine bemerkbaren Änderungen in der Benutzeroberfläche, abgesehen davon, dass sich die URL in eine .mcas.com-Domain ändert. Benutzer werden erst feststellen, ob ihr Download blockiert ist, wenn sie versuchen, auf die Download-Schaltfläche zu klicken:
Angesichts der Inkonsistenz dieser Kontrollen in Desktop-Anwendungen passten sie nicht zu dem, wonach ich in meinen Tests suchte.
Ein wesentliches Problem ist, dass das Öffnen einer Datei in der Desktop-Anwendung nicht als Download erkannt wird. Es scheint keine Methode zu geben, um zu verhindern, dass ein Benutzer die Option „Öffnen in > ____ Desktop-App“ verwendet und die Datei anschließend von dort speichert.
Diese Einschränkung macht es notwendig, Defender for Cloud Apps mit app enforced restrictions zu kombinieren, die das Verhalten bieten würden, das wir bereits vorhin untersucht haben. Alternativ können andere Methoden wie das Blockieren des Zugriffs auf Desktop-Anwendungen oder ähnliche Maßnahmen den erforderlichen Schutz bieten.
App Enforced Restrictions
Downloads deaktiviert: In der Teams-Dateiansicht deaktivieren app enforced restrictions die Download-Option, ähnlich wie das Verhalten in SharePoint-Bibliotheken.
Inkonsistentes ‚In Desktop-App öffnen‘: Diese Option wird nicht in allen Kontexten einheitlich ausgeblendet, was zu verwirrenden „Zugriff verweigert“-Meldungen führen kann, wenn Benutzer versuchen, Dateien in Desktop-Anwendungen zu öffnen.
Inkonsistente In-App-Warnungen: Teams benachrichtigt Benutzer nicht über die bestehenden Einschränkungen, was zu Verwirrung führen kann, wenn Funktionen wie das Herunterladen oder das Öffnen von Dateien in Desktop-Anwendungen fehlen oder nicht funktionieren.
Defender for Cloud Apps (MDCA)
Unzuverlässige Desktop-Kontrolle: MDCA ist inkonsistent beim Blockieren von Downloads in Office-Desktop-Anwendungen. Benutzer können diese Einschränkungen umgehen, indem sie die Option „Öffnen in > Desktop-App“ verwenden und Dateien lokal speichern.
Kombinierte Kontrollen erforderlich: Um einen robusten Schutz zu gewährleisten, ist es notwendig, MDCA mit app enforced restrictions zu kombinieren oder Maßnahmen zu implementieren, die den Zugriff von Desktop-Anwendungen auf persönlichen Geräten vollständig blockieren.
Für einen prägnanteren Vergleich mit leicht unterschiedlichen Ergebnissen siehe Peter van der Woude’s Vergleich der Datensicherheit auf persönlichen Windows-Geräten, der auch App Protection Policies in Windows Edge einschließt. Ich entdeckte seine Arbeit, nachdem ich meine Tests durchgeführt und meine Schlussfolgerungen gezogen hatte, daher beeinflusste sie meine Ergebnisse nicht.
Nun, da wir die Verhaltensweisen dieser Funktionen untersucht haben, lassen Sie uns schnell überprüfen, wie man sie konfiguriert.
Einfach den Haken bei „App Enforced Restrictions“ oder „Conditional Access App Controls“ in einer CA Policy zu setzen reicht nicht aus, um diese Kontrollen zum Laufen zu bringen. Weitere Konfiguration ist erforderlich. Glücklicherweise haben sich diese Schritte seit ihrer Einführung kaum verändert, sodass reichlich Ressourcen und Anleitungen für die Implementierung verfügbar sind. Hier habe ich einige wichtige Konfigurationsressourcen zusammengestellt und wichtige Überlegungen hervorgehoben, die nicht häufig besprochen werden.
Grundlegende Schritte:
Konfigurieren Sie SharePoint Online für Conditional Access
Konfigurieren Sie Outlook Web App für Conditional Access
Richten Sie Richtlinien für Conditional Access Zugriff ein
Komplette Anleitungen:
Schritt-für-Schritt Einrichtung mit Benutzererfahrungsbeispielen von Kenneth Van Surksum
Microsoft Learn: Konfiguration SharePoint für Conditional Access
Microsoft Learn: Konfiguration von Outlook Web App für den bedingten Zugriff
Gut zu wissen:
Verbreitungszeit: Es kann bis zu 24 Stunden dauern, bis Änderungen in SharePoint wirksam werden. Benutzer müssen sich von allen aktiven Sitzungen abmelden, damit die Kontrollen insbesondere in Desktop-Apps wirksam werden.
Anpassen der CA Policies: Die standardmäßig vom SharePoint Admin Center erstellten CA Policies können durch benutzerdefinierte Richtlinien ersetzt werden, um besser zu Ihren Anforderungen zu passen. Beispielsweise sind sie zunächst nur auf SharePoint Online anstelle von Office 365 ausgerichtet.
Immer legacy Authentication blockieren: Conditional Access Policies werden von „alten“ Authentifizierungsmethoden nicht beachtet.
Organisations- vs. Site-Level-Richtlinien: Wenn Sie eine Richtlinie auf Organisationsebene festlegen, können Sie keine weniger restriktiven Einstellungen auf Site-Ebene anwenden. Um weniger restriktive Einstellungen zu implementieren, müssen Sie die Richtlinie auf Organisationsebene anpassen und eine Lösung erstellen, um neue Sites automatisch einzuschränken.
Benutzerdefinierte SharePoint-Anwendungen: Wenn Sie benutzerdefinierte Anwendungen in SharePoint haben, müssen Sie möglicherweise einzelne Dateien ausschließen, die für Ihre Lösung erforderlich sind. Lassen Sie mich wissen, wie das funktioniert.
Einschränkungen basierend auf Sensitivitätslabels: app enforced restrictions können auch basierend auf Sensitivitätslabels angewendet werden, um unterschiedliche Kontrollen basierend auf der Klassifizierung der Inhalte zu ermöglichen.
Grundlegende Schritte:
Aktivieren Sie eine CA Policy mit Conditional Access App Control
Konfigurieren Sie die Richtlinien in Defender for Cloud Apps nach Bedarf
(Optional für möglicherweise bessere Benutzererfahrung: Durchsetzung in Edge)
Die Konfiguration von Defender for Cloud Apps kann ziemlich komplex sein. Für unsere Zwecke sind hier einige für unseren Anwendungsfall relevante, grundlegende Konfigurationsbeispiele:
Ich möchte betonen, dass diese Funktionen zum Zeitpunkt des Schreibens eine E5-Lizenz (Office 365 E5, EMS E5 oder M365 E5) erfordern.
Viele ältere Anleitungen spiegeln noch nicht die Migration der Richtlinienverwaltung vom separaten MCAS-Portal zur neuen Location unter https://security.microsoft.com/cloudapps/policies/management?tid=[yourtenant] wider. Obwohl sich die URL geändert hat, sind die Screenshots und Schritte in diesen Anleitungen weiterhin anwendbar.
Durch unsere Tests haben wir festgestellt, dass wir eine effektive Kontrolle über die Teams-Client-App haben. Ähnlich verhält sich der neue Outlook-Client wie die Outlook-Webanwendung (OWA), was bedeutet, dass wir sie genauso gut wie den Browser verwenden könnten. Dies umfasst das Anzeigen der Warnung, dass app enforced restrictions aktiv sind, das Deaktivieren von Download-Optionen und das Anzeigen der Meldung „Zugriff verweigert“, wenn versucht wird, Dateien in der Desktop-Version von Office Apps zu öffnen. ABER
Standarddialog |
App Enforced Restrictions Dialog |
---|---|
|
|
Wenn wir den Zugriff auf Exchange Online zulassen, ist der neue Outlook-Client nicht der einzige „mobile app and desktop client“, der verwendet werden könnte. Legacy-Clients wie Outlook 2016, Thunderbird und andere sind nach wie vor weit verbreitet und respektieren weder App Enforced Restrictions noch Defender for Cloud Apps. Da diese Clients keinen Webverkehr verwenden, können Defender for Cloud Apps-Sitzungs- oder Zugriffsrichtlinien den SMTP-, IMAP- oder EWS-Verkehr nicht blockieren, da diese niemals über einen Web-Proxy geleitet werden.
Um dies zu verwalten, müssen wir den Zugriff auf EWS und IMAP blockieren und gleichzeitig den Zugriff auf Clients ermöglichen, die unsere Richtlinien einhalten.
Durch die Verwendung von Conditional Access, um problematische „dicke“ E-Mail-Clients am Zugriff auf Exchange Online zu hindern, können wir verhindern, dass diese Clients Sicherheitskontrollen umgehen:
Leider beeinträchtigt das Blockieren des Zugriffs auf Exchange Online auch den Teams-Client, da dieser im Backend Exchange Online-Anrufe verwendet.
Teams-Client ist blockiert |
Aufgrund von Exchange Online-Blockierung |
---|---|
|
|
Idealerweise würden sich die neuen Teams- und Outlook-Clients als Browser identifizieren, da sie im Wesentlichen so funktionieren – oder wir könnten explizite Ausnahmen für die Blockierung erstellen. Derzeit werden sie jedoch als „echte“ Client-Anwendungen identifiziert, was dazu führt, dass sie unter denselben Richtlinien blockiert werden, die andere Desktop-Clients blockieren.
Die „aktuelle“ „Lösung“ sind Client Access Rules, die den Zugriff auf der Datenebene statt auf der Authentifizierungsebene blockieren. Dies ist in lokalen Exchange-Umgebungen oder für Mandanten mit bestehenden Konfigurationen machbar. Diese Lösung wird jedoch in Exchange Online bis September dieses Jahres vollständig eingestellt, wie die Diskussion im zugehörigen Blogbeitrag zeigt, derzeit ohne Ersatz.
In manchen Fällen musste sogar die Verwaltung dieser Richtlinien vom Support für diejenigen, die sie noch benötigen, erneut aktiviert werden.
Zusätzlich bezweifle ich, dass der Zugriff auf Exchange Online für die Funktionalität von Teams irrelevant ist. Obwohl ich dies nicht weiter untersucht habe, ist es wahrscheinlich, dass das Blockieren von Exchange Online dazu führen könnte, dass Funktionen in Teams nicht richtig funktionieren. Wenn Sie spezifische Beispiele kennen, wären Ihre Erkenntnisse wertvoll.
Nebenbei: Wenn Sie eine Defender for Cloud Apps Conditional Access-Sitzungsrichtlinie erstellen, gibt es am unteren Rand der Richtlinie eine Warnung, die die unterstützte Konfiguration deutlich macht:
Na gut, wir haben jetzt die Exchange Online Lücke geschlossen, sind unsere Daten nun komplett sicher?
Selbst nach dem Blockieren von Zugriff auf Office für Desktop Clients und der Beschränkung auf den Browserzugriff sind Ihre Daten möglicherweise immer noch nicht vollständig geschützt. Hier sind einige nennenswerte Möglichkeiten, wie Schutzmaßnahmen umgangen werden können, und entsprechende Minderungsstrategien:
Die Funktionalität „Immersive Reader“ in SharePoint kann app enforced restrictions umgehen. Werkzeuge, um diese Funktion auszunutzen, sind leicht verfügbar. Um dieses Risiko zu mindern, sollten Sie die folgenden Strategien in Betracht ziehen, geordnet nach Brauchbarkeit:
Blockieren von persönlichen/ unverwalteten Geräten
Erstellen eines Alarmprozesses für den User-Agent „ODMTADemand-Transform_ImmersiveReader“, beispielsweise in Defender for Cloud Apps
Durch Ändern des User-Agent-Strings im Browser oder die Verwendung eines anderen User-Agent-Strings für Webanfragen, können Benutzer Defender for Cloud Apps (MDCA) und Conditional Access App Control (CAAC) umgehen. Potenzielle Gegenmaßnahmen sind erneut App protection Policies in Edge und das Vermeiden der Nutzung von persönlichen Geräten.
Wenn Sie Safari verwenden, ist keine Spoofing notwendig – der Browser wird nicht unterstützt, sodass standardmäßig eine Umgehung erfolgt.
Darüber hinaus sollten Sie sich bewusst sein, dass CAAC einige erhebliche Einschränkungen aufweist. Siehe die Microsoft Learn-Dokumentation zu CAAC Limitierungen.
Dieser Artikel mag sehr kritisch erscheinen, aber es ist wichtig, diese Optionen genau zu prüfen. Es ist weitaus einfacher, die Risiken im Voraus zu erkennen und zu akzeptieren, als sie zu rechtfertigen, wenn ein CISO oder ein Datenschutzbeauftragter Ihre Konfigurationsentscheidungen hinterfragt.
Einschränken von Downloads oder Copy-Pasting ist nicht narrensicher. Sobald Daten auf einem Bildschirm sichtbar sind, können sie mittels optischer Zeichenerkennung (OCR) oder einfacher Bildschirmaufzeichnung exfiltriert werden. Daher ist es unrealistisch, 100%igen Schutz zu erreichen, wenn ein Benutzer die Daten anzeigen kann. Der effektivste Weg, Datenexfiltration zu verhindern, besteht darin, den Zugriff vollständig basierend auf Benutzerberechtigungen oder Geräteverwaltung zu blockieren.
Angesichts der Einschränkungen sehe ich ohne zusätzliche Maßnahmen die folgenden Ziele als praktikabel an:
Verhindern versehentlicher Downloads
Abschrecken von Datenexfiltration
Einhaltung von weniger strengen Regularien, bei denen ein „bestmögliches Bemühen“ ausreicht
Zusammenfassend bin ich ein starker Befürworter von app enforced restrictions. Sie sind einfach zu implementieren und verhindern effektiv versehentliche Downloads, während sie massenhafte Exfiltration abschrecken.
Defender for Cloud Apps bietet erweiterte Funktionen, die vorteilhaft sein können, aber es ist wichtig, gründliche Tests durchzuführen, um sicherzustellen, dass sie in Ihrer Umgebung wie erwartet funktionieren.
Angesichts der aktuellen Lage ist der praktischste Ansatz, den Zugriff auf die Nutzung des Browsers zu beschränken. Der Versuch, vollständige Clients zu unterstützen, bringt Komplexitäten mit sich, die oft von Microsoft nicht unterstützt werden und ist nicht nachhaltig.
Während CAAC und app enforced restrictions effektive Werkzeuge sind, sind sie nicht die einzigen verfügbaren Kontrollen zur Sicherung von Daten. Wie in diesem Artikel erwähnt, gibt es zusätzliche Optionen, die eine bessere Abdeckung bieten und die Einschränkungen dieser Kontrollen adressieren können. Lassen Sie uns einige dieser Alternativen erkunden:
Im Verlauf der Fertigstellung dieses Artikels bin ich auf die aufschlussreichen Beiträge von Peter van der Woude zu verwandten Themen gestoßen. Ich stimme besonders der Schichtung von Kontrollen zur besten Kombination aus Benutzerfreundlichkeit und Schutz zu. Neben den dort besprochenen Kontrollen sehe ich das Potenzial für mehrere zusätzliche Optionen:
Die robusteste Lösung wäre der vollständige Umstieg auf von der Firma verwaltete Geräte und / oder eine virtuelle Desktop-Infrastruktur (VDI). Dieser Ansatz gewährleistet die volle Kontrolle über die Geräteumgebung und reduziert die Sicherheitsrisiken erheblich. Allerdings könnten die Kosten für die Verwaltung von Geräten und die Implementierung von VDI für viele Organisationen prohibitiv sein.
Derzeit werden App Protection Policies nur von Edge unterstützt, aber es besteht das Potenzial für eine Erweiterung auf andere Anwendungen wie den Teams-Client und das neue Outlook in naher Zukunft. Diese Erweiterung würde eine neue Ebene der Benutzerfreundlichkeit und des Schutzes bieten und es erleichtern, Sicherheitsrichtlinien über mehr Plattformen hinweg durchzusetzen.
Der Schutz von Dateien mit Microsoft Purview kann eine weitere Granularität für sensible Daten einführen, die einen strengen Schutz erfordern. Purview ermöglicht eine detaillierte Klassifizierung und Kennzeichnung von Dokumenten und hilft dabei, spezifische Sicherheitsmaßnahmen basierend auf der Sensibilität der Daten anzuwenden. Diese Kontrollstufe könnte sicherstellen, dass die kritischsten Informationen geschützt bleiben, selbst wenn andere Kontrollen umgangen werden.
Ihr persönlicher Ansprechpartner
Wollen auch sie ihre M365 Daten vor Diebstahl schützen? Wir unterstützen sie in beim Absichern ihrer Umgebung und Endgeräte!
MICHAEL WILDGRUBER | Team Lead Cloud Productivity
Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an
Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.