קביעת תצורה של Teams עם שלוש רמות של אבטחת שיתוף קבצים
מסוימות במאמר זה דורשות Microsoft Syntex - ניהול מתקדם של SharePoint
המאמרים בסידרה זו מספקים המלצות לקביעת התצורה של צוותים ב- Microsoft Teams ואתרים המשויכים שלהם ב- SharePoint, להגנה על קבצים המ איזון אבטחה בקלות של שיתוף פעולה.
מאמר זה מגדיר ארבע תצורות שונות, החל בצוות ציבורי עם פריטי מדיניות השיתוף הפתוחים ביותר. כל תצורה נוספת מייצגת שלב משמעותי בהגנה, בעוד שהיכולת לגשת ולשתף פעולה בקבצים המאוחסנים בצוותים מופחתת לקבוצה הרלוונטית של חברי הצוות.
התצורות במאמר זה מתיישרות עם ההמלצות של Microsoft לגבי שלוש רמות הגנה עבור נתונים, זהויות ומכשירים:
הגנה בסיסית
הגנה רגישה
הגנה רגישה במיוחד
לקבלת מידע אודות יצירת סביבת פגישות של Teams העומדת בדרישות התאימות שלך, ראה קביעת תצורה של פגישות Teams עם שלוש רמות הגנה.
שלוש רמות במבט מהיר
הטבלה הבאה מסכמת את התצורות עבור כל רמה. השתמש בתצורות אלה כהמלצות על נקודת התחלה והתאם את התצורות בהתאם לצרכי הארגון שלך. ייתכן שלא תזדקקו לכל רמה.
| תוכנית בסיסית (ציבורית) | תוכנית בסיסית (פרטית) | רגיש | רגיש במיוחד | |
|---|---|---|---|---|
| צוות פרטי או ציבורי | ציבורית | פרטי | פרטי | פרטי |
| למי יש גישה? | כל אחד בארגון, כולל אורחים של B2B. | רק חברים בצוות. משתמשים אחרים יכולים לבקש גישה לאתר המשויך. | רק חברים בצוות. | רק חברים בצוות. |
| ערוצים פרטיים | בעלים וחברים יכולים ליצור ערוצים פרטיים | בעלים וחברים יכולים ליצור ערוצים פרטיים | רק בעלים יכולים ליצור ערוצים פרטיים | רק בעלים יכולים ליצור ערוצים פרטיים |
| גישת אורח ברמת האתר | אורחים חדשים וקיימים ( ברירת מחדל). | אורחים חדשים וקיימים ( ברירת מחדל). | אורחים חדשים וקיימים או רקאנשים בארגון שלך, בהתאם לצרכים של הצוות. | אורחים חדשים וקיימים או רקאנשים בארגון שלך, בהתאם לצרכים של הצוות. |
| גישה מותנית ברמת האתר | גישה מלאה מאפליקציות שולחן עבודה, אפליקציות למכשירים ניידים והאינטרנט (ברירת מחדל). | גישה מלאה מאפליקציות שולחן עבודה, אפליקציות למכשירים ניידים והאינטרנט (ברירת מחדל). | אפשר גישה מוגבלת לאינטרנט בלבד. | מדיניות גישה מותנית מותאמת אישית |
| סוג קישור ברירת מחדל לשיתוף | רק אנשים בארגון שלך | רק אנשים בארגון שלך | אנשים ספציפיים | אנשים עם גישה קיימת |
| תוויות רגישות | ללא | ללא | תווית רגישות המשמשת לסווג את הצוות ולשלוט בשיתוף אורחים וגישה לא מנוהלת למכשיר. | תווית רגישות המשמשת לסווג את הצוות, לשלוט בשיתוף אורחים ולציין מדיניות גישה מותנית. תווית הקובץ המהווה ברירת מחדל משמשת בקבצים כדי להצפין אותם. |
| הגדרות שיתוף אתר | בעלי אתרים וחברים, ואנשים בעלי הרשאות עריכה יכולים לשתף קבצים ותיקיות, אך רק בעלי אתרים יכולים לשתף את האתר. | בעלי אתרים וחברים, ואנשים בעלי הרשאות עריכה יכולים לשתף קבצים ותיקיות, אך רק בעלי אתרים יכולים לשתף את האתר. | בעלי אתרים וחברים, ואנשים בעלי הרשאות עריכה יכולים לשתף קבצים ותיקיות, אך רק בעלי אתרים יכולים לשתף את האתר. | לא רשום (נשלט על-ידי מדיניות בקרת גישה מוגבלת ברמת האתר.) |
| מדיניות בקרת גישה מוגבלת ברמת האתר | ללא | ללא | ללא | חברי צוות בלבד |
הגנה בסיסית כוללת צוותים ציבוריים ופרטיים. כל אחד בארגון יכול לגלות צוותים ציבוריים ולגשת אליהם. רק חברי הצוות יכולים למצוא צוותים פרטיים ולגשת אליהם. שתי תצורות אלה מגבילות את השיתוף של אתר SharePoint המשויך לבעלי הצוותים כדי לסייע בניהול הרשאות.
Teams להגנה רגישה ורגישה במיוחד הם צוותים פרטיים שבהם השיתוף והבקשה לגישה לאתר המשויך מוגבלים ותוויות רגישות משמשות לקביעת מדיניות סביב שיתוף אורחים, גישה למכשירים והצפנת תוכן.
תוויות רגישות
השכבות הרגישות והרגישות ביותר משתמשות בתוויות רגישות כדי לאבטח את הצוות ואת הקבצים שלו. כדי ליישם רמות אלה, עליך להפוך תוויות רגישות לזמינות כדי להגן על תוכן ב- Microsoft Teams, קבוצות Microsoft 365 ו- SharePoint.
בעוד שהרמה הבסיסית אינה דורשת תוויות רגישות, שקול ליצור תווית "כללית" ולאחר מכן לדרוש שכל הצוותים יהיו מסומנים בתווית. פעולה זו עוזרת להבטיח שהמשתמשים יוכלו לבחור במודעות לגבי רגישות בעת יצירת צוות. אם בכוונתך לפרוס את הרמה הרגישה או הרגישה ביותר, מומלץ ליצור תווית "כללית" שבה תוכל להשתמש עבור צוותי בסיס ולקבצים שאינם רגישים. עבור הרמה הרגישה ביותר, נציין גם תווית רגישות המהווה ברירת מחדל עבור ספריות מסמכים כך שקובצי Office וקבצים תואמים אחרים יחולו באופן אוטומטי על התווית בעת העלאתם.
אם אתה משתמש חדש בשימוש בתוויות רגישות, מומלץ לקרוא את תחילת העבודה עם תוויות רגישות כדי להתחיל בעבודה.
אם כבר פרסת תוויות רגישות בארגון שלך, שקול כיצד התוויות המשמשות ברמות הרגישות והרגישות ביותר מתאימות לאסטרטגיית התוויות הכוללת שלך.
שיתוף אתר SharePoint
לכל צוות יש אתר SharePoint משויך שבו מאוחסנים מסמכים. (זוהי הכרטיסיה קבצים בערוץ צוותים.) אתר SharePoint שומר ניהול הרשאות משלו, אך מקושר להרשאות צוות. בעלים של צוות כלולים כבעלים של אתר וחברי צוות כלולים בתור חברי אתר באתר המשויך.
ההרשאות המתוצאת מאפשרות:
- בעלים של צוותים לניהול האתר ויש להם שליטה מלאה על תוכן האתר.
- חברי צוות כדי ליצור ולערוך קבצים באתר.
כברירת מחדל, בעלי הצוות וחברי הצוות יכולים לשתף את האתר עצמו עם אנשים מחוץ לצוות מבלי להוסיף אותם בפועל לצוות. אנו ממליצים להשתמש בבעיה זו מאחר שהיא מסבך את ניהול המשתמשים ועלולים להוביל לאנשים שאינם חברי צוות שיש להם גישה לקובצי צוות מבלי שהבעלים של הצוות ישים לב לכך. כדי למנוע זאת, החל מרמת ההגנה הבסיסית, מומלץ שרק בעלים יוכלו לשתף את האתר ישירות.
