Condividi tramite


Raccomandazioni sui criteri per la protezione di chat, gruppi e file di Teams

Questo articolo descrive come implementare i criteri di identità e accesso ai dispositivi Zero Trust consigliati per proteggere chat, gruppi e contenuti di Microsoft Teams, ad esempio file e calendari. Queste linee guida si basa sui criteri comuni di identità e accesso ai dispositivi, con informazioni aggiuntive specifiche di Teams. Poiché Teams si integra con gli altri prodotti, vedere anche Raccomandazioni sui criteri per la protezione dei siti e dei file di SharePoint e raccomandazioni relative ai criteri per la protezione della posta elettronica.

Questi consigli si basano su tre livelli diversi di sicurezza e protezione per Teams che possono essere applicati in base alla granularità delle esigenze: punto di partenza, organizzazione e sicurezza specializzata. Per altre informazioni su questi livelli di sicurezza e sui criteri consigliati a cui fanno riferimento queste raccomandazioni, vedere Configurazioni di accesso alle identità e ai dispositivi.

Altre raccomandazioni specifiche per la distribuzione di Teams sono incluse in questo articolo per coprire specifiche circostanze di autenticazione, tra cui per gli utenti esterni all'organizzazione. È necessario seguire queste indicazioni per un'esperienza di sicurezza completa.

Introduzione a Teams prima di altri servizi dipendenti

Non è necessario abilitare i servizi dipendenti per iniziare a usare Microsoft Teams. Questi servizi funzioneranno tutti "solo". Tuttavia, è necessario essere pronti per gestire gli elementi correlati al servizio seguenti:

  • Gruppi di Microsoft 365
  • Siti del team di SharePoint
  • OneDrive
  • Cassette postali di Exchange
  • Trasmettere video e piani di Planner (se questi servizi sono abilitati)

Aggiornamento dei criteri comuni per includere Teams

Per proteggere chat, gruppi e contenuti in Teams, il diagramma seguente illustra i criteri da aggiornare dai criteri di accesso comuni alle identità e ai dispositivi. Per ogni criterio da aggiornare, assicurarsi che Teams e i servizi dipendenti siano inclusi nell'assegnazione delle app cloud.

Diagramma che mostra il riepilogo degli aggiornamenti dei criteri per la protezione dell'accesso a Teams e ai servizi dipendenti.

Questi servizi sono i servizi dipendenti da includere nell'assegnazione di app cloud per Teams:

  • Microsoft Teams
  • SharePoint e OneDrive
  • Exchange Online
  • Skype for Business Online
  • Microsoft Stream (registrazioni delle riunioni)
  • Microsoft Planner (attività di Planner e dati di piano)

Questa tabella elenca i criteri da rivedere e i collegamenti a ogni criterio nei criteri di accesso comuni alle identità e ai dispositivi, che include i criteri più ampi impostati per tutte le app Office licazioni.

Livello di protezione Criteri Altre informazioni sull'implementazione di Teams
Punto di partenza Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto Assicurarsi che Teams e i servizi dipendenti siano inclusi nell'elenco delle app. Teams dispone di regole di accesso guest e di accesso esterno da prendere in considerazione. Altre informazioni su queste regole saranno disponibili più avanti in questo articolo.
Bloccare i client che non supportano l'autenticazione moderna Includere Teams e i servizi dipendenti nell'assegnazione delle app cloud.
Gli utenti ad alto rischio devono modificare la password Forza gli utenti di Teams a modificare la password durante l'accesso se viene rilevata un'attività ad alto rischio per il proprio account. Assicurarsi che Teams e i servizi dipendenti siano inclusi nell'elenco delle app.
Applicare i criteri di protezione dei dati delle app Assicurarsi che Teams e i servizi dipendenti siano inclusi nell'elenco delle app. Aggiornare i criteri per ogni piattaforma (iOS, Android, Windows).
Funzionalità per le aziende Richiedere l'autenticazione a più fattori quando il rischio di accesso è basso, medio o alto Teams dispone di regole di accesso guest e di accesso esterno da prendere in considerazione. Altre informazioni su queste regole saranno disponibili più avanti in questo articolo. Includere Teams e i servizi dipendenti in questo criterio.
Definire i criteri di conformità dei dispositivi Includere Teams e i servizi dipendenti in questo criterio.
Richiedere PC e dispositivi mobili conformi Includere Teams e i servizi dipendenti in questo criterio.
Sicurezza specializzata Richiedere sempre l'autenticazione a più fattori Indipendentemente dall'identità utente, l'autenticazione a più fattori verrà usata dall'organizzazione. Includere Teams e i servizi dipendenti in questo criterio.

Architettura dei servizi dipendenti di Teams

Per riferimento, il diagramma seguente illustra i servizi su cui Si basa Teams. Per altre informazioni e illustrazioni, vedere Microsoft Teams e i relativi servizi di produttività in Microsoft 365 per architetti IT.

Diagramma che mostra le dipendenze di Teams in SharePoint, OneDrive for Business ed Exchange.

Accesso guest ed esterno per Teams

Microsoft Teams definisce i tipi di accesso seguenti:

  • L'accesso guest usa un account Microsoft Entra B2B per un utente guest o esterno che può essere aggiunto come membro di un team e ha tutte le autorizzazioni di accesso alle comunicazioni e alle risorse del team.

  • L'accesso esterno è destinato a un utente esterno che non ha un account Microsoft Entra B2B. L'accesso esterno può includere inviti e partecipazione a chiamate, chat e riunioni, ma non include l'appartenenza al team e l'accesso alle risorse del team.

I criteri di accesso condizionale si applicano solo all'accesso guest in Teams perché esiste un account Microsoft Entra B2B corrispondente.

Per i criteri consigliati per consentire l'accesso per utenti guest ed esterni con un account Microsoft Entra B2B, vedere Criteri per consentire l'accesso all'account B2B guest ed esterno.

Accesso guest in Teams

Oltre ai criteri per gli utenti interni all'azienda o all'organizzazione, gli amministratori possono consentire l'accesso guest, in base all'utente, alle persone esterne all'azienda o all'organizzazione per accedere alle risorse di Teams e interagire con persone interne per elementi come conversazioni di gruppo, chat e riunioni.

Per altre informazioni sull'accesso guest e su come implementarlo, vedere Accesso guest di Teams.

Accesso esterno in Teams

L'accesso esterno è talvolta confuso con l'accesso guest, quindi è importante essere chiari che questi due meccanismi di accesso non interni sono diversi tipi di accesso.

L'accesso esterno è un modo per consentire agli utenti di Teams di un intero dominio esterno di trovare, chiamare, chattare e configurare riunioni con gli utenti in Teams. Gli amministratori di Teams configurano l'accesso esterno a livello di organizzazione. Per altre informazioni, vedere Gestire l'accesso esterno in Microsoft Teams.

Gli utenti con accesso esterno hanno meno accesso e funzionalità rispetto a una persona che è stata aggiunta tramite accesso guest. Ad esempio, gli utenti con accesso esterno possono chattare con gli utenti interni con Teams, ma non possono accedere a canali, file o altre risorse del team.

L'accesso esterno non usa gli account utente di Microsoft Entra B2B e pertanto non usa i criteri di accesso condizionale.

criteri di Teams

Al di fuori dei criteri comuni elencati in precedenza, esistono criteri specifici di Teams che possono e devono essere configurati per gestire varie funzionalità di Teams.

Criteri di Teams e canali

Teams e canali sono due elementi di uso comune in Microsoft Teams e sono disponibili criteri che è possibile implementare per controllare quali utenti possono e non possono fare quando si usano team e canali. Anche se è possibile creare un team globale, se l'organizzazione ha almeno 5000 utenti, è probabile che sia utile avere team e canali più piccoli per scopi specifici, in linea con le esigenze dell'organizzazione.

È consigliabile modificare i criteri predefiniti o creare criteri personalizzati. Per altre informazioni sulla gestione dei criteri, vedere questo collegamento: Gestire i criteri dei team in Microsoft Teams.

Criteri di messaggistica

La messaggistica, o la chat, può anche essere gestita tramite i criteri globali predefiniti o tramite criteri personalizzati e questo può aiutare gli utenti a comunicare tra loro in modo appropriato per l'organizzazione. Queste informazioni possono essere esaminate in Gestione dei criteri di messaggistica in Teams.

Criteri riunione

Nessuna discussione su Teams sarà completa senza pianificare e implementare criteri per le riunioni di Teams.No discussion of Teams would be complete without planning and implement policies around Teams meetings. Le riunioni sono un componente essenziale di Teams, consentendo alle persone di incontrarsi e presentare formalmente a molti utenti contemporaneamente e di condividere il contenuto pertinente alla riunione. L'impostazione dei criteri corretti per l'organizzazione per le riunioni è essenziale.

Per altre informazioni, vedere Gestire i criteri delle riunioni in Teams.

Criteri delle autorizzazioni dell'app

Teams consente anche di usare le app in diverse posizioni, ad esempio canali o chat personali. Disporre di criteri relativi alle app che possono essere aggiunte e usate e dove è essenziale mantenere un ambiente ricco di contenuto che sia sicuro.

Per altre informazioni sui criteri di autorizzazione delle app, vedere Gestire i criteri di autorizzazione delle app in Microsoft Teams.

Passaggi successivi

Screenshot dei criteri per le app cloud di Microsoft 365.

Configurare i criteri di accesso condizionale per: