使用 Microsoft Teams 设置安全文件共享和协作

能够轻松地与合适的人员共享文件和文档,同时防止过度共享是组织成功的关键。 这包括能够安全地共享机密或其他敏感数据,仅与应该有权访问这些数据的人员共享。 根据项目,这可能包括与组织外部的人员共享敏感数据。

本指南包含组件,可帮助你:

  • 为每个项目部署具有适当保护级别的 Teams
  • 使用每个项目的适当安全设置配置外部共享

如果无法使用通用且易于使用的文件协作工具,用户通常会通过电子邮件发送文档进行协作。 这是一种乏味且容易出错的协作方法,可能会增加信息共享不当的风险。 如果用户觉得共享文件太困难,他们可能会还原使用不受 IT 管理的消费产品。 这可能会带来更大的风险。

使用 Microsoft 365,可以部署具有各种配置的 Teams,这些配置有助于:

  • 保护你的知识产权
  • 实现与文档和其他文件的轻松协作
  • 在安全性和可用性之间实现平衡,提高用户满意度并降低影子 IT 的风险

大多数组织具有各种信息,如果信息被不当共享,则具有不同程度的敏感度和不同程度的业务影响。 根据给定信息片段的敏感度,你可能希望允许与以下人员共享:

  • 任何人 (未经身份验证)
  • 组织内部人员
  • 组织内部的特定人员
  • 组织内外的特定人员

营销手册等信息用于在组织外部广泛共享。 自助餐厅菜单等信息不用于外部共享,但如果在外部共享,则不会对业务产生任何影响。 这些类型的信息几乎不需要保护或不需要保护。

这些相同的营销手册虽然正在开发中,但可能只能在组织内部共享。 在这种情况下,Teams 中的默认共享设置可能就足够了。

有关正在开发的新产品的信息可能被视为敏感信息,即使在组织内部也是如此。 在这种情况下,保护程度可能更高。 例如,可以将对此信息的访问限制为特定团队的成员。 根据项目,可能需要与组织外部的人员(例如供应商或合作伙伴组织)协作。

对组织成功至关重要的信息,或者具有严格的安全性或合规性要求的信息可能需要更高级别的保护。

风险范围从低 (发布的小册子) 到高 (敏感业务数据) 。

对于上述所有方案,可以使用 Teams 来存储、共享和协作处理信息。

若要配置安全协作,请使用以下 Microsoft 365 功能和功能:

产品或组件 功能或特性 许可
Microsoft Defender for Office 365 SharePoint、OneDrive 和 Microsoft Teams 的安全附件;安全文档;Teams 的安全链接 Microsoft 365 E1、E3 和 E5
SharePoint 网站和文件共享策略、网站共享权限、共享链接、访问请求、网站来宾共享设置 Microsoft 365 E1、E3 和 E5
Microsoft Teams 来宾访问、专用团队、私人频道、共享频道 Microsoft 365 E1、E3 和 E5
Microsoft Purview 敏感度标签 Microsoft 365 E3 和 E5
Microsoft Syntex - SharePoint 高级管理 站点访问限制、站点的条件访问策略、库的默认敏感度标签 Microsoft Syntex - SharePoint 高级管理

Teams 和 Microsoft 365 的协作治理框架

Microsoft 365 提供了许多用于管理协作解决方案的选项。 建议将此部署内容与 协作治理内容 一起使用,为组织创建最佳协作解决方案。

保护 Teams 的敏感和高度敏感数据

为了以不同的敏感度管理对信息的访问,我们为 Teams 开发了三个不同的保护层。 可以自定义这些层中的任何一个,以更好地满足需求或业务。

Teams 的三个保护级别的图形。

这些层( 基线层、 敏感层和 高度敏感层 )逐步增加保护,帮助防止过度共享和潜在的信息泄漏,如下表所示。

- 基线层 敏感层 高度敏感层
公共或专用团队 两者皆可 Private Private
未经身份验证的共享 Allowed Blocked Blocked
文件共享 Allowed Allowed 仅限于团队中的人员。
团队成员资格 任何人都可以加入公共团队。
加入专用团队需要团队所有者批准。
需要团队所有者批准才能加入。 需要团队所有者批准才能加入。
文档加密 提供敏感度标签
来宾共享 Allowed 可以允许或阻止 可以允许或阻止
未托管的设备 无限制 仅限 Web 的访问 Blocked

配置这些层包括:

  • 在 Teams 中为来宾访问以及专用和共享频道配置设置
  • 在团队的关联 SharePoint 网站中配置设置,以便进行内部和来宾共享、网站访问和共享链接
  • 对于 敏感 层和 高度敏感 层,请配置敏感度标签以对团队进行分类,并控制来宾共享和来自非托管设备的访问
  • 对于 高度敏感 层,配置敏感度标签以加密应用该标签的文档

从基线层开始,然后根据需要添加使用 敏感 层和 高度敏感 层的团队,以帮助保护组织中的信息。 请参阅以下资源以开始使用:

与组织外部用户共享

可能需要 与组织外部的人员共享任何敏感度信息。 这可以是与单个人员共享单个文档,也可以是与来自世界各地的大型合作伙伴组织或自由职业者协作处理大型项目。 在 Microsoft 365 中,可以轻松实现此范围的外部共享,并采用适当的安全措施来帮助保护敏感信息。

阅读以下文章,帮助你开始设置环境,以便与组织外部人员协作:

根据共享信息的敏感性,可以添加安全措施来帮助防止过度共享。 阅读以下文章,帮助你为组织设置所需的保护:

如果合作伙伴组织有一个主要项目,则可以使用 共享频道Azure 权利管理 来管理组织外部需要与之协作的人员。

管理员培训

Microsoft Learn 的这些培训模块可帮助你了解 Teams 和 SharePoint 中的协作、治理和标识功能。

Teams

身份和访问

面向最终用户的培训

这些培训模块可帮助用户在 Microsoft 365 中使用 Teams、组和 SharePoint 进行协作。

Teams SharePoint
使用模板培训图标创建团队。
使用模板创建团队
在库训练图标中创建和共享文件
在库中创建和共享文件
Teams 上传和共享文件训练图标。
上传和共享文件
“在团队和频道中协作”图标。
在团队和频道中协作

插图

这些插图显示了组和团队如何与 Microsoft 365 中的其他服务交互,以及哪些治理和合规性功能可用于帮助你管理组织中的这些服务。

面向 IT 架构师的 Microsoft 365 中的组

对于 Microsoft 365 中的组,IT 架构师需要了解的信息

说明
组信息图的缩略图。
PDF |Visio
更新时间:2023 年 8 月
这些图示详细介绍了不同类型的组,如何创建和管理这些组,以及一些治理建议。

Microsoft 365 中生产力服务的逻辑体系结构,以 Microsoft Teams 为主导。

说明
Teams 逻辑体系结构海报的缩略图。
PDF |Visio
更新时间:2023 年 9 月
Microsoft 提供了一系列生产力服务,这些服务协同工作,提供数据治理、安全性和符合性相关功能的协作体验。

此系列图示展示了企业架构师生产力服务的逻辑体系结构,以 Microsoft Teams 为主导。

后续步骤

准备好设置安全协作环境后,请执行以下步骤:

  1. 为 Teams 配置三个不同的保护层
  2. 配置用于 与组织外部人员共享任何敏感度信息的设置。

另请参阅

Microsoft 365 安全中心文档

Microsoft Purview 文档

欢迎使用 Microsoft Teams