למרות שלקבוצות אין אפשרות הרשאה לקריאה בלבד, אתר SharePoint עושה זאת. אם יש לך בעלי עניין או קבוצות שותפים שצריכים להיות מסוגלים להציג קבצי צוות אך לא לערוך אותם, שקול להוסיף אותם ישירות לאתר SharePoint עם הרשאות תצוגה.
עבור הרמה הרגישה ביותר, אנו מגבילים את הגישה לאתר לחברי הצוות בלבד. הגבלה זו מונעת גם שיתוף קבצים עם אנשים מחוץ לצוות.
שיתוף קבצים ותיקיות
כברירת מחדל, הן הבעלים והן חברי הצוות יכולים לשתף קבצים ותיקיות עם אנשים מחוץ לצוות. אפשרות זו עשויה לכלול אנשים מחוץ לארגון שלך, אם תאפשר שיתוף אורחים. בכל שלוש השכבות, אנו מעדכנים את סוג הקישור לשיתוף המהווה ברירת מחדל כדי לסייע במניעת שיתוף יתר בטעות. כפי שצוין לעיל, ברמה הרגישה ביותר, הגישה לקובץ מוגבלת לחברי צוות בלבד.
שיתוף עם אנשים מחוץ לארגון שלך
אם עליך לשתף תוכן של Teams עם אנשים מחוץ לארגון שלך, קיימות שתי אפשרויות:
- שיתוף אורחים - שיתוף אורחים משתמש בשיתוף Microsoft Entra B2B המאפשר למשתמשים לשתף קבצים, תיקיות, אתרים, קבוצות בצוותים עם אנשים מחוץ לארגון שלך. אנשים אלה ניגשים למשאבים משותפים באמצעות חשבונות אורח במדריך הכתובות שלך.
- ערוצים משותפים - ערוצים משותפים משתמשים בקישור ישיר Microsoft Entra B2B, המאפשר למשתמשים לשתף משאבים בארגון שלך עם אנשים מארגונים Microsoft Entra אחרים. אנשים אלה ניגשים לערוצים המשותפים ב- Teams באמצעות החשבון שלהם בעבודה או בבית הספר. לא נוצר חשבון אורח בארגון שלך.
הן שיתוף אורחים והן ערוצים משותפים שימושיים בהתאם למצב. ראה תכנון שיתוף פעולה חיצוני לקבלת פרטים על כל אחד מהם וכיצד להחליט באיזה מהם להשתמש עבור תרחיש נתון.
אם בכוונתך להשתמש בשיתוף אורחים, מומלץ לקבוע את התצורה של שילוב SharePoint ו- OneDrive עם Microsoft Entra B2B כדי לקבל את חוויית השיתוף וה הניהול הטובה ביותר.
באפשרותך למנוע שיתוף אורחים של Teams במידת הצורך ברמות הרגישות והרגישות ביותר באמצעות תווית רגישות. ערוצים משותפים מופעלים כברירת מחדל, אך דרושים הגדרת קשרי גומלין בין ארגונים עבור כל ארגון שברצונך לשתף איתו פעולה. ראה שיתוף פעולה עם משתתפים חיצוניים בערוץ לקבלת פרטים.
ברמה הרגישה ביותר, אנו קובעים את התצורה של תווית הרגישות של הספריה המוגדרת כברירת מחדל כך שתצפין קבצים שבהם היא מוחלת. אם אתה זקוק לאורחים כדי לקבל גישה לקבצים אלה, עליך להעניק להם הרשאות בעת יצירת התווית. אין אפשרות להעניק למשתתפים חיצוניים בערוצים משותפים הרשאות לתוויות רגישות ולא ניתן לגשת לתוכן שהוצפן באמצעות תווית רגישות.
אנו ממליצים מאוד להשאיר את שיתוף האורחים פועל עבור רמת הבסיס ולרמה הרגישה או הרגישה ביותר אם עליך לשתף פעולה עם אנשים מחוץ לארגון שלך. תכונות שיתוף האורחים ב- Microsoft 365 מספקות חוויית שיתוף מאובטחת וניתנת לפיקוח הרבה יותר מאשר שליחת קבצים כקבצים מצורפים בהודעות דואר אלקטרוני. היא גם מפחיתה את הסיכון ל- IT צל שבו משתמשים משתמשים במוצרי צרכנים לא מבוים כדי לשתף עם משתפי פעולה חיצוניים לגיטימיים.
