Consigli sui criteri per la protezione di chat, gruppi e file di Teams
Questo articolo descrive come implementare i criteri consigliati per l'identità e l'accesso ai dispositivi Zero Trust per proteggere chat, gruppi e contenuti di Microsoft Teams, ad esempio file e calendari. Queste linee guida si basano sui criteri comuni di identità e accesso ai dispositivi, con informazioni aggiuntive specifiche di Teams. Poiché Teams si integra con gli altri prodotti, vedere anche Consigli sui criteri per la protezione di siti e file di SharePoint eConsigli sui criteri per la protezione della posta elettronica.
Queste raccomandazioni si basano su tre diversi livelli di sicurezza e protezione per Teams che possono essere applicati in base alla granularità delle proprie esigenze: punto di partenza, organizzazione e sicurezza specializzata. Per altre informazioni su questi livelli di sicurezza e sui criteri consigliati a cui fanno riferimento questi consigli, vedere Le configurazioni di identità e accesso ai dispositivi.
In questo articolo sono incluse altre raccomandazioni specifiche per la distribuzione di Teams per coprire specifiche circostanze di autenticazione, anche per gli utenti esterni all'organizzazione. È necessario seguire queste indicazioni per un'esperienza di sicurezza completa.
Introduzione a Teams prima di altri servizi dipendenti
Non è necessario abilitare i servizi dipendenti per iniziare a usare Microsoft Teams. Questi servizi funzioneranno tutti "solo". Tuttavia, è necessario essere preparati a gestire gli elementi correlati al servizio seguenti:
- Gruppi di Microsoft 365
- Siti del team di SharePoint
- OneDrive for Business
- Cassette postali di Exchange
- Stream video e piani di Planner (se questi servizi sono abilitati)
Aggiornamento dei criteri comuni per includere Teams
Per proteggere chat, gruppi e contenuto in Teams, il diagramma seguente illustra i criteri da aggiornare dai criteri comuni di identità e accesso ai dispositivi. Per ogni criterio da aggiornare, assicurarsi che Teams e i servizi dipendenti siano inclusi nell'assegnazione di app cloud.
Questi servizi sono i servizi dipendenti da includere nell'assegnazione di app cloud per Teams:
- Microsoft Teams
- SharePoint e OneDrive for Business
- Exchange Online
- Skype for Business Online
- Microsoft Stream (registrazioni delle riunioni)
- Microsoft Planner (Planner attività e dati di piano)
Questa tabella elenca i criteri che devono essere rivisitati e i collegamenti a ogni criterio nei criteri comuni di identità e accesso ai dispositivi, con i criteri più ampi impostati per tutte le applicazioni di Office.
| Livello di protezione | Criteri | Altre informazioni per l'implementazione di Teams |
|---|---|---|
| Punto iniziale | Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto | Assicurarsi che Teams e i servizi dipendenti siano inclusi nell'elenco delle app. Teams ha anche regole di accesso guest e accesso esterno da prendere in considerazione. Altre informazioni su queste regole saranno disponibili più avanti in questo articolo. |
| Bloccare i client che non supportano l'autenticazione moderna | Includere Teams e i servizi dipendenti nell'assegnazione di app cloud. | |
| Gli utenti a rischio elevato devono modificare la password | Forza gli utenti di Teams a modificare la password durante l'accesso se viene rilevata un'attività ad alto rischio per il proprio account. Assicurarsi che Teams e i servizi dipendenti siano inclusi nell'elenco delle app. | |
| Applicare i criteri di protezione dei dati app | Assicurarsi che Teams e i servizi dipendenti siano inclusi nell'elenco delle app. Aggiornare i criteri per ogni piattaforma (iOS, Android, Windows). | |
| Aziendale | Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o alto | Teams ha anche regole di accesso guest e accesso esterno da prendere in considerazione. Altre informazioni su queste regole saranno disponibili più avanti in questo articolo. Includere Teams e i servizi dipendenti in questo criterio. |
| Definire i criteri di conformità dei dispositivi | Includere Teams e i servizi dipendenti in questo criterio. | |
| Richiedere PC e dispositivi mobili conformi | Includere Teams e i servizi dipendenti in questo criterio. | |
| Sicurezza specializzata | Richiedere sempre l'autenticazione a più fattori | Indipendentemente dall'identità dell'utente, l'autenticazione a più fattori verrà usata dall'organizzazione. Includere Teams e i servizi dipendenti in questo criterio. |
Architettura dei servizi dipendenti da Teams
Per riferimento, il diagramma seguente illustra i servizi su cui si basa Teams. Per altre informazioni e illustrazioni, vedere Microsoft Teams e i relativi servizi di produttività in Microsoft 365 per architetti IT.
Accesso guest ed esterno per Teams
Microsoft Teams definisce i tipi di accesso seguenti:
L'accesso guest usa un account B2B Microsoft Entra per un utente guest o esterno che può essere aggiunto come membro di un team e con tutte le autorizzazioni per l'accesso alla comunicazione e alle risorse del team.
L'accesso esterno è per un utente esterno che non dispone di un account B2B Microsoft Entra. L'accesso esterno può includere inviti e partecipazione a chiamate, chat e riunioni, ma non include l'appartenenza al team e l'accesso alle risorse del team.
I criteri di accesso condizionale si applicano solo all'accesso guest in Teams perché esiste un Microsoft Entra account B2B corrispondente.
Per i criteri consigliati per consentire l'accesso agli utenti guest ed esterni con un account B2B Microsoft Entra, vedere Criteri per consentire l'accesso all'account B2B guest ed esterno.
Accesso guest in Teams
Oltre ai criteri per gli utenti interni all'azienda o all'organizzazione, gli amministratori possono abilitare l'accesso guest per consentire, su base utente per utente, a persone esterne all'azienda o all'organizzazione di accedere alle risorse di Teams e interagire con persone interne per elementi come conversazioni di gruppo, chat e riunioni.
Per altre informazioni sull'accesso guest e su come implementarlo, vedere Accesso guest di Teams.
Accesso esterno in Teams
L'accesso esterno è talvolta confuso con l'accesso guest, quindi è importante essere chiari sul fatto che questi due meccanismi di accesso non interno sono tipi diversi di accesso.
L'accesso esterno consente agli utenti di Teams di un intero dominio esterno di trovare, chiamare, chattare e configurare le riunioni con gli utenti in Teams. Gli amministratori di Teams configurano l'accesso esterno a livello di organizzazione. Per altre informazioni, vedere Gestire l'accesso esterno in Microsoft Teams.
Gli utenti con accesso esterno hanno meno accesso e funzionalità rispetto a un utente che è stato aggiunto tramite l'accesso guest. Ad esempio, gli utenti con accesso esterno possono chattare con gli utenti interni con Teams, ma non possono accedere a canali, file o altre risorse del team.
L'accesso esterno non usa Microsoft Entra account utente B2B e pertanto non usa i criteri di accesso condizionale.
Criteri di Teams
Al di fuori dei criteri comuni elencati in precedenza, sono presenti criteri specifici di Teams che possono e devono essere configurati per gestire varie funzionalità di Teams.
Criteri di Teams e canali
Teams e canali sono due elementi comunemente usati in Microsoft Teams e sono disponibili criteri che è possibile implementare per controllare ciò che gli utenti possono e non possono fare quando usano team e canali. Anche se è possibile creare un team globale, se l'organizzazione ha 5000 utenti o meno, è probabile che sia utile avere team e canali più piccoli per scopi specifici, in linea con le esigenze aziendali.
È consigliabile modificare i criteri predefiniti o creare criteri personalizzati ed è possibile ottenere altre informazioni sulla gestione dei criteri in questo collegamento: Gestire i criteri di teams in Microsoft Teams.
Criteri di messaggistica
La messaggistica, o chat, può anche essere gestita tramite i criteri globali predefiniti o tramite criteri personalizzati e ciò può aiutare gli utenti a comunicare tra loro in modo appropriato per l'organizzazione. Queste informazioni possono essere esaminate in Gestione dei criteri di messaggistica in Teams.
Criteri di riunione
Nessuna discussione su Teams sarebbe completa senza la pianificazione e l'implementazione di criteri relativi alle riunioni di Teams. Le riunioni sono un componente essenziale di Teams, che consente alle persone di incontrarsi e presentare formalmente a molti utenti contemporaneamente e di condividere contenuti rilevanti per la riunione. L'impostazione dei criteri corretti per l'organizzazione in relazione alle riunioni è essenziale.
Per altre informazioni, vedere Gestire i criteri delle riunioni in Teams.
Criteri di autorizzazione app
Teams consente anche di usare le app in varie posizioni, ad esempio canali o chat personali. La presenza di criteri relativi alle app che è possibile aggiungere e usare e a dove è essenziale per mantenere un ambiente ricco di contenuti che sia anche sicuro.
Per altre informazioni sui criteri di autorizzazione dell'app, vedere Gestire i criteri di autorizzazione delle app in Microsoft Teams.
Passaggi successivi
Configurare i criteri di accesso condizionale per:
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per