使用三层文件共享安全性配置 Teams

信息图标 本文中的某些功能需要 Microsoft Syntex - SharePoint 高级管理

本系列文章提供了有关在 Microsoft Teams 及其关联的 SharePoint 网站中配置团队的建议,以平衡安全性和协作的便利性的文件保护。

本文定义了四个不同的配置,首先介绍的是具有最开放的共享策略的公共团队。 每个额外配置均表示有意义的保护设置,对 Teams 中存储的文件的访问和协作限定为一组相关团队成员。

本文中的配置符合 Microsoft 针对数据、标识和设备的三层保护的建议:

  • 基线保护

  • 敏感保护

  • 高度敏感保护

有关创建满足合规性要求的 Teams 会议环境的信息,请参阅 使用三层保护配置 Teams 会议

三个层级概览

下表总结了各层的配置。 使用这些配置作为起点建议并调整网站配置,以满足组织的需求。 可能不需要每一层。

  基准(公共) 基准(专用) 敏感 高度敏感
专用或公用团队 公开 Private Private Private
谁可以访问? 组织中的每个人,包括 B2B 来宾。 仅限团队成员。 其他人可以请求访问关联的网站。 仅限团队成员。 仅限团队成员。
专用频道 所有者和成员可以创建专用频道 所有者和成员可以创建专用频道 仅所有者可创建专用频道 仅所有者可创建专用频道
网站级别来宾访问 新来宾和现有来宾(默认值)。 新来宾和现有来宾(默认值)。 新来宾和现有来宾仅组织中的人员 取决于团队需求。 新来宾和现有来宾仅组织中的人员 取决于团队需求。
站点级条件访问 从桌面版应用程序、移动应用程序和 web 完全访问(默认值)。 从桌面版应用程序、移动应用程序和 web 完全访问(默认值)。 允许限制性的 web 访问 自定义条件访问策略
默认共享链接类型 仅组织内部人员 仅组织内部人员 特定人员 现有访问权限者
敏感度标签 敏感度标签用于对团队进行分类并控制来宾共享和未托管设备访问。 用于对团队进行分类、控制来宾共享和指定条件访问策略的敏感度标签。 默认文件标签用于对文件进行加密。
网站共享设置 网站所有者和成员以及拥有编辑权限的人员可共享文件和文件夹,但只有网站所有者才可共享网站 网站所有者和成员以及拥有编辑权限的人员可共享文件和文件夹,但只有网站所有者才可共享网站 网站所有者和成员以及拥有编辑权限的人员可共享文件和文件夹,但只有网站所有者才可共享网站 由站点级受限访问控制策略控制的 N/A (。)
站点级受限访问控制策略 仅限团队成员

基线保护包括公共和私人团队。 组织中的任何人均可发现和访问公共团队。 只有团队成员可以发现和访问私人团队。 这两种配置都将共享 SharePoint 网站的共享限制为团队所有者,以帮助进行权限管理。

敏感和高度敏感保护团队是私有团队,在该团队中对关联站点的共享和访问请求受到限制,并且敏感度标签用于设置有关来宾共享、设备访问和内容加密策略。

敏感度标签

敏感层和高度敏感层使用敏感度标签来帮助保护团队和其文件。 若要实现这些层,必须启用 敏感度标签来保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容

虽然基线层不需要敏感度标签,但请考虑创建一个“常规”标签,然后要求对所有团队进行标记。 这有助于确保用户在创建团队时有意识地选择敏感度。 如果计划部署敏感层或高度敏感层,我们建议创建可用于基线团队和不敏感的文件的“常规”标签。 对于高度敏感层,我们还将为文档库指定默认敏感度标签,以便 Office 文件和其他兼容文件在上传时自动应用该标签。

如果不熟悉敏感度标签,建议阅读敏感度标签以开始使用。

如果已经在组织中推出了敏感度标签,请考虑敏感和高度敏感层中所使用的标签如何与整体标签策略配合使用。

共享 SharePoint 网站

每个团队都有存储文档的关联 SharePoint 网站。 (这是团队渠道中的“文件”选项卡。)SharePoint 网站保留自己的权限管理,但关联到团队权限。 团队所有者被包含为网站所有者,而团队成员被包含为关联网站中的站点成员。

生成的权限允许:

  • 团队所有者管理网站,并对网站内容拥有完全控制权。
  • 团队成员在网站上创建和编辑文件。

默认情况下,团队所有者和成员可以与团队外部的人员共享网站本身,而无需将其实际添加到团队中。 建议不要这样做,因为这会使用户管理复杂化,并可能导致非团队成员在没有团队所有者意识到的情况下有权访问团队文件。 为了防止这种情况,从基线保护级别开始,我们建议仅允许所有者直接共享站点。

虽然团队没有只读权限选项,但 SharePoint 网站会这样做。 如果利益干系人或合作伙伴组需要能够查看团队文件,但不能对其进行编辑,请考虑将其直接添加到具有“查看”权限的 SharePoint 网站。

对于高度敏感的层,我们仅允许团队成员访问网站。 此限制还会阻止与团队外部的人员共享文件。

共享文件和文件夹

默认情况下,团队所有者和成员都可以与团队外部的人员共享文件和文件夹。 如果允许来宾共享,这可能包括组织外部的人员。 在所有三个层中,我们都会更新默认共享链接类型,有助于避免意外的过度共享。 如上所述,在高度敏感的层中,文件访问仅限于团队成员。

与组织外部用户共享

如果需要与组织外部的人员共享 Teams 内容,有两个选项:

  • 来宾共享 - 来宾共享使用 Microsoft Entra B2B 协作,允许用户与组织外部的人员共享文件、文件夹、网站、组和团队。 这些人通过使用目录中的来宾帐户访问共享资源。
  • 共享频道 - 共享频道使用 Microsoft Entra B2B 直连,允许用户与其他Microsoft Entra 组织中的人员共享组织中的资源。 这些人通过使用自己的工作或学校帐户访问 Teams 中的共享频道。 组织中未创建任何来宾帐户。

根据具体情况,来宾共享和共享频道都很有用。 请参阅 规划外部协作,了解有关每个方案的详细信息以及如何确定在特定情况下要使用的协议。

如果计划使用来宾共享,我们建议配置 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成 ,以获得最佳共享和管理体验。

如果需要,可以使用敏感度标签在敏感层和高度敏感层中阻止 Teams 来宾共享。 默认情况下,共享频道处于打开状态,但需要为要与之协作的每个组织设置跨组织关系。 有关详细信息,请参阅 与频道中的外部参与者进行协作

在高度敏感层中,我们配置默认库敏感度标签以加密应用该标签的文件。 如果需要来宾访问这些文件,必须在创建标签时必须授予他们权限。 共享频道中的外部参与者无法获得敏感度标签的权限,也无法访问通过敏感度标签加密的内容。

如果需要与组织外部的人员进行协作,强烈建议基线层和敏感层或高度敏感层启用来宾共享。 相比将文件作为附件发送到电子邮件中,Microsoft 365 的来宾共享功能提供了更为安全和可管理的共享体验。 用户使用不受管制的消费产品与合法的外部合作者共享时,还降低了影子 IT 的风险。

如果定期与使用 Microsoft Entra ID 的其他组织协作,则共享频道可能是一个不错的选择。 共享频道无缝显示在其他组织的 Teams 客户端中,并允许外部参与者为其组织使用其常规用户帐户,而无需使用来宾帐户单独登录。

请参阅以下参考材料,为组织创建安全高效的来宾共享环境:

条件访问策略

Microsoft Entra 条件访问提供了许多用于确定用户如何访问 Microsoft 365 的选项,包括基于位置、风险、设备符合性和其他因素的限制。 建议阅读什么是条件访问?,并考虑哪些其他策略可能适用于你的组织。

对于敏感层和高度敏感层,我们使用敏感度标签来限制对 SharePoint 内容的访问。

对于敏感层,我们将限制对非托管设备的仅限 Web 的访问。 (请注意,来宾通常没有由组织管理的设备。如果允许来宾在任何层中,请考虑他们用来访问团队和站点的设备类型,并相应地设置非托管设备策略。)

对于高度敏感层,我们将使用带有敏感度标签 的 Microsoft Entra 身份验证上下文 ,在人们访问与团队关联的 SharePoint 网站时触发自定义条件访问策略。

敏感度标签中的条件访问设置仅影响 SharePoint 访问。 如果想要将条件访问扩展到 SharePoint 之外,可以 采用通用条件访问策略:需要合规设备、Microsoft Entra 混合联接设备,或为所有用户提供多重身份验证 。 若要专门为 Microsoft 365 服务 配置此策略,请在“云应用或操作”下选择“Office 365”云应用。

Microsoft Entra 条件访问策略中的 Office 365 云应用的屏幕截图。

使用影响所有 Microsoft 365 服务的策略可以为用户提供更好的安全性和更好的体验。 例如,当仅阻止访问 SharePoint 中非托管设备时,用户可以使用非托管设备访问团队中的聊天,但当用户尝试访问“文件”选项卡时将失去访问权限。使用 Office 365 云应用有助于避免 服务依赖项 的问题。

后续步骤

首先配置基线保护级别。 如果需要,还可以添加敏感保护和高度敏感保护

Microsoft Teams 中的安全性和合规性

警报策略