Konfigurer Teams med tre nivåer med fildelingssikkerhet
Enkelte funksjoner i denne artikkelen krever Microsoft Syntex – Avansert administrasjon av SharePoint
Artiklene i denne serien gir anbefalinger for konfigurering av team i Microsoft Teams, og deres tilknyttede SharePoint-nettsteder, for filbeskyttelse som balanserer sikkerhet med enkel samarbeid.
Denne artikkelen definerer fire ulike konfigurasjoner, og starter med et offentlig team med de mest åpne delingspolicyene. Hver ekstra konfigurasjon representerer et meningsfylt trinn opp i beskyttelse, mens muligheten til å få tilgang til og samarbeide på filer som er lagret i team, reduseres til det relevante settet med teammedlemmer.
Konfigurasjonene i denne artikkelen samsvarer med Microsofts anbefalinger for tre nivåer av beskyttelse for data, identiteter og enheter:
Grunnlinjebeskyttelse
Sensitiv beskyttelse
Svært sensitiv beskyttelse
Hvis du vil ha informasjon om hvordan du oppretter et Teams-møtemiljø som oppfyller samsvarskravene dine, kan du se Konfigurere Teams-møter med tre beskyttelsesnivåer.
Tre lag med et øyekast
Tabellen nedenfor oppsummerer konfigurasjonene for hvert nivå. Bruk disse konfigurasjonene som utgangspunktsanbefalinger og juster konfigurasjonene for å dekke behovene til organisasjonen. Du trenger kanskje ikke alle nivåer.
| Opprinnelig plan (offentlig) | Opprinnelig plan (privat) | Sensitive | Svært følsom | |
|---|---|---|---|---|
| Privat eller offentlig team | Offentlig | Privat | Privat | Privat |
| Hvem har tilgang? | Alle i organisasjonen, inkludert B2B-gjester. | Bare medlemmer av teamet. Andre kan be om tilgang til det tilknyttede nettstedet. | Bare medlemmer av teamet. | Bare medlemmer av teamet. |
| Private kanaler | Eiere og medlemmer kan opprette private kanaler | Eiere og medlemmer kan opprette private kanaler | Bare eiere kan opprette private kanaler | Bare eiere kan opprette private kanaler |
| Gjestetilgang på områdenivå | Nye og eksisterende gjester (standard). | Nye og eksisterende gjester (standard). | Nye og eksisterende gjester eller bare personer i organisasjonen , avhengig av teamets behov. | Nye og eksisterende gjester eller bare personer i organisasjonen , avhengig av teamets behov. |
| Betinget tilgang på områdenivå | Full tilgang fra skrivebordsapper, mobilapper og internett (standard). | Full tilgang fra skrivebordsapper, mobilapper og internett (standard). | Tillat begrenset tilgang bare på nettet. | Egendefinert policy for betinget tilgang |
| Standard delingskoblingstype | Bare personer i organisasjonen | Bare personer i organisasjonen | Bestemte personer | Folk med eksisterende tilgang |
| Følsomhetsetiketter | Ingen | Ingen | Følsomhetsetikett som brukes til å klassifisere teamet og kontrollere gjestedeling og uadministrert enhetstilgang. | Følsomhetsetiketten som brukes til å klassifisere teamet, kontrollere gjestedeling og angi en policy for betinget tilgang. Standard filetikett brukes på filer til å kryptere dem. |
| Innstillinger for områdedeling | Områdeeiere og medlemmer og personer med redigeringstillatelser kan dele filer og mapper, men bare områdeeiere kan dele området. | Områdeeiere og medlemmer og personer med redigeringstillatelser kan dele filer og mapper, men bare områdeeiere kan dele området. | Områdeeiere og medlemmer og personer med redigeringstillatelser kan dele filer og mapper, men bare områdeeiere kan dele området. | I/T (kontrollert av policy for begrenset tilgangskontroll på områdenivå.) |
| Policy for begrenset tilgangskontroll på områdenivå | Ingen | Ingen | Ingen | Bare gruppemedlemmer |
Baseline-beskyttelse omfatter offentlige og private team. Offentlige team kan oppdages og åpnes av hvem som helst i organisasjonen. Private team kan bare oppdages og åpnes av medlemmer av teamet. Begge disse konfigurasjonene begrenser deling av det tilknyttede SharePoint-området til gruppeeiere for å hjelpe til med behandling av tillatelser.
Team for sensitiv og svært sensitiv beskyttelse er private team der deling og forespørsel om tilgang til det tilknyttede nettstedet er begrenset, og følsomhetsetiketter brukes til å angi policyer rundt gjestedeling, enhetstilgang og innholdskryptering.
