Teams met drie beveiligingslagen voor het delen van bestanden configureren
Voor sommige functies in dit artikel is Microsoft Syntex vereist - SharePoint Advanced Management
De artikelen in deze reeks bevatten aanbevelingen voor het configureren van teams in Microsoft Teams en de bijbehorende SharePoint-sites, voor bestandsbeveiliging die beveiliging in balans houdt met het gemak van samenwerking.
In dit artikel worden vier verschillende configuraties gedefinieerd, te beginnen met een openbaar team met het meest liberale beleid voor het delen van bestanden. Elke extra configuratie vertegenwoordigt een zinvolle stap in de bescherming, terwijl de mogelijkheid om bestanden die in teams zijn opgeslagen, te openen en eraan samen te werken, is beperkt tot de desbetreffende groep teamleden.
De configuraties in dit artikel zijn in overeenstemming met de aanbevelingen van Microsoft voor de drie beveiligingslagen voor gegevens, identiteiten en apparaten:
Basisbescherming
Bescherming van gevoelige gegevens
Bescherming van zeer gevoelige gegevens
Zie Teams-vergaderingen configureren met drie beveiligingslagen voor informatie over het maken van een Teams-vergaderomgeving die voldoet aan uw nalevingsvereisten.
Drie lagen in een oogopslag
De volgende tabel bevat een overzicht van de configuraties voor elke laag. Gebruik deze configuraties als uitgangspunt en pas de configuraties aan de behoeften van uw organisatie aan. Het is mogelijk dat u niet elke laag nodig hebt.
| Basislijn (openbaar) | Basislijn (privé) | Gevoelig | Zeer gevoelig | |
|---|---|---|---|---|
| Privé of openbaar team | Openbaar | Privé | Privé | Privé |
| Wie heeft er toegang? | Iedereen in de organisatie, inclusief B2B-gasten. | Alleen leden van het team. Anderen kunnen toegang aanvragen tot de bijbehorende site. | Alleen leden van het team. | Alleen leden van het team. |
| Privékanalen | Eigenaren en leden kunnen privé-kanalen maken | Eigenaren en leden kunnen privé-kanalen maken | Alleen eigenaren kunnen privé-kanalen maken | Alleen eigenaren kunnen privé-kanalen maken |
| Gasttoegang op siteniveau | Nieuwe en bestaande gasten (standaard). | Nieuwe en bestaande gasten (standaard). | Nieuwe en bestaande gasten of Alleen personen in uw organisatie afhankelijk van de behoeften van het team. | Nieuwe en bestaande gasten of Alleen personen in uw organisatie afhankelijk van de behoeften van het team. |
| Voorwaardelijke toegang op siteniveau | Volledige toegang vanaf de bureaublad-apps, mobiele apps en het web (standaard). | Volledige toegang vanaf de bureaublad-apps, mobiele apps en het web (standaard). | Beperkte toegang tot alleen internet toestaan. | Aangepast beleid voor voorwaardelijke toegang |
| Standaardkoppelingstype voor delen | Alleen personen binnen uw organisatie | Alleen personen binnen uw organisatie | Specifieke personen | Personen met bestaande toegang |
| Gevoeligheidslabels | Geen | Geen | Gevoeligheidslabel voor het classificeren van het team en het beheren van delen met gasten en toegang tot niet-beheerde apparaten. | Vertrouwelijkheidslabel dat wordt gebruikt om het team te classificeren, het delen van gasten te beheren en een beleid voor voorwaardelijke toegang op te geven. Het standaardbestandslabel wordt gebruikt voor bestanden om ze te versleutelen. |
| Standaardinstellingen voor het delen van een site | Site-eigenaren en -leden, en personen met machtigingen voor bewerken kunnen bestanden en mappen delen, maar alleen site-eigenaren kunnen de site delen. | Site-eigenaren en -leden, en personen met machtigingen voor bewerken kunnen bestanden en mappen delen, maar alleen site-eigenaren kunnen de site delen. | Site-eigenaren en -leden, en personen met machtigingen voor bewerken kunnen bestanden en mappen delen, maar alleen site-eigenaren kunnen de site delen. | N.v.v. (Beheerd door beperkt toegangsbeheerbeleid op siteniveau.) |
| Beleid voor beperkt toegangsbeheer op siteniveau | Geen | Geen | Geen | Alleen teamleden |
Basislijnbeveiliging omvat zowel openbare teams als privéteams. Openbare teams kunnen door iedereen in de organisatie worden gedetecteerd en geopend. Privéteams kunnen alleen door leden van het team worden gedetecteerd en geopend. Bij beide configuraties wordt het delen van de gekoppelde SharePoint-site beperkt tot teameigenaren om te helpen bij het beheren van machtigingen.
Teams met gevoelige en zeer gevoelige bescherming zijn privé-teams waarin het delen en het aanvragen van toegang voor de bijbehorende site beperkt is en waarin gevoeligheidslabels worden gebruikt voor het instellen van beleidsregels voor delen met gasten, toegang tot apparaten en versleuteling van inhoud.
Gevoeligheidslabels
De gevoelige en zeer gevoelige lagen gebruiken gevoeligheidslabels om het team en de bijbehorende bestanden te beveiligen. Als u deze lagen wilt implementeren, moet u vertrouwelijkheidslabels inschakelen om inhoud in Microsoft Teams, Microsoft 365 Groepen en SharePoint-sites te beveiligen.
Hoewel de basislijnlaag geen vertrouwelijkheidslabels vereist, kunt u overwegen om een 'algemeen' label te maken en vervolgens te vereisen dat alle teams worden gelabeld. Dit helpt ervoor te zorgen dat gebruikers een bewuste keuze maken over gevoeligheid wanneer ze een team maken. Als u van plan bent om de gevoelige of zeer gevoelige lagen te implementeren, raden we u aan een algemeen label te maken dat u kunt gebruiken voor basislijnteams en voor bestanden die niet gevoelig zijn. Voor de zeer gevoelige laag geven we ook een standaard vertrouwelijkheidslabel op voor documentbibliotheken, zodat dat label automatisch wordt toegepast op Office-bestanden en andere compatibele bestanden wanneer ze worden geüpload.
Als u nog geen ervaring hebt met het gebruiken van gevoeligheidslabels, raden we u aan Aan de slag met gevoeligheidslabels te lezen.
Als u al eerder gevoeligheidslabels in uw organisatie hebt geïmplementeerd, dient u te overwegen hoe de labels die worden gebruikt in de gevoelige en zeer gevoelige passen in uw algemene labelstrategie.
De SharePoint-site delen
Elk team heeft een gekoppelde SharePoint-site waarop documenten worden opgeslagen. (Dit is het tabblad Bestanden in een Teams-kanaal.) De SharePoint-site behoudt zijn eigen machtigingsbeheer, maar is gekoppeld aan teammachtigingen. Op de bijbehorende site worden teameigenaren opgenomen als site-eigenaren en teamleden als siteleden.
Met de resulterende machtigingen kunnen:
- Teameigenaren de site beheren en beschikken over volledige controle over de inhoud van de site.
- Teamleden bestanden op de site maken en bewerken.
Teameigenaren en -leden kunnen standaard de site zelf delen met personen buiten het team zonder ze toe te hoeven voegen aan het team. We raden dit af, omdat het gebruikersbeheer bemoeilijkt en ertoe kan leiden dat mensen die geen teamleden zijn, toegang hebben tot teambestanden zonder dat teameigenaren het zich realiseren. Om dit te voorkomen, raden we u aan om vanaf het beveiligingsniveau op de basislijn alleen eigenaren toestemming te geven om de site rechtstreeks te delen.
Hoewel teams geen machtigingsoptie voor alleen-lezen hebben, doet de SharePoint-site dit wel. Als u belanghebbenden of partnergroepen hebt die teambestanden moeten kunnen bekijken maar niet moeten kunnen bewerken, kunt u overwegen ze rechtstreeks toe te voegen aan de SharePoint-site met weergavemachtigingen.
Voor de zeer gevoelige laag beperken we de toegang tot de site tot alleen leden van het team. Deze beperking voorkomt ook dat bestanden worden gedeeld met personen buiten het team.
Bestanden en mappen delen
Zowel eigenaren en leden van het team kunnen standaard bestanden en mappen delen met personen buiten het team. Dit kunnen personen buiten uw organisatie zijn, als u het delen van gasten toestaat. In alle drie de lagen wordt het standaardkoppelingstype bijgewerkt om te voorkomen dat er per ongeluk te veel wordt gedeeld. Zoals hierboven vermeld, is in de zeer gevoelige laag bestandstoegang beperkt tot alleen teamleden.
Delen met personen buiten uw organisatie
Als u Teams-inhoud wilt delen met personen buiten uw organisatie, zijn er twee opties:
- Delen met gasten: delen met gasten maakt gebruik van Microsoft Entra B2B-samenwerking waarmee gebruikers bestanden, mappen, sites, groepen en teams kunnen delen met personen van buiten uw organisatie. Deze personen hebben toegang tot gedeelde resources met behulp van gastaccounts in uw directory.
- Gedeelde kanalen: gedeelde kanalen maken gebruik van Microsoft Entra B2B-directe verbinding waarmee gebruikers resources in uw organisatie kunnen delen met personen van andere Microsoft Entra organisaties. Deze personen hebben toegang tot de gedeelde kanalen in Teams met hun eigen werk- of schoolaccount. Er worden geen gastaccounts gemaakt in uw organisatie.
Zowel het delen met gasten als gedeelde kanalen zijn handig, afhankelijk van de situatie. Zie Externe samenwerking plannen voor meer informatie over beide opties en hoe u kunt bepalen welke u wilt gebruiken voor een bepaald scenario.
Als u van plan bent om gastdeling te gebruiken, raden we u aan SharePoint- en OneDrive-integratie te configureren met Microsoft Entra B2B voor de beste ervaring met delen en beheer.
