Microsoft Teams 中的安全性和合规性

Microsoft Teams 基于 Microsoft 365 和 Office 365超大规模企业级云,可提供客户期望的高级安全性和合规性功能。 有关在 Microsoft 365 或 Office 365 中规划安全性的详细信息,安全路线图是一个很好的起点。 有关在 Microsoft 365 或 Office 365 中规划合规性的详细信息,可以从规划安全性 & 合规性开始。

本文将提供有关特定于 Teams 的安全性和合规性的详细信息。 请勿错过以下有关安全性和合规性的 Microsoft 机制视频:

重要

作为 Microsoft 365 或 Office 365 的客户,你拥有和控制数据。 除了为你提供你已订阅的服务外,Microsoft 不会将你的数据用于任何其他用途。 作为服务提供商,我们不会扫描你的电子邮件、文档或团队来做广告或用于与服务无关的用途。 Microsoft 无权访问上传的内容。 与 Microsoft 365 中的 OneDrive 和 SharePoint 一样,客户数据保留在租户中。 可以在 Microsoft 信任中心检查有关我们的信任和安全相关信息的详细信息。 Teams 遵循与 Microsoft 信任中心相同的指导和原则。

安全性

Teams 强制实施团队范围和组织范围的双重身份验证、通过 Active Directory 的单一登录以及传输中的数据和静态数据加密。 文件存储在 SharePoint 中,并会进行 SharePoint 加密。 笔记存储在 OneNote 中,并会进行 OneNote 加密。 OneNote 数据存储在团队 SharePoint 网站中。 Wiki 选项卡还可用于记笔记,其内容也存储在团队 SharePoint 网站中。

若要深入了解身份验证和 Teams,请阅读 标识模型和身份验证 ,新 式身份验证的工作原理 尤其有助于新式身份验证。

由于 Teams 与 SharePoint、OneNote、Exchange 等合作,因此你应该能够轻松管理 Microsoft 365 中的安全性或Office 365。 若要了解详细信息,请阅读如何配置 Microsoft 365 或 Office 365 组织以提高安全性

注意

目前, 专用频道 支持有限的安全性和合规性功能。 即将在专用频道中支持一整套安全性和合规性功能。

Microsoft Defender for Office 365

Microsoft Defender for Office 365适用于 Microsoft Teams 以及 SharePoint 和 OneDrive,这些应用程序与 Teams 集成进行内容管理。 Defender for Office 365允许你确定这些应用程序中的内容是否本质上是恶意的,并阻止用户访问此内容。

在检测到 Microsoft 365 或 Office 365 中选择的设置后,如何管理受影响的内容。 我们强烈建议你在配置Defender for Office 365时考虑所有应用程序,并进一步阅读安全链接工作原理概述,以及设置安全链接的步骤,请参阅此处以获取开始的详细信息。

microsoft Teams 中提供了Defender for Office 365安全链接。 若要详细了解什么是安全链接以及如何使用此功能,请阅读 Teams 的安全链接设置。 Defender for Office 365计划 1 和计划 2 中都提供了安全链接。

安全附件

安全附件是一项功能,旨在通过检查和检测恶意附件来增强用户安全性。 全局管理员或安全管理员 启用该功能创建策略 来处理这些可疑的恶意附件,以防止它们发送给用户、单击并对其执行操作。

Microsoft Defender for Office 365 计划 1和计划 2 中的 SharePoint、OneDrive 和 Microsoft Teams 以及 Microsoft 365 或 Office 365 提供安全附件保护。 阅读本文详细了解安全附件及其如何帮助保护组织。

安全功能分数

Microsoft 安全功能分数是组织安全状况的度量值,数字越大,表示采取了更多改进操作。 可以在Microsoft 365 安全中心中找到它。 遵循安全功能分数建议可以保护组织免受威胁。 从Microsoft 365 安全中心中的集中式仪表板,组织可以监视和处理其 Microsoft 365 标识、应用和设备的安全性。 Microsoft Teams 现在有关于安全功能分数的建议,建议管理员监视他们在平台上的安全立场。

安全功能分数可帮助组织:

  • 报告组织安全状况的当前状态。
  • 通过提供可发现性、可见性、指导和控制性来改善其安全状况。
  • 与基准进行比较, (KPI) 建立关键绩效指标。

条件访问策略如何适用于 Teams

Microsoft Teams 在核心生产力方案(如会议、日历、互操作聊天和文件共享)中严重依赖 Exchange Online、SharePoint 和 Skype for Business Online。 当用户在任何客户端上直接登录到 Microsoft Teams 时,为这些云应用设置的条件访问策略将应用于 Microsoft Teams。

Microsoft Entra条件访问策略中分别支持 Microsoft Teams 作为云应用。 为 Microsoft Teams 云应用设置的条件访问策略在用户登录时应用于 Microsoft Teams。 但是,如果没有其他应用(如 Exchange Online 和 SharePoint)的正确策略,用户仍可能能够直接访问这些资源。 有关在Azure 门户中设置条件访问策略的详细信息,请参阅Microsoft Entra快速入门

适用于 Windows 和 Mac 的 Microsoft Teams 桌面客户端支持新式身份验证。 新式身份验证将基于 Azure Active Directory 身份验证库的登录 (ADAL) 跨平台引入 Microsoft Office 客户端应用程序。

Microsoft Teams 桌面应用程序支持 AppLocker。 有关 AppLocker 先决条件的详细信息,请参阅使用 AppLocker 的要求

合规性

Teams 支持 Microsoft Purview 解决方案中的各种信息,以帮助你实现合规性领域,包括频道、聊天和附件的通信合规性、保留策略、数据丢失防护 (DLP) 、频道电子数据展示和法律保留、聊天和文件、审核日志搜索以及使用 Microsoft Intune 的移动应用程序管理。 我们在以下部分中提供了有关所有这些方面的一些信息,你可以使用Microsoft Purview 合规门户来管理这些解决方案。

审核

Microsoft Purview 审核 (标准) 、审核 (Premium) 和审核日志搜索直接插入Microsoft Purview 合规门户,通过允许导出特定于工作负荷的事件集或通用事件集供管理员使用和调查跨无限的审核时间线,让你能够设置警报以及报告审核事件。 可以为Microsoft Purview 合规门户中的所有审核日志数据设置警报,并筛选和导出此数据以供进一步分析。 若要详细了解如何在Microsoft Purview 合规门户中搜索 Microsoft Teams 事件,请参阅在 Microsoft Teams 中搜索事件的审核日志

通信合规性

Microsoft Purview 通信合规性允许将用户添加到可以配置为检查 Microsoft Teams 通信中的攻击性语言、敏感信息以及与内部和法规标准相关的信息的范围内策略。 可以扫描公共和专用 Teams 频道、个人聊天和附件中的聊天通信和相关附件,以帮助最大程度地降低组织中的通信风险。 有关如何配置策略以帮助检测、捕获不当 Teams 通信并采取措施的详细信息,请参阅 了解通信合规性

内容搜索可用于通过丰富的筛选功能搜索所有 Teams 数据。 生成的数据可以导出到特定的容器,以获取合规性和诉讼支持。 在有无电子数据展示案例的情况下,均可执行此操作。 这使合规性管理员能够收集所有用户的 Teams 数据,查看和导出数据以供进一步处理。 请参阅内容搜索,详细了解如何对 Microsoft Teams 和其他 Microsoft 365 或Office 365内容进行合规性内容搜索Microsoft Purview 合规门户。

提示

使用内容搜索,可以根据需要筛选到仅限 Microsoft Teams 的内容,例如聊天和频道消息、会议和通话。

若要进一步了解有关配置内容搜索的特定于 Teams 的信息,请参阅 Microsoft Teams 中的内容搜索

客户密钥

Microsoft 365 在内容服务加密的基础上提供了额外的加密层。 客户密钥使用你提供的密钥加密 Microsoft Teams 中的多种不同类型的数据。 在应用程序级别使用客户密钥,客户密钥对存储在 SharePoint Online 中的 Teams 文件进行加密。 有关信息,请参阅 使用 Microsoft Purview 客户密钥进行服务加密

使用租户级别的客户密钥对以下项进行加密:

  • Teams 聊天消息 (1:1 聊天、群组聊天、会议聊天和频道对话)
  • Teams 媒体消息 (图像、代码片段、视频和 wiki 图像)
  • 存储在 Teams 存储中的 Teams 通话和会议录制内容
  • Teams 聊天通知
  • Teams 聊天建议
  • Teams 状态消息

有关详细信息,请参阅 租户级别的客户密钥概述 ,并阅读 Microsoft Teams 博客,该博客现在以 公共预览版介绍对 Microsoft Teams 的客户密钥支持

有关租户级别包含客户密钥的Microsoft Purview 信息保护版本的信息,请阅读宣布推出新的Microsoft Purview 信息保护功能来了解和保护敏感数据

数据丢失防护 (DLP)

Microsoft Purview 数据丢失防护 (Microsoft Teams 中的 DLP) ,以及 Microsoft Purview 的更大 DLP 故事,在保护敏感文档和数据方面,围绕业务就绪情况展开。 无论你是否对消息或文档中的敏感信息有顾虑,DLP 策略都有助于确保用户不会与错误人员共享此敏感数据。

有关 Teams 中的数据丢失防护的信息,请参阅 Microsoft Teams 的 DLP。 了解 数据丢失防护是 DLP 问题的一篇好文章。

电子数据展示

Microsoft Purview 电子数据展示 (Premium) 支持在 ESI (ESI) 识别、收集和生成电子存储信息的电子方面,以响应法律诉讼或调查中的生产请求。 功能包括 Teams 数据的案例管理、保留、搜索、分析和导出。 这包括聊天、消息和文件、会议和通话摘要。 对于 Teams 会议和通话,将创建会议和通话中发生的事件的摘要,并在电子数据展示中提供。

有关如何使用Microsoft Purview 合规门户中的电子数据展示工具来搜索 Teams 内容的详细信息,请参阅:

信息屏障

Microsoft Purview 信息屏障使你能够创建策略,以阻止人员或组 (在没有业务需要时相互通信,或者出于法规原因阻止他们) 这样做,它还允许你设置与以下) 涵盖的查找和电子数据展示 (相关的策略。 这些策略可能会影响 1:1 聊天、群组聊天或团队级别的用户。

有关在 Teams 中使用信息屏障的详细信息,请参阅 Microsoft Teams 中的信息屏障

在诉讼期间,可能需要将与用户 (保管人) 或团队关联的所有数据保留为不可变,以便可用作案件的证据。 为此,可以将用户 (用户邮箱) 或将团队置于法定保留状态。 对于团队法定保留,团队的邮箱可以置于以下保留状态:

  • In-Place 通过定向查询或筛选内容保留 (邮箱或网站集的子集) 保留,或者
  • 诉讼保留 (整个邮箱或网站集被置于保留) 。

在任一情况下,一旦设置了保留,它可确保即使最终用户删除或编辑组邮箱中的频道邮件,该内容的不可变副本也会通过电子数据展示搜索进行维护并可用。 法律保留通常在电子数据展示案例的上下文中应用。

请参阅保留策略概述,详细了解Microsoft Purview 合规门户中的保留和保留。 有关法定保留的更多 Teams 特定信息,我们还将 Microsoft Teams 用户或团队置于法定保留状态 ,供你了解详细信息。

保留策略

Microsoft Teams 中的保留策略允许你出于法规、法律、业务或其他原因保留对组织很重要的数据,以及删除与保留无关的内容和通信。 还可以使用保留策略将数据保留一段时间,然后将其删除。 有关详细信息,请参阅 Microsoft Teams 中的保留策略

敏感度标签

应用 敏感度标签 来保护和规范团队协作期间创建的敏感组织内容的访问。 例如,应用标签以配置团队的公共或专用) (隐私,控制来宾访问和外部共享,以及管理来自非托管设备的访问。 有关详细信息,请参阅 Microsoft Teams 中的敏感度标签

隐私

在 Microsoft,保护数据是我们的首要任务。 若要了解我们的隐私做法,请参阅:

信息保护体系结构

下图显示了 Teams 数据到 Exchange 和 SharePoint for Teams 文件和消息的引入流。

Teams 数据到 Exchange 和 SharePoint 的工作流示意图。

下图显示了 Teams 会议和通话数据的引入流到 Exchange。

Teams 会议和通话数据到 Exchange 的工作流示意图。

重要

发现 Teams 内容最多可以延迟 24 小时。

许可

在信息保护功能方面,Microsoft 365 订阅、Office 365订阅和关联的独立许可证将确定可用的功能集。

有关确定实现安全性和合规性功能的许可需求的信息,请查看安全性和合规性功能的 许可要求

注意

无需在Microsoft Purview 合规门户中启用内容搜索、电子数据展示 (标准) 和电子数据展示 (高级) 。 有关详细信息,请参阅 Microsoft 365 电子数据展示解决方案

Teams 中的数据的位置

Teams 中的数据位于与 Microsoft 365 或 Office 365 组织关联的地理区域中。 若要查看当前支持的区域,请查看 Microsoft Teams 中的数据位置

如果需要查看租户的数据所在的区域,请转到 Microsoft 365 管理中心>Settings>组织配置文件。 向下滚动到数据位置

管理中心中包含 Teams 的数据位置表的屏幕截图。

合规性标准

Teams 使用以下标准: ISO 27001ISO 27018SSAE18 SOC 1 和 SOC 2HIPAAEU Model Clauses (EUMC) 。 在 Microsoft 合规性框架中,Microsoft 将 Microsoft 365 和Office 365应用程序和服务分为四类。 每个类别由特定合规性承诺定义,Microsoft 365 或 Office 365 服务或相关 Microsoft 服务必须满足这些承诺才能在该类别中列出。

可在 数据保护资源中找到详细信息。 Teams 还支持云安全联盟合规性。