Národní úřad pro kybernetickou a informační bezpečnost vydal varování před kybernetickými hrozbami cílenými zejména na české...
Omezení vyhledávání pomocí eDiscovery
Office 365 nabízí funkci eDiscovery, což je vyhledávání informací napříč tenantem. Díky tomu mohou vybraní uživatelé prohledávat prakticky všechna data v Office 365, což znamená například i uživatelské mailboxy. To se hodí v případech, kdy je nutné například kvůli nějakému soudnímu sporu dohledat některé informace.
Pro některé větší organizace může být ale problém, pokud by tito vybraní uživatelé mohli prohledávat opravdu celý tenant napříč všemi daty a všemi uživatelskými mailboxy. Může být tudíž potřeba takové vyhledávání nějak omezit, aby například compliance manager z České republiky mohl hledat pouze napříč českými uživateli, ale nikoliv napříč celým tenantem a tedy uživateli z ostatních zemí. Nebo to může být limitované třeba podle oddělení ve firmách.
Microsoft proto nabízí tzv. eDiscovery boundaries, což je právě možnost specifikovat, kteří uživatelé (nebo skupiny uživatelů) mohou prohledávat jaká data, resp. jaké mailboxy.
Nastavení eDiscovery boundaries
Nastavení je možné udělat částečně v GUI (role v Exchange Online, role v Security & Compliance Center), ale částečně je k tomu potřeba PowerShell. Proto celý návod budu popisovat pomocí PowerShellu.
Definice skupin uživatelů
Nejprve je nutné si definovat skupiny uživatelů, kteří budou moct být prohledáváni jednou skupinou administrátorů. Mohou to být tedy například všichni uživatelé z jedné země nebo jednoho oddělení. K tomu můžeme použít Azure Active Directory (AAD) atributy Company , CountryCode , CustomAttribute1 až CustomAttribute15 , Department nebo Office .
V tomto příkladu použiji hodnotu atributu CustomAttribute8 , která v mém případě nabývá hodnot czech , usa , denmark .
Vytvoření skupin oprávnění v Security & Compliance Center
Dalším krokem je vytvoření skupin oprávnění (Role Groups) pro každou skupinu administrátorů, kteří budou moct vyhledávat nad jednou skupinou uživatelů definovanou jedním AAD atributem.
Tyto skupiny oprávnění můžeme přiřadit konkrétním uživatelům nebo uživatelským skupinám (security groups). Důležité je, že každá skupina uživatelů, v tomto případě každá skupina administrátorů pro každou zemi, musí mít svou vlastní skupinu oprávnění.
Těmto skupinám oprávnění je následně nutné dát práva na samotné vyhledávání, což uděláte nejlépe zkopírováním předdefinované skupiny oprávnění eDiscovery Managers.
V mém případě tedy vytvářím tři nové skupiny oprávnění ( Local Compliance Managers - Czech , Local Compliance Managers - USA a Local Compliance Managers - Denmark ) s právy zkopírovanými z eDiscovery Managers.
Nejprve je nutné se připojit do Security & Compliance Center
1 2 | $UserCredential = Get-Credential $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://ps.compliance.protection.outlook.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection |
Následně můžeme vytvořit nové skupiny oprávnění
1 2 3 | $RoleGroup = Get-RoleGroup "eDiscovery Managers"; New-RoleGroup "Local Compliance Managers - Czech" -Roles $RoleGroup.Roles -Members Lukas, Martin $RoleGroup = Get-RoleGroup "eDiscovery Managers"; New-RoleGroup "Local Compliance Managers - USA" -Roles $RoleGroup.Roles -Members John, Freddie $RoleGroup = Get-RoleGroup "eDiscovery Managers"; New-RoleGroup "Local Compliance Managers - Denmark" -Roles $RoleGroup.Roles -Members Abel, Knud |
Vytvoření skupin oprávnění v Exchange Online
V Exchange Online již nemusíme mít extra skupinu oprávnění pro každou skupinu uživatelů, ale stačí nám jedna skupina oprávnění, kde budou všichni uživatelé nebo uživatelské skupiny.
Nejprve se připojíme do Exchange Online PowerShellu
1 2 | $UserCredential = Get-Credential $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection |
Následně můžeme vytvořit novou skupinu oprávnění Local Compliance Managers s potřebnými právy Legal Hold a Mailbox Search .
1 | New-RoleGroup -Name "Local Compliance Managers" -Roles "Mailbox Search", "Legal Hold" -Members Lukas, Martin, John, Freddie, Abel, Knud |
Vytvoření compliance filtru
Posledním krokem je vytvoření samotného filtru, který bude provádět „mapování“ práv compliance managerů na uživatele. Tento filtr tedy umožní compliance manažerovi prohledávat jen ty mailboxy, které patři do definované skupiny uživatelů specifikované pomocí CustomAttribute8.
Toto nastavení provádíme opět přes Security & Compliance Center PowerShell
1 2 3 | New-ComplianceSecurityFilter -FilterName "Local Compliance Managers Czech Filter" -Users "Local Compliance Managers - Czech" -Filters "Mailbox_CustomAttribute8 -eq 'czech'" -Action ALL New-ComplianceSecurityFilter -FilterName "Local Compliance Managers USA Filter" -Users "Local Compliance Managers - USA" -Filters "Mailbox_CustomAttribute8 -eq 'usa'" -Action ALL New-ComplianceSecurityFilter -FilterName "Local Compliance Managers Denmark Filter" -Users "Local Compliance Managers - Denmark" -Filters "Mailbox_CustomAttribute8 -eq 'denmark'" -Action ALL |
Tím je hotovo. V tuto chvíli je již nastavení aplikované a aktivní.