U kunt het delen van Teams-gasten zo nodig voorkomen in de gevoelige en zeer gevoelige lagen met behulp van een vertrouwelijkheidslabel. Gedeelde kanalen zijn standaard ingeschakeld, maar vereisen het instellen van relaties tussen organisaties voor elke organisatie waarmee u wilt samenwerken. Zie Samenwerken met externe deelnemers in een kanaal voor meer informatie.
In de zeer gevoelige laag configureren we het standaard vertrouwelijkheidslabel van de bibliotheek om bestanden te versleutelen waarop deze is toegepast. Als u uw gasten toegang wilt geven tot deze bestanden, moet u ze machtigingen geven wanneer u het label aanmaakt. Externe deelnemers in gedeelde kanalen kunnen geen machtigingen krijgen voor vertrouwelijkheidslabels en hebben geen toegang tot inhoud die is versleuteld met een vertrouwelijkheidslabel.
We raden u ten zeerste aan om delen met gasten ingeschakeld te laten voor de basislijnlaag en voor de gevoelige of zeer gevoelige laag als u moet samenwerken met personen buiten uw organisatie. De functies voor het delen met gasten in Microsoft 365 bieden een veiligere en beter beheerbare manier om bestanden te delen dan het verzenden van bestanden als bijlagen in e-mails. Hiermee wordt ook het risico op schaduw-IT beperkt, waarbij gebruikers onbeheerde consumentenproducten gebruiken om te delen met legitieme externe medewerkers.
Als u regelmatig samenwerkt met andere organisaties die Microsoft Entra-id gebruiken, kunnen gedeelde kanalen een goede optie zijn. Gedeelde kanalen worden naadloos weergegeven in de Teams-client van de andere organisatie en stellen externe deelnemers in staat om hun normale gebruikersaccount voor hun organisatie te gebruiken in plaats van zich afzonderlijk aan te melden met een gastaccount.
Zie de volgende verwijzingen om een veilige en productieve omgeving voor het delen met gasten te creëren voor uw organisatie:
- Aanbevolen procedures voor het delen van bestanden en mappen met niet-geverifieerde gebruikers
- Het beperken van de onopzettelijke blootstelling van bestanden bij het delen met personen buiten uw organisatie
- Een beveiligde omgeving voor het delen met gasten maken
Beleid voor voorwaardelijke toegang
Microsoft Entra Voorwaardelijke toegang biedt veel opties om te bepalen hoe mensen toegang krijgen tot Microsoft 365, waaronder beperkingen op basis van locatie, risico, apparaatcompatibiliteit en andere factoren. We raden u aan om Wat is voorwaardelijke toegang? te lezen en na te denken over welke aanvullende beleidsregels mogelijk geschikt zijn voor uw organisatie.
Voor de gevoelige en zeer gevoelige lagen gebruiken we vertrouwelijkheidslabels om de toegang tot SharePoint-inhoud te beperken.
Voor de gevoelige laag beperken we de toegang tot alleen-web voor niet-beheerde apparaten. (Houd er rekening mee dat gasten vaak geen apparaten hebben die worden beheerd door uw organisatie. Als u gasten in een van de lagen toestaat, bedenk dan welke soorten apparaten ze gebruiken om toegang te krijgen tot teams en sites en stel uw onbeheerde apparaatbeleid dienovereenkomstig in.)
Voor de zeer gevoelige laag gebruiken we Microsoft Entra verificatiecontext met het vertrouwelijkheidslabel om een aangepast beleid voor voorwaardelijke toegang te activeren wanneer personen toegang hebben tot de SharePoint-site die aan het team is gekoppeld.
Voorwaardelijke toegang tot teams-gerelateerde services
De instellingen voor voorwaardelijke toegang in vertrouwelijkheidslabels zijn alleen van invloed op SharePoint-toegang. Als u voorwaardelijke toegang buiten SharePoint wilt uitbreiden, kunt u in plaats daarvan beleid voor algemene voorwaardelijke toegang: een compatibel apparaat vereisen, Microsoft Entra hybride gekoppeld apparaat of meervoudige verificatie voor alle gebruikers. Als u dit beleid specifiek wilt configureren voor Microsoft 365-services, selecteert u de cloud-app Office 365 onder Cloud-apps of -acties.
Als u een beleid gebruikt dat van invloed is op alle Microsoft 365-services, kan dit leiden tot betere beveiliging en een betere gebruikerservaring. Als u bijvoorbeeld de toegang tot niet-beheerde apparaten in SharePoint blokkeert, hebben gebruikers met een niet-beheerd apparaat toegang tot de chatfunctie in een team, maar hebben ze geen toegang meer wanneer ze toegang proberen te krijgen tot het tabblad Bestanden . Met de Office 365-cloud-app kunt u problemen met serviceafhankelijkheden vermijden.
Volgende stap
Begin door het niveau van de basislijn voor bescherming te configureren. Indien nodig kunt u ook gevoelige beveiliging en zeer gevoelige beveiliging toevoegen.
Verwante onderwerpen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor