检测

公共 M365 组

MEDIUM

语言:

描述

Microsoft 365 组是多种 Office 365 应用程序,尤其是在 Microsoft Teams 中,每个团队都对应一个关联的 M365 组。您可以创建这些组,随后使用私有或公共隐私设置进行配置,具体操作如下:

在创建组时,您需要决定是要将其设置为私有组还是公共组​。组织中的任何人都可以查看公共组中的内容,并且组织中的任何人都可以加入该组。私有组中的内容仅限组成员查看,想要加入私有组的人必须获得组所有者的批准。

公共组在提供方便的同时也会带来风险,因为组织租户中的任何用户(包括来宾用户)都可以自由加入这些组,并访问其中的数据。例如:

恶意用户或好奇心强的用户无需使用任何黑客工具就能轻易发现这些公共组。例如,用户可以通过 Teams 中的“创建和加入团队及频道”功能、Outlook 中的相关功能,或“我的应用组访问面板”等更多方式找到这些公共组。

在 Microsoft 365 中,最终用户通常可以通过诸如 Teams(最常用)、Outlook 或 SharePoint 等应用程序自行创建组,并决定其是公共还是私有组,而不必像创建安全组那样依赖 IT 管理员。因此,最终用户通常会选择公共隐私设置,而没有充分意识到这将允许组织内 Entra 租户的任何人在无需组所有者批准的情况下加入该组,从而获得组内所有内容的访问权限。

Microsoft 365 组,即所谓的“统一组”(之前称为“Office 365 组”),是存储在 Entra ID 中的一种组类型。此风险暴露指标特别关注这些 Microsoft 365 组,而不是更为人所知的 Microsoft Entra 安全组,后者并不具备相同的公共/私有隐私选项。

限制:此风险暴露指标 (IoE) 无法自动判断公共 M365 组是否合法。

注意:私有组也可能无意中暴露敏感信息,因为默认情况下,其名称、描述和成员列表对组织租户内的任何人都可见。仅这些元数据就可能足以推断出机密详情,例如,如果潜在获取目标包含在组名称中,就可以推测出获取的目标。为缓解这一风险,Microsoft 提供了从目录列表中隐藏私有组和隐藏其成员列表的选项。但这些设置默认情况下已禁用,这意味着组织必须主动启用这些设置,以确保私有组的元数据保持机密。

解决方案

此 IoE 报告所有配置了公共设置的 Microsoft 365 组。由于此 IoE 无法自动判断组的公共状态是否合法,您必须审查每个发现结果,并采取以下操作之一:

  • 如果该组包含私密信息,则将其隐私设置更改为私有,并确保该组中只包括授权用户作为组成员。通过这种配置,每当有用户申请加入组时,组所有者都会收到访问请求。
  • 如果组被特意设置为公共组,比如因为组内仅包含公开信息,则可以将其添加到 IoE 的排除选项中,以表明该公共设置是合适的。

Microsoft 365 组有指定的所有者,他们负责管理组的设置和成员资格。如果需要为组确认适当的隐私设置,您可以通过电子邮件或 Teams 聊天联系组所有者。

您可以使用多种方法将 Microsoft 365 组的隐私设置更改为公共或私有:

默认情况下,在 Outlook 和 Azure 门户中创建的 M365 组是私有的,您可以更改此设置。

为了防止创建不符合您组织安全和隐私策略的新公共组,您有以下几种选择:

  • 使用敏感度标签(需符合许可要求)。将敏感度标签与允许或禁止的隐私设置关联。例如,将标记为“机密”敏感度标签的 Teams 团队限制为仅使用私有隐私设置。
  • 管理可以创建 Microsoft 365 组的人员(需符合许可要求)。仅允许熟悉组管理的管理员创建组,以确保他们能够选择适当的隐私级别。实施自定义表单进行组创建,以确保选择适当的隐私设置。注意:此方法可能会减少最终用户的自主性,因为用户通常希望能够自行创建 Teams。
  • 向最终用户普及知识,让他们了解自己的责任以及每种隐私选项的影响。请参阅 Microsoft 的文档,了解如何向用户解释 Microsoft 365 组。让最终用户了解自己的责任,使其能够就组的隐私设置做出明智的决定。
  • 使用脚本或此 IoE 定期枚举公共 Microsoft 365 组。向组所有者发送电子邮件或 Teams 消息,提醒他们了解与公共组相关的风险。允许所有者确认其意图或更改组的隐私设置。

指标详细信息

名称: 公共 M365 组

代码名称: PUBLIC-M365-GROUP

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 信息: