Del via


Konfigurer Teams med tre niveauer af sikkerhed for fildeling

Oplysningsikon Nogle funktioner i denne artikel kræver Microsoft Syntex – Avanceret administration af SharePoint

Artiklerne i denne serie indeholder anbefalinger til konfiguration af teams i Microsoft Teams og deres tilknyttede SharePoint-websteder til filbeskyttelse, der balancerer sikkerheden med let samarbejde.

Denne artikel definerer fire forskellige konfigurationer, startende med et offentligt team med de mest åbne delingspolitikker. Hver yderligere konfiguration repræsenterer et meningsfuldt trin op i beskyttelse, mens muligheden for at få adgang til og samarbejde om filer, der er gemt i teams, reduceres til det relevante sæt teammedlemmer.

Konfigurationerne i denne artikel stemmer overens med Microsofts anbefalinger til tre niveauer af beskyttelse af data, identiteter og enheder:

  • Oprindelig beskyttelse

  • Følsom beskyttelse

  • Meget følsom beskyttelse

Du kan få oplysninger om, hvordan du opretter et Teams-mødemiljø, der opfylder dine krav til overholdelse af angivne standarder, under Konfigurer Teams-møder med tre beskyttelsesniveauer.

Et hurtigt overblik over tre niveauer

I følgende tabel opsummeres konfigurationerne for hvert niveau. Brug disse konfigurationer som udgangspunkt for anbefalinger, og juster konfigurationerne, så de opfylder organisationens behov. Du har muligvis ikke brug for alle niveauer.

  Oprindelig plan (offentlig) Oprindelig plan (privat) Følsom Meget følsom
Privat eller offentligt team Offentlig Privat Privat Privat
Hvem har adgang? Alle i organisationen, herunder B2B gæster. Kun medlemmer af teamet. Andre kan anmode om adgang til det tilknyttede websted. Kun medlemmer af teamet. Kun medlemmer af teamet.
Private kanaler Ejere og medlemmer kan oprette private kanaler Ejere og medlemmer kan oprette private kanaler Det er kun ejere, der kan oprette private kanaler Det er kun ejere, der kan oprette private kanaler
Gæsteadgang på webstedsniveau Nye og eksisterende gæster (standard). Nye og eksisterende gæster (standard). Nye og eksisterende gæster eller Kun personer i din organisation , afhængigt af teambehov. Nye og eksisterende gæster eller Kun personer i din organisation , afhængigt af teambehov.
Betinget adgang på webstedsniveau Fuld adgang fra skrivebordsapps, mobilapps og internettet (standard). Fuld adgang fra skrivebordsapps, mobilapps og internettet (standard). Tillad begrænset webadgang. Brugerdefineret politik for betinget adgang
Standardtype for delingslink Kun personer i din organisation Kun personer i din organisation Bestemte personer Personer med eksisterende adgang
Følsomhedsmærkater Ingen Ingen Følsomhedsmærkat, der bruges til at klassificere teamet og styre gæstedeling og ikke-administreret enhedsadgang. Følsomhedsmærkat, der bruges til at klassificere teamet, styre gæstedeling og angive en politik for betinget adgang. Standardfilnavnet bruges på filer til at kryptere dem.
Indstillinger for webstedsdeling Webstedsejere og -medlemmer og personer med tilladelse til at redigere kan dele filer og mapper, men det er kun webstedsejere, der kan dele webstedet. Webstedsejere og -medlemmer og personer med tilladelse til at redigere kan dele filer og mapper, men det er kun webstedsejere, der kan dele webstedet. Webstedsejere og -medlemmer og personer med tilladelse til at redigere kan dele filer og mapper, men det er kun webstedsejere, der kan dele webstedet. I/T (styres af politikken for begrænset adgang på webstedsniveau).
Politik for begrænset adgangskontrol på webstedsniveau Ingen Ingen Ingen Kun gruppemedlemmer

Grundlæggende beskyttelse omfatter offentlige og private teams. Offentlige teams kan registreres og tilgås af alle i organisationen. Private teams kan kun registreres og tilgås af teamets medlemmer. Begge disse konfigurationer begrænser deling af det tilknyttede SharePoint-websted til teamejere for at hjælpe med administration af tilladelser.

Teams til følsom og meget følsom beskyttelse er private teams, hvor deling og anmodning om adgang for det tilknyttede websted er begrænset, og følsomhedsmærkater bruges til at angive politikker for gæstedeling, enhedsadgang og kryptering af indhold.

Følsomhedsmærkater

De følsomme og meget følsomme niveauer bruger følsomhedsmærkater som en hjælp til at beskytte teamet og dets filer. Hvis du vil implementere disse niveauer, skal du aktivere følsomhedsmærkater for at beskytte indhold i Microsoft Teams, Microsoft 365-grupper og SharePoint-websteder.

Selvom det oprindelige niveau ikke kræver følsomhedsmærkater, kan du overveje at oprette en "generel" mærkat og derefter kræve, at alle teams mærkes. Dette hjælper med at sikre, at brugerne foretager et bevidst valg om følsomhed, når de opretter et team. Hvis du planlægger at udrulle de følsomme eller meget følsomme niveauer, anbefaler vi, at du opretter en "generel" mærkat, som du kan bruge til grundlæggende teams og til filer, der ikke er følsomme. For det meget følsomme niveau angiver vi også en standardfølsomhedsmærkat for dokumentbiblioteker, så Denne mærkat anvendes automatisk for Office-filer og andre kompatible filer, når de uploades.

Hvis du ikke kender til at bruge følsomhedsmærkater, anbefaler vi, at du læser Kom i gang med følsomhedsmærkater for at komme i gang.

Hvis du allerede har udrullet følsomhedsmærkater i din organisation, skal du overveje, hvordan de mærkater, der bruges på de følsomme og meget følsomme niveauer, passer til din overordnede etiketstrategi.

Deling af SharePoint-webstedet

Hvert team har et tilknyttet SharePoint-websted, hvor dokumenter gemmes. (Dette er fanen Filer i en teams-kanal). SharePoint-webstedet bevarer sin egen administration af tilladelser, men er sammenkædet med teamtilladelser. Teamejere er inkluderet som webstedsejere, og teammedlemmer medtages som webstedsmedlemmer på det tilknyttede websted.

De resulterende tilladelser tillader:

  • Teamejere skal administrere webstedet og have fuld kontrol over webstedets indhold.
  • Gruppemedlemmer til at oprette og redigere filer på webstedet.

Teamejere og -medlemmer kan som standard dele selve webstedet med personer uden for teamet uden rent faktisk at føje dem til teamet. Vi anbefaler dette, da det komplicerer brugeradministrationen og kan medføre, at personer, der ikke er teammedlemmer, har adgang til teamfiler, uden at teamejere er sig det klart. For at forhindre dette anbefaler vi, at det kun er ejere, der har tilladelse til at dele webstedet direkte, fra det oprindelige beskyttelsesniveau.

Selvom teams ikke har en skrivebeskyttet tilladelsesindstilling, gør SharePoint-webstedet det. Hvis du har interessenter eller partnergrupper, der skal kunne få vist teamfiler, men ikke redigere dem, kan du overveje at føje dem direkte til SharePoint-webstedet med visningstilladelser.

For det meget følsomme niveau begrænser vi adgangen til webstedet til kun at være medlemmer af teamet. Denne begrænsning forhindrer også deling af filer med personer uden for teamet.

Deling af filer og mapper

Som standard kan både ejere og medlemmer af teamet dele filer og mapper med personer uden for teamet. Dette kan omfatte personer uden for din organisation, hvis du tillader gæstedeling. På alle tre niveauer opdaterer vi standardlinktypen for deling for at undgå utilsigtet overdeling. Som nævnt ovenfor er filadgang begrænset til kun teammedlemmer på det meget følsomme niveau.

Deling med personer uden for din organisation

Hvis du har brug for at dele Teams-indhold med personer uden for din organisation, er der to muligheder:

  • Gæstedeling – Gæstedeling bruger Microsoft Entra B2B-samarbejde, som giver brugerne mulighed for at dele filer, mapper, websteder, grupper og teams med personer uden for din organisation. Disse personer får adgang til delte ressourcer ved hjælp af gæstekonti i din mappe.
  • Delte kanaler – Delte kanaler bruger Microsoft Entra B2B Direct Connect, som giver brugerne mulighed for at dele ressourcer i din organisation med personer fra andre Microsoft Entra-organisationer. Disse personer får adgang til de delte kanaler i Teams ved hjælp af deres egen arbejds- eller skolekonto. Der oprettes ingen gæstekonto i din organisation.

Både gæstedelings- og delte kanaler er nyttige, afhængigt af situationen. Se Planlæg eksternt samarbejde for at få oplysninger om hver enkelt, og hvordan du beslutter, hvilken der skal bruges til et bestemt scenarie.

Hvis du planlægger at bruge gæstedeling, anbefaler vi, at du konfigurerer SharePoint- og OneDrive-integration med Microsoft Entra B2B for at få den bedste oplevelse med deling og administration.

Du kan forhindre Teams-gæstedeling, hvis det er nødvendigt, på de følsomme og meget følsomme niveauer ved hjælp af en følsomhedsmærkat. Delte kanaler er som standard slået til, men kræver, at du konfigurerer relationer på tværs af organisationer for hver organisation, du vil samarbejde med. Se Samarbejd med eksterne deltagere i en kanal for at få flere oplysninger.

På det meget følsomme niveau konfigurerer vi standardfølsomhedsmærkaten for biblioteket til at kryptere filer, som det er anvendt på. Hvis du har brug for, at gæster skal have adgang til disse filer, skal du give dem tilladelser, når du opretter mærkaten. Eksterne deltagere i delte kanaler kan ikke tildeles tilladelser til følsomhedsmærkater og kan ikke få adgang til indhold, der er krypteret af en følsomhedsmærkat.

Vi anbefaler på det kraftigste, at du lader gæstedeling være aktiveret for det oprindelige niveau og for de følsomme eller meget følsomme niveauer, hvis du har brug for at samarbejde med personer uden for din organisation. Funktionerne til gæstedeling i Microsoft 365 giver en meget mere sikker og styrelig delingsoplevelse end at sende filer som vedhæftede filer i mails. Det reducerer også risikoen for skygge-it, hvor brugerne bruger uovertrøvede forbrugerprodukter til at dele med legitime eksterne samarbejdspartnere.

Hvis du jævnligt samarbejder med andre organisationer, der bruger Microsoft Entra ID, kan delte kanaler være en god mulighed. Delte kanaler vises problemfrit i den anden organisations Teams-klient og gør det muligt for eksterne deltagere at bruge deres almindelige brugerkonto til deres organisation i stedet for at skulle logge på separat ved hjælp af en gæstekonto.

Se følgende referencer for at oprette et sikkert og produktivt gæstedelingsmiljø for din organisation:

Politikker for betinget adgang

Betinget adgang til Microsoft Entra indeholder mange muligheder for at bestemme, hvordan personer får adgang til Microsoft 365, herunder begrænsninger baseret på placering, risiko, enhedsoverholdelse og andre faktorer. Vi anbefaler, at du læser Hvad er betinget adgang? og overvejer, hvilke yderligere politikker der kan være relevante for din organisation.

For de følsomme og meget følsomme niveauer bruger vi følsomhedsmærkater til at begrænse adgangen til SharePoint-indhold.

For det følsomme niveau begrænser vi adgangen til web for ikke-administrerede enheder. Bemærk, at gæster ofte ikke har enheder, der administreres af din organisation. Hvis du tillader gæster på et af niveauerne, skal du overveje, hvilke typer enheder de bruger til at få adgang til teams og websteder og angive dine ikke-administrerede enhedspolitikker i overensstemmelse hermed.)

For det meget følsomme niveau bruger vi Microsoft Entra-godkendelseskontekst med følsomhedsmærkaten til at udløse en brugerdefineret politik for betinget adgang, når personer får adgang til SharePoint-webstedet, der er knyttet til teamet.

Indstillingerne for betinget adgang i følsomhedsmærkater påvirker kun SharePoint-adgang. Hvis du vil udvide betinget adgang ud over SharePoint, kan du i stedet bruge den almindelige politik for betinget adgang: Kræv en kompatibel enhed, en Microsoft Entra-hybridforbundet enhed eller multifaktorgodkendelse for alle brugere . Hvis du vil konfigurere denne politik specifikt til Microsoft 365-tjenester, skal du vælge Office 365-cloudappen under Cloudapps eller -handlinger.

Skærmbillede af Office 365-cloudappen i en politik for betinget adgang til Microsoft Entra.

Brug af en politik, der påvirker alle Microsoft 365-tjenester, kan føre til bedre sikkerhed og en bedre oplevelse for dine brugere. Når du f.eks. kun blokerer adgang til ikke-administrerede enheder i SharePoint, kan brugerne få adgang til chatten i et team med en ikke-administreret enhed, men mister adgangen, når de forsøger at få adgang til fanen Filer . Brug af Office 365-cloudappen hjælper med at undgå problemer med tjenesteafhængigheder.

Næste trin

Start med at konfigurere det oprindelige beskyttelsesniveau. Hvis det er nødvendigt, kan du også tilføje følsom beskyttelse og meget følsom beskyttelse .

Sikkerhed og overholdelse af angivne standarder i Microsoft Teams

Underretningspolitikker