OneDrive for Business Security：谜团已解开

在过去几年中，组织逐渐将云技术用于各种业务目的。通常，首先使用的云服务是文件存储。云存储使所有企业（无论规模大小）都能控制成本，同时确保数据的高可用性。 Microsoft 提供了两种流行的云文件存储选项： Microsoft OneDrive 适用于非企业客户，并作为其电子邮件服务的一部分。 OneDrive for Business 专为公司设计；此 Microsoft 云文件存储选项通常是 Office 365 订阅的一部分。

在选择云文件服务时，组织会考虑许多因素，例如成本、数据中心位置、性能、存储功能以及与其他平台的集成。经常被忽视的一个关键话题是平台的安全性。很多时候，企业信任这些服务只是因为供应商声称它们是安全的，而实际上他们应该自己检查可用的云安全控制。选择云文件存储服务时，了解您的企业拥有的数据的安全性应该是首要标准。

在这里，我将回顾 OneDrive for Business 的关键安全功能，并提供五个重要的最佳实践，以确保组织的数据安全。

OneDrive for Business 的安全性如何？

从第一天起，微软就确保 OneDrive for Business 具有从身份验证和控制到加密存储的基本安全功能。从那时起，Microsoft 一直致力于改进 OneDrive for Business 的安全控制，以满足最严格的业务要求。

主要安全功能

数据加密

与 OneDrive for Business 服务的所有通信均使用 SSL/TLS 进行保护：

• 用于通过 Internet 与 OneDrive for Business 进行通信的所有 SSL 连接均使用 2048 位密钥建立。
• 数据中心之间的数据移动通过专用网络传输，并通过加密得到进一步保护。

这两个功能可确保当您访问内容资源时或将数据复制到其他数据中心时保护仍然有效。

其次，所有数据均使用 BitLocker 磁盘级加密与实际内容的按文件加密相结合进行静态加密。每个文件的加密功能特别强大，因为每个加密文件都有一个唯一的加密密钥，并且文件的每个后续更新都使用该密钥进行加密。加密密钥驻留在与内容不同的位置。加密使用具有 256 位密钥的高级加密标准 (AES)，并符合联邦信息处理标准 (FIPS) 140-2。

最后的加密部分位于 SQL 内容数据库中，该数据库保存定位和重组所有内容所需的映射以及解密所有数据所需的密钥。

用户权限和共享

全局管理员和 SharePoint 管理员可以通过 OneDrive 管理中心管理 OneDrive for Business，可以在其中定义配置和组织共享设置以及基本权限。在 Microsoft Office 365 套件中，OneDrive for Business 和 SharePoint Online 之间存在一对一的关系；每个 OneDrive 位置实际上是 SharePoint Online 中的一个网站集。因此，OneDrive for Business 安全和权限的管理与 SharePoint 管理相同。

OneDrive 管理中心提供控制所有共享链接的共享设置。在“默认链接”类别中，管理员可以设置用户共享项目时默认使用的链接类型：

• 可共享 - 如果任何人都可以在 SharePoint Online 中进行外部共享，则此设置可用。此设置使任何知道该链接的人都可以访问该链接。
• 内部 - 此设置使链接只能由组织内的用户访问。如果允许外部共享，最终用户每次共享文件时都必须选择链接类型
• 直接 - 这些链接只能由最终用户创建链接时指定的人员访问。使用此类型与需要进行身份验证的访客或组织中的一小群人共享。

外部共享权限可在全局、网站集和用户级别使用。 OneDrive for Business 提供精细控制，使您能够防止个别用户共享内容。使用 OneDrive 管理中心中的滑块，您可以微调 SharePoint Online 和 OneDrive for Business 外部文件共享的权限级别，以满足您组织的需求。

内容同步

OneDrive for Business 最吸引人的功能之一是它能够将内容同步到多个设备。 OneDrive for Business 提供文件按需服务，该服务提供三种不同的文件状态，以便您可以选择给定内容是否应仅在线保存、本地可用或始终可用。

OneDrive管理中心使您能够进一步控制OneDrive同步客户端；特别是，您可以限制仅同步到加入域的设备或阻止某些文件类型的同步。

使用 Microsoft Intune 提供的策略可以应用更严格的限制。如果您在企业设备（例如 Windows 10 笔记本电脑）上使用 OneDrive for Business，您还可以使用 Active Directory 组策略进一步限制同步。例如，您可以提示 Windows 10 用户将其本地文件移动到 OneDrive for Business。

数据保护和数据丢失防护政策

如果您将文件存储在任何云文件存储服务（包括 OneDrive for Business）中，则需要建立策略来控制可以存储和共享的内容类型。 OneDrive for Business 提供五项核心保护功能：

• 对活动执行审核日志搜索
• 应用数据丢失防护策略
• 应用保存政策
• 创建和管理电子取证案例
• 为特定活动创建警报

需要数据丢失防护策略来控制文件存储系统内的数据流，特别是敏感数据，例如个人员工或客户数据。这些政策使用规则来识别信用卡号、社会保障号、驾照号和其他类型的敏感数据。每个策略都可以根据内容的共享方式进行修改。例如，有一条规则可以阻止对包含社会安全号码的内容（如果在外部共享）的访问，或者阻止对包含银行信息且在组织内部共享的内容的访问。

提高 OneDrive for Business 安全性的技巧

尽管 Microsoft 提供了很好的保护，但许多组织要么不知道可用的保护措施，要么不知道要实施的最佳实践。以下是提高 OneDrive for Business 数据安全性的五个关键技巧：

• 定义并应用数据丢失防护策略来控制数据流。
• 设置网站集和最终用户的内容共享限制。
• 定义并应用设备策略来限制访问和同步。
• 利用大型 Azure 服务提供的功能来保护 OneDrive for Business，例如高级信息保护和条件访问策略。
• 使用第三方软件增强本机 OneDrive for Business 日志记录和审核，以更好地了解用户行为。

结论

通过了解 OneDrive for Business 安全功能并遵循这五种最佳实践，您将能够更好地了解企业中的最终用户和管理员行为，及时解决安全问题并通过合规性审核。