公開 M365 群組

Microsoft 365 群組是各種 Office 365 應用程式 (尤其是 Microsoft Teams) 的基礎，其中每個團隊都對應一個相關的 M365 群組。您可以建立群組，並在日後使用私人或公開隱私權設定，依照如下原則設定群組性質:

建立群組時，需要決定是將其設為私人群組或公開群組​。貴組織中的任何人都可以查看公開群組的內容，也可以加入群組。私人群組的內容只有其成員能夠查看，而想要加入私人群組則必須獲得群組所有者的批准。

公開群組雖然便利，但也會產生風險，因為組織租用戶中的任何使用者 (包括訪客使用者) 都可以自由加入這些群組並取得其資料的存取權。例如:

• Teams: 對話與共用檔案 (實際上儲存在 SharePoint 網站中)
• OneDrive: 共用資料庫
• Exchange Online: Outlook 群組信箱
• OneNote: 共用筆記
• Microsoft Planner 和 Microsoft 待辦事項任務
• Azure 雲端資源 (因為 M365 群組可能獲派 Azure 角色)
• 等

懷有惡意或好奇心的使用者無需使用任何駭客工具即可輕鬆探索公開群組。例如，他們可以透過 Teams 和 Outlook 中的「建立並加入團隊與頻道」或「我的應用程式群組存取面板」等功能找到公開群組。

在 Microsoft 365 中，終端使用者可以自行建立群組並選擇設定為公開或私人，而不是像安全性群組那樣依賴 IT 管理員來建立。這通常是在 Teams (最常見)、Outlook 或 SharePoint 等應用程式中進行。因此，終端使用者經常會在一知半解的情況下選取公開的隱私選項，不明白這會允許組織 Entra 租用戶中的所有人直接加入群組，不必經過群組所有者核准，進而取得所有群組內容的存取權。

前稱「Office 365 群組」的 Microsoft 365 群組也稱為「統一群組」，是儲存在 Entra ID 中的群組類型之一。此曝險指標著重於這些 Microsoft 365 群組，而不是更常見的 Microsoft Entra 安全性群組，後者的公開/私人隱私選項有所不同。

限制: 此曝險指標 (IoE) 無法自動判斷公開 M365 群組是否正當。

請注意: 私人群組也可能會在無意間洩漏機密資訊，因為根據預設，組織租用戶中的任何人都可以查看私人群組的名稱、說明和成員清單。僅憑這些中繼資料可能就足以推斷機密的詳細資料，例如潛在擷取的目標，前提是群組名稱中提及這項資訊。為了緩解此風險，Microsoft 提供了一些選項，可以在目錄清單中隱藏私人群組並且不顯示其成員清單。不過，這些設定預設為停用狀態，也就是說組織必須主動啟用這些設定才能確保私人群組的中繼資料受到保密。

此曝險指標 (IoE) 會報告設定為公開的所有 Microsoft 365 群組。由於曝險指標 (IoE) 無法自動判定群組公開狀態的正當性，因此您必須審查每一項結果並採取以下其中一項動作:

• 如果群組包含私密資訊，請將其隱私設定變更為私人，並確認群組成員是否僅包含授權使用者。採用此設定後，每當有人要求加入群組，群組所有者都會收到存取請求。
• 例如，如果該群組因為只包含公開資訊而刻意設為公開，請將其新增至曝險指標 (IoE) 的排除選項中，以認可公開設定的適用性。

Microsoft 365 群組有其指定的所有者，負責管理群組的設定和成員資格。如果需要確認適用於群組的隱私設定，可以透過電子郵件或 Teams 聊天室聯絡群組所有者。

您可以透過多種方式將 Microsoft 365 群組的隱私設定變更為公開或私人:

• Microsoft 365 系統管理中心: 在「團隊與群組」->「作用中團隊與群組」選單中按一下該群組，並在「設定」索引標籤中變更其「隱私」設定。
• Teams 系統管理中心: 在 「團隊」->「管理團隊」選單中按一下該群組，然後在「設定」索引標籤中編輯其「隱私」設定。
• Microsoft Graph PowerShell: 使用 Update-MgGroup -Visibility Public|Private|HiddenMembership 指令程式。
• Microsoft Graph API: 使用更新群組 API 並設定能見度屬性。
• Exchange PowerShell: 使用 Set-UnifiedGroup -AccessType Public|Private 指令程式。
• Outlook 傳統版或網頁版: 按照文章中所述的程序進行操作。

根據預設，在 Outlook 和 Azure 入口網站中建立的 M365 群組會設定為私人，您可以變更此設定。

為了防止建立不合乎貴組織安全性與隱私權原則的新公開群組，您有以下幾種選擇:

• 使用敏感度標籤 (符合授權要求)。透過敏感度標籤規範隱私設定適用與否。例如，限制標有「機密」敏感度標籤的 Teams 團僅可使用私人隱私設定。
• 管理可以建立 Microsoft 365 群組的人員 (符合授權要求)。針對群組建立作業設立限制，只有掌握充足知識並可以視情況選取隱私等級的管理員能夠執行。建置自訂表單以確保在建立群組時採用正確的隱私設定。注意: 此方法可能會降低終端使用者的可操作範圍，因為使用者通常都希望能夠自行建立團隊。
• 教育終端使用者，說明其責任以及每個隱私選項的影響。請參閱 Microsoft 的說明文件「向使用者解釋 Microsoft 365 群組」。讓終端使用者意識到自己的責任，並在選擇群組隱私設定時做出明智決定。
• 使用指令碼或此曝險指標 (IoE) 定期列舉公開的 Microsoft 365 群組。向群組所有者傳送電子郵件或 Teams 訊息，提醒他們與公開群組相關的風險。允許所有者確認是否維持現狀或變更群組的隱私設定。

名稱: 公開 M365 群組

代碼名稱: PUBLIC-M365-GROUP

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure