Konfigurer Teams med tre niveauer af sikkerhed for fildeling
Nogle funktioner i denne artikel kræver Microsoft Syntex – Avanceret administration af SharePoint
Artiklerne i denne serie indeholder anbefalinger til konfiguration af teams i Microsoft Teams og deres tilknyttede SharePoint-websteder til filbeskyttelse, der balancerer sikkerheden med let samarbejde.
Denne artikel definerer fire forskellige konfigurationer, startende med et offentligt team med de mest åbne delingspolitikker. Hver yderligere konfiguration repræsenterer et meningsfuldt trin op i beskyttelse, mens muligheden for at få adgang til og samarbejde om filer, der er gemt i teams, reduceres til det relevante sæt teammedlemmer.
Konfigurationerne i denne artikel stemmer overens med Microsofts anbefalinger til tre niveauer af beskyttelse af data, identiteter og enheder:
Oprindelig beskyttelse
Følsom beskyttelse
Meget følsom beskyttelse
Du kan få oplysninger om, hvordan du opretter et Teams-mødemiljø, der opfylder dine krav til overholdelse af angivne standarder, under Konfigurer Teams-møder med tre beskyttelsesniveauer.
Et hurtigt overblik over tre niveauer
I følgende tabel opsummeres konfigurationerne for hvert niveau. Brug disse konfigurationer som udgangspunkt for anbefalinger, og juster konfigurationerne, så de opfylder organisationens behov. Du har muligvis ikke brug for alle niveauer.
Oprindelig plan (offentlig) | Oprindelig plan (privat) | Følsom | Meget følsom | |
---|---|---|---|---|
Privat eller offentligt team | Offentlig | Privat | Privat | Privat |
Hvem har adgang? | Alle i organisationen, herunder B2B gæster. | Kun medlemmer af teamet. Andre kan anmode om adgang til det tilknyttede websted. | Kun medlemmer af teamet. | Kun medlemmer af teamet. |
Private kanaler | Ejere og medlemmer kan oprette private kanaler | Ejere og medlemmer kan oprette private kanaler | Det er kun ejere, der kan oprette private kanaler | Det er kun ejere, der kan oprette private kanaler |
Gæsteadgang på webstedsniveau | Nye og eksisterende gæster (standard). | Nye og eksisterende gæster (standard). | Nye og eksisterende gæster eller Kun personer i din organisation , afhængigt af teambehov. | Nye og eksisterende gæster eller Kun personer i din organisation , afhængigt af teambehov. |
Betinget adgang på webstedsniveau | Fuld adgang fra skrivebordsapps, mobilapps og internettet (standard). | Fuld adgang fra skrivebordsapps, mobilapps og internettet (standard). | Tillad begrænset webadgang. | Brugerdefineret politik for betinget adgang |
Standardtype for delingslink | Kun personer i din organisation | Kun personer i din organisation | Bestemte personer | Personer med eksisterende adgang |
Følsomhedsmærkater | Ingen | Ingen | Følsomhedsmærkat, der bruges til at klassificere teamet og styre gæstedeling og ikke-administreret enhedsadgang. | Følsomhedsmærkat, der bruges til at klassificere teamet, styre gæstedeling og angive en politik for betinget adgang. Standardfilnavnet bruges på filer til at kryptere dem. |
Indstillinger for webstedsdeling | Webstedsejere og -medlemmer og personer med tilladelse til at redigere kan dele filer og mapper, men det er kun webstedsejere, der kan dele webstedet. | Webstedsejere og -medlemmer og personer med tilladelse til at redigere kan dele filer og mapper, men det er kun webstedsejere, der kan dele webstedet. | Webstedsejere og -medlemmer og personer med tilladelse til at redigere kan dele filer og mapper, men det er kun webstedsejere, der kan dele webstedet. | I/T (styres af politikken for begrænset adgang på webstedsniveau). |
Politik for begrænset adgangskontrol på webstedsniveau | Ingen | Ingen | Ingen | Kun gruppemedlemmer |
Grundlæggende beskyttelse omfatter offentlige og private teams. Offentlige teams kan registreres og tilgås af alle i organisationen. Private teams kan kun registreres og tilgås af teamets medlemmer. Begge disse konfigurationer begrænser deling af det tilknyttede SharePoint-websted til teamejere for at hjælpe med administration af tilladelser.
Teams til følsom og meget følsom beskyttelse er private teams, hvor deling og anmodning om adgang for det tilknyttede websted er begrænset, og følsomhedsmærkater bruges til at angive politikker for gæstedeling, enhedsadgang og kryptering af indhold.
Følsomhedsmærkater
De følsomme og meget følsomme niveauer bruger følsomhedsmærkater som en hjælp til at beskytte teamet og dets filer. Hvis du vil implementere disse niveauer, skal du aktivere følsomhedsmærkater for at beskytte indhold i Microsoft Teams, Microsoft 365-grupper og SharePoint-websteder.
Selvom det oprindelige niveau ikke kræver følsomhedsmærkater, kan du overveje at oprette en "generel" mærkat og derefter kræve, at alle teams mærkes. Dette hjælper med at sikre, at brugerne foretager et bevidst valg om følsomhed, når de opretter et team. Hvis du planlægger at udrulle de følsomme eller meget følsomme niveauer, anbefaler vi, at du opretter en "generel" mærkat, som du kan bruge til grundlæggende teams og til filer, der ikke er følsomme. For det meget følsomme niveau angiver vi også en standardfølsomhedsmærkat for dokumentbiblioteker, så Denne mærkat anvendes automatisk for Office-filer og andre kompatible filer, når de uploades.
Hvis du ikke kender til at bruge følsomhedsmærkater, anbefaler vi, at du læser Kom i gang med følsomhedsmærkater for at komme i gang.
Hvis du allerede har udrullet følsomhedsmærkater i din organisation, skal du overveje, hvordan de mærkater, der bruges på de følsomme og meget følsomme niveauer, passer til din overordnede etiketstrategi.
Deling af SharePoint-webstedet
Hvert team har et tilknyttet SharePoint-websted, hvor dokumenter gemmes. (Dette er fanen Filer i en teams-kanal). SharePoint-webstedet bevarer sin egen administration af tilladelser, men er sammenkædet med teamtilladelser. Teamejere er inkluderet som webstedsejere, og teammedlemmer medtages som webstedsmedlemmer på det tilknyttede websted.
De resulterende tilladelser tillader:
- Teamejere skal administrere webstedet og have fuld kontrol over webstedets indhold.
- Gruppemedlemmer til at oprette og redigere filer på webstedet.
Teamejere og -medlemmer kan som standard dele selve webstedet med personer uden for teamet uden rent faktisk at føje dem til teamet. Vi anbefaler dette, da det komplicerer brugeradministrationen og kan medføre, at personer, der ikke er teammedlemmer, har adgang til teamfiler, uden at teamejere er sig det klart. For at forhindre dette anbefaler vi, at det kun er ejere, der har tilladelse til at dele webstedet direkte, fra det oprindelige beskyttelsesniveau.
Selvom teams ikke har en skrivebeskyttet tilladelsesindstilling, gør SharePoint-webstedet det. Hvis du har interessenter eller partnergrupper, der skal kunne få vist teamfiler, men ikke redigere dem, kan du overveje at føje dem direkte til SharePoint-webstedet med visningstilladelser.
For det meget følsomme niveau begrænser vi adgangen til webstedet til kun at være medlemmer af teamet. Denne begrænsning forhindrer også deling af filer med personer uden for teamet.
Deling af filer og mapper
Som standard kan både ejere og medlemmer af teamet dele filer og mapper med personer uden for teamet. Dette kan omfatte personer uden for din organisation, hvis du tillader gæstedeling. På alle tre niveauer opdaterer vi standardlinktypen for deling for at undgå utilsigtet overdeling. Som nævnt ovenfor er filadgang begrænset til kun teammedlemmer på det meget følsomme niveau.
Deling med personer uden for din organisation
Hvis du har brug for at dele Teams-indhold med personer uden for din organisation, er der to muligheder:
- Gæstedeling – Gæstedeling bruger Microsoft Entra B2B-samarbejde, som giver brugerne mulighed for at dele filer, mapper, websteder, grupper og teams med personer uden for din organisation. Disse personer får adgang til delte ressourcer ved hjælp af gæstekonti i din mappe.
- Delte kanaler – Delte kanaler bruger Microsoft Entra B2B Direct Connect, som giver brugerne mulighed for at dele ressourcer i din organisation med personer fra andre Microsoft Entra-organisationer. Disse personer får adgang til de delte kanaler i Teams ved hjælp af deres egen arbejds- eller skolekonto. Der oprettes ingen gæstekonto i din organisation.
Både gæstedelings- og delte kanaler er nyttige, afhængigt af situationen. Se Planlæg eksternt samarbejde for at få oplysninger om hver enkelt, og hvordan du beslutter, hvilken der skal bruges til et bestemt scenarie.
Hvis du planlægger at bruge gæstedeling, anbefaler vi, at du konfigurerer SharePoint- og OneDrive-integration med Microsoft Entra B2B for at få den bedste oplevelse med deling og administration.
Du kan forhindre Teams-gæstedeling, hvis det er nødvendigt, på de følsomme og meget følsomme niveauer ved hjælp af en følsomhedsmærkat. Delte kanaler er som standard slået til, men kræver, at du konfigurerer relationer på tværs af organisationer for hver organisation, du vil samarbejde med. Se Samarbejd med eksterne deltagere i en kanal for at få flere oplysninger.
På det meget følsomme niveau konfigurerer vi standardfølsomhedsmærkaten for biblioteket til at kryptere filer, som det er anvendt på. Hvis du har brug for, at gæster skal have adgang til disse filer, skal du give dem tilladelser, når du opretter mærkaten. Eksterne deltagere i delte kanaler kan ikke tildeles tilladelser til følsomhedsmærkater og kan ikke få adgang til indhold, der er krypteret af en følsomhedsmærkat.
Vi anbefaler på det kraftigste, at du lader gæstedeling være aktiveret for det oprindelige niveau og for de følsomme eller meget følsomme niveauer, hvis du har brug for at samarbejde med personer uden for din organisation. Funktionerne til gæstedeling i Microsoft 365 giver en meget mere sikker og styrelig delingsoplevelse end at sende filer som vedhæftede filer i mails. Det reducerer også risikoen for skygge-it, hvor brugerne bruger uovertrøvede forbrugerprodukter til at dele med legitime eksterne samarbejdspartnere.
Hvis du jævnligt samarbejder med andre organisationer, der bruger Microsoft Entra ID, kan delte kanaler være en god mulighed. Delte kanaler vises problemfrit i den anden organisations Teams-klient og gør det muligt for eksterne deltagere at bruge deres almindelige brugerkonto til deres organisation i stedet for at skulle logge på separat ved hjælp af en gæstekonto.
Se følgende referencer for at oprette et sikkert og produktivt gæstedelingsmiljø for din organisation:
- Bedste praksis for deling af filer og mapper med ikke-godkendte brugere
- Begræns utilsigtet eksponering af filer, når der deles med personer uden for din organisation
- Opret et sikkert gæstedelingsmiljø
Politikker for betinget adgang
Betinget adgang til Microsoft Entra indeholder mange muligheder for at bestemme, hvordan personer får adgang til Microsoft 365, herunder begrænsninger baseret på placering, risiko, enhedsoverholdelse og andre faktorer. Vi anbefaler, at du læser Hvad er betinget adgang? og overvejer, hvilke yderligere politikker der kan være relevante for din organisation.
For de følsomme og meget følsomme niveauer bruger vi følsomhedsmærkater til at begrænse adgangen til SharePoint-indhold.
For det følsomme niveau begrænser vi adgangen til web for ikke-administrerede enheder. Bemærk, at gæster ofte ikke har enheder, der administreres af din organisation. Hvis du tillader gæster på et af niveauerne, skal du overveje, hvilke typer enheder de bruger til at få adgang til teams og websteder og angive dine ikke-administrerede enhedspolitikker i overensstemmelse hermed.)
For det meget følsomme niveau bruger vi Microsoft Entra-godkendelseskontekst med følsomhedsmærkaten til at udløse en brugerdefineret politik for betinget adgang, når personer får adgang til SharePoint-webstedet, der er knyttet til teamet.
Betinget adgang på tværs af Teams-relaterede tjenester
Indstillingerne for betinget adgang i følsomhedsmærkater påvirker kun SharePoint-adgang. Hvis du vil udvide betinget adgang ud over SharePoint, kan du i stedet bruge den almindelige politik for betinget adgang: Kræv en kompatibel enhed, en Microsoft Entra-hybridforbundet enhed eller multifaktorgodkendelse for alle brugere . Hvis du vil konfigurere denne politik specifikt til Microsoft 365-tjenester, skal du vælge Office 365-cloudappen under Cloudapps eller -handlinger.
Brug af en politik, der påvirker alle Microsoft 365-tjenester, kan føre til bedre sikkerhed og en bedre oplevelse for dine brugere. Når du f.eks. kun blokerer adgang til ikke-administrerede enheder i SharePoint, kan brugerne få adgang til chatten i et team med en ikke-administreret enhed, men mister adgangen, når de forsøger at få adgang til fanen Filer . Brug af Office 365-cloudappen hjælper med at undgå problemer med tjenesteafhængigheder.
Næste trin
Start med at konfigurere det oprindelige beskyttelsesniveau. Hvis det er nødvendigt, kan du også tilføje følsom beskyttelse og meget følsom beskyttelse .
Relaterede emner
Sikkerhed og overholdelse af angivne standarder i Microsoft Teams
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under:Indsend og få vist feedback om