Teams schützen: So verbieten Sie Screenshots sowie Kopieren und Einfügen in WhatsApp & Co.

Vertrauliche Inhalte aus einem Teams-Chat am iPhone kopieren und per WhatsApp weiterleiten: Solche Szenarien sind der Graus für Unternehmen und speziell für Sicherheitsverantwortliche. Doch Microsoft bietet auch Gegenmittel gegen das unerwünschte Weiterleiten von Informationen per Bildschirmaufnahme oder Kopieren-und-Einfügen.

Dabei ist zunächst einmal zu beachten, dass es hierfür je nach Clientversion unterschiedliche Vorgehensweisen gibt. Und zwar zum einen für Teams im Browser (Webversion), zum anderen für den Teams-Client am PC beziehungsweise die App am Smartphone.

Es geht vor allem um Gastbenutzer und nicht-verwaltete Geräte

In erster Linie sollten unternehmensfremde oder unbekannte Entitäten blockiert werden, also Gastbenutzer und nicht verwaltete Endgeräten. Das betrifft vor allem Bring-Your-Own-Device-Szenarien.

Unterschiedliches Vorgehen bei Teams-Web und Teams Client/Apps

Je nachdem, ob die Benutzer den Teams Client oder Teams Web verwenden, müssen separate Schutzmaßnahmen gewählt werden: Im ersteren Fall der Endpoint Manager, im Letzteren der Bedingte Zugriff.

Um diese Sperre für Teams im Browser umzusetzen, verwendet man eine Conditional Access Regel (Bedingter Zugriff). Eine solche Regel lässt sich auf Gastbenutzer sowie ausgewählte Benutzer und Gruppen anwenden. Auch Geräte, die in Azure AD eingebunden sind, können damit berücksichtigt werden.

Kommt der Teams Client oder die Teams App zum Einsatz, wird dafür der Endpoint Manager mit einer App-Schutzrichtlinie (Protections Policy) verwendet. Mit eine solche Richtlinie lassen sich dann gezielt unverwaltete Endgeräte blockieren.

1. Sperren für Teams-Web gegen Kopieren und Einfügen

Um die Sicherheitsmaßnahmen für die Browser-Nutzer umzusetzen, müssen die Einstellungen im Microsoft Defender for Cloud Apps vorgenommen werden. Darin stehen bedingte Zugriffsregeln zur Verfügung, die die Zugriffe beschränken.

Dieser Screenshot im Abschnitt Bedingter Zugriff/Conditional Access zeigt rechts unten die Funktion „Use Conditional Access App Control“. Ist diese aktiviert, werden Zugriffe umgeleitet:

Absichern des Browser-Zugriffs über Conditional Access in der Microsoft Defender for Cloud App.

Um zu definieren, für wen eine bedingte Zugriffsregel gelten soll, lassen sich Grenzen festlegen. Sie kann so zum Beispiel nur auf Gäste oder bestimmte Gruppen aus dem Azure Active Directory gelten:

Die Zugriffsregel einschränken für Gäste und externe Nutzer.

Des Weiteren muss im Defender for Cloud Apps noch eine Regel erstellt werden, um die Copy & Paste-Funktion zu sperren:

Die Regel wird hier nur für Copy & Paste festgelegt.

Im Screenshot ist zu sehen, dass sich hier noch weitere Funktionen einschränken lassen, nämlich:

  • Print
  • Send item
  • Send Teams message

Im Bereich „Session control type“ der Richtlinie ist zu sehen, dass über diesen Weg auch Up- oder Downloads eingeschränkt werden können. Dafür muss allerdings eine separate Richtlinie erstellt werden, weil der Filter im Bereich „Session control type“ nur einen Wert zulässt.

Einsatzbeispiel: So sieht eine Copy & Paste-Blockade aus:

Wenn die Sperre eingerichtet ist, bekommen die Anwender folgenden Hinweis zu sehen, sobald sie versuchen, Daten aus einem Teams Chat zu kopieren:

Copy & Paste erfolgreich blockiert.

2. Sperren für Teams Client und Teams App einrichten

Wenn der Teams-Client oder die Android- oder iOS-App verwendet werden, kommen die App Schutzrichtlinien (App Protection Policy) aus dem Microsoft Endpoint Manger zum Einsatz.

Geht es darum, den Zugriff von nicht-verwalteten Geräten aus zu sperren, muss dazu in der Richtlinie die Option „unmanaged“ für den Gerätetyp ausgewählt werden.

Im Menüpunkt „Apps“ können nun Applikationen definiert, auf die sich die Richtlinie auswirken soll. Neben Teams können das auch diverse weitere Microsoft 365-Apps sein, hier zum Beispiel der Microsoft Planner:

Mit dem Microsoft Endpoint Manger den Zugriff von nicht-verwalteten Geräten sperren: Hier im Beispiel der Microsoft Planner.

Der für uns wichtige Punkt, das Sperren von Kopieren und Einfügen, wird im Richtlinien-Dialog „Data protection“ aktiviert. Die entsprechende Option lautet „Restrict cut, copy, and Paste between other apps“:

Im Richtlinien-Menü erfolgt das Sperren von Kopieren und Einfügen.

So funktioniert die Blockade von Apps, am Beispiel WhatsApp

Wie wirkt sich diese Richtlinie konkret aus, wenn die Teams-App auf dem Smartphone verwendet wird? Wie im Screenshot zu sehen ist, erhält der Anwender folgende Meldung, wenn er versucht, Daten aus einem Teams Chat zu kopieren und in WhatsApp zu posten:

Die Sperre funktioniert: Ein Kopieren von Inhalten aus Teams in WhatsApp wird hier erfolgreich abgewehrt.

In der App Policy können außerdem noch folgende weitere Bereiche konfiguriert werden:

• Backup org data to Android backup services
• Send org data to other apps
• Receive data from other apps
• Screen capture
• Printing org data
• Restrict web content transfer with other apps

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert