Jedna od stvari koje već neko vrijeme imam na popisu stvari je MC1338823“veliko ažuriranje” nazvano Blokirajte pristup vanjske domene ili korisnika za SharePoint i OneDrive. Iako samu značajku nije tako teško pokriti, morali smo pričekati njezinu implementaciju u cijeloj usluzi (trenutni status još uvijek je pregled), štoviše bio sam pomalo zauzet tehničkim pregledom Microsoft 365 za IT profesionalce. Sad kad imam malo više slobodnog vremena, a značajka je zapravo dostupna mom stanaru, isprobajmo je. Prije nego što zaboravim, mogli biste to vidjeti i kao stavku plana puta #557191.
Kao što je gore nagoviješteno, samu je značajku prilično lako pokriti – ona se u osnovi svodi na dvije nove opcije dostupne prilikom konfiguriranja radnji za DLP pravila u opsegu SharePoint Online i/ili OneDrive for Business. Taj posljednji dio ipak je važan jer će nadređena radnja “Ograniči pristup ili šifrirati sadržaj na lokacijama Microsoft 365” prikazati nove kontrole samo kada je DLP pravilo ograničeno na SPO/ODFB. Dakle, da biste testirali značajku, morat ćete ili stvoriti novu DLP politiku s opsegom SPO i/ili ODFB lokacija ili odabrati postojeću sa sličnim opsegom.
Po potrebi konfigurirajte ostale postavke pravila. Prilikom konfiguriranja pravila, prikazat će vam se dvije nove radnje kao što je prikazano na snimci zaslona u nastavku, naime Blokirajte pristup vanjskim domenama i korisnicima i Blokiraj sve i premjesti datoteku u karantenu one:
Obje akcije trenutno su označene s Pregled marker, ali to bi trebalo nestati nakon završetka GA uvođenja kasnije ovog mjeseca. Obje radnje zahtijevaju da navedete dodatne pojedinosti prije nego što se mogu spremiti. Za Blokirajte pristup vanjskim domenama i korisnicima radnju, morat ćete navesti popis Domene i/ili pojedinca SMTP adrese korisnika s kojim će se pravilo usporediti. Iako to u korisničkom sučelju nije jasno, možete navesti više vrijednosti odvajajući ih zarezima, tj. domena1, domena2, domena3. Također možete odabrati hoće li navedeni popis unosa biti izuzeti, pomoću NIJE stanje, kao što je prikazano u nastavku. Iako možete koristiti kombinirani popis unosa domena i SMTP adresa, isti se operator mora koristiti za obje vrste.
Za Blokiraj sve i premjesti datoteku u karantenu morate odabrati postojeću lokaciju u obliku SPO stranice, koja se može konfigurirati kao dio postavki DLP rješenja pod Portal ovlaštenja > Postavke > Postavke sprječavanja gubitka podataka > Karantena datoteka ili izravno putem ovaj link. Ako je lokacija karantene već definirana, automatski će se popuniti kada odaberete ovu radnju. Ako nije, prikazat će vam se poveznica na gore spomenutu postavku, gdje je možete konfigurirati. Ista poveznica se također može koristiti za ažuriranje lokacije ako je potrebno.
Na pozadini, ove nove radnje samo su još jedan skup svojstava za pridruženi objekt DLP pravila. Nakon što je politika kreirana, možemo koristiti Get-DlpComplianceRule cmdlet za dobivanje potrebnih informacija:
Get-DlpComplianceRule -Policy SPO | select Quarantine,BlockDomainsOrUsers,BlockDomains,BlockDomainsExcept,BlockUsers,BlockUsersExcept,RestrictAccess,SPMoveToQuarantineLocation,AdvancedRule
Quarantine : False
BlockDomainsOrUsers : True
BlockDomains :
BlockDomainsExcept : coreview.com
BlockUsers :
BlockUsersExcept : vasil.michev@coreview.com
RestrictAccess :
SPMoveToQuarantineLocation : False
AdvancedRule :
"Version": "1.0",
"Condition":
"Operator": "And",
"SubConditions": [
"ConditionName": "ContentExtensionMatchesWords",
"Value": [
"docx",
"xlsx",
"pptx",
"pdf"
]
]
Kao što možemo vidjeti iz gornjeg izlaza, pravilo će se pokrenuti kada se bilo koja docx, xlsx, pptx ili pdf datoteka podijeli s bilo kojom domenom ili bilo kojim korisnikom izvan mog radnog. Iako će takvo pravilo rijetko imati smisla u praksi, namjerno smo ga stvorili na takav način kako bismo što lakše testirali iskustvo krajnjeg korisnika, o čemu ćemo govoriti u nastavku. Samo da završim s tangentom PowerShell-a – trenutno, New-DlpComplianceRule cmdlet ne izlaže potrebne parametre za stvaranje pravila s novouvedenim radnjama. Možda će se to promijeniti kada značajka postane GA, ali zasad takvo pravilo možete stvoriti samo korištenjem korisničkog sučelja.
