Öffentliche M365-Gruppe

Microsoft 365-Gruppen liegen verschiedenen Office 365-Anwendungen zugrunde, insbesondere Microsoft Teams, wo jedes Team einer zugeordneten M365-Gruppe entspricht. Sie können diese Gruppen erstellen und später mit privaten oder öffentlichen Datenschutzeinstellungen konfigurieren. Dies funktioniert wie folgt:

Beim Erstellen einer Gruppe müssen Sie sich entscheiden, ob sie eine private Gruppe oder eine öffentliche Gruppe sein soll. Inhalte in einer öffentlichen Gruppe sind für alle Personen in Ihrer Organisation sichtbar, und jeder in Ihrer Organisation kann der Gruppe beitreten. Inhalte in einer privaten Gruppe müssen für die Mitglieder der Gruppe sichtbar sein. Personen, die einer privaten Gruppe beitreten möchten, müssen von einem Gruppeninhaber genehmigt werden.

Öffentliche Gruppen sind praktisch, bergen aber auch Risiken, da jeder Benutzer innerhalb des Mandanten der Organisation, einschließlich Gastbenutzer, ungehindert diesen Gruppen beitreten und Zugriff auf die darin enthaltenen Daten erhalten kann. Beispiel:

• Teams: Konversationen und freigegebene Dateien (eigentlich auf einer SharePoint-Website gespeichert)
• OneDrive: Freigegebene Bibliotheken
• Exchange Online: Outlook-Gruppenpostfach
• OneNote: Freigegebene Notizen
• Microsoft Planner- und Microsoft-To-Do-Aufgaben
• Azure-Cloud-Ressourcen (weil M365-Gruppen Azure-Rollen zugewiesen sein können)
• usw.

Böswillige oder neugierige Benutzer können öffentliche Gruppen problemlos erkennen, ohne dass Hacking-Tools erforderlich sind. Beispielsweise können sie sie über die Funktion zum Erstellen von und Beitreten zu Teams und Kanälen in Teams, in Outlook oder über den Zugriffsbereich „Meine Apps“/„Meine Gruppen“ usw. finden.

In Microsoft 365 erstellen Endbenutzer selbst Gruppen und wählen, ob diese öffentlich oder privat sind, in der Regel mit Anwendungen wie Teams (am häufigsten), Outlook oder SharePoint, anstatt die Erstellung von Gruppen einem IT-Administrator zu überlassen, wie z. B. Sicherheitsgruppen. Infolgedessen entscheiden sich Endbenutzer oft für die öffentliche Datenschutzoption, ohne vollständig zu verstehen, dass dadurch jeder innerhalb des Entra-Mandanten der Organisation der Gruppe beitreten kann, ohne dass die Genehmigung eines Gruppenbesitzers erforderlich ist, und ihnen somit Zugriff auf den gesamten Inhalt der Gruppe gewährt wird.

Microsoft 365-Gruppen, auch bekannt als „einheitliche Gruppen“ und früher als „Office 365-Gruppen“ bezeichnet, sind einer der in Entra ID gespeichert Gruppentypen. Dieser Indicator of Exposure konzentriert sich speziell auf diese Microsoft 365-Gruppen und nicht auf die besser bekannten Microsoft Entra-Sicherheitsgruppen, die nicht über die gleichen öffentlichen/privaten Datenschutzoptionen verfügen.

Einschränkung: Dieser Indicator of Exposure (IoE) kann nicht automatisch ermitteln, ob eine öffentliche M365-Gruppe legitim ist.

Hinweis: Private Gruppen können auch versehentlich sensible Informationen preisgeben, da ihr Name, ihre Beschreibung und ihre Mitgliederliste standardmäßig für alle innerhalb des Mandanten der Organisation sichtbar sind. Diese Metadaten allein können ausreichen, um vertrauliche Details abzuleiten, wie z. B. das Ziel einer potenziellen Firmenübernahme, wenn dieser im Gruppennamen enthalten ist. Um dieses Risiko zu mindern, hat Microsoft Optionen bereitgestellt, mit denen private Gruppen aus Verzeichnislisten ausgeblendet und ihre Mitgliederlisten verborgen werden können. Diese Einstellungen sind jedoch standardmäßig deaktiviert, d. h., Organisationen müssen sie proaktiv aktivieren, um sicherzustellen, dass die Metadaten privater Gruppen vertraulich bleiben.

Dieser IoE meldet alle Microsoft 365-Gruppen, die mit der öffentlichen Einstellung konfiguriert sind. Da der IoE die Legitimität des öffentlichen Status einer Gruppe nicht automatisch ermitteln kann, müssen Sie jede Feststellung überprüfen und eine der folgenden Maßnahmen ergreifen:

• Wenn die Gruppe private Informationen enthält, ändern Sie ihre Datenschutzeinstellung in „Privat“ und stellen Sie sicher, dass nur autorisierte Benutzer als Gruppenmitglieder enthalten sind. Mit dieser Konfiguration erhalten Gruppenbesitzer immer dann Zugriffsanfragen, wenn jemand darum bittet, der Gruppe beizutreten.
• Wenn die Gruppe absichtlich auf „Öffentlich“ festgelegt wurde, weil sie beispielsweise nur öffentliche Informationen enthält, fügen Sie sie zur Ausschlussoption des IoE hinzu, um zu bestätigen, dass die Einstellung „Öffentlich“ angemessen ist.

Microsoft 365-Gruppen haben designierte Besitzer, die für die Verwaltung der Einstellungen und der Mitgliedschaft der Gruppe verantwortlich sind. Wenn Sie die entsprechende Datenschutzeinstellung für eine Gruppe bestätigen müssen, können Sie die Gruppenbesitzer per E-Mail oder über den Teams-Chat kontaktieren.

Sie können die Datenschutzeinstellung von Microsoft 365-Gruppen mit verschiedenen Methoden in „Öffentlich“ oder „Privat“ ändern:

• Microsoft 365 Admin Center: Klicken Sie im Menü „Teams und Gruppen“ -> „Aktive Teams und Gruppen“ auf die Gruppe und ändern Sie die Einstellung für „Datenschutz“ auf der Registerkarte „Einstellungen“.
• Teams Admin Center: Klicken Sie im Menü „Teams“ -> „Teams verwalten“ auf die Gruppe und bearbeiten Sie die Einstellung für „Datenschutz“ auf der Registerkarte „Einstellungen“.
• Microsoft Graph-PowerShell: Verwenden Sie das Cmdlet Update-MgGroup -Visibility Public|Private|HiddenMembership.
• Microsoft Graph-API: Verwenden Sie die API Gruppe aktualisieren und legen Sie die Eigenschaft visibility- fest.
• Exchange PowerShell: Verwenden Sie das Cmdlet Set-UnifiedGroup -AccessType Public|Private.
• Outlook klassisch oder Web: Befolgen Sie die Verfahren wie in dem Artikel beschrieben.

Standardmäßig haben in Outlook und im Azure-Portal erstellte M365-Gruppen die Einstellung „Privat“, die Sie ändern können.

Um die Erstellung neuer öffentlicher Gruppen zu verhindern, die möglicherweise nicht den Sicherheits- und Datenschutzrichtlinien Ihrer Organisation entsprechen, haben Sie mehrere Möglichkeiten:

• Verwenden Sie Vertraulichkeitsbezeichnungen (unterliegt Lizenzierungsanforderungen). Binden Sie Vertraulichkeitsbezeichnungen an zulässige oder unzulässige Datenschutzeinstellungen. Beschränken Sie beispielsweise ein mit der Vertraulichkeitsbezeichnung „Vertraulich“ gekennzeichnetes Teams-Team auf die Datenschutzeinstellung „Privat“.
• Verwalten Sie, wer Microsoft 365-Gruppen erstellen kann (unterliegt Lizenzierungsanforderungen). Beschränken Sie die Gruppenerstellung auf sachkundige Administratoren, die die entsprechende Datenschutzebene auswählen können. Implementieren Sie ein benutzerdefiniertes Formular für die Gruppenerstellung, um die richtigen Datenschutzeinstellungen sicherzustellen. Achtung: Dieser Ansatz kann die Autonomie der Endbenutzer einschränken, da Benutzer im Allgemeinen die Möglichkeit haben möchten, Teams selbst zu erstellen.
• Klären Sie Endbenutzer über ihre Verantwortlichkeiten und die Auswirkungen der einzelnen Datenschutzoptionen auf. Siehe die Microsoft-Dokumentation Erläutern von Microsoft 365-Gruppen für Ihre Benutzer. Weisen Sie Endbenutzer auf ihre Verantwortung hin und befähigen Sie sie, fundierte Entscheidungen über Datenschutzeinstellungen für Gruppen zu treffen.
• Verwenden Sie ein Skript oder diesen IoE, um öffentliche Microsoft 365-Gruppen regelmäßig aufzulisten. Senden Sie E-Mail- oder Teams-Nachrichten an Gruppenbesitzer, um sie an die Risiken öffentlicher Gruppen zu erinnern. Gestatten Sie Besitzern, ihre Absicht zu bestätigen oder die Datenschutzeinstellung der Gruppe zu ändern.

Name: Öffentliche M365-Gruppe

Codename: PUBLIC-M365-GROUP

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure