• Cloud, Collaborazione, Guide, Microsoft 365, Sicurezza
• 27 Gennaio 2021

Negli ultimi anni la diffusione di Microsoft Teams ha avuto una grossa impennata a livello mondiale. Con il diffondersi dello Smart Working molti utenti hanno iniziato ad utilizzare questo potente HUB di comunicazione e collaborazione per le loro attività lavorative quotidiane, possiamo quindi immaginare l’enorme mole di dati sensibili presenti su Microsoft Teams. La gestione del rischio interno dell’azienda è molto importante e assolutamente da non sottovalutare. Microsoft 365 offre svariati strumenti che ci permettono di mettere in sicurezza i nostri dati, ad esempio Data Loss Prevention (DLP) impedisce la compromissione di informazioni sensibili, ma le organizzazioni sono soggette a tipi diversi di rischio, come furto di proprietà intellettuale o fuga di contenuti, insider trading e conflitti di interesse.

Uno dei principali strumenti che Teams utilizza per mitigare il rischio è ciò che la casa di Redmond definisce Information Barriers (IB), barriera delle informazioni. Una barriera delle informazioni viene spesso definita “muro etico”, una barriera nell’Organizzazione creata tra diversi reparti o unità interne. Questa configurazione viene generalmente utilizzata nei settori dell’industria, dell’istruzione e della finanza.

Figura 1 – Barriere Informative

Information Barriers costruisce dei confini logici per impedire la comunicazione tra il gruppo A e il gruppo B. Ad esempio, il gruppo di investimento non può comunicare con consulenti finanziari, ma entrambi i gruppi possono comunicare con le risorse umane (HR). Per permettere questo tipo di configurazione vengono creati dei “segmenti” di IB, questi garantiscono all’amministratore di mettere il gruppo di investimento in un segmento e il i consulenti finanziari in un altro segmento. Le policy di IB impediranno la comunicazione tra i segmenti, questi potranno in tutti i casi comunicare con il reparto HR senza nessuna barriera informativa (IB).

Information Barriers Policies

Le policies di Information Barriers (IB) permettono di controllare la comunicazione e la collaborazione in svariati workload di Microsoft 365 tra gruppi di persone. È possibile configurare le policy di Information Barriers per impedire ad un utente di un determinato reparto di chiamare un altro utente di un altro reparto, permettere ad un reparto di poter chattare o chiamare solo ed esclusivamente un reparto nell’organizzazione, ad esempio di Team Tecnico con Team HR.

Figura 2 – Policies Information Barriers

Cosa viene permesso o impedito dalle Information Barriers Policies?

Di seguito la lista di attività che agli utenti finali verrà impedito o permesso dalle policies:

• Ricercare un utente
• Aggiungere un membro a un team
• Avviare una sessione di chat con un utente
• Avviare una chat di gruppo
• Invitare un utente a partecipare a una riunione
• Condividere una schermata
• Effettuare chiamate
• Condividere un file con un altro utente
• Accedere a file tramite il collegamento di condivisione

Chi può configurare Information Barriers Policies?

• L’amministratore globale di Microsoft 365
• L’amministratore globale di Office 365
• L’amministratore di Compliance di Microsoft 365
• L’amministratore di Information Barriers

Di che licenze ho bisogno?

• Microsoft 365 E5/A5
• Office 365 E5/A5
• Office 365 Advanced Compliance
• Microsoft 365 Compliance E5/A5
• Microsoft 365 Insider Risk Management

Prerequisiti Definizione Policies Information Barriers

• Verifica licenza in possesso sul proprio Tenant e i permessi dell’utente utilizzato per la creazione delle componenti di Information Barriers, vedere lista soprastante per tipologia di licensing e tipologia di utenza amministrativa.
• Assicurarsi che nella directory delle nostre identità ci siano tutte le informazioni necessarie per una corretta segmentazione, verificare che la struttura reale della propria Organizzazione sia allineata con quella che sarà la segmentazione imminente. Per queste verifiche assicurarsi che attributi delle identità utente, come “appartenenza ad un gruppo”, “nome del reparto” etc, siano popolati correttamente in AZURE AD (o Exchange Online).
• Prima di definire le policies di Information Barriers dell’Organizzazione, è necessario abilitare la “Scoped Directory Search” in Microsoft Teams. Sarà necessario attendere fino ad un massimo di 24h dopo aver abilitato la “Scoped Directory Search“

Figura 3 – Abilitazione Scoped Directory Search Teams

• Per avere la possibilità di vedere lo status dell’applicazione di una policy di Information Barriers, è necessario abilitare l’audit logging. È consigliato farlo prima di procedere con la definizione dei segmenti e delle policy di Information Barriers.

Figura 4 – Abilitazione Audit Logging Microsoft 365

• Prima di definire e applicare le policies di Information Barriers, assicuratevi che non ci sia nessuna “Address Book Policy” di Exchange. (Le Information Barriers Policies sono basate sulle Address Book Policies di Exchange, ma le due tipologie di policy non sono intercambiabili.
• Attualmente le Information Barriers policies possono essere configurate e gestite tramite delle CMDLETS di Powershell. Saranno necessari i seguenti moduli di Powershell:
  • Connect to Security & Compliance Center PowerShell
  • Install the Azure PowerShell module
• Le Information Barriers, quando le policy una volta create verranno applicate, potranno rimuovere utenti dalle sessioni di Instant Messaging alle quali non è consentito che facciano parte. Per permettere alle Information Barriers di poter effettuare questo tipo di operazioni su sessioni già esistenti, sarà necessario dare i permessi necessari al “Service Principal Object” dedicato alle Information Barriers. Di seguito lo script in PowerShell che dovrete eseguire:

Una volta eseguito lo script, vi verrà presentata una finestra sul browser che vi chiederà di immettere utente e password, dovrete utilizzare un’utenza con permessi amministrativi sufficienti. Accettate le condizioni che vi verranno presentate come da immagine sottostante.

Figura 5 – Service Principal Object Permission

Vediamo ora la procedura di configurazione dei segmenti e delle Information Barriers policies.

Configurazione dei segmenti

In questa fase, è possibile determinare il tipo di Information Barriers policies di cui abbiamo bisogno, creare un elenco di segmenti da definire e quindi definire infine i segmenti.

Vediamo nel dettaglio il tipo di policies che possiamo applicare ai segmenti:

• Le policies “blocca” impediscono a un gruppo di comunicare con un altro gruppo
• Le policies “consenti” consentono a un gruppo di comunicare solo con alcuni gruppi specifici

Prima di configurare i segmenti assicurarsi che gli attributi delle identità utente che si vorranno utilizzare per i segmenti siano compilati correttamente, è possibile utilizzare Department, member o uno qualsiasi degli attributi supportati da Information Barriers.

NB: Un utente può trovarsi in un solo segmento di Information Barriers

Figura 6 – Utente Team Financial prima di IB

Figura 7 – Utente Team Investment prima di IB

Figura 8 – Utente Team Investment prima di IB

Figura 9 – Utente Team Investment prima di IB

Vediamo la procedura di definizione dei primi segmenti di Information Barriers:

Figura 10 – Configurazione Segmento “FinancialSegment” con filtro su attributo Department

Figura 11 – Configurazione Segmento “InvestSegment” con filtro su attributo Department

Figura 12 – Configurazione Segmento “Developer” con filtro su attributo Department

Una volta configurati i segmenti degli Information Barriers, procediamo con la configurazione delle Information Barriers policies:

Figura 13 – Configurazione policy Information Barriers

In questo esempio andiamo a bloccare la comunicazione tra il reparto “Financial” ed il reparto “Investment”.

Una volta definita la policy, procediamo con l’abilitazione di quest’ultima in questo modo:

Individuiamo l’Identity GUID della policy appena creata e procediamo con il cambio di stato, da inactive ad active:

Facciamo partire l’Information Barriers policy Application:

Dopo aver eseguito l’ultimo CMDLET, il sistema ci metterà circa 30 minuti di tempo per iniziare ad applicare le Information Barriers policies.

Vediamo un esempio di risultato di applicazione delle policy in una chat 1:1 tra Bruce Wayne e Steven Strange:

Figura 14 – Impossibilità di comunicazione tra Bruce Wayne e Steven Strage dopo l’applicazione delle policy

Vediamo dall’immagine che Bruce Wayne (Financial Department) e Steven Strange (Investment Department) non possono più comunicare; come vedete inoltre Bruce non può vedere neanche le informazioni di Steven.

Figura 15 – Comunicazione tra Bruce Wayne e Peter Parker dopo l’applicazione delle policy

In questo esempio Bruce Wayne (Financial Department) e Peter Parker (Development Department) possono comunicare anche dopo l’applicazione dell’Information Barriers policy, quest’ultima blocca la comunicazione tra Financial Department e Investment Department e non la comunicazione tra Financial Department e Development Department.

Se avessi bisogno di rimuovere o modificare le Information Barriers policies?

• Per fermare l’esecuzione delle policies, vediamo Stop a policy application.
• Per rimuovere un Information Barriers policy, vediamo Remove a policy.
• Per modificare i segmenti o le policies, vediamo Edit (or remove) information barrier policies.

Conclusioni

Con Information Barriers, è possibile definire criteri progettati per impedire a determinati segmenti di utenti di comunicare tra loro o consentire a segmenti specifici di comunicare solo con determinati altri segmenti. Le policies di Information Barriers possono aiutare l’Organizzazione a mantenere la conformità con gli standard e le normative di settore pertinenti ed evitare potenziali conflitti di interesse.

Stay Tuned on ICTPower!!