Osim konfiguriranja pravila, administratori će vjerojatno biti uključeni u fazu pregleda incidenta, gdje dolaze upozorenja i obavijesti e-poštom. Ovdje nije mnogo novo i možete očekivati isto iskustvo kao i s postojećim politikama i pravilima. Snimke zaslona u nastavku ilustriraju kako izgledaju izvješće o incidentu putem e-pošte i entitet upozorenja:
Zatim nekoliko riječi o iskustvu krajnjeg korisnika. Kada se pokuša podijeliti datoteka koja odgovara jednom od pravila u našim novim DLP pravilima, unosi koji vrijeđaju bit će uklonjeni. S druge strane, ako se datoteka dijeli s “dopuštenom” domenom ili korisnikom, akcija dijeljenja nastavit će se bez prekida. Jedan važan aspekt iskustva krajnjeg korisnika je da ne možete konfigurirati korisničke obavijesti ili korisnička nadjačavanja za pravilo s Blokirajte pristup vanjskim domenama i korisnicima ili Blokiraj sve i premjesti datoteku u karantenu akcijski. Ovo također uključuje konfiguraciju savjeta o pravilima. Kao takvo, iskustvo krajnjeg korisnika može patiti.
Stvari rade malo drugačije ako ste konfigurirali radnju “karantena”. Kada se takvo pravilo podudara, svaki pristup datoteci se uklanja, a sama datoteka se premješta na lokaciju karantene, kako je konfigurirano u odgovarajućoj postavci. Na primjer, datoteka koja se dijeli iz osobnog ODFB-a korisnika kopirat će se u mapu pod nazivom osobnikoji se nalazi ispod zadane biblioteke dokumenata na određenom mjestu. Unutar nje će se stvoriti podmapa s odgovarajućom stazom do stranice, kao što je korisnička_domena_comnakon čega slijedi biblioteka u kojoj se datoteka nalazi (obično “Dokumenti”). Evo kako to izgleda:
Izvornu kopiju datoteke treba zauzvrat zamijeniti txt datotekom, čiji sadržaj odgovara tekstualnom nizu koji smo konfigurirali kao dio početne konfiguracije postavki. Zapravo, ovo je isto ponašanje koje koristi Microsoft Defender for Cloud Apps radnja “admin karantene”, detaljno opisana na primjer ovdje. Ili je barem takva teorija. U mojim je testovima izvorna stavka ostala na mjestu, a sva dopuštenja za dijeljenje također su bila netaknuta. Koristeći svoju karticu “nazovi prijatelja”, uspio sam potvrditi da stvari rade kako se očekuje u Tonyjevom stanaru, gdje je izvorni dokument ispravno zamijenjen TXT-om:
Prije zatvaranja članka, nekoliko upozorenja kojih morate biti svjesni. Interni korisnici se ne mogu blokirati novim radnjama, što je više-manje ono što biste očekivali, ali je ipak vrijedno spomena. Slično tome, ne možete navesti ODFB stranicu kao lokaciju za karantenu, što je opet očekivano. Također ograničite pristup odabranoj (SPO) stranici samo nekolicini ljudi koji će biti kvalificirani za rad sa stavkama u karanteni.
Nove kontrole DLP politike rade neovisno o kontrolama dijeljenja SPO-a na razini stanara i web-mjesta, koje se, naravno, također mogu koristiti za ograničavanje vanjskog dijeljenja na bazi po domeni. Prednost koju dodaju nove kontrole je detaljniji pristup po stavkama, koji se može koristiti za osiguranje određenih datoteka, a istovremeno omogućuje suradnju s određenim partnerom (domenom). Isto tako, stavke zaštićene oznakama osjetljivosti s enkripcijom također zadržavaju vlastito ponašanje – čak i ako koristite konfiguraciju “dopusti” unutar DLP pravila, dopuštenja za oznaku sama moraju uključivati primateljevu domenu (ili adresu) da bi sadržaj stavke bio dostupan.
Kada je riječ o iskustvu krajnjeg korisnika, nedostatak podrške za savjete i nadjačavanja pravila može dovesti do određene zabune, dok bi uvođenje pravila karantene moglo izravno uzrokovati pozive podrške od strane korisnika koji “gube” svoje datoteke. Drugim riječima, ako planirate iskoristiti nove radnje za svoja DLP pravila, svakako posvetite neko vrijeme edukaciji svojih korisnika! Još bolje, dajte malo vremena Microsoftu da razjasni grubosti u nadolazećim tjednima i mjesecima.
Na kraju, imajte na umu da je ova funkcionalnost još uvijek u fazi pregleda i da bi moglo biti nekih grubih rubova. Na primjer, dok je proces konfiguracije DLP politike radio više-manje prema očekivanjima u mom zakupcu, očekivani rezultati rijetko su se materijalizirali. U slučaju pravila “karantene”, stavka je ostala “kakva jest” na izvornoj lokaciji, nikada nije zamijenjena TXT datotekom, dok je u isto vrijeme odgovarajuća kopija marljivo postavljena na mjesto karantene. Je li to zbog tekućeg uvođenja značajke ili zbog toga što nisam čekao nekoliko dana da se nova pravila konačno sinkroniziraju na pozadini, ne mogu reći.




