我們會注意到一些「AI 會議助理」,像是 Otter.ai 和 Read.ai,會悄悄地加入了、內部會議。沒有人真的邀請它們,但它們就這樣出現了——像是不請自來的客人,在那裡做筆記。如何阻止Otter.ai、Read.ai偷偷加入內部會議?
Workstemt特意請來AccessOrange為你提供實用建議,防止惡意應用存取你的資料!
一開始還以為,也許有人在測試這些工具。但事實上,這些應用程式其實是在透過讀取使用者的 Microsoft 365 行事曆,自動加入會議。真狡猾。
問題在哪?一旦你把 M365 帳號連結到這些應用,它們就能存取你的行事曆、Teams 會議連結,甚至錄影內容。這表示內部敏感資訊會外流到第三方雲端。這可不妙。
為什麼在 Teams 裡封鎖它們沒用
大多數管理員會立刻想到調整 Teams 的會議政策——像是「只有組織內的人可以略過等候室」。 但這不是解決方法。我們仍然需要讓外部客戶能夠輕鬆加入會議。如果把 Teams 鎖得太緊,反而會讓客戶覺得麻煩。
真正的問題不在 Teams,而是在 Microsoft Entra ID(以前叫 Azure AD)裡的 OAuth 應用權限。
步驟 1:在 Entra 找出這些「元兇」
進入 Entra Admin Center → Enterprise Applications(企業應用程式),搜尋「Otter」或「Read」。 你可能會看到這些項目:
- Otter.ai Meeting Notes
- Read.ai Meeting Assistant
- Fireflies.ai
點進每一個。 然後在 Properties(屬性) 標籤頁裡,將 User assignment required(需要使用者指派) 設為 Yes。 若你想要直接封鎖所有人,也可以將 Enabled for users to sign-in(允許使用者登入) 改成 No。
步驟 2:只允許自己(或測試帳號)使用
如果你想保留其中一個應用程式用來測試或個人使用,這是比較乾淨的做法:
- 保持 Enabled for users to sign-in = Yes
- 設定 User assignment required = Yes
- 在 Users and groups(使用者與群組) 中,移除所有人,只保留自己。
這樣一來,只有你能使用該應用程式,它就不會再自動加入別人的會議。
步驟 3:撤銷現有的權限
即使封鎖了新的登入,舊的權杖(token)可能還能暫時使用。 為了保險起見,請撤銷它們的委派權限:
進入該應用 → Security → Permissions → Revoke admin/user consent(撤銷管理員或使用者同意)。
或者,如果你喜歡使用 PowerShell,這裡有我用的快速指令:
Connect-MgGraph -Scopes “Application.ReadWrite.All”,”DelegatedPermissionGrant.ReadWrite.All” $sp = Get-MgServicePrincipal -Filter “displayName eq ‘Otter'” Get-MgServicePrincipalOauth2PermissionGrant -ServicePrincipalId $sp.Id -All | ForEach-Object { Remove-MgOauth2PermissionGrant -OAuth2PermissionGrantId $_.Id }
這樣就會刪除該應用持有的所有作用中權杖,它再也無法存取任何人的行事曆。
步驟 4:加強未來的應用同意設定
為了避免未來再出現類似狀況:
- 進入 Enterprise applications → Consent and permissions → User consent settings(使用者同意設定)
- 選擇「Allow user consent for apps from verified publishers, for selected permissions (low impact)(僅允許已驗證的發行者申請低風險權限)」
- 啟用 Admin consent workflow(管理員同意流程),讓使用者若真的需要某個應用,可以發出請求。
這樣一來,使用者仍然可以連接有用的工具——但無法使用那些會讀取你所有會議資料的應用。
可選:加上監控
如果你有使用 Defender for Cloud Apps,可以建立規則,當有新的 OAuth 應用要求存取 Calendars.Read 或 OnlineMeetings.Read 時發出警示。 這樣能提前發現可疑的應用,防止它們自動加入你的會議。
不再有隨意闖入的 AI 筆記助理
完成這些設定之後,就不會再有「AI 筆記助理」亂入我們的內部會議了。客戶依然可以正常加入會議,而我們的資料則安全地留在 Microsoft 365 裡。
這裡的重點是:不要在 Teams 層面解決問題——要在身分識別層面下手。
因為只要應用能讀取你的行事曆,它就能加入你的會議⋯⋯而那是一個足以讓隱私漏洞開到卡車都能開進去的洞。
你是否需要協助進行上述設定?是否希望AccessOrange幫你強化 M365 環境,防止惡意應用存取你的資料?
為協助您提升管理效能,Workstem很高興為你介紹我們的合作夥伴 ─ AccessOrange
AccessOrange 全方位企業方案
AccessOrange 通過利用智能技術和雲端技術來幫助企業公司優化業務
- 提供提高運營效率的生產力解決方案
- 提供協作工具,幫助您的團隊在整個組織內更有效率地溝通
- 幫助您深入了解業務成績,通過使用商業智能,組合電腦數據和人工智能解決方案
- 將企業現有的電腦系統提升,將公司業務文件和應用程序遷移到雲端技術
AccessOrange已經獲得MICROSOFT GOLD和中小企業的雲端技術解決方案的能力,展現了其能夠滿足微軟公司客戶在現今社會對雲端技術的世界不斷變化的需求。
通過實施 Microsoft 365, Azure Cloud或商業智能解決方案等,使百多間企業更加將業務智能化,成功為企業邁向商業電子化的重要一環.
(來源於 AccessOrange 的文章 我們是怎麼阻止 Otter.ai、Read.ai 偷偷加入內部會議的)
