Recomendaciones de directiva para proteger chats, grupos y archivos de Teams
En este artículo se describe cómo implementar las directivas recomendadas Confianza cero identidad y acceso a dispositivos para proteger los chats, grupos y contenido de Microsoft Teams, como archivos y calendarios. Esta guía se basa en las directivas comunes de identidad y acceso a dispositivos, con información adicional específica de Teams. Dado que Teams se integra con nuestros otros productos, consulte también Recomendaciones de directivas para proteger sitios y archivos de SharePoint yRecomendaciones de directivas para proteger el correo electrónico.
Estas recomendaciones se basan en tres niveles diferentes de seguridad y protección para Teams que se pueden aplicar en función de la granularidad de sus necesidades: punto de partida, empresa y seguridad especializada. Puede obtener más información sobre estos niveles de seguridad y las directivas recomendadas a las que hacen referencia estas recomendaciones en las configuraciones de acceso a dispositivos y identidades.
En este artículo se incluyen más recomendaciones específicas para la implementación de Teams para cubrir circunstancias de autenticación específicas, incluidos los usuarios de fuera de la organización. Tendrá que seguir esta guía para obtener una experiencia de seguridad completa.
Introducción a Teams antes de otros servicios dependientes
No es necesario habilitar los servicios dependientes para empezar a trabajar con Microsoft Teams. Estos servicios "solo funcionarán". Sin embargo, debe estar preparado para administrar los siguientes elementos relacionados con el servicio:
- Grupos de Microsoft 365
- Sitios de grupo de SharePoint
- OneDrive para la Empresa
- Buzones de Exchange
- Stream vídeos y planes de Planner (si estos servicios están habilitados)
Actualización de directivas comunes para incluir Teams
Para proteger el chat, los grupos y el contenido en Teams, en el diagrama siguiente se muestran las directivas que se van a actualizar a partir de las directivas comunes de acceso a dispositivos e identidades. Para que cada directiva se actualice, asegúrese de que Teams y los servicios dependientes se incluyen en la asignación de aplicaciones en la nube.
Estos servicios son los servicios dependientes que se deben incluir en la asignación de aplicaciones en la nube para Teams:
- Microsoft Teams
- SharePoint y OneDrive para la Empresa
- Exchange Online
- Skype Empresarial Online
- Microsoft Stream (grabaciones de reuniones)
- Microsoft Planner (tareas Planner y datos del plan)
En esta tabla se enumeran las directivas que se deben revisar y los vínculos a cada directiva en las directivas comunes de acceso a dispositivos e identidades, que tiene el conjunto de directivas más amplio para todas las aplicaciones de Office.
| Nivel de protección | Directivas | Más información sobre la implementación de Teams |
|---|---|---|
| Punto de inicio | Requerir MFA cuando el riesgo de inicio de sesión es medio o alto | Asegúrese de que Teams y los servicios dependientes se incluyen en la lista de aplicaciones. Teams también tiene reglas de acceso de invitado y acceso externo que se deben tener en cuenta. Más adelante en este artículo obtendrá más información sobre estas reglas. |
| Bloquear a los clientes que no sean compatibles con la autenticación moderna | Incluya Teams y servicios dependientes en la asignación de aplicaciones en la nube. | |
| Los usuarios de riesgo alto tienen que cambiar la contraseña | Obliga a los usuarios de Teams a cambiar su contraseña al iniciar sesión si se detecta actividad de alto riesgo para su cuenta. Asegúrese de que Teams y los servicios dependientes se incluyen en la lista de aplicaciones. | |
| Aplicación de directivas de protección de datos de APLICACIONES | Asegúrese de que Teams y los servicios dependientes se incluyen en la lista de aplicaciones. Actualice la directiva para cada plataforma (iOS, Android, Windows). | |
| Empresarial | Requerir MFA cuando el riesgo de inicio de sesión es bajo, medio o alto | Teams también tiene reglas de acceso de invitado y acceso externo que se deben tener en cuenta. Más adelante en este artículo obtendrá más información sobre estas reglas. Incluya Teams y los servicios dependientes en esta directiva. |
| Definición de directivas de cumplimiento de dispositivos | Incluya Teams y los servicios dependientes en esta directiva. | |
| Requerir equipos compatibles y dispositivos móviles | Incluya Teams y los servicios dependientes en esta directiva. | |
| Seguridad especializada | Siempre se requiere MFA | Independientemente de la identidad del usuario, la organización usará MFA. Incluya Teams y los servicios dependientes en esta directiva. |
Arquitectura de servicios dependientes de Teams
Como referencia, en el diagrama siguiente se muestran los servicios en los que se basa Teams. Para obtener más información e ilustraciones, consulte Microsoft Teams y los servicios de productividad relacionados en Microsoft 365 para arquitectos de TI.
Acceso de invitado y externo para Teams
Microsoft Teams define los siguientes tipos de acceso:
El acceso de invitado usa una cuenta B2B de Microsoft Entra para un usuario invitado o externo que se puede agregar como miembro de un equipo y tener acceso con permiso a la comunicación y los recursos del equipo.
El acceso externo es para un usuario externo que no tiene una cuenta B2B Microsoft Entra. El acceso externo puede incluir invitaciones y participación en llamadas, chats y reuniones, pero no incluye la pertenencia al equipo ni el acceso a los recursos del equipo.
Las directivas de acceso condicional solo se aplican al acceso de invitado en Teams porque hay una cuenta B2B Microsoft Entra correspondiente.
Para ver las directivas recomendadas para permitir el acceso a usuarios invitados y externos con una cuenta B2B Microsoft Entra, consulte Directivas para permitir el acceso a la cuenta B2B externa y de invitado.
Acceso de invitado a Teams
Además de las directivas para los usuarios que son internos de su empresa u organización, los administradores pueden habilitar el acceso de invitado para permitir, de usuario a usuario, a personas externas a su empresa o organización acceder a los recursos de Teams e interactuar con personas internas para cosas como conversaciones de grupo, chat y reuniones.
Para obtener más información sobre el acceso de invitado y cómo implementarlo, consulte Acceso de invitado de Teams.
Acceso externo en Teams
El acceso externo a veces se confunde con el acceso de invitado, por lo que es importante tener claro que estos dos mecanismos de acceso no internos son diferentes tipos de acceso.
El acceso externo es una manera para que los usuarios de Teams de un dominio externo completo busquen, llamen, chatee y configuren reuniones con los usuarios de Teams. Los administradores de Teams configuran el acceso externo en el nivel de organización. Para obtener más información, consulte Administración del acceso externo en Microsoft Teams.
Los usuarios de acceso externo tienen menos acceso y funcionalidad que una persona que se ha agregado a través del acceso de invitado. Por ejemplo, los usuarios de acceso externo pueden chatear con los usuarios internos con Teams, pero no pueden acceder a canales de equipo, archivos u otros recursos.
El acceso externo no usa Microsoft Entra cuentas de usuario B2B y, por tanto, no usa directivas de acceso condicional.
Directivas de Teams
Fuera de las directivas comunes enumeradas anteriormente, hay directivas específicas de Teams que se pueden y deben configurar para administrar diversas funcionalidades de Teams.
Directivas de teams y canales
Teams y los canales son dos elementos de uso común en Microsoft Teams y hay directivas que puede implementar para controlar lo que los usuarios pueden y no pueden hacer al usar equipos y canales. Aunque puede crear un equipo global, si su organización tiene 5000 usuarios o menos, es probable que le resulte útil tener equipos y canales más pequeños para fines específicos, en consonancia con sus necesidades organizativas.
Se recomienda cambiar la directiva predeterminada o crear directivas personalizadas, y puede obtener más información sobre cómo administrar las directivas en este vínculo: Administrar directivas de teams en Microsoft Teams.
Directivas de mensajería
La mensajería o el chat también se pueden administrar a través de la directiva global predeterminada o a través de directivas personalizadas, lo que puede ayudar a los usuarios a comunicarse entre sí de una manera adecuada para su organización. Esta información se puede revisar en Administración de directivas de mensajería en Teams.
Directivas de reunión
No se completaría ninguna discusión de Teams sin planear e implementar directivas en torno a las reuniones de Teams. Las reuniones son un componente esencial de Teams, lo que permite a los usuarios reunirse formalmente y presentar a muchos usuarios a la vez, y compartir contenido relevante para la reunión. Es esencial establecer las directivas adecuadas para su organización en torno a las reuniones.
Para obtener más información, consulte Administrar directivas de reunión en Teams.
Directivas de permisos de aplicación
Teams también le permite usar aplicaciones en varios lugares, como canales o chats personales. Tener directivas en torno a qué aplicaciones se pueden agregar y usar, y dónde, es esencial para mantener un entorno rico en contenido que también sea seguro.
Para obtener más información sobre las directivas de permisos de aplicación, consulte Administrar directivas de permisos de aplicación en Microsoft Teams.
Pasos siguientes
Configurar directivas de acceso condicional para:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de