Teams datensicher einsetzen: So schränken Sie Downloads auf nicht-verwalteten, externen Geräten ein

Der breite Einsatz von Teams bringt aus Sicht der IT-Sicherheit einige Herausforderungen mit sich. Wie lässt sich etwa unterbinden, dass auf ungemanagten Clients oder Handys Dokumente heruntergeladen werden? Einerseits bieten sich dafür bekannte globale Zugriffsbeschränkungen an, doch es gibt auch selektivere Einstellungen wie Conditional Access, um Zugriffe nur bestimmten Teams-Nutzern und -Gruppen zu erlauben.

Zugriffsbeschränkungen in drei Stufen definieren

Wenn Überlegungen angestellt werden, wie man das Öffnen oder Herunterladen von Dokumenten in Teams einschränkt, stehen typischerweise folgende drei abgestuften Szenarien im Fokus:

  • Web-Client statt App: Teams lässt sich deutlich sicherer über den Web-Client als mit der Teams-App bereitstellen. Auf diese Weise verringert sich die Übertragung vielfältiger Daten zum Endgerät deutlich. Beispielsweise werden dann keine lokalen Logdateien geschrieben, und es landen auch keine Daten in lokalen Geräte-Backups oder Cloud-Speichern.
  • Eingeschränktes Bearbeiten: Ungemanagte Teams-Clients lassen sich so regulieren, dass etwa der Download von Dateien unterbunden wird. Dabei sollen die Benutzer allerdings noch Dokumente im Browser Öffnen und Bearbeiten können.
  • Download-Sperre: Als strikteste Option kann festgelegt werden, dass das Herunterladen, Öffnen sowie Bearbeiten von Dokumenten gesperrt ist.

Variante 1: Globale Teams-Beschränkungen einrichten

Um derartige Beschränkungen in Teams umzusetzen, bieten sich zwei verschiedene Herangehensweisen an. Für die erste, sehr strenge Variante stehen folgende Dienste zur Verfügung:

  • App Restriction (über das SharePoint und Exchange Admin Center)
  • Azure AD Conditional Access

Diese Methode hat allerdings den Nachteil, dass damit globale Beschränkungen eingerichtet werden. Eine Begrenzung der Sperren auf bestimmte Benutzer oder Gruppen ist nicht möglich.

Das liegt an der Besonderheit der Conditional Access Policy, die in den Session-Einstellungen auf die App Restriction Settings in den Admin-Centern von Exchange und SharePoint verweist. Und damit gilt diese Richtlinie global für den gesamten Tenant und seine Benutzer.

In gewissem Umfang lassen sich aber auch damit granulare Einstellungen bewirken. Mit folgendem PowerShell-Befehl wirkt die App Restriction beispielsweise nur auf ausgewählte SharePoint-Seiten. Der Befehl dafür lautet:

Set-SPOSite -Identity https:///sites/ -ConditionalAccessPolicy AllowLimitedAccess

Variante 2: Besondere Zugriffsrechte für bestimmte Benutzer festlegen

Es gibt allerdings auch Einstellungen, mit denen ausgewählte Benutzern oder Teams besondere Zugriffsrechte erhalten. Damit lassen sich auch Szenarien unterstützen wie einen lokal beschränkten Zugriff auf Dokumente nur aus dem Firmennetzwerk.

Zur Umsetzung stehen die Methoden Conditional Access App Control und Authentication Context zur Verfügung. Deren grundlegenden Funktionsweise haben wir bereits in diesen Artikeln dargestellt:

Schritt-für-Schritt Anleitung für eingeschränkte Datenzugriffe

Download-Option in Teams und SharePoint ausblenden

Im ersten Beispiel verbieten wir die Download-Option für nicht-verwaltete Geräte. Gehen Sie dafür zunächst in das SharePoint Admin Center und dort in Access control. Im Abschnitt Unmanaged devices können Sie beispielsweise Allow limited, web only access wählen:

Mit dieser Einstellung wird automatisch eine Conditional Access Policy erstellt. Diese findet sich in der Liste Policy Name – hier Teams Web Only any device.

Folgende Einstellungen sind in der Conditional Access Policy vorzunehmen:

So sieht das Ergebnis im Teams-Client aus:

In den Teams-Clients auf nicht verwalteten Geräten fehlt nun die Funktion „Download“ ist nicht verfügbar, hier im Bild fehlt es im aufgeklappten Kontextmenü:

So stellt es sich in SharePoint dar:

Auf nicht verwalteten Geräten fehlt ebenfalls die Funktion Download, der Benutzer wird in der gelben Infoleiste informiert, dass Inhalte nur auf einem verwalteten Gerät herunterladen werden können.

Ergebnis im Teams Web-Client

Benutzer können das Dokument öffnen und bearbeiten. Allerding erhalten sie den Hinweis, dass weder Herunterladen, noch Drucken oder Synchronisieren mit diesem Client möglich ist:

Öffnen in den Office-Clients nicht erlaubt:

Das geöffnete Dokument kann nicht im Office-Client geladen werden, denn für diesen Vorgang wäre einen Download des Dokuments auf den Client erforderlich. Eine entsprechende Fehlermeldung wird angezeigt:

Zugriff auf Dokumente in Teams komplett blockieren

Schalten Sie die App-Beschränkung im SharePoint Admin Center auf Block Access, um den Zugriff ganz zu blockieren:

Die Conditional Access Policy bleibt unverändert, aber das Verhalten aus Benutzersicht hat sich geändert: Während der Zugriff auf Dokumente nun komplett blockiert wird, steht der Team-Chat weiterhin zur Verfügung.

Weiteren Infos und Tipps:

  • Es kann einige Minuten dauern, bis sich eine Conditional Access Policy auswirkt oder eine Änderung greift.
  • Wenn Richtlinien für Tests verändert werden ist zu beachten, dass man sich immer abmelden, den Browser schließen oder den Browser-Cache leeren sollte. Zudem sollte mehrere Minuten gewartet werden und danach eine neue Anmeldung erfolgen.
0 Comments
Inline Feedbacks
View all comments