Zalecenia dotyczące zasad dotyczących zabezpieczania czatów, grup i plików usługi Teams
W tym artykule opisano sposób implementowania zalecanych zasad tożsamości Zero Trust i dostępu urządzeń w celu ochrony czatów, grup i zawartości usługi Microsoft Teams, takich jak pliki i kalendarze. Te wskazówki opierają się na typowych zasadach tożsamości i dostępu do urządzeń z dodatkowymi informacjami specyficznymi dla usługi Teams. Ponieważ usługa Teams integruje się z innymi produktami, zobacz zalecenia dotyczące zasad dotyczące zabezpieczania witryn i plików programu SharePoint oraz zaleceń dotyczących zasad dotyczących zabezpieczania poczty e-mail.
Te zalecenia są oparte na trzech różnych warstwach zabezpieczeń i ochrony dla usługi Teams, które mogą być stosowane na podstawie stopnia szczegółowości potrzeb: punktu początkowego, przedsiębiorstwa i wyspecjalizowanych zabezpieczeń. Więcej informacji na temat tych warstw zabezpieczeń i zalecanych zasad, do których odwołuje się te zalecenia, można uzyskać w konfiguracjach tożsamości i dostępu do urządzeń.
Więcej zaleceń specyficznych dla wdrożenia usługi Teams znajduje się w tym artykule, aby uwzględnić konkretne okoliczności uwierzytelniania, w tym użytkowników spoza organizacji. Aby uzyskać pełne środowisko zabezpieczeń, należy postępować zgodnie z poniższymi wskazówkami.
Wprowadzenie do usługi Teams przed innymi usługami zależnymi
Nie musisz włączać usług zależnych, aby rozpocząć pracę z usługą Microsoft Teams. Wszystkie te usługi będą "po prostu działać". Należy jednak przygotować się do zarządzania następującymi elementami związanymi z usługą:
- Grupy platformy Microsoft 365
- Witryny zespołu programu SharePoint
- OneDrive
- Skrzynki pocztowe programu Exchange
- Przesyłanie strumieniowe filmów wideo i planów narzędzia Planner (jeśli te usługi są włączone)
Aktualizowanie typowych zasad w celu uwzględnienia usługi Teams
Aby chronić czat, grupy i zawartość w usłudze Teams, na poniższym diagramie pokazano, które zasady mają być aktualizowane na podstawie typowych zasad dostępu do tożsamości i urządzeń. Dla każdej zasady do zaktualizowania upewnij się, że usługa Teams i usługi zależne są uwzględnione w przypisaniu aplikacji w chmurze.
Te usługi to usługi zależne, które należy uwzględnić w przypisaniu aplikacji w chmurze dla usługi Teams:
- Microsoft Teams
- SharePoint i OneDrive
- Exchange Online
- Skype for Business Online
- Microsoft Stream (nagrania spotkań)
- Microsoft Planner (zadania planisty i dane planu)
W tej tabeli wymieniono zasady, które należy ponownie przejrzeć, oraz linki do poszczególnych zasad w typowych zasadach tożsamości i dostępu do urządzeń, które mają szerszy zestaw zasad dla wszystkich aplikacja pakietu Office licacji.
Poziom ochrony | Zasady | Więcej informacji na temat implementacji usługi Teams |
---|---|---|
Punkt początkowy | Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie | Upewnij się, że aplikacje Teams i usługi zależne znajdują się na liście aplikacji. Usługa Teams ma również reguły dostępu gościa i dostępu zewnętrznego, które warto wziąć pod uwagę. Więcej informacji na temat tych reguł znajdziesz w dalszej części tego artykułu. |
Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania | Uwzględnij usługę Teams i usługi zależne w przypisaniu aplikacji w chmurze. | |
Użytkownicy wysokiego ryzyka muszą zmieniać hasło | Wymusza, aby użytkownicy usługi Teams zmieniali swoje hasło podczas logowania w przypadku wykrycia aktywności wysokiego ryzyka dla swojego konta. Upewnij się, że aplikacje Teams i usługi zależne znajdują się na liście aplikacji. | |
Stosowanie zasad ochrony danych aplikacji | Upewnij się, że aplikacje Teams i usługi zależne znajdują się na liście aplikacji. Zaktualizuj zasady dla każdej platformy (iOS, Android, Windows). | |
Przedsiębiorstwo | Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie | Usługa Teams ma również reguły dostępu gościa i dostępu zewnętrznego, które warto wziąć pod uwagę. Więcej informacji na temat tych reguł znajdziesz w dalszej części tego artykułu. Uwzględnij usługę Teams i usługi zależne w tych zasadach. |
Definiowanie zasad zgodności urządzeń | Uwzględnij usługę Teams i usługi zależne w tych zasadach. | |
Wymaganie zgodnych komputerów i urządzeń przenośnych | Uwzględnij usługę Teams i usługi zależne w tych zasadach. | |
Wyspecjalizowane zabezpieczenia | Zawsze wymagaj uwierzytelniania wieloskładnikowego | Niezależnie od tożsamości użytkownika uwierzytelnianie wieloskładnikowe będzie używane przez organizację. Uwzględnij usługę Teams i usługi zależne w tych zasadach. |
Architektura usług zależnych usługi Teams
Na potrzeby dokumentacji na poniższym diagramie przedstawiono usługi, na których opiera się aplikacja Teams. Aby uzyskać więcej informacji i ilustracji, zobacz Microsoft Teams i powiązane usługi zwiększające produktywność na platformie Microsoft 365 dla architektów IT.
Dostęp gościa i zewnętrznego dla usługi Teams
Usługa Microsoft Teams definiuje następujące typy dostępu:
Dostęp gościa korzysta z konta Microsoft Entra B2B dla gościa lub użytkownika zewnętrznego, które można dodać jako członka zespołu i mają wszystkie uprawnienia dostępu do komunikacji i zasobów zespołu.
Dostęp zewnętrzny jest przeznaczony dla użytkownika zewnętrznego, który nie ma konta Microsoft Entra B2B. Dostęp zewnętrzny może obejmować zaproszenia i udział w połączeniach, czatach i spotkaniach, ale nie obejmuje członkostwa w zespole i dostępu do zasobów zespołu.
Zasady dostępu warunkowego mają zastosowanie tylko do dostępu gościa w usłudze Teams, ponieważ istnieje odpowiednie konto Microsoft Entra B2B.
Aby uzyskać zalecane zasady zezwalające na dostęp dla gości i użytkowników zewnętrznych przy użyciu konta Microsoft Entra B2B, zobacz Zasady zezwalania na dostęp gościa i zewnętrznego konta B2B.
Dostęp gościa w aplikacji Teams
Oprócz zasad dla użytkowników, którzy są wewnętrznie w Twojej firmie lub organizacji, administratorzy mogą zezwolić na dostęp gościa, na podstawie użytkownika, osoby spoza twojej firmy lub organizacji w celu uzyskania dostępu do zasobów usługi Teams i interakcji z osobami wewnętrznymi, takich jak konwersacje grupowe, czat i spotkania.
Aby uzyskać więcej informacji na temat dostępu gościa i sposobu jej implementacji, zobacz Dostęp gościa usługi Teams.
Dostęp zewnętrzny w usłudze Teams
Dostęp zewnętrzny jest czasami mylony z dostępem gościa, dlatego należy pamiętać, że te dwa niewewnętrznych mechanizmów dostępu są różnymi typami dostępu.
Dostęp zewnętrzny to sposób, aby użytkownicy usługi Teams z całej domeny zewnętrznej znajdowali, dzwonili, rozmawiali i konfigurowali spotkania z użytkownikami w usłudze Teams. Administratorzy usługi Teams konfigurują dostęp zewnętrzny na poziomie organizacji. Aby uzyskać więcej informacji, zobacz Zarządzanie dostępem zewnętrznym w usłudze Microsoft Teams.
Użytkownicy dostępu zewnętrznego mają mniejszy dostęp i funkcjonalność niż osoba, która została dodana za pośrednictwem dostępu gościa. Na przykład użytkownicy dostępu zewnętrznego mogą rozmawiać z użytkownikami wewnętrznymi za pomocą usługi Teams, ale nie mogą uzyskiwać dostępu do kanałów zespołu, plików ani innych zasobów.
Dostęp zewnętrzny nie korzysta z kont użytkowników microsoft Entra B2B i w związku z tym nie korzysta z zasad dostępu warunkowego.
Zasady usługi Teams
Poza typowymi zasadami wymienionymi powyżej istnieją zasady specyficzne dla usługi Teams, które mogą i powinny być skonfigurowane do zarządzania różnymi funkcjami usługi Teams.
Zasady dotyczące aplikacji Teams i kanałów
Zespoły i kanały są dwoma często używanymi elementami w usłudze Microsoft Teams i istnieją zasady, które można wprowadzić, aby kontrolować, co użytkownicy mogą i nie mogą robić podczas korzystania z zespołów i kanałów. Chociaż możesz utworzyć zespół globalny, jeśli organizacja ma 5000 użytkowników lub mniej, prawdopodobnie warto mieć mniejsze zespoły i kanały do określonych celów, zgodnie z potrzebami organizacji.
Zalecamy zmianę zasad domyślnych lub tworzenie zasad niestandardowych. Więcej informacji na temat zarządzania zasadami można uzyskać pod tym linkiem: Zarządzanie zasadami zespołów w usłudze Microsoft Teams.
Zasady obsługi komunikatów
Wiadomości lub czat mogą być również zarządzane za pomocą domyślnych zasad globalnych lub za pośrednictwem zasad niestandardowych, co może pomóc użytkownikom komunikować się ze sobą w sposób odpowiedni dla organizacji. Te informacje można przejrzeć w temacie Zarządzanie zasadami obsługi komunikatów w usłudze Teams.
Zasady spotkań
Żadna dyskusja na temat usługi Teams nie zostanie ukończona bez planowania i implementowania zasad dotyczących spotkań usługi Teams. Spotkania są istotnym elementem usługi Teams, który umożliwia osobom formalne spotkanie i prezentowanie wielu użytkownikom jednocześnie oraz udostępnianie zawartości istotnej dla spotkania. Ustawienie odpowiednich zasad dla organizacji wokół spotkań jest niezbędne.
Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami spotkań w usłudze Teams.
Zasady uprawnień aplikacji
Usługa Teams umożliwia również korzystanie z aplikacji w różnych miejscach, takich jak kanały lub czaty osobiste. Posiadanie zasad dotyczących aplikacji, które można dodawać i używać, oraz gdzie, jest niezbędne do utrzymania bogatego w zawartość środowiska, które jest również bezpieczne.
Aby uzyskać więcej informacji na temat zasad uprawnień aplikacji, zobacz Zarządzanie zasadami uprawnień aplikacji w usłudze Microsoft Teams.
Następne kroki
Skonfiguruj zasady dostępu warunkowego dla: