Cerrar
InicioMicrosoft TEAMSMicrosoft Teams: Aislamiento Seguridad y Cifrado de Archivos

Microsoft Teams: Aislamiento Seguridad y Cifrado de Archivos

Una de las cosas que todos buscamos cuando compartimos información en cualquier plataforma es protegerla, tanto a nivel de acceso y como de cifrado. Con la llega de Teams a las empresas y la “imposición” del teletrabajo esto se ha vuelto todavía más importante, puesto que la información ahora es accesible desde cualquier dispositivo y conexión de datos.

Hoy voy a mostraros como podemos configurar un equipo privado de Teams y, mediante etiquetas de confidencialidad, cifrar la información que los usuarios suban a dicho Teams. Además, configuraré opciones adicionales de los sitios de SharePoint asociados, puesto que, configuraremos también canales privados y estos tienen una configuración adicional vía PowerShell.

Los objetivos a cubrir son los siguientes:

  • Solo los miembros del equipo podrán tener acceso a los documentos y descifrarlos
  • Los miembros no podrán compartir el sitio con otros usuarios (solo los administradores)
  • Impedir acceso a SharePoint desde dispositivos no administrados
  • Cifrado de documentos a los que se aplica las etiquetas de confidencialidad

Como siempre, aquí os dejo una infografía para que todo quede algo más claro:

Lo primero que haremos será crea un grupo privado, en mi caso ya lo tengo creado [Contratos]

Ahora configuraremos que sólo los propietarios puedan crear canales privados:

Si sobre esta configuración queremos darle un plus de seguridad, podemos crear un directiva de equipos la cual asignaremos a los usuarios que queramos que puedan crear canales privados:

Eso sí, debéis configurar la directiva Global que se aplica a todos los usuarios para que no se puedan crear canales privados y, la nueva directiva a los usuarios que queráis que puedan crear canales privados. De esta forma, aunque algún usuario sea propietario de algún equipo, sino se le aplica la nueva directiva de equipos no podría crear canales privados.

Ahora antes de meternos de lleno en la configuración de las etiquetas de confidencialidad, vamos a realizar varias configuraciones en SharePoint. La primera será que desde el sitio de SharePoint de Teams configuraremos que solo los propietarios puedan compartir los documentos, carpetas o el sitio. Para ello, accedemos al sitio de SharePoint desde el propio Teams:

Vamos a OpcionesPermisos del sitio:

Pulsamos en Cambiar cómo se pueden compartir los miembros

Marcamos la opción Solo los propietarios pueden compartir archivos, carpetas, además del sitio:

Nos quedaría modificar la configuración de uso compartido a nivel de sitio, puesto que, podemos querer evitar que incluso los propietarios puedan compartir con externos. Para ello, nos vamos al Centro de Administración de SharePoint Online y vamos a la configuración del sitio de Teams y configuramos las opciones de Uso compartido para este sitio:

Lo siguiente es crear nuestra etiqueta, para ello nos vamos al Centro de cumplimiento de Microsoft 365, vamos a la sección SolucionesProtección de la Información y pulsamos en Crear una etiqueta:

Cubrimos lo campos obligatorios y pulsamos en Siguiente:

Marcamos las casillas de Archivos y correos electrónicos y Grupos y Sitios:

Sino podemos marcar la casilla de Grupos y Sitios debemos habilitar las etiquetas de confidencialidad, aquí os dejo un enlace donde podéis ver como hacerlo: Cómo habilitar etiquetas de confidencialidad para contenedores y sincronizarlas

Una vez habilitado, pulsamos en Siguiente y ahora marcamos la casilla Cifrar archivos y correos electrónicos y pulsamos Siguiente:

Elegimos la opción Configurar los parámetros de cifrado y pulsamos en Asignar permisos:

Debemos elegir el grupo que hemos creado para nuestro Teams, por lo que pulsamos en Agregar usuarios o grupos:

Buscamos el grupo, lo seleccionamos y pulsamos en Agregar:

Por último, debemos seleccionar el nivel de permisos para dicho grupo, para ello, elegimos Elegir permisos:

Elegimos Coautor y pulsamos en Guardar:

Volvemos a pulsar en Guardar

Pulsamos en Siguiente:

Pulsamos en Siguiente

Marcamos las dos casillas en la definición de protección de grupos y sitios:

A continuación debemos especificar parámetros para aplicar al grupo de Teams que hemos creado, en mi caso, quiero que sea un Privado:

El uso compartido solo para miembros de  la organización y bloqueo para los usuarios que se conectan desde equipos no administrados. 

Pulsamos en Siguiente:

Una vez establecidos todos los parámetros que queremos, nos muestra un resumen y pulsamos en Crear Etiqueta:

Por último, pulsamos en Listo.

Con esto, ya tenemos creada nuestra etiqueta, donde hemos definido que vamos a cifrar, sobre que grupos y que permisos, además de la configuración de compartir con externos y/o internos:

Una vez creada la etiqueta, lo que tenemos que hacer es publicarla, para ello pulsamos en Publicar etiquetas:

Pulsamos en Elija etiquetas de confidencialidad para publicar:

Seleccionamos la etiqueta a publicar y pulsamos en Agregar:

Pulsamos en Siguiente:

Ahora debemos agregar a los usuarios o grupos para los cuales vamos a poner como disponible la etiqueta, pulsamos en Elegir usuarios o grupos:

Pulsamos en Agregar:

Buscamos el nombre del grupo de O365 del Teams que hemos creado y pulsamos en Agregar:

Y por último, pulsamos en Listo:

Ahora debemos esperar hasta que tengamos la etiqueta publicada, proceso que puede demorarse hasta 24 horas:

Si tenemos canales privados en nuestro Teams, debemos aplicar las siguientes configuraciones vía PowerShell, a continuación os muestro los pasos a seguir:

  1. Conectarse a SPO: Connect-SPOService -url https://tentant-admin.sharepoint.com
  2. Establecer los valores SharingCapability: Disabled y DefaultSharingLinkType: Internal: Set-SPOSite -Identity https://tenant.sharepoint.com/teams/<URL-Site> -SharingCapability Disabled -DefaultSharingLinkType Internal

Para poder ejecutar este cmdlet debéis tener instalados los módulos de PowerShell de SPO: https://www.microsoft.com/en-us/download/details.aspx?id=35588

Pasadas las 24 horas ya deberíamos ver la etiqueta publicada, por lo que ya podemos continuar con el resto de la configuración.

El siguiente paso es si al Centro de administración de SharePoint, editamos la configuración del site que tiene nuestro Teams y pulsamos en editar en la pestaña de Directivas:

Elegimos la etiqueta que hemos creado y pulsamos en guardar:

En cuestión de segundos la tendremos al sitio de Teams: 

Si volvemos a editar la configuración del sitio, vemos que ya tiene la etiqueta asignada:

Tenemos que editar la configuración de Uso compartido en función de lo configurado en la directiva de confidencialidad y pulsamos en guardar.

Por último, editamos la vista de la carpeta de Archivos en los diferentes canales

Y marcamos la casilla de la columna Confidencialidad:

De esta forma, cuando apliquemos la etiqueta correspondiente a cada documento, podremos apreciar que tiene dicha etiqueta configurada.

El mismo proceso lo haremos sobre el canal privado, esto no es obligatorio, pero así veremos los documentos que tenemos etiquetados (protegidos):

Si ahora abrimos alguno de los documentos, vemos que la opción de Confidencialidad no está activa:

Esto es así porque nos falta instalar el complemento de Azure Information Protection: https://www.microsoft.com/en-us/download/details.aspx?id=53018

Otro requisito es que tengamos la versión de Office correcta: Apply sensitivity labels to your files and email in Office y cuando cumplimos todo esto, iniciamos Word y vemos que ya se carga el complemento de Azure Information Protection:  

Ya tenemos activa la opción de Sensibilidad y si somos miembro del grupo de Teams y vemos que está aplicándosela:

Si se la queremos retirar, pulsamos en el lápiz (1) y luego en la papelera (2):

Si hemos intentado borrarla o queremos quitarla, nos mostrará una advertencia indicando que debemos mostrar el motivo (esto es así porque en está configurado en la definición de la etiqueta que hemos creado antes): 

Si cuando abrimos el documento pulsamos en Ver permisos nos mostrará las protecciones aplicadas:

Y volviendo otra vez a Teams ya vemos la columna de Confidencialidad con la etiqueta asignada que tiene cada documento:

Ahora, por último, veamos que ocurre cuando tratamos de:

  • Compartir algún documento protegido con usuarios externos:

  • Que ocurre cuando el fichero por correo a un externo al grupo (interno o externo):

Antes de enviarlo ya nos avisará de que el documento tiene una serie de restricciones:

Y cuando el usuario externo quiere abrirlo … le dirá que no tiene permiso ya para abrir el correo (recordar que habíamos protegido también los correos):

Como vemos, es muy sencillo de implementar y se pueden realizar múltiples configuraciones más restrictivas si se necesitase.

Ahora, como siempre, os toca probarlo a vosotros!!

Microsoft Azure: Org
Microsoft Azure: Có
NO HAY COMENTARIOS

DEJA UN COMENTARIO

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies
Share This