使用三層檔案共用安全性設定 Teams
本文中的某些功能需要Microsoft Syntex - SharePoint 進階管理
本系列文章提供在 Microsoft Teams 及其相關聯 SharePoint 網站中設定小組的建議,以提供檔案保護,以平衡安全性與輕鬆共同作業。
本文定義四種不同的設定,首先是公用小組與最開放的共用原則。 每項額外設定均代表有意識的保護升級,但對小組內儲存的檔案進行存取和共同作業的能力,則會減少為僅限相關小組成員。
本文的設定符合 Microsoft 針對資料、身分識別和裝置的下列三層保護建議:
基準保護
敏感性保護
高敏感度保護
如需建立符合合規性需求的 Teams 會議環境的相關資訊,請參閱使用 三層保護來設定 Teams 會議。
三層保護概覽
下表摘要列出每一層的設定。 您可以使用這些設定作為建議的起點,並依據組織需求調整設定。 您可能不需要有每一層。
| 基準線 (公開) | 基準線 (私人) | 敏感性 | 高敏感度 | |
|---|---|---|---|---|
| 私人或公用的小組 | 公開 | 私人 | 私人 | Private |
| 誰可以存取? | 組織中的每個人,包括 B2B 來賓。 | 僅限小組的成員。 其他人可以要求存取相關聯的網站。 | 僅限小組的成員。 | 僅限小組的成員。 |
| 私人頻道 | 擁有者和成員可以建立私人頻道 | 擁有者和成員可以建立私人頻道 | 只有擁有者可以建立私人頻道 | 只有擁有者可以建立私人頻道 |
| 網站層級的來賓存取 | 新的及現有的來賓 (預設值)。 | 新的及現有的來賓 (預設值)。 | 新的及現有的來賓或只有貴組織中的人員 (視小組需求而定)。 | 新的及現有的來賓或只有貴組織中的人員 (視小組需求而定)。 |
| 網站層級條件式存取 | 從傳統型應用程式、行動裝置應用程式與 Web 進行完整存取 (預設值)。 | 從傳統型應用程式、行動裝置應用程式與 Web 進行完整存取 (預設值)。 | 允許僅限 Web 的受限存取。 | 自訂條件式存取原則 |
| 預設的共用連結類型 | [只有貴組織中的人員] | [只有貴組織中的人員] | 特定人員 | 具有現有存取的人員 |
| 敏感度標籤 | 無 | 無 | 用來分類小組和控制來賓共用與未受管理裝置存取的敏感度標籤。 | 敏感度標籤,用來分類小組、控制來賓共用,以及指定條件式存取原則。 檔案上會使用預設檔案卷標來加密它們。 |
| 網站共用設定 | 網站擁有者和成員,以及擁有編輯權限的人員可以共用檔案與資料夾,但只有網站擁有者可以共用網站。 | 網站擁有者和成員,以及擁有編輯權限的人員可以共用檔案與資料夾,但只有網站擁有者可以共用網站。 | 網站擁有者和成員,以及擁有編輯權限的人員可以共用檔案與資料夾,但只有網站擁有者可以共用網站。 | N/A (由網站層級限制存取控制原則控制。) |
| 網站層級限制存取控制原則 | 無 | 無 | 無 | 僅限小組成員 |
基準保護包含公開和私人小組。 公開小組可供組織中的任何人探索及存取。 私人小組則僅供小組成員探索及存取。 這兩種設定都會將相關聯 SharePoint 網站的共用功能限制為只有小組擁有者能使用,以協助權限的管理。
敏感度和高敏感度保護的小組則是私人小組,其共用和要求相關聯網站存取權的功能會受到限制,而且會使用敏感度標籤來設定關於來賓共用、裝置存取和內容加密的原則。
敏感度標籤
敏感度和高敏感度層會使用敏感度標籤來協助保護小組及其檔案。 若要實作這些層級,您必須啟用敏感度標籤,以保護 Microsoft Teams、Microsoft 365 群組 和 SharePoint 網站中的內容。
雖然基準層不需要敏感度標籤,但請考慮建立「一般」標籤,然後要求所有小組都加上標籤。 這有助於確保使用者在建立小組時,有意識地選擇敏感度。 如果您打算部署敏感性或高度敏感層,建議您建立「一般」標籤,以供基準小組和不敏感的檔案使用。 針對高敏感性層級,我們也會指定文件庫的預設敏感度標籤,讓 Office 檔案和其他相容檔案在上傳時自動套用該標籤。
如果您不熟悉如何使用敏感度標籤,建議您閱讀開始使用敏感度標籤以便開始使用。
如果您已在組織中部署敏感度標籤,請考慮敏感度和高敏感度層所用的標籤與您整體標籤策略的配適程度。
共用 SharePoint 網站
每個小組都會有相關聯的 SharePoint 網站,並且會於其中儲存文件。 (這是小組頻道中的 [檔案] 索引標籤)。SharePoint 網站會保留自己的權限管理,但會連結至小組權限。 小組擁有者會作為網站擁有者而包含在內,小組成員則會作為相關聯網站的網站成員而包含在內。
所產生的權限允許:
- 小組擁有者可以管理網站並對網站內容擁有完全控制的權限。
- 小組成員可以建立和編輯網站上的檔案。
根據預設,小組的擁有者和成員可以與非小組人員共用網站本身,而不需實際將這些人新增至小組。 我們建議您不要這麼做,因為這會使使用者管理變得複雜,而且可能會導致不是小組成員的人員無法存取小組檔案,而不需要小組擁有者瞭解該檔案。 為了避免發生這種情況,從基準保護層級起,建議您只允許擁有者能夠直接共用網站。
雖然小組沒有唯讀許可權選項,但 SharePoint 網站則有。 如果您有專案關係人或夥伴群組需要能夠檢視小組檔案,但無法編輯它們,請考慮使用檢視許可權直接將他們新增至 SharePoint 網站。
針對高敏感性層級,我們僅將網站的存取限制為小組成員。 這項限制也可防止與小組外部人員共用檔案。
共用檔案和資料夾
根據預設,小組的擁有者和成員都可以與非小組人員共用檔案和資料夾。 如果您允許來賓共用,這可能包括組織外部的人員。 在這三層當中,我們都會更新預設的共用連結類型,以避免意外過度共用。 如上所述,在高度敏感層中,檔案存取僅限於小組成員。
與組織外部人員共用
如果您需要與組織外部人員共用 Teams 內容,有兩個選項:
- 來賓共用 - 來賓共用使用Microsoft Entra B2B 共同作業,讓使用者與組織外部人員共用檔案、資料夾、網站、群組和小組。 這些人員會使用您目錄中的來賓帳戶來存取共用資源。
- 共用通道- 共用通道會使用 Microsoft Entra B2B 直接連線,讓使用者與其他Microsoft Entra組織人員共用您組織中的資源。 這些人員使用自己的公司或學校帳戶,存取 Teams 中的共用頻道。 不會在您的組織建立來賓帳戶。
可視情況而定來使用來賓共用和共用頻道。 請參閱計劃外部共同作業,詳細了解每個功能以及如何決定要在特定案例中使用哪一項。
如果您打算使用來賓共用,建議您設定SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合,以獲得最佳的共用和管理體驗。
您可以使用敏感度標籤,在敏感性和高度敏感性層級中視需要防止 Teams 來賓共用。 共用頻道預設為開啟狀態,但是需要為您想要共同作業的每個組織設定跨組織的關聯性。 請參閱在頻道中與外部參與者共同作業了解詳細資料。
在高敏感性層中,我們會設定預設程式庫敏感度標籤,以加密套用該標籤的檔案。 如果您需要讓來賓能夠存取這些檔案,則必須在建立標籤時為來賓提供權限。 共用頻道中的外部參與者無法獲得敏感度標籤的權限,而且無法存取由敏感度標籤加密的內容。
如果您需要與組織外部的人員共同作業,則強烈建議您讓基準層和敏感度或高敏感度層的來賓共用功能保持開啟。 比起在電子郵件訊息中以附件方式傳送檔案的體驗,Microsoft 365 中的來賓共用功能所提供的共用體驗更為安全且可受到控管。 其也降低了影子 IT 的風險,讓使用者無法使用未受到控管的消費性產品來與合法的外部共同作業者共用。
如果您定期與其他使用Microsoft Entra識別碼的組織共同作業,共用通道可能是不錯的選擇。 共用通道會順暢地顯示在其他組織的 Teams 用戶端中,並允許外部參與者針對其組織使用其一般使用者帳戶,而不需要使用來賓帳戶個別登入。
請參閱下列參考資料,為您的組織建立安全且有生產力的來賓共用環境:
條件式存取原則
Microsoft Entra條件式存取提供許多選項來判斷人員存取 Microsoft 365 的方式,包括根據位置、風險、裝置合規性和其他因素的限制。 建議您閱讀什麼是條件式存取?,並考慮可能適合貴組織的其他原則。
針對敏感性和高度敏感層,我們會使用敏感度標籤來限制對 SharePoint 內容的存取。
針對敏感性層級,我們將限制非受控裝置只能存取 Web。 (請注意,來賓通常沒有組織所管理的裝置。如果您允許任何層級中的來賓,請考慮他們用來存取小組和網站的裝置種類,並據此設定您的非受控裝置原則。)
針對高敏感性層級,我們將使用Microsoft Entra敏感度標籤的驗證內容,在使用者存取與小組建立關聯的 SharePoint 網站時觸發自訂條件式存取原則。
跨 Teams 相關服務的條件式存取
敏感度標籤中的條件式存取設定只會影響 SharePoint 存取。 如果您想要將條件式存取擴充到 SharePoint 以外,您可以改用一般條件式存取原則:需要符合規範的裝置、Microsoft Entra混合式聯結裝置,或是所有使用者的多重要素驗證。 若要特別針對 Microsoft 365 服務設定此原則,請在 [雲端應用程式或動作] 下選取 [Office 365] 雲端應用程式。
使用會影響所有 Microsoft 365 服務的原則,可為使用者提供更好的安全性和更好的體驗。 例如,當您封鎖僅 SharePoint 中未受管理裝置的存取權時,使用者仍可以使用未受管理裝置存取團隊中的聊天,但當他們嘗試存取 [檔案] 索引標籤時,將會失去存取權。使用 Office 365 雲端應用程式可協助避免服務相依性。
後續步驟
首先要設定基準層級的保護。 如有需要,您也可以新增 敏感性保護 和 高度敏感性保護 。
相關主題
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: