Määritä Teamsille kolme tiedostojen jakamisen suojaustasoa
Jotkin tämän artikkelin ominaisuudet edellyttävät Microsoft Syntex - SharePointin lisähallinta
Tämän sarjan artikkeleissa annetaan suosituksia tiimien määrittämiseen Microsoft Teamsissa ja niihin liittyvissä SharePoint-sivustoissa tiedostojen suojaamiseksi, joka tasapainottaa suojauksen yhteistyön helppouden kanssa.
Tässä artikkelissa määritetään neljä eri määritystä, alkaen julkisesta tiimistä, jolla on eniten avoimia jakamiskäytäntöjä. Jokainen lisämääritys on merkityksellinen suojauksen vaihe, kun taas mahdollisuus käyttää ja tehdä yhteistyötä tiimiin tallennettujen tiedostojen parissa on rajoitettu vastaamaan ryhmän jäseniä.
Tämän artikkelin määritykset ovat yhdenmukaisia Microsoftin suositusten kanssa, jotka koskevat kolmea tietosuojatasoa tiedoille, käyttäjätieduksille ja laitteille:
Perusaikataulun suojaus
Arkaluontoinen suojaus
Erittäin herkkä suojaus
Lisätietoja yhteensopivuusvaatimukset täyttävien Teams-kokousympäristöjen luomisesta on kohdassa Teams-kokousten määrittäminen kolmella suojaustasolla.
Kolme tasoa yhdellä silmäyksellä
Seuraavassa taulukossa on yhteenveto kunkin tason määrityksistä. Käytä näitä määrityksiä aloituskohtasuosituksina ja säädä määrityksiä organisaatiosi tarpeiden mukaan. Et ehkä tarvitse jokaista tasoa.
| Perusaikataulu (julkinen) | Perusaikataulu (yksityinen) | Herkkä | Erittäin herkkä | |
|---|---|---|---|---|
| Yksityinen tai julkinen tiimi | Yleiset | Yksityiset | Yksityiset | Yksityiset |
| Kenellä on käyttöoikeus? | Kaikki organisaation jäsenet, myös B2B-vieraat. | Vain ryhmän jäseniä. Muut voivat pyytää käyttöoikeutta liittyvään sivustoon. | Vain ryhmän jäseniä. | Vain ryhmän jäseniä. |
| Yksityiset kanavat | Omistajat ja jäsenet voivat luoda yksityisiä kanavia | Omistajat ja jäsenet voivat luoda yksityisiä kanavia | Vain omistajat voivat luoda yksityisiä kanavia | Vain omistajat voivat luoda yksityisiä kanavia |
| Sivustotason vieraskäyttö | Uudet ja olemassa olevat vieraat (oletus). | Uudet ja olemassa olevat vieraat (oletus). | Uusia ja nykyisiä vieraita tai vain organisaation henkilöitä tiimin tarpeista riippuen. | Uusia ja nykyisiä vieraita tai vain organisaation henkilöitä tiimin tarpeista riippuen. |
| Sivustotason ehdollinen käyttöoikeus | Täydet käyttöoikeudet työpöytäsovelluksista, mobiilisovelluksista ja verkosta (oletus). | Täydet käyttöoikeudet työpöytäsovelluksista, mobiilisovelluksista ja verkosta (oletus). | Salli rajoitettu vain verkko -käyttöoikeus. | Mukautettu ehdollinen käyttöoikeuskäytäntö |
| Jakamislinkin oletustyyppi | Vain organisaatiosi käyttäjät | Vain organisaatiosi käyttäjät | Tietyt henkilöt | Ihmiset, joilla on aiempi käyttöoikeus |
| Luottamuksellisuusmerkinnät | Ei mitään | Ei mitään | Luottamuksellisuustunniste, jota käytetään tiimin luokittelemiseen ja vierasjaon ja hallitsemattoman laitekäytön hallintaan. | Luottamuksellisuustunniste, jolla luokitellaan tiimi, hallitaan vierasjakoa ja määritetään ehdollinen käyttöoikeuskäytäntö. Tiedostoissa käytetään oletustiedoston tunnistetta niiden salaamiseen. |
| Sivuston jakamisen asetukset | Sivuston omistajat ja jäsenet sekä henkilöt, joilla on muokkausoikeudet, voivat jakaa tiedostoja ja kansioita, mutta vain sivuston omistajat voivat jakaa sivuston. | Sivuston omistajat ja jäsenet sekä henkilöt, joilla on muokkausoikeudet, voivat jakaa tiedostoja ja kansioita, mutta vain sivuston omistajat voivat jakaa sivuston. | Sivuston omistajat ja jäsenet sekä henkilöt, joilla on muokkausoikeudet, voivat jakaa tiedostoja ja kansioita, mutta vain sivuston omistajat voivat jakaa sivuston. | Ei käytössä (hallitaan sivustotason rajoitetun käytön valvontakäytännöllä.) |
| Sivustotason rajoitettujen käyttöoikeuksien valvontakäytäntö | Ei mitään | Ei mitään | Ei mitään | Vain ryhmän jäsenet |
Perussuojaus sisältää julkiset ja yksityiset tiimit. Kuka tahansa organisaatiossa voi löytää julkisia tiimejä ja käyttää niitä. Vain ryhmän jäsenet voivat löytää ja käyttää yksityisiä ryhmiä. Molemmat määritykset rajoittavat liittyvän SharePoint-sivuston jakamista ryhmän omistajille käyttöoikeuksien hallinnan helpottamiseksi.
Luottamuksellisen ja erittäin arkaluontoisen suojauksen tiimit ovat yksityisiä tiimejä, joiden jakaminen ja käyttöoikeuksien pyytäminen liittyvälle sivustolle on rajoitettu ja luottamuksellisuustunnisteiden avulla määritetään käytäntöjä vieraskäytön, laitteen käytön ja sisällön salauksen suhteen.
Luottamuksellisuusmerkinnät
Luottamukselliset ja erittäin herkät tasot käyttävät luottamuksellisuustunnisteita tiimin ja sen tiedostojen suojaamiseen. Jotta voit ottaa nämä tasot käyttöön, sinun on otettava luottamuksellisuustunnisteet käyttöön Microsoft Teams-, Microsoft 365 -ryhmät- ja SharePoint-sivustojen sisällön suojaamiseksi.
Vaikka perustaso ei vaadi luottamuksellisuustunnisteita, harkitse yleisen tunnisteen luomista ja kaikkien tiimien merkitsemistä. Tämä auttaa varmistamaan, että käyttäjät tekevät tietoisen valinnan arkaluontoisuudesta luodessaan tiimiä. Jos aiot ottaa käyttöön arkaluontoisia tai erittäin arkaluontoisia tasoja, suosittelemme luomaan yleistunnisteen, jota voit käyttää perustiimissä ja tiedostoissa, jotka eivät ole luottamuksellisia. Erittäin herkälle tasolle määritetään myös tiedostokirjastojen oletusarvoinen luottamuksellisuustunniste, jotta Office-tiedostoissa ja muissa yhteensopivissa tiedostoissa kyseinen tunniste otetaan automaattisesti käyttöön, kun ne ladataan palvelimeen.
Jos et ole aiemmin käyttänyt luottamuksellisuustunnisteita, suosittelemme, että aloitat lukemalla luottamuksellisuustunnisteiden käytön aloittamisen .
Jos olet jo ottanut luottamuksellisuustunnisteet käyttöön organisaatiossasi, mieti, miten luottamuksellisilla ja erittäin herkillä tasoilla käytetyt tunnisteet sopivat yleiseen tunnistestrategiaasi.
SharePoint-sivuston jakaminen
Kullakin ryhmällä on siihen liittyvä SharePoint-sivusto, johon tiedostot tallennetaan. (Tämä on Teams-kanavan Tiedostot-välilehti .) SharePoint-sivusto säilyttää oman käyttöoikeuksien hallinnan, mutta se on linkitetty ryhmän käyttöoikeuksiin. Ryhmän omistajat sisällytetään sivuston omistajiksi ja ryhmän jäsenet mukaan liittyvään sivustoon sivuston jäseniksi.
Tulokseksi saatavat käyttöoikeudet mahdollistavat seuraavat:
- Ryhmän omistajat voivat hallita sivustoa ja hallita sivuston sisältöä täysin.
- Ryhmän jäsenet voivat luoda ja muokata tiedostoja sivustossa.
Oletusarvoisesti tiimin omistajat ja jäsenet voivat jakaa itse sivuston tiimin ulkopuolisten henkilöiden kanssa lisäämättä niitä tiimiin. Suosittelemme tätä vastaan, koska se vaikeuttaa käyttäjien hallintaa ja voi johtaa siihen, että henkilöt, jotka eivät ole ryhmän jäseniä, voivat käyttää ryhmän tiedostoja ilman, että tiimin omistajat tajuavat sitä. Jos haluat estää tämän, suosittelemme, että vain omistajat saavat jakaa sivuston suoraan perussuojaustasolta.
Vaikka tiimeillä ei ole vain luku -oikeusvaihtoehtoa, SharePoint-sivustolla on. Jos sinulla on sidosryhmiä tai kumppaniryhmiä, joiden on voitava tarkastella ryhmän tiedostoja, mutta ei muokata niitä, harkitse niiden lisäämistä suoraan SharePoint-sivustoon näkymäoikeuksin.
Erittäin herkälle tasolle rajoitamme sivuston käytön vain tiimin jäsenille. Tämä rajoitus estää myös tiedostojen jakamisen tiimin ulkopuolisten henkilöiden kanssa.
Tiedostojen ja kansioiden jakaminen
Oletusarvoisesti sekä tiimin omistajat että jäsenet voivat jakaa tiedostoja ja kansioita tiimin ulkopuolisten henkilöiden kanssa. Tämä voi sisältää organisaatiosi ulkopuolisia henkilöitä, jos sallit vieraskäytön. Kaikilla kolmella tasolla päivitämme oletusarvoisen jakamislinkkityypin, jotta vältämme tahattoman ylijakamisen. Kuten yllä on mainittu, erittäin herkällä tasolla tiedoston käyttö on rajoitettu vain ryhmän jäsenille.
Jakaminen organisaatiosi ulkopuolisten henkilöiden kanssa
Jos haluat jakaa Teams-sisältöä organisaatiosi ulkopuolisten henkilöiden kanssa, sinulla on kaksi vaihtoehtoa:
- Vierasjako: Vierasjakaminen käyttää Microsoft Entra B2B -yhteistyötä, jonka avulla käyttäjät voivat jakaa tiedostoja, kansioita, sivustoja, ryhmiä ja tiimejä organisaatiosi ulkopuolisten henkilöiden kanssa. Nämä henkilöt käyttävät jaettuja resursseja hakemistosi vierastilien avulla.
- Jaetut kanavat: jaetut kanavat käyttävät Microsoft Entra B2B:n suoraa yhteyttä, jonka avulla käyttäjät voivat jakaa organisaatiosi resursseja muiden Microsoft Entra organisaatioiden henkilöiden kanssa. Nämä käyttäjät käyttävät Teamsin jaettuja kanavia käyttämällä omaa työpaikan tai oppilaitoksen tiliään. Organisaatiossasi ei luoda vierastiliä.
Sekä vierasjako että jaetut kanavat ovat hyödyllisiä tilanteesta riippuen. Lisätietoja kustakin skenaariosta ja siitä, mitä käytetään tietyssä skenaariossa, on artikkelissa Suunnittele ulkoista yhteistyötä .
Jos aiot käyttää vierasjakoa, suosittelemme SharePointin ja OneDriven integroinnin määrittämistä Microsoft Entra B2B:n kanssa, jotta jakamis- ja hallintakokemus olisi paras mahdollinen.
Voit tarvittaessa estää Teams-vieraskäyttäjien jakamisen herkillä ja erittäin herkillä tasoilla käyttämällä luottamuksellisuustunnistetta. Jaetut kanavat ovat oletusarvoisesti käytössä, mutta ne edellyttävät organisaatioiden välisten suhteiden määrittämistä kullekin organisaatiolle, jonka kanssa haluat tehdä yhteistyötä. Katso lisätietoja kohdasta Tee yhteistyötä ulkoisten osallistujien kanssa kanavassa .
Erittäin herkällä tasolla määritämme kirjaston oletusarvoisen luottamuksellisuustunnisteen salaamaan tiedostot, joihin sitä käytetään. Jos haluat, että vieraat voivat käyttää näitä tiedostoja, sinun on annettava heille oikeudet, kun luot tunnisteen. Jaettujen kanavien ulkoisille osallistujille ei voi antaa oikeuksia luottamuksellisuustunnisteisiin, eivätkä he voi käyttää luottamuksellisuustunnisteen salaamaa sisältöä.
Suosittelemme erittäin, että jätät vierasjaon käyttöön perustason sekä arkaluontoisten tai erittäin arkaluontoisten tasojen osalta, jos haluat tehdä yhteistyötä organisaatiosi ulkopuolisten henkilöiden kanssa. Microsoft 365:n vierasjako-ominaisuudet tarjoavat paljon turvallisemman ja hallittavamman jakamiskokemuksen kuin tiedostojen lähettäminen liitteinä sähköpostiviesteissä. Se myös vähentää varjo-IT:n riskiä, kun käyttäjät käyttävät hallitsemattomia kuluttajatuotteita jakamiseen laillisien ulkoisten yhteistyökumppaneiden kanssa.
Jos teet säännöllisesti yhteistyötä muiden Microsoft Entra tunnusta käyttävien organisaatioiden kanssa, jaetut kanavat voivat olla hyvä vaihtoehto. Jaetut kanavat näkyvät saumattomasti toisen organisaation Teams-asiakasohjelmassa, ja ulkoiset osallistujat voivat käyttää tavallista käyttäjätiliään organisaatiossaan sen sijaan, että heidän olisi kirjauduttava sisään erikseen vierastilin avulla.
Seuraavissa viittauksissa voit luoda turvallisen ja tuottavan vierasjakoympäristön organisaatiollesi:
- Tiedostojen ja kansioiden jakamisen parhaat käytännöt todentamattomien käyttäjien kanssa
- Rajoita vahingossa tiedostojen altistumista, kun jaat tietoja organisaatiosi ulkopuolisten henkilöiden kanssa
- Suojatun vieraskäyttöympäristön luominen
Ehdolliset käyttöoikeuskäytännöt
Microsoft Entra Ehdollinen käyttö tarjoaa useita vaihtoehtoja Microsoft 365:n käytön määrittämiseen, mukaan lukien sijaintiin, riskiin, laitteiden vaatimustenmukaisuuteen ja muihin tekijöihin perustuvat rajoitukset. Suosittelemme, että luet Mikä on ehdollinen käyttöoikeus? ja harkitset, mitkä lisäkäytännöt saattavat sopia organisaatiollesi.
Luottamuksellisten ja erittäin arkaluontoisten tasojen osalta rajoitamme SharePoint-sisällön käyttöä luottamuksellisuustunnisteiden avulla.
Luottamuksellisen tason osalta rajoitamme vain verkko -käyttöoikeuksia hallitsemattomille laitteille. (Huomaa, että vierailla ei useinkaan ole organisaatiosi hallitsemia laitteita. Jos sallit vieraiden käytön millä tahansa tasolla, mieti, millaisia laitteita he käyttävät käyttääkseen tiimejä ja sivustoja, ja määritä hallitsemattomat laitekäytännöt vastaavasti.)
Erittäin arkaluontoisessa tasossa käytetään Microsoft Entra todennuskontekstia ja luottamuksellisuustunnistetta mukautetun ehdollisen käyttöoikeuskäytännön käynnistämiseksi, kun käyttäjät käyttävät SharePoint-sivuston kumppania tiimiin.
Ehdollinen käyttöoikeus Kaikkiin Teamsiin liittyviin palveluihin
Luottamuksellisuustunnisteiden ehdollisen käytön asetukset vaikuttavat vain SharePoint-käyttöyhteyksiin. Jos haluat laajentaa ehdollista käyttöä SharePointin ulkopuolella, voit käyttää yleistä ehdollista käyttökäytäntöä: Edellytä yhteensopiva laite, Microsoft Entra yhdistelmäliittämä laite tai monimenetelmäinen todennus kaikille käyttäjille. Jos haluat määrittää tämän käytännön erityisesti Microsoft 365 -palveluita varten, valitse Office 365 pilvipalvelusovellus kohdasta Pilvisovellukset tai toiminnot.
Käytäntö, joka vaikuttaa kaikkiin Microsoft 365 -palveluihin, voi parantaa käyttäjien suojausta ja parantaa käyttökokemusta. Kun esimerkiksi estät pääsyn hallitsemattomiin laitteisiin vain SharePointissa, käyttäjät voivat käyttää keskustelua tiimissä hallitsemattomalla laitteella, mutta he menettävät käyttöoikeuden yrittäessään käyttää Tiedostot-välilehteä. Office 365 pilvisovelluksen käyttö auttaa välttämään palveluriippuvuuteen liittyviä ongelmia.
Seuraavat vaiheet
Aloita määrittämällä suojauksen perustaso. Tarvittaessa voit myös lisätä luottamuksellisen suojauksen ja erittäin herkän suojauksen .
Aiheeseen liittyvät artikkelit
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle