Konfigurieren von Teams mit drei Schutzebenen

Die Artikel in dieser Reihe bieten Empfehlungen, wie Teams in Microsoft Teams und deren zugehörigen SharePoint-Websites für den Dateischutz so konfiguriert werden können, dass sowohl die Sicherheit als auch eine einfache Zusammenarbeit sichergestellt sind.

In diesem Artikel werden vier verschiedene Konfigurationen, beginnend mit einem öffentlichen Team mit sehr offenen Freigaberichtlinien definiert. Jede zusätzliche Konfiguration stellt einen sinnvollen Schritt im Hinblick auf einen zusätzlichen Schutz dar, die Möglichkeit des Zugriffs auf und der Zusammenarbeit an Dateien in Teams wird jedoch auf die entsprechenden Teammitglieder reduziert.

Die Konfigurationen in diesem Artikel sind auf die Microsoft-Empfehlungen für drei Schutzebenen für Daten, Identitäten und Geräte ausgerichtet:

  • Grundlegender Schutz

  • Schutz sensibler Daten

  • Schutz vertraulicher Daten

Für weitere Informationen zu diesen Ebenen und Funktionen, die für jede Ebene empfohlen werden, lesen Sie Illustrationen zu Microsoft Cloud für Enterprise-Architekten

Drei Ebenen auf einen Blick

Die folgende Tabelle enthält die Konfigurationen für jede Ebene. Verwenden Sie diese Konfigurationen als Ausgangsempfehlungen, und passen Sie die Websitekonfigurationen entsprechend den Bedürfnissen Ihrer Organisation an. Sie benötigen möglicherweise nicht jede Ebene.

- Basisplan (öffentlich) Basisplan (privat) Vertraulich Streng vertraulich
Privates oder öffentliches Team Öffentlich Private Private Private
Wer hat Zugriff? Alle Benutzer in der Organisation, einschließlich der B2B-Benutzer. Nur Mitglieder des Teams. Andere Benutzer können den Zugriff auf die zugeordnete Website anfordern. Nur Mitglieder des Teams. Nur Mitglieder des Teams.
Private Kanäle Teambesitzer und -mitglieder können private Kanäle erstellen. Teambesitzer und -mitglieder können private Kanäle erstellen. Nur Teambesitzer können private Kanäle erstellen. Nur Teambesitzer können private Kanäle erstellen.
Gastzugriff auf Websiteebene Neue und vorhandene Gäste (standardmäßig). Neue und vorhandene Gäste (standardmäßig). Neue und vorhandene Gäste oder Nur Personen in Ihrer Organisation, je nach den Teamanforderungen. Neue und vorhandene Gäste oder Nur Personen in Ihrer Organisation, je nach den Teamanforderungen.
Freigabeeinstellungen für Websites Websitebesitzer und -mitglieder sowie Personen mit Bearbeitungsberechtigungen können Dateien und Ordner freigeben, aber nur Websitebesitzer können die Website freigeben. Websitebesitzer und -mitglieder sowie Personen mit Bearbeitungsberechtigungen können Dateien und Ordner freigeben, aber nur Websitebesitzer können die Website freigeben. Websitebesitzer und -mitglieder sowie Personen mit Bearbeitungsberechtigungen können Dateien und Ordner freigeben, aber nur Websitebesitzer können die Website freigeben. Nur Websitebesitzer können Dateien, Ordner und die Website teilen.
Zugriffsanforderungen Aus.
Zugriff von nicht verwalteten Geräten auf Websiteebene Vollzugriff über Desktop-Apps, mobile Apps und das Internet (standardmäßig). Vollzugriff über Desktop-Apps, mobile Apps und das Internet (standardmäßig). Eingeschränkten, reinen Webzugriff zulassen. Zugriff blockieren.
Standardmäßiger Freigabe-Linktyp Nur Personen in Ihrer Organisation Nur Personen in Ihrer Organisation Bestimmte Personen Personen mit vorhandenem Zugriff
Vertraulichkeitsbezeichnungen Keine Keine Vertraulichkeitsbezeichnung zur Klassifizierung des Teams und zur Steuerung der Gastfreigabe und des nicht verwalteten Gerätezugriffs. Vertraulichkeitsbezeichnung zur Klassifizierung des Teams und zur Steuerung der Gastfreigabe und des nicht verwalteten Gerätezugriffs. Die Bezeichnung kann auch für Dateien verwendet werden, um Dateien zu verschlüsseln.

Eine Variation der Option „Streng vertraulich“, Teams mit Sicherheitsisolierung verwendet eine eindeutige Vertraulichkeitsbezeichnung für ein Team, das zusätzliche Sicherheit bietet. Sie können diese Bezeichnung verwenden, um Dateien zu verschlüsseln, und nur Mitglieder dieses Teams können diese lesen.

Der grundlegende Schutz enthält jeweils öffentliche und private Teams. Öffentliche Teams können von allen Benutzern in der Organisation ermittelt werden und alle haben Zugriff auf diese. Private Teams können nur von Mitgliedern des Standorts ermittelt werden und nur diese haben Zugriff auf diese. Beide Konfigurationen schränken die Freigabe der zugehörigen SharePoint-Website nur auf Teambesitzer ein, um die Berechtigungsverwaltung zu unterstützen.

Teams für vertraulichen und streng vertraulichen Schutz sind private Teams, in denen die Freigabe und das Anfordern von Zugriff für die zugeordnete Website eingeschränkt ist und Vertraulichkeitsbezeichnungen zum Festlegen von Richtlinien für die gemeinsame Nutzung, den Gerätezugriff und die Inhaltsverschlüsselung verwendet werden.

Vertraulichkeitsbezeichnungen

Die Ebenen „Vertraulich“ und „Streng vertraulich“ verwenden Vertraulichkeitsbezeichnungen, um das Team und die zugehörigen Dateien zu schützen. Um diese Ebenen einzuführen, müssen Sie Vertraulichkeitsbezeichnungen zum Schutz von Inhalten in Microsoft Teams, Office 365-Gruppen und SharePoint-Websites aktivieren.

Während auf der Basisebene keine Vertraulichkeitsbezeichnungen erforderlich sind, sollten Sie erwägen, eine "allgemeine" Bezeichnung zu erstellen und dann zu verlangen, dass alle Teams eine Bezeichnung erhalten. Auf diese Weise können Sie sicherstellen, dass die Benutzer die Vertraulichkeit beim Erstellen eines Teams bewusst auswählen. Wenn Sie die Ebenen „Vertraulich“ und „Streng vertraulich“ bereitstellen möchten, empfiehlt es sich, eine "allgemeine" Bezeichnung zu erstellen, die Sie für Basisplan-Teams und für Dateien verwenden können, die nicht vertraulich sind.

Wenn Sie mit der Verwendung von Vertraulichkeitsbezeichnungen noch nicht vertraut sind, empfehlen wir Ihnen, Erste Schritte mit Vertraulichkeitsbezeichnungen zu lesen.

Wenn Sie in Ihrer Organisation bereits Vertraulichkeitsbezeichnungen eingeführt haben, sollten Sie bedenken, wie die in den Ebenen „Vertraulich“ und „Streng vertraulich“ verwendeten Bezeichnungen Ihrer Gesamtstrategie für Bezeichnungen entsprechen.

Die SharePoint-Website freigeben

Jedes Team verfügt über eine zugeordnete SharePoint-Website, auf der Dokumente gespeichert werden. (Dies ist die Registerkarte "Dateien" in einem Teams-Kanal.) Die SharePoint-Website behält ihre eigene Berechtigungsverwaltung, ist aber mit Teamberechtigungen verknüpft. Teambesitzer werden als Websitebesitzer und Teammitglieder als Websitemitglieder in der zugehörigen Website einbezogen.

Die resultierenden Berechtigungen ermöglichen Folgendes:

  • Teambesitzer können die Website verwalten und haben Vollzugriff auf die Websiteinhalte.
  • Teammitglieder können Dateien auf der Website erstellen und bearbeiten.

Standardmäßig können Teambesitzer und -mitglieder die Website selbst für Personen außerhalb des Teams freigeben, ohne Sie dem Team hinzuzufügen. Wir empfehlen, dies zu vermeiden, da es die Benutzerverwaltung erschwert und dazu führen kann, dass Personen, die keine Teammitglieder sind, Zugriff auf Teamdateien haben, ohne dass Teambesitzer dies bemerken. Um dies zu verhindern, empfiehlt es sich den direkten Zugriff auf die Website von der grundlegenden Schutzebene auf zu ermöglichen.

Obwohl Teams keine schreibgeschützte Berechtigungsoption haben, hat die SharePoint-Website eine. Wenn Sie Beteiligte von Partnergruppen haben, die in der Lage sein sollen, Teamdateien anzuzeigen ohne sie zu bearbeiten, sollten Sie diese direkt der SharePoint-Website mit Leseberechtigungen hinzufügen.

Freigeben von Dateien und Ordnern

Besitzer und Mitglieder des Teams können standardmäßig Dateien und Ordner für Personen außerhalb des Teams freigeben. Dazu gehören möglicherweise Personen außerhalb Ihrer Organisation, wenn Sie die Gastfreigabe zugelassen haben. In allen drei Ebenen wird der standardmäßige Freigabe-Linktyp aktualisiert, um versehentliche Freigabe zu vermeiden. In der Ebene „Streng vertraulich“ wird eine solche Freigabe nur auf Teambesitzer beschränkt.

Gastfreigabe

Wenn Sie mit Personen außerhalb Ihrer Organisation zusammenarbeiten müssen, empfiehlt es sich, SharePoint- und OneDrive-Integration mit Azure AD B2B für optimale Freigabe- und Verwaltungsfunktionen zu konfigurieren.

Die Teams-Gastfreigabe ist standardmäßig aktiviert. Sie können sie jedoch bei Bedarf auf den Ebenen "Vertraulich" und "Hochsensible" deaktivieren, indem Sie eine Vertraulichkeitsbezeichnung verwenden.

Auf der Ebene „Streng vertraulich“ wird die Vertraulichkeitsbezeichnung so konfiguriert, dass Dateien, auf die Sie angewendet wurde, verschlüsselt sind. Wenn Sie möchten, dass Gäste auf diese Dateien zugreifen können, müssen Sie ihnen bei der Erstellung der Bezeichnung die entsprechenden Berechtigungen erteilen.

Es wird dringend empfohlen, dass Sie die Gastfreigabe für die Grundebene aktiviert lassen und für die Ebenen „Vertraulich“ und „Streng vertraulich“ aktivieren, wenn Sie mit Personen außerhalb Ihrer Organisation zusammenarbeiten müssen. Die Gastfreigabefunktionen in Microsoft 365 bieten eine viel sicherere und steuerbare Freigabefunktionalität als das Senden von Dateien als Anlagen in E-Mail-Nachrichten. Außerdem verringert sich das Risiko der Schatten-IT, wenn Benutzer nicht geregelte Verbraucherprodukte verwenden, um mit legitimen externen Mitarbeiter Daten und Dateien auszutauschen.

Lesen Sie die folgenden Verweise, um eine sichere und produktive Gastumgebung für Ihre Organisation zu erstellen:

Zugriff von nicht verwalteten Geräten aus

Bei den Ebenen „Vertraulich“ und „Streng vertraulich“ wird der Zugriff auf SharePoint-Inhalte mit Vertraulichkeitsbezeichnungen eingeschränkt. Der bedingte Zugriff über Azure AD bietet zahlreiche Optionen, um zu bestimmen, wie Personen auf Microsoft 365 zugreifen, einschließlich Einschränkungen basierend auf Standort, Risiko, Gerätekonformität und anderen Faktoren. Wir empfehlen Ihnen, den Artikel Was ist bedingter Zugriff? zu lesen, und sich zu überlegen, welche zusätzlichen Richtlinien für Ihre Organisation geeignet sein könnten.

Beachten Sie, dass Gäste oft keine Geräte haben, die von Ihrer Organisation verwaltet werden. Wenn Sie Gäste in eine der Ebenen erlauben, überlegen Sie, welche Arten von Geräten diese für den Zugriff auf Teams und Websites verwenden, und legen Sie Ihre Richtlinien für nicht verwaltete Geräte entsprechend fest.

Steuern des Gerätezugriffs in Microsoft 365

Die Einstellung für nicht verwaltete Geräte in Vertraulichkeitsbezeichnungen wirkt sich nur auf den SharePoint-Zugriff aus. Wenn Sie die Kontrolle über nicht verwaltete Geräte über SharePoint hinaus erweitern möchten, können Sie stattdessen eine Azure Active Directory-Richtlinie für bedingten Zugriff für alle Apps und Dienste in Ihrer Organisation erstellen. Um diese Richtlinie speziell für Microsoft 365-Dienste zu konfigurieren, wählen Sie die Office 365-Cloud-App unter Cloud-Apps oder -Aktionen aus.

Screenshot der Office 365-Cloud-App in einer Azure Active Directory-Richtlinie für den bedingten Zugriff.

Die Verwendung einer Richtlinie, die alle Microsoft 365-Dienste betrifft, kann zu einer besseren Sicherheit und einer besseren Benutzererfahrung führen. Wenn Sie beispielsweise nur den Zugriff auf nicht verwaltete Geräte in SharePoint blockieren, können Benutzer auf den Chat in einem Team mit einem nicht verwalteten Gerät zugreifen, verlieren jedoch den Zugriff, wenn sie versuchen, auf die Registerkarte Dateien zuzugreifen. Durch die Verwendung der Office 365-Cloud-App können Probleme mit Dienstabhängigkeiten vermieden werden.

Nächster Schritt

Beginnen Sie mit dem Konfigurieren der grundlegenden Schutzebene. Bei Bedarf können Sie einen Schutz sensibler Daten oder einen Schutz vertraulicher Daten zusätzlich zum Basisplan hinzufügen.

Siehe auch

Sicherheit und Compliance in Microsoft Teams

Warnungsrichtlinien im Security & Compliance Center