Konfigurera Teams med tre säkerhetsnivåer för delning av filer
Vissa funktioner i den här artikeln kräver Microsoft Syntex – Avancerad hantering av SharePoint
Artiklarna i den här serien innehåller rekommendationer för att konfigurera team i Microsoft Teams och deras associerade SharePoint-webbplatser för filskydd som balanserar säkerheten med enkelhet i samarbetet.
I den här artikeln definieras fyra olika konfigurationer, och först ut är ett offentligt team med de delningsprinciper som är mest öppna. Varje ytterligare konfiguration representerar en meningsfull upptrappning av skyddet, samtidigt som möjligheten att komma åt och samarbeta i filer som lagrats i team begränsas till den relevanta uppsättningen av teammedlemmar.
Konfigurationerna i den här artikeln överensstämmer med Microsofts rekommendationer för tre skyddsnivåer för data, identiteter och enheter:
Grundskydd
Känsligt skydd
Strikt känsligt skydd
Information om hur du skapar en Teams-mötesmiljö som uppfyller dina efterlevnadskrav finns i Konfigurera Teams-möten med tre skyddsnivåer.
En snabb titt på tre nivåer
I tabellen nedan sammanfattas konfigurationerna för respektive nivå. Använd de här konfigurationerna som utgångspunkt och justera konfigurationerna efter behoven i din organisation. Du kanske inte behöver alla nivåer.
Grundläggande (offentlig) | Grundläggande (privat) | Känslig | Strikt känsligt | |
---|---|---|---|---|
Privat eller offentligt team | Offentlig | Privat | Privat | Privat |
Vem har åtkomst? | Alla i organisationen, inklusive B2B-gäster. | Endast teammedlemmar. Andra kan begära åtkomst till den associerade webbplatsen. | Endast teammedlemmar. | Endast teammedlemmar. |
Privata kanaler | Ägare och medlemmar kan skapa privata kanaler | Ägare och medlemmar kan skapa privata kanaler | Endast ägare kan skapa privata kanaler | Endast ägare kan skapa privata kanaler |
Gäståtkomst på webbplatsnivå | Nya och befintliga gäster (standard) | Nya och befintliga gäster (standard) | Nya och befintliga gäster eller bara personer i din organisation beroende på teambehov. | Nya och befintliga gäster eller bara personer i din organisation beroende på teambehov. |
Villkorsstyrd åtkomst på webbplatsnivå | Full åtkomst från skrivbordsappar, mobilappar och webb (standard). | Full åtkomst från skrivbordsappar, mobilappar och webb (standard). | Tillåt begränsad, webbaserad åtkomst. | Anpassad princip för villkorlig åtkomst |
Standardtyp för delningslänk | Endast personer i organisationen | Endast personer i organisationen | Särskilda personer | Personer med åtkomst |
Känslighetsetiketter | Inga | Inga | Känslighetsetikett som används för att klassificera teamet och styra gästdelning och ohanterad enhetsåtkomst. | Känslighetsetikett som används för att klassificera teamet, kontrollera gästdelning och ange en princip för villkorlig åtkomst. Standardfiletiketten används på filer för att kryptera dem. |
Inställningar för webbplatsdelning | Webbplatsägare och medlemmar, och personer med redigeringsbehörighet kan dela filer och mappar, men endast webbplatsägare kan dela webbplatsen. | Webbplatsägare och medlemmar, och personer med redigeringsbehörighet kan dela filer och mappar, men endast webbplatsägare kan dela webbplatsen. | Webbplatsägare och medlemmar, och personer med redigeringsbehörighet kan dela filer och mappar, men endast webbplatsägare kan dela webbplatsen. | Ej tillämpligt (styrs av en princip för begränsad åtkomstkontroll på platsnivå.) |
Princip för begränsad åtkomstkontroll på platsnivå | Inga | Inga | Inga | Endast gruppmedlemmar |
Grundskyddet omfattar offentliga och privata team. Offentliga team kan upptäckas och användas av alla i organisationen. Privata team kan bara identifieras och användas av medlemmar i teamet. Båda dessa konfigurationer begränsar delning av den associerade SharePoint-webbplatsen till teamägare för att hjälpa till med hantering av behörigheter.
Team för känsligt och mycket känsligt skydd är privata team där delning och förfrågningar om åtkomst för den associerade webbplatsen är begränsade och känslighetsetiketter används för att ange principer för gästdelning, enhetsåtkomst och innehållskryptering.
Känslighetsetiketter
Nivåerna känsligt och strikt känsligt använder känslighetsetiketter för att skydda teamet och dess filer. Om du vill implementera dessa nivåer måste du aktivera känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatser.
Baslinjenivån kräver inte känslighetsetiketter, men överväg att skapa en "allmän" etikett och sedan kräva att alla team etiketteras. Detta säkerställer att användarna gör ett medvetet val om känslighet när de skapar ett team. Om du planerar att distribuera de känsliga eller mycket känsliga nivåerna rekommenderar vi att du skapar en "allmän" etikett som du kan använda för baslinjeteam och för filer som inte är känsliga. För den mycket känsliga nivån anger vi även en standardkänslighetsetikett för dokumentbibliotek så att Office-filer och andra kompatibla filer får etiketten automatiskt tillämpad när de laddas upp.
Om du är nybörjare inför att använda känslighetsetiketter rekommenderar vi att du läser kom igång med känslighetsetiketter för att komma igång.
Om du redan har rullat ut känslighetsetiketter i din organisation bör du fundera på hur etiketterna som används i nivåerna känsligt och strikt känsligt passar med din övergripande etikettstrategi.
Dela SharePoint-webbplatsen.
Varje team har en associerad SharePoint-webbplats där dokument lagras. (Det här är fliken filer i en Teams-kanal.) SharePoint-webbplatsen behåller sin egen behörighetshantering, men är länkad till teambehörigheter. Teamägare medföljer som webbplatsägare och teammedlemmar tas med som webbplatsmedlemmar i den associerade webbplatsen.
De resulterande behörigheterna tillåter följande:
- Teamägare kan administrera webbplatsen och har fullständig kontroll över webbplatsens innehåll.
- Teammedlemmar kan skapa och redigera filer på webbplatsen.
Som standard kan teamägare och medlemmar dela webbplatsen med personer utanför teamet utan att lägga till dem i teamet. Vi rekommenderar detta eftersom det komplicerar användarhanteringen och kan leda till att personer som inte är teammedlemmar har åtkomst till teamfiler utan att teamägare inser det. För att förhindra detta med början från grundnivån av skydd, rekommenderar vi att endast ägare får dela webbplatsen direkt.
Även om team inte har ett skrivskyddat behörighetsalternativ gör SharePoint-webbplatsen det. Om du har intressenter eller partnergrupper som behöver kunna visa gruppfiler men inte redigera dem kan du lägga till dem direkt på SharePoint-webbplatsen med behörighet att visa.
För den mycket känsliga nivån begränsar vi åtkomsten till webbplatsen endast till medlemmar i teamet. Den här begränsningen förhindrar också delning av filer med personer utanför teamet.
Dela filer och mappar
Som standard kan både ägare och medlemmar i teamet dela filer och mappar med personer utanför teamet. Detta kan omfatta personer utanför organisationen om du tillåter gästdelning. I alla tre nivåer uppdaterar vi standardtypen för delningslänkar för att undvika oavsiktlig överdelning. Som nämnts ovan är filåtkomst på den mycket känsliga nivån begränsad till endast gruppmedlemmar.
Delar med personer utanför organisationen
Om du behöver dela Teams-innehåll med personer utanför organisationen finns det två alternativ:
- Gästdelning – Gästdelning använder Microsoft Entra B2B-samarbete som gör att användare kan dela filer, mappar, webbplatser, grupper och team med personer utanför organisationen. De här personerna får åtkomst till delade resurser med hjälp av gästkonton i din katalog.
- Delade kanaler – Delade kanaler använder Microsoft Entra B2B Direct Connect som gör att användare kan dela resurser i din organisation med personer från andra Microsoft Entra-organisationer. De här personerna får åtkomst till de delade kanalerna i Teams med sitt eget arbets- eller skolkonto. Inget gästkonto skapas i organisationen.
Både gästdelning och delade kanaler är användbara beroende på situationen. Se Planera externt samarbete för information om var och en och hur du bestämmer vilken du ska använda för ett visst scenario.
Om du planerar att använda gästdelning rekommenderar vi att du konfigurerar SharePoint- och OneDrive-integrering med Microsoft Entra B2B för bästa möjliga delning och administration.
Du kan förhindra gästdelning i Teams om det behövs på känsliga och mycket känsliga nivåer med hjälp av en känslighetsetikett. Delade kanaler är aktiverade som standard, men kräver att du konfigurerar relationer mellan organisationer för varje organisation som du vill samarbeta med. Mer information finns i Samarbeta med externa deltagare i en kanal.
På den mycket känsliga nivån konfigurerar vi standardbibliotekets känslighetsetikett för att kryptera filer som den tillämpas på. Om du vill att gäster ska få tillgång till dessa filer måste du ge dem behörighet när du skapar etiketten. Externa deltagare i delade kanaler kan inte ges behörighet till känslighetsetiketter och kan inte komma åt innehåll som krypteras med en känslighetsetikett.
Vi rekommenderar starkt att du lämnar gästdelning för grundnivån och för nivåerna känsligt och strikt känsligt om du behöver samarbeta med personer utanför din organisation. Med funktionerna för gästdelning i Microsoft 365 får du en mycket säkrare och mer styrd delning än att skicka filer som bifogade filer i e-postmeddelanden. Det minskar också risken för skuggad IT där användarna använder sig av okontrollerade konsumentprodukter för att dela med legitima externa medarbetare.
Om du regelbundet samarbetar med andra organisationer som använder Microsoft Entra-ID kan delade kanaler vara ett bra alternativ. Delade kanaler visas sömlöst i den andra organisationens Teams-klient och gör det möjligt för externa deltagare att använda sitt vanliga användarkonto för organisationen i stället för att behöva logga in separat med ett gästkonto.
Se följande referenser för att skapa en säker och produktiv gästdelningsmiljö för din organisation:
- Metodtips för att dela filer och mappar med oautentiserade användare
- Begränsa oavsiktlig exponering för filer när de delas med personer utanför organisationen
- Skapa en säker miljö för gästdelning
Villkorliga åtkomstprinciper
Villkorsstyrd åtkomst i Microsoft Entra erbjuder många alternativ för att avgöra hur personer får åtkomst till Microsoft 365, inklusive begränsningar baserat på plats, risk, enhetsefterlevnad och andra faktorer. Vi rekommenderar att du läser Vad är villkorad åtkomst? och fundera på vilka tilläggsprinciper som passar bäst för din organisation.
För de känsliga och mycket känsliga nivåerna använder vi känslighetsetiketter för att begränsa åtkomsten till SharePoint-innehåll.
För den känsliga nivån begränsar vi åtkomsten till endast webben för ohanterade enheter. (Observera att gäster ofta inte har enheter som hanteras av din organisation. Om du tillåter gäster på någon av nivåerna bör du överväga vilka typer av enheter de använder för att komma åt team och webbplatser och ange dina ohanterade enhetsprinciper i enlighet med detta.)
För den mycket känsliga nivån använder vi Microsoft Entra-autentiseringskontexten med känslighetsetiketten för att utlösa en anpassad princip för villkorlig åtkomst när personer kommer åt SharePoint-webbplatsen som är associerad med teamet.
Villkorlig åtkomst mellan Teams-relaterade tjänster
Inställningarna för villkorlig åtkomst i känslighetsetiketter påverkar bara SharePoint-åtkomst. Om du vill utöka villkorlig åtkomst bortom SharePoint kan du använda en gemensam princip för villkorsstyrd åtkomst: Kräv en kompatibel enhet, microsoft entra-hybridkopplad enhet eller multifaktorautentisering för alla användare i stället. Om du vill konfigurera den här principen specifikt för Microsoft 365-tjänsterska du välja molnappen för Office 365 under Molnappar eller åtgärder.
En princip som påverkar alla Microsoft 365-tjänster kan leda till bättre säkerhet och en bättre upplevelse för användarna. Om du till exempel blockerar åtkomst till ohanterade enheter i SharePoint kan användarna komma åt chatten i en grupp med en ohanterad enhet, men förlorar åtkomst när de försöker komma åt fliken Filer. Med hjälp av Office 365-molnappen undviker du problem med Tjänstberoenden.
Nästa steg
Börja med att konfigurera grundnivån för skydd. Om det behövs kan du även lägga till känsligt skydd och mycket känsligt skydd .