保护 Teams 聊天、组和文件的策略建议
本文介绍如何实现建议的零信任标识和设备访问策略,以保护 Microsoft Teams 聊天、组以及文件和日历等内容。 本指南基于 通用标识和设备访问策略,以及特定于 Teams 的其他信息。 由于 Teams 与我们的其他产品集成,另请参阅有关保护 SharePoint 网站和文件的策略建议和用于保护电子邮件的策略建议。
这些建议基于三个不同的 Teams 安全和保护层,可以根据需求粒度应用这些层:起点、企业和专用安全性。 可以在 标识和设备访问配置中详细了解这些安全层以及这些建议引用的建议策略。
本文包含更多特定于 Teams 部署的建议,以涵盖特定的身份验证情况,包括针对组织外部的用户。 需要遵循本指南才能获得完整的安全体验。
在其他依赖服务之前开始使用 Teams
无需启用依赖服务即可开始使用 Microsoft Teams。 这些服务都将“正常工作”。但是,需要准备好管理以下与服务相关的元素:
- Microsoft 365 组
- SharePoint 团队网站
- OneDrive for Business
- Exchange 邮箱
- 如果启用了这些服务,Stream视频和Planner计划 ()
更新常用策略以包括 Teams
为了保护 Teams 中的聊天、组和内容,下图说明了要从通用标识和设备访问策略更新哪些策略。 对于要更新的每个策略,请确保云应用的分配中包含 Teams 和依赖服务。
这些服务是 Teams 云应用分配中要包括的依赖服务:
- Microsoft Teams
- Sharepoint 和 OneDrive for Business
- Exchange Online
- Skype for Business Online
- Microsoft Stream (会议录制)
- Microsoft Planner (Planner任务和计划数据)
下表列出了需要重新访问的策略,以及 公共标识和设备访问策略中的每个策略的链接,这些策略为所有 Office 应用程序设置了更广泛的策略。
| 保护级别 | 策略 | 有关 Teams 实现的详细信息 |
|---|---|---|
| 起点 | 当登录风险中等或较高时需要 MFA | 确保应用列表中包括 Teams 和依赖服务。 Teams 还具有来宾访问和外部访问规则,你将在本文中稍后了解有关这些规则的详细信息。 |
| 阻止不支持新式身份验证的客户端 | 在云应用的分配中包括 Teams 和依赖服务。 | |
| 高风险用户必须更改密码 | 如果检测到帐户的高风险活动,则强制 Teams 用户在登录时更改其密码。 确保应用列表中包括 Teams 和依赖服务。 | |
| 应用 APP 数据保护策略 | 确保应用列表中包括 Teams 和依赖服务。 更新每个平台 (iOS、Android、Windows) 的策略。 | |
| 企业 | 当登录风险较低、中等或较高时需要 MFA | Teams 还具有来宾访问和外部访问规则,你将在本文中稍后了解有关这些规则的详细信息。 在此策略中包括 Teams 和依赖服务。 |
| 定义设备符合性策略 | 在此策略中包括 Teams 和依赖服务。 | |
| 需要合规的电脑 和 移动设备 | 在此策略中包括 Teams 和依赖服务。 | |
| 专用安全性 | 始终 需要 MFA | 无论用户标识如何,组织都将使用 MFA。 在此策略中包括 Teams 和依赖服务。 |
Teams 依赖服务体系结构
下图演示了 Teams 所依赖的服务,以供参考。 有关详细信息和插图,请参阅 适用于 IT 架构师的 Microsoft 365 中的 Microsoft Teams 和相关生产力服务。
Teams 的来宾和外部访问
Microsoft Teams 定义了以下访问类型:
来宾访问对来宾或外部用户使用Microsoft Entra B2B 帐户,该帐户可以添加为团队成员,并拥有对团队的通信和资源的所有权限访问权限。
外部访问适用于没有 Microsoft Entra B2B 帐户的外部用户。 外部访问可以包括邀请和参与通话、聊天和会议,但不包括团队成员身份和对团队资源的访问。
条件访问策略仅适用于 Teams 中的来宾访问,因为有相应的 B2B 帐户Microsoft Entra。
有关允许具有Microsoft Entra B2B 帐户的来宾和外部用户访问的建议策略,请参阅允许来宾和外部 B2B 帐户访问的策略。
Teams 中的来宾访问
除了针对业务或组织内部用户的策略外,管理员还可以启用来宾访问,以允许业务或组织外部的人员访问 Teams 资源并与内部人员进行交互,进行群组对话、聊天和会议等操作。
有关来宾访问以及如何实现它的详细信息,请参阅 Teams 来宾访问。
Teams 中的外部访问
外部访问有时与来宾访问混淆,因此请务必明确这两种非内部访问机制是不同类型的访问。
外部访问是一种让整个外部域中的 Teams 用户与 Teams 中的用户查找、呼叫、聊天和设置会议的方式。 Teams 管理员在组织级别配置外部访问。 有关详细信息,请参阅 在 Microsoft Teams 中管理外部访问。
与通过来宾访问添加的用户相比,外部访问用户拥有的访问权限和功能更少。 例如,外部访问用户可以通过 Teams 与内部用户聊天,但无法访问团队频道、文件或其他资源。
外部访问不使用 Microsoft Entra B2B 用户帐户,因此不使用条件访问策略。
Teams 策略
除了上面列出的常见策略之外,还有一些特定于 Teams 的策略,可以并且应该将其配置为管理各种 Teams 功能。
Teams 和频道策略
Teams 和频道是 Microsoft Teams 中的两个常用元素,你可以制定一些策略来控制用户在使用团队和频道时可以和不能执行的操作。 虽然你可以创建一个全球团队,但如果你的组织拥有 5000 个或更少的用户,你可能会发现,为特定目的拥有较小的团队和频道会很有帮助,以满足组织的需求。
建议更改默认策略或创建自定义策略,你可以通过以下链接详细了解如何管理策略: 在 Microsoft Teams 中管理团队策略。
消息传递策略
消息或聊天也可以通过默认全局策略或自定义策略进行管理,这有助于用户以适合组织的方式相互通信。 可以在 管理 Teams 中的消息传递策略中查看此信息。
会议策略
如果不围绕 Teams 会议规划和实施策略,任何 Teams 讨论都不会完成。 会议是 Teams 的一个重要组成部分,它允许用户一次正式开会并向许多用户演示,并共享与会议相关的内容。 围绕会议为组织设置正确的策略至关重要。
有关详细信息,请参阅 在 Teams 中管理会议策略。
应用权限策略
Teams 还允许你在各种位置使用应用,例如频道或个人聊天。 制定有关可以添加和使用哪些应用以及在哪里的策略对于维护内容丰富的环境(也是安全的)至关重要。
有关应用权限策略的详细信息,检查在 Microsoft Teams 中管理应用权限策略。
后续步骤
为以下项配置条件访问策略:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