Recommandations de stratégie pour la sécurisation des conversations, des groupes et des fichiers Teams
Cet article explique comment implémenter les stratégies d’accès aux identités et aux appareils Confiance nulle recommandées pour protéger les conversations, les groupes et le contenu Microsoft Teams, tels que les fichiers et les calendriers. Ce guide s’appuie sur les stratégies d’identité et d’accès aux appareils communes, avec des informations supplémentaires spécifiques à Teams. Étant donné que Teams s’intègre à nos autres produits, consultez également Recommandations de stratégie pour la sécurisation des sites et des fichiers SharePoint et Recommandations de stratégie pour la sécurisation de la messagerie.
Ces recommandations sont basées sur trois niveaux différents de sécurité et de protection pour Teams qui peuvent être appliqués en fonction de la granularité de vos besoins : le point de départ, l’entreprise et la sécurité spécialisée. Vous pouvez en savoir plus sur ces niveaux de sécurité et les stratégies recommandées référencées par ces recommandations dans les configurations d’identité et d’accès aux appareils.
D’autres recommandations spécifiques au déploiement de Teams sont incluses dans cet article pour couvrir des circonstances d’authentification spécifiques, y compris pour les utilisateurs en dehors de votre organization. Vous devez suivre ces instructions pour une expérience de sécurité complète.
Prise en main de Teams avant d’autres services dépendants
Vous n’avez pas besoin d’activer les services dépendants pour commencer à utiliser Microsoft Teams. Ces services fonctionneront tous « simplement ». Toutefois, vous devez être prêt à gérer les éléments liés au service suivants :
- Groupes Microsoft 365
- Sites d’équipe SharePoint
- OneDrive Entreprise
- Les boîtes aux lettres Exchange
- Stream des vidéos et des plans Planificateur (si ces services sont activés)
Mise à jour des stratégies courantes pour inclure Teams
Pour protéger les conversations, les groupes et le contenu dans Teams, le diagramme suivant illustre les stratégies à mettre à jour à partir des stratégies d’identité et d’accès aux appareils courantes. Pour chaque stratégie à mettre à jour, assurez-vous que Teams et les services dépendants sont inclus dans l’attribution des applications cloud.
Ces services sont les services dépendants à inclure dans l’attribution d’applications cloud pour Teams :
- Microsoft Teams
- SharePoint et OneDrive Entreprise
- Exchange Online
- Skype Entreprise Online
- Microsoft Stream (enregistrements de réunion)
- Planificateur Microsoft (Planificateur tâches et données de plan)
Ce tableau répertorie les stratégies qui doivent être revisitées et établit des liens vers chaque stratégie dans les stratégies communes d’identité et d’accès aux appareils, qui ont l’ensemble de stratégies plus large pour toutes les applications Office.
Niveau de protection | Stratégies | Informations supplémentaires sur l’implémentation de Teams |
---|---|---|
Point de départ | Exiger l’authentification multifacteur lorsque le risque de connexion est moyen ou élevé | Assurez-vous que Teams et les services dépendants sont inclus dans la liste des applications. Teams a également des règles d’accès invité et d’accès externe à prendre en compte. Vous en apprendrez plus sur ces règles plus loin dans cet article. |
Bloquer les clients ne prenant pas en charge l’authentification moderne | Incluez Teams et les services dépendants dans l’attribution des applications cloud. | |
Les utilisateurs à risque élevé doivent modifier leur mot de passe | Force les utilisateurs Teams à modifier leur mot de passe lors de la connexion si une activité à haut risque est détectée pour leur compte. Assurez-vous que Teams et les services dépendants sont inclus dans la liste des applications. | |
Appliquer des stratégies de protection des données d’application | Assurez-vous que Teams et les services dépendants sont inclus dans la liste des applications. Mettez à jour la stratégie pour chaque plateforme (iOS, Android, Windows). | |
Enterprise | Exiger l’authentification multifacteur lorsque le risque de connexion est faible, moyen ou élevé | Teams a également des règles d’accès invité et d’accès externe à prendre en compte. Vous en apprendrez plus sur ces règles plus loin dans cet article. Incluez Teams et les services dépendants dans cette stratégie. |
Définir des stratégies de conformité des appareils | Incluez Teams et les services dépendants dans cette stratégie. | |
Exiger des PC et des appareils mobiles conformes | Incluez Teams et les services dépendants dans cette stratégie. | |
Sécurité spécialisée | Toujours exiger l’authentification multifacteur | Quelle que soit l’identité de l’utilisateur, l’authentification multifacteur sera utilisée par votre organization. Incluez Teams et les services dépendants dans cette stratégie. |
Architecture des services dépendants de Teams
Pour référence, le diagramme suivant illustre les services sur lesquels Teams s’appuie. Pour plus d’informations et d’illustrations, consultez Microsoft Teams et les services de productivité associés dans Microsoft 365 pour les architectes informatiques.
Accès invité et externe pour Teams
Microsoft Teams définit les types d’accès suivants :
L’accès invité utilise un compte Microsoft Entra B2B pour un utilisateur invité ou externe qui peut être ajouté en tant que membre d’une équipe et avoir tous les accès autorisés à la communication et aux ressources de l’équipe.
L’accès externe s’adresse à un utilisateur externe qui n’a pas de compte B2B Microsoft Entra. L’accès externe peut inclure des invitations et la participation à des appels, des conversations et des réunions, mais n’inclut pas l’appartenance à l’équipe et l’accès aux ressources de l’équipe.
Les stratégies d’accès conditionnel s’appliquent uniquement à l’accès invité dans Teams, car il existe un compte Microsoft Entra B2B correspondant.
Pour connaître les stratégies recommandées pour autoriser l’accès aux utilisateurs invités et externes disposant d’un compte B2B Microsoft Entra, consultez Stratégies d’autorisation de l’accès aux comptes B2B invités et externes.
Accès invité dans Microsoft Teams
En plus des stratégies pour les utilisateurs internes à votre entreprise ou à votre organization, les administrateurs peuvent activer l’accès invité pour autoriser, utilisateur par utilisateur, des personnes externes à votre entreprise ou organization à accéder aux ressources Teams et à interagir avec des personnes internes pour des choses telles que les conversations de groupe, les conversations et les réunions.
Pour plus d’informations sur l’accès invité et la façon de l’implémenter, consultez Accès invité Teams.
Accès externe dans Teams
L’accès externe est parfois confondu avec l’accès invité. Il est donc important de bien comprendre que ces deux mécanismes d’accès non internes sont différents types d’accès.
L’accès externe est un moyen pour les utilisateurs Teams d’un domaine externe entier de rechercher, d’appeler, de discuter et de configurer des réunions avec vos utilisateurs dans Teams. Les administrateurs Teams configurent l’accès externe au niveau organization. Pour plus d’informations, consultez Gérer l’accès externe dans Microsoft Teams.
Les utilisateurs d’accès externe ont moins d’accès et de fonctionnalités qu’une personne qui a été ajoutée via l’accès invité. Par exemple, les utilisateurs d’accès externe peuvent discuter avec vos utilisateurs internes avec Teams, mais ils ne peuvent pas accéder aux canaux d’équipe, aux fichiers ou à d’autres ressources.
L’accès externe n’utilise pas Microsoft Entra comptes d’utilisateur B2B et n’utilise donc pas de stratégies d’accès conditionnel.
Stratégies Teams
En dehors des stratégies courantes répertoriées ci-dessus, il existe des stratégies spécifiques à Teams qui peuvent et doivent être configurées pour gérer différentes fonctionnalités Teams.
Stratégies Teams et canaux
Teams et les canaux sont deux éléments couramment utilisés dans Microsoft Teams, et il existe des stratégies que vous pouvez mettre en place pour contrôler ce que les utilisateurs peuvent et ne peuvent pas faire lors de l’utilisation d’équipes et de canaux. Bien que vous puissiez créer une équipe globale, si votre organization compte 5 000 utilisateurs ou moins, vous trouverez probablement utile d’avoir des équipes et des canaux plus petits à des fins spécifiques, en fonction des besoins de votre organisation.
Il est recommandé de modifier la stratégie par défaut ou de créer des stratégies personnalisées. Pour en savoir plus sur la gestion de vos stratégies, consultez ce lien : Gérer les stratégies d’équipes dans Microsoft Teams.
Stratégies de messagerie
La messagerie ou la conversation peuvent également être gérées par le biais de la stratégie globale par défaut ou de stratégies personnalisées, ce qui peut aider vos utilisateurs à communiquer entre eux d’une manière adaptée à votre organization. Ces informations peuvent être consultées dans Gestion des stratégies de messagerie dans Teams.
Stratégies de réunion
Aucune discussion sur Teams ne serait complète sans planification et implémentation de stratégies autour des réunions Teams. Les réunions sont un composant essentiel de Teams, qui permet aux personnes de se rencontrer et de présenter officiellement à de nombreux utilisateurs à la fois, et de partager du contenu pertinent pour la réunion. Il est essentiel de définir les stratégies appropriées pour votre organization autour des réunions.
Pour plus d’informations, consultez Gérer les stratégies de réunion dans Teams.
Stratégies d’autorisation d’application
Teams vous permet également d’utiliser des applications dans différents endroits, tels que des canaux ou des conversations personnelles. Il est essentiel de disposer de stratégies sur les applications qui peuvent être ajoutées et utilisées, et où, pour maintenir un environnement riche en contenu qui est également sécurisé.
Pour plus d’informations sur les stratégies d’autorisation d’application, case activée gérer les stratégies d’autorisation d’application dans Microsoft Teams.
Prochaines étapes
Configurer les stratégies d'accès conditionnel pour :
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour