حدث
٨ ذو القعدة، ٢ م - ١١ ذو القعدة، ١٢ ص
مهارة تصل إلى عصر الذكاء الاصطناعي في حدث Microsoft 365 بقيادة المجتمع في نهاية المطاف، 6-8 مايو في لاس فيغاس.
معرفة المزيدتكوين Teams مع ثلاثة مستويات من أمان مشاركة الملفات
تتطلب بعض الميزات في هذه المقالة Microsoft Syntex - الإدارة المتقدمة لـ SharePoint
توفر المقالات الواردة في هذه السلسلة توصيات لتكوين الفرق في Microsoft Teams ومواقع SharePoint المقترنة بها، لحماية الملفات التي توازن الأمان مع سهولة التعاون.
تحدد هذه المقالة أربعة تكوينات مختلفة، بدءا من فريق عام مع نهج المشاركة الأكثر انفتاحا. يمثل كل تكوين إضافي خطوة مفيدة في الحماية، بينما يتم تقليل القدرة على الوصول إلى الملفات المخزنة داخل الفرق والتعاون فيها إلى المجموعة ذات الصلة من أعضاء الفريق.
تتوافق التكوينات الواردة في هذه المقالة مع توصيات Microsoft لثلاثة مستويات من الحماية للبيانات والهويات والأجهزة:
حماية الأساس
الحماية الحساسة
حماية حساسة للغاية
للحصول على معلومات حول إنشاء بيئة اجتماع Teams تفي بمتطلبات التوافق الخاصة بك، راجع تكوين اجتماعات Teams بثلاثة مستويات من الحماية.
يلخص الجدول التالي التكوينات لكل مستوى. استخدم هذه التكوينات كتوصيات نقطة بداية وضبط التكوينات لتلبية احتياجات مؤسستك. قد لا تحتاج إلى كل مستوى.
| الأساس (عام) | الأساس (خاص) | حساس | حساسة للغاية | |
|---|---|---|---|---|
| فريق خاص أو عام | عام | عسكري | عسكري | عسكري |
| من لديه حق الوصول؟ | كل شخص في المؤسسة، بما في ذلك ضيوف B2B. | أعضاء الفريق فقط. يمكن للآخرين طلب الوصول إلى الموقع المقترن. | أعضاء الفريق فقط. | أعضاء الفريق فقط. |
| القنوات الخاصة | يمكن للمالكين والأعضاء إنشاء قنوات خاصة | يمكن للمالكين والأعضاء إنشاء قنوات خاصة | يمكن للمالكين فقط إنشاء قنوات خاصة | يمكن للمالكين فقط إنشاء قنوات خاصة |
| وصول الضيف على مستوى الموقع | الضيوف الجدد والحاليين (افتراضي). | الضيوف الجدد والحاليين (افتراضي). | الضيوف الجدد والحاليين أو الأشخاص فقط في مؤسستك اعتمادا على احتياجات الفريق. | الضيوف الجدد والحاليين أو الأشخاص فقط في مؤسستك اعتمادا على احتياجات الفريق. |
| الوصول المشروط على مستوى الموقع | الوصول الكامل من تطبيقات سطح المكتب وتطبيقات الأجهزة المحمولة والويب (افتراضي). | الوصول الكامل من تطبيقات سطح المكتب وتطبيقات الأجهزة المحمولة والويب (افتراضي). | السماح بالوصول المحدود على الويب فقط. | نهج الوصول المشروط المخصص |
| نوع ارتباط المشاركة الافتراضي | الأشخاص في مؤسستك فقط | الأشخاص في مؤسستك فقط | أشخاص محددون | الأشخاص مع وصول موجود |
| تسميات الحساسية | بلا | بلا | وصف الحساسية المستخدم لتصنيف الفريق والتحكم في مشاركة الضيف والوصول إلى الجهاز غير المدار. | وصف الحساسية المستخدم لتصنيف الفريق والتحكم في مشاركة الضيف وتحديد نهج الوصول المشروط. يتم استخدام تسمية الملف الافتراضية على الملفات لتشفيرها. |
| إعدادات مشاركة الموقع | يمكن لمالكي المواقع وأعضاءها والأشخاص الذين لديهم أذونات "تحرير" مشاركة الملفات والمجلدات، ولكن يمكن لمالكي المواقع فقط مشاركة الموقع. | يمكن لمالكي المواقع وأعضاءها والأشخاص الذين لديهم أذونات "تحرير" مشاركة الملفات والمجلدات، ولكن يمكن لمالكي المواقع فقط مشاركة الموقع. | يمكن لمالكي المواقع وأعضاءها والأشخاص الذين لديهم أذونات "تحرير" مشاركة الملفات والمجلدات، ولكن يمكن لمالكي المواقع فقط مشاركة الموقع. | N/A (يتم التحكم فيها بواسطة نهج التحكم في الوصول المقيد على مستوى الموقع.) |
| نهج التحكم في الوصول المقيد على مستوى الموقع | بلا | بلا | بلا | أعضاء الفريق فقط |
تتضمن الحماية الأساسية الفرق العامة والخاصة. يمكن لأي شخص في المؤسسة اكتشاف الفرق العامة والوصول إليها. لا يمكن اكتشاف الفرق الخاصة والوصول إليها إلا من قبل أعضاء الفريق. يقيد كلا التكوينين مشاركة موقع SharePoint المقترن بمالكي الفريق للمساعدة في إدارة الأذونات.
فرق الحماية الحساسة والحساسة للغاية هي فرق خاصة تكون فيها المشاركة وطلب الوصول للموقع المرتبط محدودة وتستخدم أوصاف الحساسية لتعيين نهج حول مشاركة الضيف والوصول إلى الجهاز وتشفير المحتوى.
تستخدم المستويات الحساسة والحساسة للغاية أوصاف الحساسية للمساعدة في تأمين الفريق وملفاته. لتنفيذ هذه المستويات، يجب تمكين أوصاف الحساسية لحماية المحتوى في مواقع Microsoft Teams مجموعات Microsoft 365 وSharePoint.
على الرغم من أن المستوى الأساسي لا يتطلب أوصاف حساسية، ففكر في إنشاء تسمية "عامة" ثم طلب تسمية جميع الفرق. يساعد هذا في ضمان أن المستخدمين يتخذون خيارا واعيا بشأن الحساسية عند إنشاء فريق. إذا كنت تخطط لتوزيع المستويات الحساسة أو الحساسة للغاية، نوصي بإنشاء تسمية "عامة" يمكنك استخدامها لفرق الأساس والملفات غير الحساسة. بالنسبة للطبقة شديدة الحساسية، سنحدد أيضا وصف حساسية افتراضي لمكتبات المستندات بحيث يتم تطبيق هذه التسمية تلقائيا على ملفات Office والملفات المتوافقة الأخرى عند تحميلها.
إذا كنت جديدا على استخدام أوصاف الحساسية، نوصي بقراءة بدء استخدام أوصاف الحساسية للبدء.
إذا قمت بالفعل بطرح أوصاف الحساسية في مؤسستك، ففكر في كيفية احتواء التسميات المستخدمة في المستويات الحساسة والحساسة للغاية مع استراتيجية التسمية الإجمالية.
كل فريق لديه موقع SharePoint مقترن حيث يتم تخزين المستندات. (هذه هي علامة التبويب ملفات في قناة الفرق.) يحتفظ موقع SharePoint بإدارة الأذونات الخاصة به، ولكنه مرتبط بأذونات الفريق. يتم تضمين مالكي الفريق كمالكي المواقع ويتم تضمين أعضاء الفريق كأعضاء في الموقع المقترن.
تسمح الأذونات الناتجة بما يلي:
- يجب على مالكي الفريق إدارة الموقع والتحكم الكامل في محتويات الموقع.
- أعضاء الفريق لإنشاء الملفات وتحريرها على الموقع.
بشكل افتراضي، يمكن لمالكي الفريق وأعضاءه مشاركة الموقع نفسه مع أشخاص من خارج الفريق دون إضافتهم فعليا إلى الفريق. نوصي بعدم القيام بذلك لأنه يعقد إدارة المستخدم ويمكن أن يؤدي إلى وصول الأشخاص الذين ليسوا أعضاء في الفريق إلى ملفات الفريق دون أن يدركها مالكو الفريق. للمساعدة في منع ذلك، بدءا من المستوى الأساسي للحماية، نوصي بالسماح للمالكين فقط بمشاركة الموقع مباشرة.
على الرغم من أن الفرق ليس لديها خيار إذن للقراءة فقط، إلا أن موقع SharePoint لديه. إذا كان لديك أصحاب مصلحة أو مجموعات شركاء يحتاجون إلى أن يكونوا قادرين على عرض ملفات الفريق ولكن ليس تحريرها، ففكر في إضافتها مباشرة إلى موقع SharePoint باستخدام أذونات العرض.
بالنسبة للطبقة الحساسة للغاية، نقوم بتقييد الوصول إلى الموقع لأعضاء الفريق فقط. يمنع هذا التقييد أيضا مشاركة الملفات مع أشخاص من خارج الفريق.
بشكل افتراضي، يمكن لكل من مالكي وأعضاء الفريق مشاركة الملفات والمجلدات مع أشخاص من خارج الفريق. قد يتضمن ذلك أشخاصا من خارج مؤسستك، إذا سمحت بمشاركة الضيف. في جميع المستويات الثلاثة، نقوم بتحديث نوع ارتباط المشاركة الافتراضي للمساعدة في تجنب المشاركة الزائدة العرضية. كما هو مذكور أعلاه، في الطبقة الحساسة للغاية، يقتصر الوصول إلى الملفات على أعضاء الفريق فقط.
إذا كنت بحاجة إلى مشاركة محتوى Teams مع أشخاص من خارج مؤسستك، فهناك خياران:
- مشاركة الضيف - تستخدم مشاركة الضيف تعاون B2B Microsoft Entra الذي يسمح للمستخدمين بمشاركة الملفات والمجلدات والمواقع والمجموعات والفرق مع أشخاص من خارج مؤسستك. يصل هؤلاء الأشخاص إلى الموارد المشتركة باستخدام حسابات الضيوف في الدليل الخاص بك.
- القنوات المشتركة - تستخدم القنوات المشتركة Microsoft Entra الاتصال المباشر B2B الذي يسمح للمستخدمين بمشاركة الموارد في مؤسستك مع أشخاص من مؤسسات Microsoft Entra أخرى. يصل هؤلاء الأشخاص إلى القنوات المشتركة في Teams باستخدام حساب العمل أو المؤسسة التعليمية الخاص بهم. لم يتم إنشاء حساب ضيف في مؤسستك.
كل من مشاركة الضيف والقنوات المشتركة مفيدة اعتمادا على الموقف. راجع تخطيط التعاون الخارجي للحصول على تفاصيل حول كل منها وكيفية تحديد أي منها يجب استخدامه لسيناريو معين.
إذا كنت تخطط لاستخدام مشاركة الضيف، نوصي بتكوين تكامل SharePoint وOneDrive مع Microsoft Entra B2B للحصول على أفضل تجربة مشاركة وإدارة.
يمكنك منع مشاركة ضيف Teams إذا لزم الأمر في المستويات الحساسة والحساسة للغاية باستخدام وصف الحساسية. يتم تشغيل القنوات المشتركة بشكل افتراضي، ولكنها تتطلب إعداد علاقات عبر المؤسسات لكل مؤسسة تريد التعاون معها. راجع التعاون مع المشاركين الخارجيين في قناة للحصول على التفاصيل.
في الطبقة شديدة الحساسية، نقوم بتكوين تسمية حساسية المكتبة الافتراضية لتشفير الملفات التي يتم تطبيقها عليها. إذا كنت بحاجة إلى وصول الضيوف إلى هذه الملفات، يجب منحهم أذونات عند إنشاء التسمية. لا يمكن منح المشاركين الخارجيين في القنوات المشتركة أذونات لتسميات الحساسية ولا يمكنهم الوصول إلى المحتوى المشفر بواسطة وصف الحساسية.
نوصي بشدة بترك مشاركة الضيف قيد التشغيل للطبقة الأساسية وللطبقات الحساسة أو الحساسة للغاية إذا كنت بحاجة إلى التعاون مع أشخاص من خارج مؤسستك. توفر ميزات مشاركة الضيف في Microsoft 365 تجربة مشاركة أكثر أمانا وتحكما من إرسال الملفات كمرفقات في رسائل البريد الإلكتروني. كما أنه يقلل من مخاطر Shadow IT حيث يستخدم المستخدمون منتجات المستهلكين غير المدعومة للمشاركة مع المتعاونين الخارجيين الشرعيين.
إذا تعاونت بانتظام مع المؤسسات الأخرى التي تستخدم Microsoft Entra ID، فقد تكون القنوات المشتركة خيارا جيدا. تظهر القنوات المشتركة بسلاسة في عميل Teams الخاص بالمؤسسة الأخرى وتسمح للمشاركين الخارجيين باستخدام حساب المستخدم العادي لمؤسستهم بدلا من الاضطرار إلى تسجيل الدخول بشكل منفصل باستخدام حساب ضيف.
راجع المراجع التالية لإنشاء بيئة مشاركة ضيف آمنة ومنتجة لمؤسستك:
- أفضل الممارسات لمشاركة الملفات والمجلدات مع المستخدمين غير المصادق عليهم
- الحد من التعرض العرضي للملفات عند المشاركة مع أشخاص من خارج مؤسستك
- إنشاء بيئة مشاركة ضيف آمنة
يوفر Microsoft Entra الوصول المشروط العديد من الخيارات لتحديد كيفية وصول الأشخاص إلى Microsoft 365، بما في ذلك القيود استنادا إلى الموقع والمخاطر وتوافق الجهاز وعوامل أخرى. نوصيك بقراءة ما هو الوصول المشروط؟ والنظر في النهج الإضافية التي قد تكون مناسبة لمؤسستك.
بالنسبة إلى المستويات الحساسة والحساسة للغاية، نستخدم أوصاف الحساسية لتقييد الوصول إلى محتوى SharePoint.
بالنسبة للطبقة الحساسة، سنقوم بتقييد الوصول إلى الويب فقط للأجهزة غير المدارة. (لاحظ أن الضيوف غالبا لا يملكون أجهزة تديرها مؤسستك. إذا سمحت للضيوف في أي من المستويات، ففكر في أنواع الأجهزة التي يستخدمونها للوصول إلى الفرق والمواقع وتعيين نهج الأجهزة غير المدارة وفقا لذلك.)
بالنسبة للطبقة الحساسة للغاية، سنستخدم سياق المصادقة Microsoft Entra مع وصف الحساسية لتشغيل نهج وصول مشروط مخصص عندما يصل الأشخاص إلى موقع SharePoint المقترن بالفريق.
تؤثر إعدادات الوصول المشروط في أوصاف الحساسية على الوصول إلى SharePoint فقط. إذا كنت تريد توسيع الوصول المشروط خارج SharePoint، يمكنك نهج الوصول المشروط الشائع: طلب جهاز متوافق أو Microsoft Entra جهاز مختلط مرتبط أو مصادقة متعددة العوامل لجميع المستخدمين بدلا من ذلك. لتكوين هذا النهج خصيصا لخدمات Microsoft 365، حدد تطبيق السحابة Office 365 ضمن تطبيقات السحابة أو الإجراءات.
يمكن أن يؤدي استخدام نهج يؤثر على جميع خدمات Microsoft 365 إلى أمان أفضل وتجربة أفضل للمستخدمين. على سبيل المثال، عند حظر الوصول إلى الأجهزة غير المدارة في SharePoint فقط، يمكن للمستخدمين الوصول إلى الدردشة في فريق باستخدام جهاز غير مدار، ولكن سيفقدون الوصول عند محاولة الوصول إلى علامة التبويب ملفات. يساعد استخدام تطبيق السحابة Office 365 على تجنب المشكلات المتعلقة بتبعيات الخدمة.
ابدأ بتكوين المستوى الأساسي للحماية. إذا لزم الأمر، يمكنك إضافة حماية حساسةوحماية حساسة للغاية أيضا.
الموارد الإضافية
التدريب
الوحدة النمطية
Implement security for Microsoft Teams. - Training
Learn about different security capabilities for Microsoft Teams, including Conditional Access, multifactor authentication, Safe Attachments, Safe Links, and Defender for Cloud Apps.
الشهادة
Microsoft Certified: حماية البيانات و Compliance Administrator Associate - Certifications
إظهار أساسيات أمان البيانات وإدارة دورة الحياة وأمان المعلومات والتوافق لحماية نشر Microsoft 365.
الوثائق
-
إعداد مشاركة الملفات والمستندات الآمنة والتعاون مع Teams في Microsoft 365
تعرف على أفضل الممارسات لإعداد التعاون الآمن في الملفات ومشاركتها في Teams لحماية بياناتك استنادا إلى حساسيتها.
-
تكوين الفرق مع الحماية الأساسية
تعرف على كيفية توزيع الفرق بمستوى أساسي من الحماية.
-
تكوين الفرق مع حماية البيانات الحساسة
تعرف على كيفية نشر الفرق مع حماية البيانات الحساسة.