Teams absichern: So verbieten Sie Kopieren und Einfügen für Benutzer und Clients

Inhalte aus einem vertraulichen Teams-Chat am iPhone kopieren und per WhatsApp weiterleiten: Solche und ähnliche Szenarien sind der Graus für Unternehmen und speziell für Sicherheitsverantwortliche. Genau ein solches unerwünschtes Weiterleiten von internen oder vertraulichen Informationen per Kopieren-und-Einfügen (Copy&Paste) lässt sich aber mit Microsoft-Werkzeugen recht einfach unterbinden.

Dabei ist zunächst einmal zu beachten, dass es hierfür je nach Clientversion unterschiedliche Vorgehensweisen gibt. Und zwar zum einen für Teams im Browser (Webversion), zum anderen für den Teams-Client am PC beziehungsweise die App am Smartphone.

Es geht vor allem um Gastbenutzer und nicht-verwaltete Geräte

In erster Linie sollten unternehmensfremde oder unbekannte Entitäten blockiert werden, also Gastbenutzer und nicht verwaltete Endgeräten. Das betrifft vor allem Bring-Your-Own-Device-Szenarien.

Unterschiedliche Herangehensweisen bei Teams im Browser und Teams-Client

Um diese Sperre für Teams im Browser umzusetzen, verwendet man eine Conditional Access Regel (Bedingter Zugriff). Eine solche Regel lässt sich auf Gastbenutzer sowie ausgewählte Benutzer und Gruppen anwenden. Auch Geräte, die in Azure AD eingebunden sind, können damit berücksichtigt werden.

Kommt der Teams Client oder die Teams App zum Einsatz, wird dafür der Endpoint Manager mit einer App-Schutzrichtlinie (Protections Policy) verwendet. Mit eine solche Richtlinie lassen sich dann gezielt unverwaltete Endgeräte blockieren.

1. Copy&Paste im Teams-Web-Client blockieren

Für das Browser-Szenario kommt der Microsoft Defender for Cloud Apps zum Einsatz. Er stellt bedingten Zugriffsregeln zur Verfügung, um Zugriffe zu beschränken. Dabei wird die Funktion „Use Conditional Access App Control“ (rechts unten) aktiviert, um Zugriffe umzuleiten:

Die Reichweite einer bedingten Zugriffsregel lässt sich eingrenzen, zum Beispiel nur auf Gäste oder bestimmte Gruppen aus dem Azure Active Directory.

Des Weiteren muss im Defender for Cloud Apps noch eine Regel erstellt werden, um die Copy&Paste-Funktion zu sperren:

Im Screenshot ist zu sehen, dass sich hier noch weitere Funktionen einschränken lassen, nämlich:

  • Print
  • Send item
  • Send Teams message

Im Bereich „Session control type“ der Richtlinie ist zu sehen, dass über diesen Weg auch Up- oder Downloads eingeschränkt werden können. Dafür muss allerdings eine separate Richtlinie erstellt werden, weil der Filter im Bereich „Session control type“ nur einen Wert zulässt.

Einsatzbeispiel der Copy&Paste-Blockierung:

Sobald die Sperre eingerichtet ist, bekommen die Anwender folgenden Hinweis zu sehen, sobald sie versuchen, Daten aus einem Teams Chat zu kopieren:

2. Copy&Paste im Teams Client und der Teams App sperren

Wenn der Teams-Client oder die Android- oder iOS-App verwendet werden, kommen die App Schutzrichtlinien (App Protection Policy) aus dem Microsoft Endpoint Manger zum Einsatz.

Geht es darum, den Zugriff von nicht-verwalteten Geräten aus zu sperren, muss dazu in der Richtlinie die Option „unmanaged“ für den Gerätetyp ausgewählt werden.

Im Menüpunkt „Apps“ können nun Applikationen definiert, auf die sich die Richtlinie auswirken soll. Neben Teams können das auch diverse weitere Microsoft 365-Apps sein, hier zum Beispiel der Microsoft Planner:

Der eigentliche Punkt, nämlich die Sperre von Kopieren und Einfügen, wird im Richtlinien-Dialog „Data protection“ aktiviert. Die entsprechende Option lautet „Restrict cut, copy, and Paste between other apps“:

Beispiel der Sperre in WhatsApp

Wie wirkt sich diese Richtlinie konkret aus, wenn die Teams-App auf dem Smartphone verwendet wird? Wie im Screenshot zu sehen ist, erhält der Anwender folgende Meldung, wenn er versucht, Daten aus einem Teams Chat zu kopieren und in WhatsApp zu posten:

In der App Policy können ausserdem noch folgende weitere Bereiche konfiguriert werden:

  • Backup org data to Android backup services
  • Send org data to other apps
  • Receive data from other apps
  • Screen capture
  • Printing org data
  • Restrict web content transfer with other apps

0 Comments
Inline Feedbacks
View all comments