Teams met bescherming voor zeer vertrouwelijke gegevens configureren
Voor sommige functies in dit artikel is Microsoft Syntex - SharePoint Advanced Management vereist
In dit artikel kijken we naar het opzetten van een team met een zeer gevoelig beschermingsniveau. Zorg ervoor dat je de stappen hebt voltooid in Teams implementeren met basisbeveiliging voordat je de stappen in dit artikel uitvoert.
Voor deze beveiligingslaag kunt je een vertrouwelijkheidslabel maken dat door uw hele organisatie kan worden gebruikt voor zeer gevoelige teams en bestanden.
De zeer gevoelige laag biedt de volgende extra bescherming bovenop de basislaag:
- Een vertrouwelijkheidslabel voor het team waarmee u het delen van gasten kunt in- of uitschakelen en een beleid voor voorwaardelijke toegang afdwingt voor toegang tot de SharePoint-site.
- Het label wordt ook gebruikt als een standaardlabel voor bestanden en versleutelt de bestanden waarop het is toegepast. Alleen leden van jouw organisatie en gasten die je hebt gespecificeerd, kunnen bestanden met dit label ontsleutelen.
- Alleen teameigenaren kunnen privé-kanalen maken.
- Sitetoegang is beperkt tot teamleden.
Videodemonstratie
Bekijk deze video voor een overzicht van de procedures die in dit artikel worden beschreven.
Gasten delen
Afhankelijk van de aard van uw bedrijf, wilt u het delen met gasten mogelijk niet inschakelen voor teams die zeer gevoelige gegevens bevatten. Als u van plan bent om met personen buiten uw organisatie samen te werken in het team, raden we aan om delen met gasten in te schakelen. Microsoft 365 bevat diverse functies voor beveiliging en compliance waarmee u vertrouwelijke inhoud veilig kunt delen. Dit is over het algemeen een veiliger optie dan inhoud rechtstreeks naar mensen buiten uw organisatie te e-mailen.
Voor meer informatie over delen met gasten kunt u de volgende bronnen raadplegen:
- Het beperken van de onopzettelijke blootstelling van bestanden bij het delen met personen buiten uw organisatie
- Een beveiligde omgeving voor het delen met gasten maken
Om het delen van gasten toe te staan of te blokkeren, gebruiken we besturingselementen die beschikbaar zijn in vertrouwelijkheidslabels.
Verificatiecontext
We gebruiken een Microsoft Entra-verificatiecontext om strengere toegangsvoorwaarden af te dwingen wanneer gebruikers SharePoint-sites openen.
Voeg eerst een verificatiecontext toe in Microsoft Entra ID.
Een verificatiecontext toevoegen
Selecteer in Microsoft Entra voorwaardelijke toegang onder Beheren de optie Verificatiecontexten.
Selecteer Nieuwe verificatiecontext.
Typ een naam en beschrijving en schakel het selectievakje Publiceren naar apps in.
Klik op Opslaan.
Maak vervolgens een beleid voor voorwaardelijke toegang dat van toepassing is op die verificatiecontext en dat vereist dat gasten meervoudige verificatie gebruiken bij het openen van SharePoint.
Een voorwaardelijk toegangsbeleid maken
Selecteer in Microsoft Entra voorwaardelijke toegangde optie Nieuw beleid maken.
Typ een naam voor het beleid.
Kies op het tabblad Gebruikers de optie Gebruikers en groepen selecteren en schakel vervolgens het selectievakje Gast- of externe gebruikers in.
Kies gastgebruikers voor B2B-samenwerking in de vervolgkeuzelijst.
Kies op het tabblad Doelresources onder Selecteren waarop dit beleid van toepassing isde optie Verificatiecontext en schakel het selectievakje in voor de verificatiecontext die u hebt gemaakt.
Selecteer op het tabblad Verlenende optie Meervoudige verificatie vereisen en kies vervolgens Selecteren.
Kies of u het beleid wilt inschakelen en selecteer vervolgens Maken.
We verwijzen naar de verificatiecontext in het vertrouwelijkheidslabel.
Vertrouwelijkheidslabels
Voor het zeer gevoelige beveiligingsniveau gebruiken we een vertrouwelijkheidslabel om het team te classificeren. We gebruiken dit label ook om afzonderlijke bestanden in het team te classificeren en te versleutelen. (Het kan ook worden gebruikt voor bestanden op andere bestandslocaties, zoals SharePoint of OneDrive.)
Als eerste stap moet u gevoeligheidslabels voor Teams inschakelen. Zie Vertrouwelijkheidslabels gebruiken om inhoud te beveiligen in Microsoft Teams, Microsoft 365-groepen en SharePoint-sites voor meer informatie.
Als u al gevoeligheidslabels in uw organisatie hebt geïmplementeerd, kunt u overwegen hoe dit label past in uw algemene labelstrategie. U kunt de naam of instellingen zo nodig wijzigen om tegemoet te komen aan de behoeften van uw organisatie.
Wanneer u gevoeligheidslabels voor Teams hebt ingeschakeld, is de volgende stap het maken van het label.
Een gevoeligheidslabel maken
- Open de Microsoft Purview-nalevingsportal.
- Vouw onder Oplossingende optie Informatiebeveiliging uit.
- Selecteer Een label maken.
- Geef een naam op voor het label. We suggereren Zeer gevoelig, maar u kunt een andere naam kiezen als die al in gebruik is.
- Voeg een weergavenaam en beschrijving toe en selecteer volgende.
- Selecteer op de pagina Het bereik voor dit label definiërende optie Items, Bestanden, E-mailberichten en Groepen & sites. Schakel het selectievakje Vergaderingen uit.
- Selecteer Volgende.
- Selecteer op de pagina Beveiligingsinstellingen kiezen voor bestanden en e-mailberichtende optie Versleuteling toepassen of verwijderen en selecteer vervolgens Volgende.
- Kies op de pagina Versleuteling de optie Versleutelingsinstellingen configureren.
- Selecteer onder Machtigingen toewijzen aan specifieke gebruikers en groepen de optie Machtigingen toewijzen.
- Selecteer Alle gebruikers en groepen in uw organisatie toevoegen.
- Als er gasten zijn die machtigingen moeten hebben om bestanden te ontsleutelen, selecteert u Gebruikers of groepen toevoegen en voegt u deze toe.
- Selecteer Opslaan en selecteer vervolgens Volgende.
- Selecteer op de pagina Automatisch labelen voor bestanden en e-mailberichtende optie Volgende.
- Selecteer op de pagina Beveiligingsinstellingen voor groepen en sites definiërende optie Privacy en externe gebruikerstoegang en Extern delen en Voorwaardelijke toegang en selecteer Volgende.
- Selecteer op de pagina Instellingen voor privacy en toegang voor externe gebruikers definiëren onder Privacy de optie Privé.
- Als je gasttoegang wilt toestaan, selecteer je onder Toegang voor externe gebruikers de optie Laat Microsoft 365-groepseigenaren personen van buiten de organisatie als gast aan de groep toevoegen.
- Selecteer Volgende.
- Selecteer op de pagina Instellingen voor extern delen en voorwaardelijke toegang definiërende optie Extern delen van gelabelde SharePoint-sites beheren.
- Onder Inhoud kan worden gedeeld met kiest u Nieuwe en bestaande gasten als u gasttoegang wilt toestaan of Alleen personen van de organisatie als u dat niet wilt.
- Selecteer Voorwaardelijke toegang van Microsoft Entra gebruiken om gelabelde SharePoint-sites te beveiligen.
- Selecteer de optie Een bestaande verificatiecontext kiezen en selecteer vervolgens de verificatiecontext die u hebt gemaakt in de vervolgkeuzelijst.
- Selecteer Volgende.
- Selecteer op de pagina Automatisch labelen voor geschematiseerde gegevensassetsde optie Volgende.
- Selecteer Label maken en selecteer vervolgens Gereed.
Nadat u het label heeft gemaakt, moet u het publiceren voor de gebruikers die het zullen gebruiken. Voor gevoelige beveiliging maken we het label beschikbaar voor alle gebruikers. U publiceert het label in de Microsoft Purview-complianceportal op de pagina Labelbeleid onder Informatiebeveiliging. Als u een bestaand beleid hebt dat van toepassing is op alle gebruikers, kunt u dit label toevoegen aan dat beleid. Als u een nieuw beleid wilt maken, raadpleegt u Gevoeligheidslabels publiceren door een labelbeleid te maken.
Teams-instellingen
Verdere configuratie van het zeer gevoelige scenario wordt uitgevoerd in het team zelf en op de SharePoint-site die aan het team is gekoppeld, dus de volgende stap is het maken van een team.
We maken het team in het Teams-beheercentrum.
Een team maken voor zeer vertrouwelijke informatie
- Vouw Teams uit in het Teams-beheercentrum en selecteer Teams beheren.
- Kies Toevoegen.
- Typ een naam en beschrijving voor het team.
- Voeg een of meer eigenaren toe voor het team. (Blijf eigenaar, zodat u een standaard vertrouwelijkheidslabel kunt kiezen voor bestanden hieronder.)
- Kies het vertrouwelijkheidslabel dat u hebt gemaakt voor zeer gevoelige informatie in de vervolgkeuzelijst Gevoeligheid .
- Selecteer Toepassen.
Instellingen voor privékanaal
In deze fase wordt u aangeraden het maken van privé-kanalen tot teameigenaren te beperken.
Het maken van een persoonlijk kanaal beperken
- Selecteer in het Teams-beheercentrum het team dat u hebt gemaakt en selecteer vervolgens Bewerken.
- Vouw Berichtmachtigingen uit.
- Stel Privékanalen toevoegen en bewerken in op Uit.
- Selecteer Toepassen.
Instellingen voor gedeelde kanalen
In gedeelde kanalen zijn er geen instellingen op teamniveau. De instellingen voor gedeelde kanalen die u configureert in het Teams-beheercentrum en het Microsoft Entra-beheercentrum zijn van toepassing op afzonderlijke gebruikers.
SharePoint-instellingen
Telkens wanneer u een nieuw team met het zeer gevoelige label maakt, moet u twee stappen uitvoeren in SharePoint:
- De toegang tot de site beperken tot alleen leden van het team
- Kies een standaard vertrouwelijkheidslabel voor de documentbibliotheek die is verbonden met het team.
Het standaard vertrouwelijkheidslabel moet worden geconfigureerd op de site zelf en kan niet worden ingesteld vanuit het SharePoint-beheercentrum of via PowerShell.
Sitetoegang beperken tot teamleden
Telkens wanneer u een nieuw team maakt met het zeer gevoelige label, moet u sitetoegangsbeperking inschakelen op de gekoppelde SharePoint-site. Dit voorkomt dat personen van buiten het team toegang hebben tot de site of de inhoud ervan. (Hiervoor is een Licentie voor Microsoft Syntex - SharePoint Advanced Management vereist.)
Als u nog geen sitetoegangsbeperking hebt gebruikt, moet u deze inschakelen voor uw organisatie.
- Vouw in het SharePoint-beheercentrum Beleid uit en selecteer Toegangsbeheer.
- Selecteer Sitetoegangsbeperking.
- Selecteer Toegangsbeperking toestaan en selecteer vervolgens Opslaan
Het kan tot een uur duren voordat dit van kracht wordt.
Sitetoegangsbeperking voor de site inschakelen
- Vouw in het SharePoint-beheercentrum Sites uit en selecteer Actieve sites.
- Selecteer de site die u wilt beheren.
- Selecteer op het tabblad Instellingende optie Bewerken in de sectie Beperkte sitetoegang .
- Selecteer het vak Toegang tot deze site beperken en selecteer Opslaan.
Kies een standaard vertrouwelijkheidslabel voor bestanden
We gebruiken het vertrouwelijkheidslabel dat we hebben gemaakt als het standaard vertrouwelijkheidslabel voor de sitedocumentbibliotheek die is verbonden met Teams. Hiermee wordt het zeer gevoelige label automatisch toegepast op nieuwe bestanden die compatibel zijn met labels die naar de bibliotheek worden geüpload, waarbij ze worden versleuteld. (Hiervoor is een Licentie voor Microsoft Syntex - SharePoint Advanced Management vereist.)
U moet een teameigenaar zijn om deze taak uit te voeren.
Een standaard vertrouwelijkheidslabel instellen voor een documentbibliotheek
Ga in Teams naar het kanaal Algemeen van het team dat u wilt bijwerken.
Selecteer Bestanden op de werkbalk voor het team.
Selecteer Openen in SharePoint.
Open instellingen op de SharePoint-site en kies bibliotheekinstellingen.
Selecteer in het flyoutvenster Bibliotheekinstellingende optie Standaardgevoeligheidslabels en selecteer vervolgens het zeer gevoelige label in de vervolgkeuzelijst.
Zie Een standaard vertrouwelijkheidslabel configureren voor een SharePoint-documentbibliotheek en Een vertrouwelijkheidslabel toevoegen aan SharePoint-documentbibliotheek voor meer informatie over hoe standaardbibliotheeklabels werken.