配置具有基线保护的团队
本文将介绍如何部署具有基线保护级别的团队。 通过此级别,用户可通过多种方式进行协作,同时提升权限管理,并针对过度共享提供基本保护。 此级别的建议保护包括标识和设备访问策略和恶意软件保护。 此外,可以根据需要应用条件访问策略和数据丢失保护。
初始保护
第一步,我们建议配置基本身份和设备访问策略。 有关详细信息,请参阅保护 Teams 聊天、组和文件的策略建议。
建议启用基本的 Defender for Office 365 功能,防范文档、附件和链接中的恶意软件。 我们建议启用下表中的每个选项。
| 选项 | 信息 |
|---|---|
| 适用于 SPO、OneDrive 和 Teams 的安全附件 | 安全附件 Defender for Office 365 - SharePoint、OneDrive 和 Microsoft Teams |
| 安全文档 | Microsoft Defender for Office 365 中的安全文档 |
| 适用于 Teams 的安全链接 | Teams 中 Office 365 安全链接 |
团队来宾共享
在每层中,我们都可以选择与组织外部人员共享。 对于敏感和高度敏感层,我们可以选择使用敏感度标签在团队级别关闭来宾共享。 但必须启用“组织级别的来宾共享设置”,以使来宾共享在 Teams 中均可正常工作。
设定 Teams 来宾访问设置
- 访问 https://admin.microsoft.com 登录到 Microsoft 365 管理中心。
- 在左侧导航中,单击“显示全部”。
- 在“管理中心 ”下,单击“团队”。
- 在 Teams 管理中心的左侧导航中,展开“组织范围设置”>“来宾访问”。
- 确保在 Teams 中允许来宾访问设置为“开”。
- 对其他来宾设置进行任何所需的更改,然后单击“保存”。
注意
启用后,Teams 来宾设置最多可能需要二十四个小时才能生效。
默认情况下,Office 365 组和 SharePoint 启用了来宾共享,但如果以前已更改了组织的任何来宾共享设置,建议参阅在团队中与来宾协作,以确保来宾共享在 Teams 中可用。
网站和文件共享
为了降低意外与组织外部人员共享文件或文件夹的风险,建议将 SharePoint 的默认共享链接更改为“仅限组织中的人员”。 (如果用户需要在外部共享,并且启用了来宾共享,他们在共享时仍可以更改链接类型。)
更改默认共享链接
- 打开 SharePoint 管理中心,在策略下,选择共享。
- 在“文件和文件夹链接”下,选中“仅限组织中的人员”。
- 选择“保存”。
为了获得最佳的来宾共享体验,我们还建议你启用 SharePoint 和 OneDrive与 Azure AD B2B 集成。
创建团队
基线保护级别的其他配置在与团队相关联的 SharePoint 网站中完成。 创建公共或私人团队,然后再继续进行下一部分。
网站共享设置
默认情况下,SharePoint 网站的成员可以邀请其他人加入该网站。 网站是团队的一部分时,团队成员将作为网站成员包括在内。 但是,直接添加到网站的人员不能访问团队的其他成员。 因此,我们建议仅通过团队来管理权限。
为了帮助进行权限管理,我们建议将关联的站点配置为仅允许所有者自己共享该站点。 这简化了权限管理,有助于阻止团队所有者不知道的人员访问。 对需要基线保护的每个团队执行此操作。
更新网站共享设置
- 在团队的工具栏中,单击“文件”。
- 单击“在 SharePoint 中打开”。
- 在 SharePoint 网站的工具栏中,依次单击设置图标和“网站权限”。
- 在“网站权限”窗格的“网站共享”下方,单击“更改成员共享方式”。
- 在“共享权限”下,选择选择“网站所有者和成员以及拥有编辑权限的人员可共享文件和文件夹,但只有网站所有者才可共享网站”,然后单击“保存”。
附加保护
Microsoft 365 提供了其他用于保护内容的方法。 考虑以下选项是否有助于提高组织的安全性。