אם אתה משתף פעולה באופן קבוע עם ארגונים אחרים המשתמשים במזהה Microsoft Entra, ערוצים משותפים עשויים להיות אפשרות טובה. ערוצים משותפים מופיעים בצורה חלקה בלקוח Teams של הארגון האחר, ומאפשרים למשתתפים חיצוניים להשתמש בחשבון המשתמש הרגיל שלהם עבור הארגון במקום להיכנס בנפרד באמצעות חשבון אורח.
עיין בהפניות הבאות כדי ליצור סביבת שיתוף אורחים מאובטחת ופרודוקטיבית עבור הארגון שלך:
- שיטות עבודה מומלצות לשיתוף קבצים ותיקיות עם משתמשים לא מאומתים
- הגבלת חשיפה בשוגת לקבצים בעת שיתוף עם אנשים מחוץ לארגון שלך
- יצירת סביבת שיתוף אורחים מאובטחת
מדיניות גישה מותנית
Microsoft Entra גישה מותנית מציעה אפשרויות רבות כדי לקבוע כיצד אנשים ניגשים ל- Microsoft 365, כולל מגבלות המבוססות על מיקום, סיכון, תאימות מכשירים וגורמים אחרים. מומלץ לקרוא מהו גישה מותנית? ולשקול אילו פריטי מדיניות נוספים מתאימים לארגון שלך.
עבור רמות רגישות ורגישות במיוחד, אנו משתמשים בתוויות רגישות כדי להגביל את הגישה לתוכן SharePoint.
עבור הרמה הרגישה, נגביל את הגישה לאינטרנט בלבד עבור מכשירים לא מנוהלים. (שים לב שלאורחים לעתים קרובות אין מכשירים המנוהלות על-ידי הארגון שלך. אם אתה מאפשר לאורחים בכל אחת מהרמה, שקול באילו סוגים של מכשירים הם משתמשים כדי לגשת לצוותים ולאתרים ולהגדיר את מדיניות המכשירים הלא מנוהלים בהתאם.)
עבור הרמה הרגישה ביותר, נשתמש בהקשר אימות Microsoft Entra עם תווית הרגישות כדי להפעיל מדיניות גישה מותנית מותאמת אישית כאשר אנשים ניגשים לאתר SharePoint המשויך לצוות.
גישה מותנית בשירותים הקשורים ל- Teams
הגדרות הגישה המותנה בתוויות רגישות משפיעות רק על הגישה ל- SharePoint. אם ברצונך להרחיב גישה מותנית מעבר ל- SharePoint, באפשרותך להשתמש במדיניות גישה מותנית נפוצה: דרוש התקן תואם, Microsoft Entra משולב מחובר או אימות רב-גורמי עבור כל המשתמשים במקום זאת. כדי לקבוע את התצורה של מדיניות זו באופן ספציפי עבור שירותי Microsoft 365, בחר את Office 365 הענן תחת אפליקציות או פעולות בענן.
שימוש במדיניות המשפיעה על כל שירותי Microsoft 365 יכול להוביל לאבטחה טובה יותר ולחוויה טובה יותר עבור המשתמשים שלך. לדוגמה, כאשר תחסום גישה למכשירים לא מנוהלים ב- SharePoint בלבד, המשתמשים יוכלו לגשת לצ'אט בצוות באמצעות מכשיר לא מנוהל, אך יאבדו גישה כאשר הם ינסה לגשת אל הכרטיסיה קבצים. השימוש באפליקציית Office 365 מסייע במניעת בעיות של יחסי תלות בשירות.
השלב הבא
התחל על-ידי קביעת התצורה של רמת ההגנה הבסיסית. במידת הצורך, באפשרותך להוסיף גםהגנה רגישה והגנה רגישה ביותר.
נושאים קשורים
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור