Blog链接:https://blog.51cto.com/13969817
于2023年5月11日线上与MVP Junzhe Liu,组织了Webinar,主题为:安全入云,畅享云端。
邀请了企业的客户IT Leader,CIO,相关决策者,产品经理,合作伙伴等等共计将近90人。
本次主题的背景是:
出于加强协作,提高企业生产力或降低O365成本的角度出发,很多跨国企业或集团公司购买了单一O365租户,但从语言、时区和支持的及时性角度来看,很多子公司需要当地的IT来提供技术支持,但总部又担心给当地 IT全局管理员的权限太大,会有安全顾虑。那如何解决总部的担忧,又能让当地IT及时为用户提供服务呢?
首先,我给大家分享了微软原声的Microsoft 365 Admin Role以及Azure AD里的Administrative Unit的情况,如下所示:
整体看对于满足客户安全需求,权限过大,存在一定的隐患,所以企业希望寻找的解决方案能满足的目标是:
各地IT admin不单独授予任何Microsoft 365 Administrative roles的情况下也能管理自己辖区员工的相关设置
同时各地IT Admin管理的应用彼此之间是相互隔离,不可见的。
同时满足集团审计的要求,能实时直观监控各地IT的行为记录。
接下来针对两个不同的场景,给大家分享了相关的解决方案:如何在不授权任何全局管理员的情况下,各个Local IT也能有效的管理自己Local员工的request和相关工作,如下所示:
线上介绍方案之余,也有小伙伴提出了相关问题,比如他们基于Microsoft 365的日常工作:
项目相关干系人,为不同的项目跟踪和存储项目文档,自助创建Teams,那么原生的Teams创建是没有任何生命周期或者策略的管理
商务用户跟供应商或者其他部门协作的情况下,他们需要实时的跟这些内外部用户分享文档协作编辑,修正。
IT 人员需要根据不同的业务部门领导或者审计人员生成权限审计报告,默认通过UI页面是无法生成的,需要使用脚本以网站集的形式导出权限报表。
业务部门领导在处理部门员工调转或者离职员工管理的时候,需要根据IT生成的权限报告,将权限手动将部门调转或者离职的员工变更给待交接人。
所有这么多日常工作的常态,就暴露一些管理痛点,比如Teams的命名不规则话,久而久之teams创建无序蔓延后或者数据存储达到免费的存储空间后,想要做数据治理就有一定的难度,无从下手,不清楚Teams为何创建,是否可以做归档或者删除等策略管理。
文档随意的共享,无法避免机密文档泄露,手动变更权限,人为操作有一定的风险,同时对Shared link的权限也无法直接准确的追踪成员信息能等。
针对大家提出的日常管理痛点与很多客户的需求产生共鸣,线上给大家推荐的解决方案:是一套面对业务用户以及所属领导的智能化审批管理,只需要管理员和安全部门预先定义好这些安全合规策略定义,我们协助客户做好管理配置和相关的服务,业务用户后续就可以直接管理了,如下所示:
短暂的分享,希望能给大家带来一定的管理启发,期待下次的分享,若大家有相关问题,欢迎线下讨论。