Følsomhetsetiketter
De sensitive og svært følsomme nivåene bruker følsomhetsetiketter for å sikre teamet og filene. Hvis du vil implementere disse nivåene, må du aktivere følsomhetsetiketter for å beskytte innhold i Microsoft Teams, Microsoft 365 Groups og SharePoint-nettsteder.
Selv om grunnlinjenivået ikke krever følsomhetsetiketter, bør du vurdere å opprette en «generell» etikett og deretter kreve at alle teamene merkes. Dette bidrar til å sikre at brukere gjør et bevisst valg om følsomhet når de oppretter et team. Hvis du planlegger å distribuere sensitive eller svært sensitive nivåer, anbefaler vi at du oppretter en «generell» etikett som du kan bruke for opprinnelige team og for filer som ikke er sensitive. For det svært sensitive nivået angir vi også en standard følsomhetsetikett for dokumentbiblioteker, slik at Office-filer og andre kompatible filer får denne etiketten automatisk til å brukes når de lastes opp.
Hvis du ikke har brukt følsomhetsetiketter før, anbefaler vi at du leser Kom i gang med følsomhetsetiketter for å komme i gang.
Hvis du allerede har rullet ut følsomhetsetiketter i organisasjonen, bør du vurdere hvordan etikettene som brukes i sensitive og svært følsomme nivåer, passer med den generelle etikettstrategien.
Dele SharePoint-området
Hver gruppe har et tilknyttet SharePoint-område der dokumentene er lagret. (Dette er Filer-fanen i en Teams-kanal.) SharePoint-området beholder sin egen tillatelsesbehandling, men er koblet til gruppetillatelser. Gruppeeiere inkluderes som områdeeiere og gruppemedlemmer inkluderes som områdemedlemmer på det tilknyttede området.
De resulterende tillatelsene tillater:
- Gruppeeiere kan administrere området og ha full kontroll over innholdet på nettstedet.
- Gruppemedlemmer til å opprette og redigere filer på nettstedet.
Gruppeeiere og medlemmer kan som standard dele selve nettstedet med personer utenfor gruppen uten å legge dem til i gruppen. Vi anbefaler at det kompliserer brukeradministrasjon og kan føre til at personer som ikke er teammedlemmer, har tilgang til teamfiler uten at teameiere innser det. For å forhindre dette anbefaler vi at bare eiere kan dele området direkte fra og med grunnlinjenivået for beskyttelse.
Selv om grupper ikke har et alternativ for skrivebeskyttet tillatelse, gjør SharePoint-nettstedet det. Hvis du har interessenter eller partnergrupper som trenger å kunne vise gruppefiler, men ikke redigere dem, kan du vurdere å legge dem direkte til SharePoint-nettstedet med visningstillatelser.
For det svært sensitive nivået begrenser vi tilgangen til nettstedet til bare medlemmer av gruppen. Denne begrensningen hindrer også deling av filer med personer utenfor teamet.
Dele filer og mapper
Som standard kan både eiere og medlemmer av teamet dele filer og mapper med personer utenfor teamet. Dette kan omfatte personer utenfor organisasjonen hvis du tillater gjestedeling. I alle tre nivåene oppdaterer vi standard koblingstype for deling for å unngå utilsiktet overdeling. Som nevnt ovenfor, i det svært sensitive nivået, er filtilgang bare begrenset til gruppemedlemmer.
Dele med personer utenfor organisasjonen
Hvis du trenger å dele Teams-innhold med personer utenfor organisasjonen, finnes det to alternativer:
- Gjestedeling – Gjestedeling bruker Microsoft Entra B2B-samarbeid som gjør det mulig for brukere å dele filer, mapper, nettsteder, grupper og team med personer utenfor organisasjonen. Disse personene får tilgang til delte ressurser ved hjelp av gjestekontoer i katalogen.
- Delte kanaler – Delte kanaler bruker Microsoft Entra B2B direkte tilkobling som gjør det mulig for brukere å dele ressurser i organisasjonen med personer fra andre Microsoft Entra organisasjoner. Disse personene får tilgang til de delte kanalene i Teams ved hjelp av sin egen jobb- eller skolekonto. Det opprettes ingen gjestekonto i organisasjonen.
Både gjestedeling og delte kanaler er nyttige avhengig av situasjonen. Se Planlegg eksternt samarbeid for mer informasjon om hver av dem, og hvordan du bestemmer deg for hvilken du skal bruke for et gitt scenario.
Hvis du planlegger å bruke gjestedeling, anbefaler vi at du konfigurerer SharePoint- og OneDrive-integrering med Microsoft Entra B2B for den beste delings- og administrasjonsopplevelsen.
Du kan forhindre teams gjestedeling ved behov i sensitive og svært følsomme nivåer ved hjelp av en følsomhetsetikett. Delte kanaler er aktivert som standard, men krever at du konfigurerer relasjoner på tvers av organisasjoner for hver organisasjon du vil samarbeide med. Se Samarbeide med eksterne deltakere i en kanal for mer informasjon.
I det svært sensitive nivået konfigurerer vi standard bibliotekfølsomhetsetikett for å kryptere filer som den brukes på. Hvis du trenger gjester for å ha tilgang til disse filene, må du gi dem tillatelser når du oppretter etiketten. Eksterne deltakere i delte kanaler kan ikke gis tillatelser til følsomhetsetiketter og får ikke tilgang til innhold som krypteres av en følsomhetsetikett.
Vi anbefaler på det sterkeste at du lar gjestedeling være på for grunnlinjenivået og for sensitive eller svært sensitive nivåer hvis du trenger å samarbeide med personer utenfor organisasjonen. Gjestedelingsfunksjonene i Microsoft 365 gir en mye sikrere og styrende delingsopplevelse enn å sende filer som vedlegg i e-postmeldinger. Det reduserer også risikoen for skygge IT der brukere bruker ungoverned forbrukerprodukter for å dele med legitime eksterne samarbeidspartnere.
Hvis du regelmessig samarbeider med andre organisasjoner som bruker Microsoft Entra ID, kan delte kanaler være et godt alternativ. Delte kanaler vises sømløst i den andre organisasjonens Teams-klient og tillater eksterne deltakere å bruke sin vanlige brukerkonto for organisasjonen i stedet for å måtte logge på separat ved hjelp av en gjestekonto.
Se følgende referanser for å opprette et sikkert og produktivt gjestedelingsmiljø for organisasjonen:
- Anbefalte fremgangsmåter for deling av filer og mapper med uautoriserte brukere
- Begrens utilsiktet eksponering for filer når du deler med personer utenfor organisasjonen
- Opprett et sikkert gjestedelingsmiljø
Policyer for betinget tilgang
Microsoft Entra betinget tilgang tilbyr mange alternativer for å bestemme hvordan personer får tilgang til Microsoft 365, inkludert begrensninger basert på plassering, risiko, enhetssamsvar og andre faktorer. Vi anbefaler at du leser Hva er betinget tilgang? Og vurdere hvilke tilleggspolicyer som kan være relevante for organisasjonen.
For sensitive og svært sensitive nivåer bruker vi følsomhetsetiketter for å begrense tilgangen til SharePoint-innhold.
For det sensitive nivået begrenser vi tilgangen til bare nett for uadministrerte enheter. (Vær oppmerksom på at gjester ofte ikke har enheter som administreres av organisasjonen. Hvis du tillater gjester i noen av nivåene, bør du vurdere hvilke typer enheter de bruker for å få tilgang til team og nettsteder og angi dine uadministrerte enhetspolicyer i henhold til dette.)
For det svært sensitive nivået bruker vi Microsoft Entra godkjenningskontekst med følsomhetsetiketten til å utløse en egendefinert policy for betinget tilgang når personer får tilgang til SharePoint-området som er tilknyttet gruppen.
Betinget tilgang på tvers av Teams-relaterte tjenester
Innstillingene for betinget tilgang i følsomhetsetiketter påvirker bare SharePoint-tilgang. Hvis du vil utvide betinget tilgang utover SharePoint, kan du bruke vanlige policyer for betinget tilgang: Krev en kompatibel enhet, Microsoft Entra hybrid sammenføyd enhet eller godkjenning med flere faktorer for alle brukere i stedet. Hvis du vil konfigurere denne policyen spesielt for Microsoft 365-tjenester, velger du Office 365 skyappen under Skyapper eller handlinger.
Bruk av en policy som påvirker alle Microsoft 365-tjenester, kan føre til bedre sikkerhet og en bedre opplevelse for brukerne. Når du for eksempel blokkerer tilgang til bare uadministrerte enheter i SharePoint, kan brukere få tilgang til chatten i et team med en uadministrert enhet, men mister tilgang når de prøver å få tilgang til Filer-fanen. Bruk av Office 365 skyapp bidrar til å unngå problemer med tjenesteavhengigheter.
Neste trinn:
Start ved å konfigurere det opprinnelige beskyttelsesnivået. Hvis det er nødvendig, kan du også legge til sensitiv beskyttelse og svært sensitiv beskyttelse .
Beslektede emner
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for