Principrekommendationer för att skydda Teams chattar, grupper och filer
I den här artikeln beskrivs hur du implementerar de rekommenderade Nolltillit principer för identitets- och enhetsåtkomst för att skydda Microsoft Teams chattar, grupper och innehåll, till exempel filer och kalendrar. Den här vägledningen bygger på vanliga principer för identitets- och enhetsåtkomst med ytterligare information som är Teams-specifik. Eftersom Teams integreras med våra andra produkter kan du även läsa Principrekommendationer för att skydda SharePoint-webbplatser och -filer och principrekommendationer för att skydda e-post.
De här rekommendationerna baseras på tre olika nivåer av säkerhet och skydd för Teams som kan tillämpas baserat på dina behovs kornighet: startpunkt, företag och specialiserad säkerhet. Du kan lära dig mer om dessa säkerhetsnivåer och de rekommenderade principer som refereras till av dessa rekommendationer i konfigurationerna för identitets- och enhetsåtkomst.
Fler rekommendationer som är specifika för Teams-distribution ingår i den här artikeln för att täcka specifika autentiseringsförhållanden, inklusive för användare utanför organisationen. Du måste följa den här vägledningen för en fullständig säkerhetsupplevelse.
Komma igång med Teams före andra beroende tjänster
Du behöver inte aktivera beroende tjänster för att komma igång med Microsoft Teams. Dessa tjänster kommer alla "bara att fungera". Du måste dock vara beredd på att hantera följande tjänstrelaterade element:
- Microsoft 365-grupper
- SharePoint-gruppwebbplatser
- OneDrive
- Exchange-postlådor
- Strömma videor och Planner-planer (om dessa tjänster är aktiverade)
Uppdatera vanliga principer för att inkludera Teams
För att skydda chatt, grupper och innehåll i Teams illustrerar följande diagram vilka principer som ska uppdateras från vanliga principer för identitets- och enhetsåtkomst. Kontrollera att Teams och beroende tjänster ingår i tilldelningen av molnappar för varje princip som ska uppdateras.
Dessa tjänster är de beroende tjänster som ska ingå i tilldelningen av molnappar för Teams:
- Microsoft Teams
- SharePoint och OneDrive
- Exchange Online
- Skype för företag – Online
- Microsoft Stream (mötesinspelningar)
- Microsoft Planner (Planner-uppgifter och plandata)
Den här tabellen visar de principer som måste ses över och länkar till varje princip i de gemensamma principerna för identitets- och enhetsåtkomst, som har den bredare principuppsättningen för alla Office-appen likeringar.
Skyddsnivå | Principer | Mer information för Teams-implementering |
---|---|---|
Utgångspunkt | Kräv MFA när inloggningsrisken är medelhög eller hög | Se till att Teams och beroende tjänster ingår i listan över appar. Teams har även regler för gäståtkomst och extern åtkomst att tänka på. Du får lära dig mer om dessa regler senare i den här artikeln. |
Blockera klienter som inte stöder modern autentisering | Inkludera Teams och beroende tjänster i tilldelningen av molnappar. | |
Högriskanvändare måste ändra lösenord | Tvingar Teams-användare att ändra sitt lösenord när de loggar in om högriskaktivitet identifieras för deras konto. Se till att Teams och beroende tjänster ingår i listan över appar. | |
Tillämpa APP-dataskyddsprinciper | Se till att Teams och beroende tjänster ingår i listan över appar. Uppdatera principen för varje plattform (iOS, Android, Windows). | |
Enterprise | Kräv MFA när inloggningsrisken är låg, medelhög eller hög | Teams har även regler för gäståtkomst och extern åtkomst att tänka på. Du får lära dig mer om dessa regler senare i den här artikeln. Inkludera Teams och beroende tjänster i den här principen. |
Definiera principer för enhetsefterlevnad | Inkludera Teams och beroende tjänster i den här principen. | |
Kräv kompatibla datorer och mobila enheter | Inkludera Teams och beroende tjänster i den här principen. | |
Specialiserad säkerhet | Kräv alltid MFA | Oavsett användaridentitet används MFA av din organisation. Inkludera Teams och beroende tjänster i den här principen. |
Arkitektur för Teams-beroende tjänster
Som referens illustrerar följande diagram de tjänster som Teams förlitar sig på. Mer information och illustrationer finns i Microsoft Teams och relaterade produktivitetstjänster i Microsoft 365 för IT-arkitekter.
Gäståtkomst och extern åtkomst för Teams
Microsoft Teams definierar följande åtkomsttyper:
Gäståtkomst använder ett Microsoft Entra B2B-konto för en gäst eller extern användare som kan läggas till som medlem i ett team och som har all behörighet till teamets kommunikation och resurser.
Extern åtkomst är för en extern användare som inte har något Microsoft Entra B2B-konto. Extern åtkomst kan omfatta inbjudningar och deltagande i samtal, chattar och möten, men inkluderar inte teammedlemskap och åtkomst till teamets resurser.
Principer för villkorsstyrd åtkomst gäller endast för gäståtkomst i Teams eftersom det finns ett motsvarande Microsoft Entra B2B-konto.
Rekommenderade principer för att tillåta åtkomst för gästanvändare och externa användare med ett Microsoft Entra B2B-konto finns i Principer för att tillåta gäst- och extern B2B-kontoåtkomst.
Gäståtkomst i Teams
Förutom principerna för användare som är interna för ditt företag eller din organisation kan administratörer ge gäståtkomst för att tillåta användare för användare att komma åt Teams-resurser och interagera med interna personer för saker som gruppkonversationer, chatt och möten.
Mer information om gäståtkomst och hur du implementerar den finns i Teams gäståtkomst.
Extern åtkomst i Teams
Extern åtkomst förväxlas ibland med gäståtkomst, så det är viktigt att vara tydlig med att dessa två icke-interna åtkomstmekanismer är olika typer av åtkomst.
Extern åtkomst är ett sätt för Teams-användare från en hel extern domän att hitta, ringa, chatta och konfigurera möten med dina användare i Teams. Teams-administratörer konfigurerar extern åtkomst på organisationsnivå. Mer information finns i Hantera extern åtkomst i Microsoft Teams.
Externa åtkomstanvändare har mindre åtkomst och funktioner än en person som har lagts till via gäståtkomst. Till exempel kan externa åtkomstanvändare chatta med dina interna användare med Teams men inte komma åt teamkanaler, filer eller andra resurser.
Extern åtkomst använder inte Microsoft Entra B2B-användarkonton och använder därför inte principer för villkorsstyrd åtkomst.
Teams-principer
Utanför de vanliga principer som anges ovan finns det Teams-specifika principer som kan och bör konfigureras för att hantera olika Teams-funktioner.
Principer för Teams och kanaler
Teams och kanaler är två vanliga element i Microsoft Teams, och det finns principer som du kan införa för att styra vad användare kan och inte kan göra när de använder team och kanaler. Du kan skapa ett globalt team, men om din organisation har 5 000 användare eller mindre är det troligt att det är bra att ha mindre team och kanaler för specifika ändamål, i linje med organisationens behov.
Vi rekommenderar att du ändrar standardprincipen eller skapar anpassade principer, och du kan läsa mer om hur du hanterar dina principer på den här länken: Hantera teams-principer i Microsoft Teams.
Meddelandeprinciper
Meddelanden eller chatt kan också hanteras via den globala standardprincipen, eller via anpassade principer, och detta kan hjälpa användarna att kommunicera med varandra på ett sätt som passar din organisation. Den här informationen kan granskas i Hantera meddelandeprinciper i Teams.
Mötesprinciper
Ingen diskussion om Teams skulle vara fullständig utan att planera och implementera principer kring Teams-möten. Möten är en viktig del av Teams, så att människor formellt kan träffas och presenteras för många användare samtidigt och dela innehåll som är relevant för mötet. Det är viktigt att du ställer in rätt principer för din organisation kring möten.
Mer information finns i Hantera mötesprinciper i Teams.
Principer för appbehörighet
Med Teams kan du också använda appar på olika platser, till exempel kanaler eller personliga chattar. Att ha principer kring vilka appar som kan läggas till och användas, och var, är viktigt för att upprätthålla en innehållsrik miljö som också är säker.
Mer information om appbehörighetsprinciper finns i Hantera appbehörighetsprinciper i Microsoft Teams.
Nästa steg
Konfigurera principer för villkorlig åtkomst för: