Richtlinienempfehlungen zum Schützen von Teams-Chats, -Gruppen und -Dateien
In diesem Artikel wird beschrieben, wie Sie die empfohlenen Zero Trust Identitäts- und Gerätezugriffsrichtlinien implementieren, um Microsoft Teams-Chats, -Gruppen und -Inhalte wie Dateien und Kalender zu schützen. Dieser Leitfaden baut auf den allgemeinen Identitäts- und Gerätezugriffsrichtlinien mit zusätzlichen Informationen auf, die Teams-spezifisch sind. Da Teams in unsere anderen Produkte integriert ist, lesen Sie auch Richtlinienempfehlungen zum Schützen von SharePoint-Websites und -Dateien undRichtlinienempfehlungen zum Schützen von E-Mails.
Diese Empfehlungen basieren auf drei verschiedenen Sicherheits- und Schutzebenen für Teams, die basierend auf der Granularität Ihrer Anforderungen angewendet werden können: Startpunkt-, Unternehmens- und spezialisierte Sicherheit. Weitere Informationen zu diesen Sicherheitsebenen und den empfohlenen Richtlinien, auf die in diesen Empfehlungen verwiesen wird, finden Sie unter Identitäts- und Gerätezugriffskonfigurationen.
Weitere Spezifische Empfehlungen für die Teams-Bereitstellung finden Sie in diesem Artikel, um bestimmte Authentifizierungsverhältnisse zu behandeln, einschließlich für Benutzer außerhalb Ihrer organization. Sie müssen diese Anleitung befolgen, um eine vollständige Sicherheitsumgebung zu erhalten.
Erste Schritte mit Teams vor anderen abhängigen Diensten
Sie müssen keine abhängigen Dienste aktivieren, um mit Microsoft Teams zu beginnen. Diese Dienste werden alle "einfach funktionieren". Sie müssen jedoch darauf vorbereitet sein, die folgenden dienstbezogenen Elemente zu verwalten:
- Microsoft 365-Gruppen
- SharePoint-Teamwebsites
- OneDrive for Business
- Exchange-Postfächer
- Stream Videos und Planner-Pläne (sofern diese Dienste aktiviert sind)
Aktualisieren allgemeiner Richtlinien, um Teams einzuschließen
Zum Schutz von Chats, Gruppen und Inhalten in Teams veranschaulicht das folgende Diagramm, welche Richtlinien aus den allgemeinen Identitäts- und Gerätezugriffsrichtlinien aktualisiert werden müssen. Stellen Sie für jede zu aktualisierende Richtlinie sicher, dass Teams und abhängige Dienste in der Zuweisung von Cloud-Apps enthalten sind.
Diese Dienste sind die abhängigen Dienste, die in die Zuweisung von Cloud-Apps für Teams einbezogen werden sollen:
- Microsoft Teams
- Sharepoint und OneDrive for Business
- Exchange Online:
- Skype for Business Online
- Microsoft Stream (Besprechungsaufzeichnungen)
- Microsoft Planner (Planner Aufgaben und Plandaten)
In dieser Tabelle sind die Richtlinien aufgeführt, die erneut überprüft werden müssen, sowie Links zu jeder Richtlinie in den allgemeinen Identitäts- und Gerätezugriffsrichtlinien, für die die umfassendere Richtlinie für alle Office-Anwendungen festgelegt ist.
| Schutzebene | Richtlinien | Weitere Informationen zur Implementierung von Teams |
|---|---|---|
| Ausgangspunkt | MFA erforderlich, wenn das Anmelderisiko mittel oder hoch ist | Stellen Sie sicher, dass Teams und abhängige Dienste in der Liste der Apps enthalten sind. Teams verfügt auch über Regeln für den Gastzugriff und den externen Zugriff. Weitere Informationen zu diesen Regeln finden Sie weiter unten in diesem Artikel. |
| Blockieren von Clients, die die moderne Authentifizierung nicht unterstützen | Schließen Sie Teams und abhängige Dienste in die Zuweisung von Cloud-Apps ein. | |
| Nutzer mit hohem Risiko müssen das Kennwort ändern | Teams-Benutzer müssen bei der Anmeldung ihr Kennwort ändern, wenn eine Risikoaktivität für ihr Konto erkannt wird. Stellen Sie sicher, dass Teams und abhängige Dienste in der Liste der Apps enthalten sind. | |
| Anwenden von APP-Datenschutzrichtlinien | Stellen Sie sicher, dass Teams und abhängige Dienste in der Liste der Apps enthalten sind. Aktualisieren Sie die Richtlinie für jede Plattform (iOS, Android, Windows). | |
| Unternehmen | MFA erforderlich, wenn das Anmelderisiko niedrig, mittel oder hoch ist | Teams verfügt auch über Regeln für den Gastzugriff und den externen Zugriff. Weitere Informationen zu diesen Regeln finden Sie weiter unten in diesem Artikel. Schließen Sie Teams und abhängige Dienste in diese Richtlinie ein. |
| Definieren von Gerätekonformitätsrichtlinien | Schließen Sie Teams und abhängige Dienste in diese Richtlinie ein. | |
| Erfordern konformer PCs und mobiler Geräte | Schließen Sie Teams und abhängige Dienste in diese Richtlinie ein. | |
| Spezialisierte Sicherheit | MFA immer erforderlich | Unabhängig von der Benutzeridentität wird MFA von Ihrem organization verwendet. Schließen Sie Teams und abhängige Dienste in diese Richtlinie ein. |
Architektur abhängiger Teams-Dienste
Das folgende Diagramm veranschaulicht die Dienste, auf die Teams angewiesen sind. Weitere Informationen und Abbildungen finden Sie unter Microsoft Teams und zugehörige Produktivitätsdienste in Microsoft 365 für IT-Architekten.
Gast- und externer Zugriff für Teams
Microsoft Teams definiert die folgenden Zugriffstypen:
Der Gastzugriff verwendet ein Microsoft Entra B2B-Konto für einen Gast oder externen Benutzer, der als Mitglied eines Teams hinzugefügt werden kann und über alle berechtigungen auf die Kommunikation und die Ressourcen des Teams verfügt.
Der externe Zugriff ist für einen externen Benutzer ohne Microsoft Entra B2B-Konto vorgesehen. Der externe Zugriff kann Einladungen und die Teilnahme an Anrufen, Chats und Besprechungen umfassen, umfasst jedoch keine Teammitgliedschaft und den Zugriff auf die Ressourcen des Teams.
Richtlinien für bedingten Zugriff gelten nur für den Gastzugriff in Teams, da es ein entsprechendes Microsoft Entra B2B-Konto gibt.
Empfohlene Richtlinien zum Zulassen des Zugriffs für Gastbenutzer und externe Benutzer mit einem Microsoft Entra B2B-Konto finden Sie unter Richtlinien zum Zulassen des Gast- und externen B2B-Kontozugriffs.
Gastzugriff in Teams
Zusätzlich zu den Richtlinien für Benutzer, die in Ihrem Unternehmen oder organization intern sind, können Administratoren den Gastzugriff aktivieren, um Personen, die außerhalb Ihres Unternehmens oder organization sind, auf Benutzerbasis den Zugriff auf Teams-Ressourcen und die Interaktion mit internen Personen wie Gruppenunterhaltungen, Chats und Besprechungen zu ermöglichen.
Weitere Informationen zum Gastzugriff und dessen Implementierung finden Sie unter Microsoft Teams-Gastzugriff.
Externer Zugriff in Teams
Externer Zugriff wird manchmal mit Gastzugriff verwechselt. Daher ist es wichtig, klar zu sein, dass es sich bei diesen beiden nicht internen Zugriffsmechanismen um unterschiedliche Zugriffstypen handelt.
Der externe Zugriff ist eine Möglichkeit für Teams-Benutzer aus einer gesamten externen Domäne, um Besprechungen mit Ihren Benutzern in Teams zu suchen, anzurufen, zu chatten und einzurichten. Teams-Administratoren konfigurieren den externen Zugriff auf organization Ebene. Weitere Informationen finden Sie unter Verwalten des externen Zugriffs in Microsoft Teams.
Externe Zugriffsbenutzer haben weniger Zugriff und Weniger Funktionalität als eine Person, die über den Gastzugriff hinzugefügt wurde. Beispielsweise können Benutzer mit externem Zugriff mit Ihren internen Benutzern mit Teams chatten, aber nicht auf Teamkanäle, Dateien oder andere Ressourcen zugreifen.
Der externe Zugriff verwendet keine Microsoft Entra B2B-Benutzerkonten und daher keine Richtlinien für bedingten Zugriff.
Teams-Richtlinien
Außerhalb der oben aufgeführten allgemeinen Richtlinien gibt es Teams-spezifische Richtlinien, die für die Verwaltung verschiedener Teams-Funktionen konfiguriert werden können und sollten.
Teams- und Kanalrichtlinien
Teams und Kanäle sind zwei häufig verwendete Elemente in Microsoft Teams, und es gibt Richtlinien, die Sie festlegen können, um zu steuern, was Benutzer bei der Verwendung von Teams und Kanälen tun können und was nicht. Sie können zwar ein globales Team erstellen, aber wenn Ihr organization 5.000 Benutzer oder weniger hat, ist es wahrscheinlich hilfreich, kleinere Teams und Kanäle für bestimmte Zwecke zu verwenden, die den Anforderungen Ihrer Organisation entsprechen.
Es wird empfohlen, die Standardrichtlinie zu ändern oder benutzerdefinierte Richtlinien zu erstellen. Weitere Informationen zum Verwalten Ihrer Richtlinien finden Sie unter diesem Link: Verwalten von Teams-Richtlinien in Microsoft Teams.
Messagingrichtlinien
Messaging oder Chats können auch über die globale Standardrichtlinie oder über benutzerdefinierte Richtlinien verwaltet werden. Dies kann Ihren Benutzern helfen, untereinander auf eine Weise zu kommunizieren, die für Ihre organization geeignet ist. Diese Informationen finden Sie unter Verwalten von Messagingrichtlinien in Teams.
Besprechungsrichtlinien
Ohne die Planung und Implementierung von Richtlinien für Teams-Besprechungen wäre keine Diskussion über Teams vollständig. Besprechungen sind eine wesentliche Komponente von Teams, sodass Personen sich formal treffen und vielen Benutzern gleichzeitig präsentieren und inhalte teilen können, die für die Besprechung relevant sind. Das Festlegen der richtigen Richtlinien für Ihre organization rund um Besprechungen ist wichtig.
Weitere Informationen finden Sie unter Verwalten von Besprechungsrichtlinien in Teams.
App-Berechtigungsrichtlinien
Teams ermöglicht es Ihnen auch, Apps an verschiedenen Orten zu verwenden, z. B. in Kanälen oder persönlichen Chats. Richtlinien dafür, welche Apps hinzugefügt und wo verwendet werden können, ist für die Aufrechterhaltung einer umgebung mit vielen Inhalten unerlässlich, die auch sicher ist.
Weitere Informationen zu App-Berechtigungsrichtlinien finden Sie unter Verwalten von App-Berechtigungsrichtlinien in Microsoft Teams.
Nächste Schritte
Konfigurieren von Richtlinien für bedingten Zugriff für:
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für