很多行业和国家会有类似的需求,比如不能使用国外的数据中心(这个使用multi-geo可以做到),不能将某些文件上传到任何云服务供应商。。。
其实是一个很奇葩的需求,但是客户就是娘,本文就来探讨一下如何实现这个功能。
第一种方法
禁用许可证。简单粗暴快刀斩乱麻的一种做法,没有sharepoint, onedrive的许可证,肯定也就无法上传数据了。
好处:容易实现
坏处:极差的用户体验,降低协作效率,浪费Office 365资源
注:邮件的附件也是和在Exchange Online中的邮箱也算是在云端的数据,但是如果靠这种方式来做,那么还不如不用Office 365。
第二种方法
将用户权限设置成只读,这个设置只能针对SharePoint Online有用,OneDrive是管不到的,但是可以设置不允许通过sync client同步一些特定后缀的文件。
好处:用户体验有小部分提升,IT管控也较为容易
坏处:如果是针对已经成熟的SharePoint Online使用环境,较为复杂,需要订制PowerShell来转换所有用户的权限,并且如果不禁用创建新站点的权限,那么这个脚本需要隔三岔五反复运行。
注:OneDrive的设置只针对sync client,但是不针对通过网页上传
好了,高大上的方法来了
第三种方法
Cloud App Seurity。因为完全禁止所有形式,内容的上传,这个需求是非常少的。一般都是说,某些地区不允许上传某种类型或包含某种内容的文件到云端。
这个还是可以实现的
第一步:在Azure AD中添加条件访问策略:
我这里就设置了针对SharePoint Online的策略,其他依组织各自个策略来指定就好
第二步:定义你的敏感信息
这个不多说了,我另外的博客中有介绍如何去做,微软官网现在也给出了较为详细的步骤–https://docs.microsoft.com/en-us/microsoft-365/compliance/create-a-custom-sensitive-information-type?view=o365-worldwide第三步:创建CAS 策略
这里选用的是session policy,会话策略:
我这里设置的就是禁止管理员上传带有邮件信息的excel表格。
当然你可以有不允许某个国家人上传带有个人信息的任何文件。最终效果:
在OneDrive还有SharePoint Online中都是一样的
如果设置了通知邮件,那么邮件范例如下:
