Поделиться через


Рекомендации по политике для защиты чатов, групп и файлов Teams

В этой статье описывается, как реализовать рекомендуемые политики удостоверений и доступа к устройствам для защиты чатов, групп и содержимого Microsoft Teams, таких как файлы и календари. Это руководство основывается на общих политиках доступа к удостоверениям и устройствам с дополнительными сведениями, зависящими от Teams. Так как Teams интегрируется с другими продуктами, также см . рекомендации по политике для защиты сайтов и файлов SharePoint и рекомендаций по политике для защиты электронной почты.

Эти рекомендации основаны на трех различных уровнях безопасности и защиты для Teams, которые можно применить на основе детализации ваших потребностей: начальной точки, предприятия и специализированной безопасности. Дополнительные сведения об этих уровнях безопасности и рекомендуемых политиках, на которые ссылаются эти рекомендации, см. в конфигурациях доступа к удостоверениям и устройствам.

Дополнительные рекомендации, относящиеся к развертыванию Teams, включены в эту статью, чтобы охватывать конкретные обстоятельства проверки подлинности, включая пользователей за пределами вашей организации. Вам потребуется следовать этим рекомендациям для полного взаимодействия с безопасностью.

Начало работы с Teams до других зависимых служб

Вам не нужно включить зависимые службы для начала работы с Microsoft Teams. Эти службы будут "просто работать". Однако необходимо подготовиться к управлению следующими элементами, связанными со службами:

  • Группы Microsoft 365
  • Сайты групп SharePoint
  • OneDrive
  • Почтовые ящики Exchange
  • Потоковая передача видео и планов планировщика (если эти службы включены)

Обновление распространенных политик для включения Teams

Чтобы защитить чат, группы и содержимое в Teams, на следующей схеме показано, какие политики следует обновить из общих политик доступа к удостоверениям и устройствам. Для каждой политики для обновления убедитесь, что Teams и зависимые службы включены в назначение облачных приложений.

Схема, на которую показана сводка обновлений политики для защиты доступа к Teams и зависимым службам.

Эти службы являются зависимыми службами для включения в назначение облачных приложений для Teams:

  • Microsoft Teams
  • SharePoint и OneDrive
  • Exchange Online
  • Skype for Business Online
  • Microsoft Stream (записи собраний)
  • Планировщик (Майкрософт) (задачи планировщика и данные плана)

В этой таблице перечислены политики, которые необходимо пересмотреть и связать с каждой политикой в общих политиках доступа к удостоверениям и устройствам, которая имеет более широкий набор политик для всех Приложение Office ликации.

Уровень защиты Политики Дополнительные сведения о реализации Teams
Начальная точка Требовать многофакторную проверку подлинности, если риск входа является средним или высоким Убедитесь, что Teams и зависимые службы включены в список приложений. Команды имеют правила гостевого доступа и внешнего доступа, которые также следует учитывать, вы узнаете больше об этих правилах далее в этой статье.
Блокировать клиенты, не поддерживающие современную проверку подлинности Включите Teams и зависимые службы в назначение облачных приложений.
Пользователи с высоким уровнем риска должны изменить пароль Принудительно заставляет пользователей Teams изменять пароль при входе в систему, если для учетной записи обнаружена активность с высоким риском. Убедитесь, что Teams и зависимые службы включены в список приложений.
Применение политик защиты данных APP Убедитесь, что Teams и зависимые службы включены в список приложений. Обновите политику для каждой платформы (iOS, Android, Windows).
Функции корпоративного уровня Требовать многофакторную проверку подлинности, если риск входа низкий, средний или высокий Команды имеют правила гостевого доступа и внешнего доступа, которые также следует учитывать, вы узнаете больше об этих правилах далее в этой статье. Включите Teams и зависимые службы в эту политику.
Определение политик соответствия устройств Включите Teams и зависимые службы в эту политику.
Требовать совместимые компьютеры и мобильные устройства Включите Teams и зависимые службы в эту политику.
Специализированная безопасность Всегда требуется многофакторная проверка подлинности Независимо от удостоверения пользователя MFA будет использоваться вашей организацией. Включите Teams и зависимые службы в эту политику.

Архитектура зависимых служб Teams

Для справки на следующей схеме показаны службы Teams. Дополнительные сведения и иллюстрации см. в microsoft Teams и связанных службах повышения производительности в Microsoft 365 для ИТ-архитекторов.

Схема зависимостей Teams от SharePoint, OneDrive для бизнеса и Exchange.

Гостевой и внешний доступ для Teams

Microsoft Teams определяет следующие типы доступа:

  • Гостевой доступ использует учетную запись Microsoft Entra B2B для гостевого или внешнего пользователя, который может быть добавлен в качестве члена команды и имеет все разрешения на доступ к обмену данными и ресурсами команды.

  • Внешний доступ предназначен для внешнего пользователя, у которых нет учетной записи Microsoft Entra B2B. Внешний доступ может включать приглашения и участие в звонках, чатах и собраниях, но не включает членство в команде и доступ к ресурсам команды.

Политики условного доступа применяются только к гостевму доступу в Teams, так как есть соответствующая учетная запись Microsoft Entra B2B.

Рекомендуемые политики для предоставления доступа для гостевых и внешних пользователей с учетной записью Microsoft Entra B2B см. в разделе "Политики" для предоставления гостевого и внешнего доступа к учетной записи B2B.

Гостевой доступ в Teams

В дополнение к политикам пользователей, которые являются внутренними для вашей организации или организации, администраторы могут разрешить гостевый доступ на основе пользователей, людей, которые являются внешними для вашей организации или организации для доступа к ресурсам Teams и взаимодействовать с внутренними людьми для таких действий, как групповые беседы, чат и собрания.

Дополнительные сведения о гостевом доступе и его реализации см. в разделе "Гостевой доступ Teams".

Внешний доступ в Teams

Внешний доступ иногда путается с гостевым доступом, поэтому важно ясно, что эти два механизма доступа, отличные от внутренних, являются различными типами доступа.

Внешний доступ — это способ для пользователей Teams из всего внешнего домена для поиска, вызова, чата и настройки собраний с пользователями в Teams. Администраторы Teams настраивают внешний доступ на уровне организации. Дополнительные сведения см. в статье Управление внешним доступом в Microsoft Teams.

Пользователи внешнего доступа имеют меньше доступа и функциональных возможностей, чем пользователь, который был добавлен через гостевой доступ. Например, пользователи внешнего доступа могут общаться с внутренними пользователями с Teams, но не могут получить доступ к каналам группы, файлам или другим ресурсам.

Внешний доступ не использует учетные записи пользователей Microsoft Entra B2B и поэтому не использует политики условного доступа.

Политики Teams

Вне общих политик, перечисленных выше, существуют политики, зависящие от Teams, которые могут и должны быть настроены для управления различными функциями Teams.

Политики Teams и каналов

Teams и каналы являются двумя часто используемыми элементами в Microsoft Teams, и существуют политики, которые можно установить для управления тем, что пользователи могут и не могут делать при использовании команд и каналов. Хотя вы можете создать глобальную команду, если у вашей организации есть 5000 пользователей или меньше, скорее всего, вам будет полезно иметь небольшие команды и каналы для конкретных целей в соответствии с потребностями организации.

Изменение политики по умолчанию или создание настраиваемых политик рекомендуется, и вы можете узнать больше об управлении политиками по этой ссылке: управление политиками teams в Microsoft Teams.

Политики обмена сообщениями

Обмен сообщениями или чат также можно управлять с помощью глобальной политики по умолчанию или с помощью пользовательских политик, и это может помочь пользователям взаимодействовать друг с другом таким образом, что подходит для вашей организации. Эти сведения можно просмотреть в разделе "Управление политиками обмена сообщениями" в Teams.

Политики собраний

Обсуждение Teams не будет завершено без планирования и реализации политик вокруг собраний Teams. Собрания являются важным компонентом Teams, что позволяет людям официально встречаться и представлять для многих пользователей одновременно, а также предоставлять общий доступ к содержимому, соответствующему собранию. Настройка правильных политик для вашей организации вокруг собраний является важной.

Дополнительные сведения см. в статье "Управление политиками собраний в Teams".

Политики разрешений для приложений

Teams также позволяет использовать приложения в различных местах, таких как каналы или личные чаты. Наличие политик в отношении того, какие приложения можно добавлять и использовать, а также где необходимо поддерживать многофункциональную среду содержимого, которая также безопасна.

Дополнительные сведения о политиках разрешений приложений проверка для управления политиками разрешений приложений в Microsoft Teams.

Следующие шаги

Снимок экрана: политики для облачных приложений Microsoft 365.

Настройка политик условного доступа для следующих условий: