Configurar Teams con tres niveles de protección
En los artículo de esta serie se ofrecen recomendaciones para configurar equipos en Microsoft Teams y sus sitios de SharePoint asociados, de forma que se equilibre la seguridad con la facilidad de colaboración.
En este artículo se definen cuatro configuraciones diferentes, comenzando por un equipo público con las directivas de uso compartido más abiertas. Cada configuración adicional representa un paso significativo en la protección, mientras que la capacidad para obtener acceso y colaborar en archivos almacenados en equipos se reduce al conjunto relevante de miembros del equipo.
Las configuraciones que se explican en este artículo concuerdan con las recomendaciones de Microsoft para los tres niveles de protección de datos, identidades y dispositivos:
Protección de base de referencia
protección confidencial
Protección altamente confidencial
Para más información sobre estos niveles y capacidades recomendadas para cada nivel, vea Ilustraciones de la nube de Microsoft para arquitectos empresariales
Tres niveles de un vistazo
En la tabla siguiente se resumen las configuraciones para cada nivel. Use estas configuraciones como punto de partida y ajuste las configuraciones para satisfacer las necesidades de la organización. Es posible que no necesite todos los niveles.
| - | Línea de base (pública) | Línea de base (privada) | Confidencial | Altamente confidencial |
|---|---|---|---|---|
| Equipo privado o público | Público | Private | Private | Private |
| ¿Quién tiene acceso? | Todos los usuarios de la organización, incluidos los usuarios B2B. | Solo los miembros del equipo. Otros usuarios pueden solicitar acceso al sitio asociado. | Solo los miembros del equipo. | Solo los miembros del equipo. |
| Canales privados | Los propietarios y miembros pueden crear canales privados | Los propietarios y miembros pueden crear canales privados | Solo los propietarios pueden crear canales privados | Solo los propietarios pueden crear canales privados |
| Acceso de invitado en el nivel de sitio | Invitados nuevos y existentes (predeterminado). | Invitados nuevos y existentes (predeterminado). | Invitados nuevos y existentes o Solo las personas de su organización en función de las necesidades del equipo. | Invitados nuevos y existentes o Solo las personas de su organización en función de las necesidades del equipo. |
| Configuración de uso compartido del sitio | Los propietarios y los miembros del sitio, y las personas con permisos de edición pueden compartir archivos y carpetas, pero solo los propietarios del sitio pueden compartir el sitio. | Los propietarios y los miembros del sitio, y las personas con permisos de edición pueden compartir archivos y carpetas, pero solo los propietarios del sitio pueden compartir el sitio. | Los propietarios y los miembros del sitio, y las personas con permisos de edición pueden compartir archivos y carpetas, pero solo los propietarios del sitio pueden compartir el sitio. | Solo los propietarios del sitio pueden compartir archivos, carpetas y el sitio. Solicitudes de acceso desactivadas. |
| Acceso de un dispositivo no administrado a nivel de sitio | Acceso total desde aplicaciones de escritorio, aplicaciones móviles y la web (predeterminado). | Acceso total desde aplicaciones de escritorio, aplicaciones móviles y la web (predeterminado). | Permitir el acceso limitado, solo a través de la web. | Bloquear acceso. |
| Tipo de vínculo para compartir predeterminado | Solo personas de la organización | Solo personas de la organización | Usuarios específicos | Personas que tienen acceso ya existente |
| Etiquetas de confidencialidad | Ninguno | Ninguno | Etiqueta de confidencialidad usada para clasificar el equipo y controlar el uso compartido de invitado y el acceso de dispositivos no administrados. | Etiqueta de confidencialidad usada para clasificar el equipo y controlar el uso compartido de invitado y el acceso de dispositivos no administrados. La etiqueta también se puede usar en archivos para encriptar archivos. |
Una variación de la opción altamente confidencial, Equipos con aislamiento de seguridad usa una etiqueta de confidencialidad exclusiva para un equipo, lo que proporciona seguridad adicional. Puede usar esta etiqueta para cifrar archivos y solo podrán leerlos los miembros de ese equipo.
La protección de línea base incluye equipos públicos privados. Los equipos públicos son aquellos visibles y accesibles por cualquier persona de la organización. Los equipos privados solo pueden detectarlos y acceder a ellos los miembros del equipo. Ambas configuraciones restringen el uso compartido del sitio de SharePoint asociado a los propietarios del equipo para ayudar en la administración de permisos.
Los equipos para la protección confidencial y altamente confidencial son equipos privados en los que el uso compartido y la solicitud de acceso para el sitio asociado son limitados y las etiquetas de confidencialidad se usan para establecer directivas en relación con el uso compartido de invitados, el acceso a dispositivos y el cifrado de contenido.
Etiquetas de confidencialidad
Los niveles confidenciales y muy confidenciales usan etiquetas de confidencialidad para ayudar a proteger el equipo y sus archivos. Para implementar estos niveles, debe habilitar etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Office 365 y sitios de SharePoint.
Aunque el nivel de línea base no requiere etiquetas de confidencialidad, considere la posibilidad de crear una etiqueta "general" y requerir que todos los equipos tengan la etiqueta. Esto ayudará a garantizar que los usuarios hagan una elección consciente sobre la confidencialidad cuando creen un equipo. Si tiene previsto implementar niveles confidenciales o altamente confidenciales, le recomendamos que cree una etiqueta "general" que pueda usar para los equipos de línea base y para los archivos que no son confidenciales.
Si es nuevo en el uso de etiquetas de confidencialidad, le recomendamos que lea Empezar a usar las etiquetas de confidencialidad para comenzar.
Si ya ha implementado etiquetas de confidencialidad en la organización, tenga en cuenta que las etiquetas utilizadas en los niveles confidenciales y muy confidenciales se ajustan a la estrategia general de la etiqueta.
Compartir el sitio de SharePoint
Cada equipo tiene un sitio de SharePoint asociado en el que se almacenan los documentos. (Esta es la pestaña Archivos en un canal de equipos). El sitio de SharePoint conserva su propia administración de permisos, pero se vincula a los permisos de equipo. Los propietarios del equipo se incluyen como propietarios del sitio y los miembros del equipo se incluyen como miembros del sitio en el sitio asociado.
Los permisos resultantes permiten lo siguiente:
- Que los propietarios de los equipos administren el sitio y tengan control total sobre el contenido del sitio.
- Que los miembros de los equipos puedan crear y editar archivos en el sitio.
De forma predeterminada, los propietarios y miembros del equipo pueden compartir el sitio con personas ajenas al equipo sin tener que agregarlos al equipo. Se recomienda no hacerlo ya que complica la administración de usuarios y puede dar lugar a que personas que no son miembros del equipo tengan acceso a los archivos del equipo sin que los propietarios del equipo se den cuenta. Para ayudar a evitar esto, comenzando por el nivel de línea base de protección, se recomienda permitir que solo los propietarios puedan compartir el sitio directamente.
Aunque los equipos no tienen una opción de permisos de solo lectura, el sitio de SharePoint sí. Si tiene partes interesadas de grupos de partners que necesitan poder ver los archivos del equipo pero no modificarlos, considere la posibilidad de agregarlos directamente al sitio de SharePoint con permisos de lectura.
Compartir archivos y carpetas
De forma predeterminada, los propietarios y miembros del equipo pueden compartir archivos y carpetas con personas ajenas al equipo. Esto puede incluir personas de fuera de su organización, si ha permitido el uso compartido de invitados. En los tres niveles, actualizamos el tipo de vínculo compartido predeterminado para ayudar a evitar el uso compartido accidental. En el nivel altamente confidencial, restringimos este uso compartido únicamente a los propietarios de equipo.
Uso compartido de invitado
Si necesita colaborar con personas de fuera de su organización, le recomendamos que configure la integración de SharePoint y OneDrive con Azure AD B2B para obtener la mejor experiencia de uso compartido y administración.
El uso compartido de invitados de Teams está activado de forma predeterminada, pero puede desactivarlo si es necesario en los niveles confidencial y altamente confidencial con una etiqueta de confidencialidad.
En la capa altamente confidencial, configuramos la etiqueta de confidencialidad para cifrar los archivos a los que se aplica. Si necesita que los invitados tengan acceso a estos archivos, deberá concederles permisos cuando cree la etiqueta.
Le recomendamos encarecidamente que deje el uso compartido de invitado activado para el nivel de línea base y para los niveles de confidencialidad o altamente confidenciales si necesita colaborar con personas ajenas a su organización. Las características de uso compartido de invitado de Microsoft 365 proporcionan una experiencia de uso compartido mucho más segura y controlada que al enviar archivos como datos adjuntos en mensajes de correo electrónico. También reduce el riesgo de TI en la sombra donde los usuarios usan productos de consumo no controlados para compartir con colaboradores externos legítimos.
Vea las siguientes referencias para crear un entorno de uso compartido de invitado seguro y productivo para su organización:
- Prácticas recomendadas para compartir archivos y carpetas con usuarios no autenticados
- Limitar la exposición accidental de archivos al compartirlos con usuarios externos a la organización
- Crear un entorno seguro de uso compartido para invitados
Acceso desde dispositivos no administrados
Para los niveles confidenciales y altamente confidenciales, restringimos el acceso al contenido de SharePoint con etiquetas de confidencialidad. El acceso condicional de Azure AD ofrece muchas opciones para determinar cómo los usuarios acceden a Microsoft 365, incluyendo limitaciones basadas en la ubicación, el riesgo, el cumplimiento de dispositivos y otros factores. Se recomienda leer ¿Qué es el acceso condicional? y considerar otras directivas que podrían ser adecuadas para su organización.
No olvide que los invitados a menudo no tienen dispositivos administrados por su organización. Si permite invitados en cualquiera de los niveles, tenga en cuenta qué tipos de dispositivos usarán para acceder a equipos y sitios, y establezca las directivas de dispositivos no administrados en consecuencia.
Controlar el acceso a dispositivos en Microsoft 365
La configuración de dispositivos no administrados en etiquetas de confidencialidad solo afecta al acceso a SharePoint. Si quiere expandir el control de dispositivos no administrados más allá de SharePoint, puede Crear una directiva de acceso condicional de Azure Active Directory para todas las aplicaciones y servicios de su organización en su lugar. Para configurar esta directiva específicamente para servicios de Microsoft 365, seleccione la aplicación en la nube de Office 365 en Aplicaciones o acciones en la nube.
El uso de una directiva que afecta a todos los servicios de Microsoft 365 puede dar lugar a una mejor seguridad y una mejor experiencia para los usuarios. Por ejemplo, cuando bloquea el acceso a dispositivos no administrados solo en SharePoint, los usuarios pueden acceder al chat en un equipo con un dispositivo no administrado, pero perderán el acceso cuando intenten acceder a la pestaña Archivos. El uso de la aplicación en la nube de Office 365 ayuda a evitar problemas con las dependencias de servicio.
Paso siguiente
Comience por configurar el nivel de línea base de protección. Si es necesario, puede agregar protección confidencial y protección altamente confidencial además de la línea base.
Consulte también
Seguridad y cumplimiento en Microsoft Teams
Directivas de alerta en el Centro de seguridad y cumplimiento