Raccomandazioni sui criteri per la protezione di chat, gruppi e file di Teams
Questo articolo descrive come implementare i criteri di identità e accesso ai dispositivi Zero Trust consigliati per proteggere chat, gruppi e contenuti di Microsoft Teams, ad esempio file e calendari. Questa guida si basa sulle politiche comuni di identità e accesso ai dispositivi, con informazioni aggiuntive specifiche di Teams. Poiché Teams si integra con gli altri prodotti, vedere anche Policy recommendations for securing SharePoint sites and files and Policy recommendations for securing email.
Queste raccomandazioni si basano su tre livelli diversi di sicurezza e protezione che possono essere applicati in base alla granularità delle esigenze: punto di partenza, enterprisee sicurezza specializzata. Questi criteri vengono applicati in base alla granularità delle esigenze. Per ulteriori informazioni, vedere l'introduzione ai criteri di sicurezza e alle configurazioni consigliate .
In questo articolo sono incluse raccomandazioni specifiche per Teams per gli scenari di autenticazione, inclusi gli utenti esterni all'organizzazione. Seguire queste indicazioni per un'esperienza di sicurezza completa.
Iniziare con Teams prima di altri servizi dipendenti
Non è necessario abilitare i servizi dipendenti per iniziare a usare Microsoft Teams. Questi servizi funzioneranno tutti "solo". Tuttavia, è necessario essere pronti per gestire gli elementi correlati al servizio seguenti:
- Cassette postali di Exchange Online
- Gruppi di Microsoft 365
- OneDrive
- Siti del team di SharePoint
- Trasmettere video e piani di Planner (se questi servizi sono abilitati)
Aggiornamento dei criteri comuni per includere Teams
Per proteggere chat, gruppi e contenuti in Teams, il diagramma seguente illustra i criteri da aggiornare dai criteri di accesso comuni alle identità e ai dispositivi. In ogni criterio che richiede un aggiornamento, assicurarsi di includere Teams e i servizi dipendenti nell'assegnazione delle app cloud.
I servizi dipendenti da includere sono descritti nell'elenco seguente:
- Microsoft Teams
- SharePoint e OneDrive
- Exchange Online (caselle di posta)
- Microsoft Stream (registrazioni delle riunioni)
- Microsoft Planner (attività di Planner e dati del piano)
Esaminare i criteri elencati nella tabella seguente e apportare le aggiunte consigliate per Microsoft Teams o verificare che queste impostazioni siano già incluse. Ogni criterio è collegato alle istruzioni di configurazione associate in Criteri comuni di identità e accesso ai dispositivi.
| Livello di protezione | Politiche | Altre informazioni sull'implementazione di Teams |
|---|---|---|
| punto di partenza | Richiedi autenticazione a più fattori (MFA) quando il rischio di accesso è medio o alto | Assicurarsi che Teams e i servizi dipendenti siano inclusi nell'elenco delle app. Teams ha regole di accesso per gli ospiti e di accesso esterno, di cui tener conto, che sono descritte più avanti in questo articolo. |
| Bloccare i client che non supportano l'autenticazione moderna | Includere Teams e i servizi dipendenti nell'assegnazione delle app cloud. | |
| gli utenti ad alto rischio devono modificare la password | Forzare gli utenti di Teams a modificare la password durante l'accesso se viene rilevata un'attività ad alto rischio per il proprio account. Assicurarsi che Teams e i servizi dipendenti siano inclusi nell'elenco delle app. | |
| Applicare i criteri di protezione dei dati delle app | Assicurarsi che Teams e i servizi dipendenti siano inclusi nell'elenco delle app. Aggiornare i criteri per ogni piattaforma (iOS/iPadOS, Android e Windows). | |
| Enterprise | Richiedi autenticazione a più fattori quando il rischio di accesso è basso, medioo alto | Teams ha regole di accesso ospite e accesso esterno da considerare, descritte più avanti in questo articolo. Includere Teams e i servizi dipendenti in questa politica. |
| Definire i criteri di conformità dei dispositivi | Includere Teams e i servizi dipendenti in questa politica. | |
| Richiedi pc conformi e dispositivi mobili | Includere Teams e i servizi dipendenti in questo criterio. | |
| Sicurezza specializzata | Sempre richiedono MFA | Includere Teams e i servizi dipendenti in questa politica. |
Architettura dei servizi interdipendenti di Teams
Per riferimento, il diagramma seguente illustra i servizi su cui Si basa Teams. Per altre informazioni, vedere Microsoft Teams e i relativi servizi di produttività in Microsoft 365 per architetti IT.
Accesso ospite ed esterno per Teams
Microsoft Teams definisce i tipi di accesso seguenti per gli utenti esterni all'organizzazione:
Accesso Guest: utilizza un account Microsoft Entra B2B per ciascun utente che può essere aggiunto come membro di un team. L'accesso guest consente l'accesso alle risorse di Teams e all'interazione con gli utenti interni nelle conversazioni di gruppo, nelle chat e nelle riunioni.
Per ulteriori informazioni sull'accesso ospite e su come implementarlo, vedere Accesso ospite in Microsoft Teams.
Accesso esterno: utenti esterni all'organizzazione che non dispongono di account Microsoft Entra B2B. L'accesso esterno può includere inviti e partecipazione a chiamate, chat e riunioni, ma non include l'appartenenza al team o l'accesso alle risorse del team. L'accesso esterno è un modo per consentire agli utenti di Teams in un dominio esterno di trovare, chiamare, chattare e configurare riunioni in Teams con gli utenti dell'organizzazione.
Gli amministratori di Teams possono usare criteri personalizzati per configurare l'accesso esterno per l'organizzazione, i gruppi di utenti o i singoli utenti. Per altre informazioni, vedere amministratori IT - Gestire riunioni esterne e chattare con persone e organizzazioni usando identità Microsoft.
Gli utenti con accesso esterno hanno meno accesso e funzionalità rispetto agli utenti con accesso guest. Ad esempio, gli utenti con accesso esterno possono chattare con gli utenti interni con Teams, ma non possono accedere a canali, file o altre risorse del team.
I criteri di accesso condizionale si applicano solo agli utenti con accesso guest in Teams perché sono presenti account Microsoft Entra B2B corrispondenti. L'accesso esterno non usa account Microsoft Entra B2B e pertanto non può usare i criteri di accesso condizionale.
Per i criteri consigliati per consentire l'accesso con un account Microsoft Entra B2B, vedere Criteri per consentire l'accesso degli account guest ed esterni B2B.
Politiche di Teams
Oltre ai criteri comuni descritti in precedenza, esistono criteri specifici di Teams che è necessario configurare per gestire funzionalità specifiche in Teams.
Politiche per team e canali
Le politiche sono disponibili per controllare cosa gli utenti possono o non possono fare nei team e nei canali in Teams. Anche se i team globali sono disponibili, è più probabile creare team e canali più piccoli e specifici per soddisfare le esigenze aziendali.
È consigliabile modificare i criteri globali predefiniti o creare criteri personalizzati come descritto in: Gestire i criteri dei canali in Microsoft Teams.
Criteri di messaggistica
È anche possibile gestire la messaggistica (nota anche come chat) usando i criteri globali predefiniti o i criteri personalizzati. Questo approccio consente agli utenti di comunicare in modi appropriati per l'organizzazione. Per altre informazioni, vedere Gestione dei criteri di messaggistica in Teams.
Politiche delle riunioni
Le riunioni consentono a piccoli e grandi gruppi di persone di riunirsi e condividere formalmente contenuti pertinenti. L'impostazione dei criteri dell'organizzazione corretti per le riunioni è essenziale. Per altre informazioni, vedere Riunioni.
Criteri di autorizzazione delle app
È anche possibile usare le app all'interno di Teams, ad esempio nei canali o nelle chat personali. I criteri che definiscono quali app possono essere usate e dove è possibile usare le app sono essenziali anche per un ambiente ricco di contenuti protetto.
Per altre informazioni sui criteri di autorizzazione delle app, vedere Usare i criteri di autorizzazione delle app per controllare l'accesso utente alle app.
Passaggi successivi
Configurare i criteri di accesso condizionale per: