Teams met drie beschermingsniveaus configureren
De artikelen in deze serie bevatten aanbevelingen voor het configureren van teams in Microsoft Teams en de bijbehorende SharePoint-sites voor bestandsbeveiliging waardoor beveiliging en gemak van samenwerking hand in hand gaan.
In dit artikel worden vier verschillende configuraties gedefinieerd, te beginnen met een openbaar team met het meest liberale beleid voor het delen van bestanden. Elke extra configuratie vertegenwoordigt een zinvolle stap in de bescherming, terwijl de mogelijkheid om bestanden die in teams zijn opgeslagen, te openen en eraan samen te werken, is beperkt tot de desbetreffende groep teamleden.
De configuraties in dit artikel zijn in overeenstemming met de aanbevelingen van Microsoft voor de drie beveiligingslagen voor gegevens, identiteiten en apparaten:
Basisbescherming
bescherming van gevoelige gegevens
Bescherming van zeer gevoelige gegevens
Voor meer informatie over deze lagen en aanbevolen functionaliteiten voor elke afzonderlijke laag, gaat u naar Illustraties voor Microsoft Cloud voor Enterprise Architects
Drie lagen in een oogopslag
De volgende tabel bevat een overzicht van de configuraties voor elke laag. Gebruik deze configuraties als uitgangspunt en pas de configuraties aan de behoeften van uw organisatie aan. Het is mogelijk dat u niet elke laag nodig hebt.
| - | Basislijn (openbaar) | Basislijn (privé) | Gevoelig | Zeer gevoelig |
|---|---|---|---|---|
| Privé of openbaar team | Openbaar | Privé | Privé | Privé |
| Wie heeft er toegang? | Iedereen in de organisatie, waaronder B2B-gebruikers. | Alleen leden van het team. Anderen kunnen toegang aanvragen tot de bijbehorende site. | Alleen leden van het team. | Alleen leden van het team. |
| Privékanalen | Eigenaren en leden kunnen privé-kanalen maken | Eigenaren en leden kunnen privé-kanalen maken | Alleen eigenaren kunnen privé-kanalen maken | Alleen eigenaren kunnen privé-kanalen maken |
| Gasttoegang op siteniveau | Nieuwe en bestaande gasten (standaard). | Nieuwe en bestaande gasten (standaard). | Nieuwe en bestaande gasten of Alleen personen in uw organisatie afhankelijk van de behoeften van het team. | Nieuwe en bestaande gasten of Alleen personen in uw organisatie afhankelijk van de behoeften van het team. |
| Standaardinstellingen voor het delen van een site | Site-eigenaren en -leden, en personen met machtigingen voor bewerken kunnen bestanden en mappen delen, maar alleen site-eigenaren kunnen de site delen. | Site-eigenaren en -leden, en personen met machtigingen voor bewerken kunnen bestanden en mappen delen, maar alleen site-eigenaren kunnen de site delen. | Site-eigenaren en -leden, en personen met machtigingen voor bewerken kunnen bestanden en mappen delen, maar alleen site-eigenaren kunnen de site delen. | Alleen site-eigenaren kunnen bestanden, mappen en de site delen. Toegangsaanvragen Uit. |
| Toegang tot niet-beheerde apparaten op siteniveau | Volledige toegang vanaf de bureaublad-apps, mobiele apps en het web (standaard). | Volledige toegang vanaf de bureaublad-apps, mobiele apps en het web (standaard). | Beperkte toegang tot alleen internet toestaan. | Toegang blokkeren. |
| Standaardkoppelingstype voor delen | Alleen personen binnen uw organisatie | Alleen personen binnen uw organisatie | Specifieke personen | Personen met bestaande toegang |
| Gevoeligheidslabels | Geen | Geen | Gevoeligheidslabel voor het classificeren van het team en het beheren van delen met gasten en toegang tot niet-beheerde apparaten. | Gevoeligheidslabel voor het classificeren van het team en het beheren van delen met gasten en toegang tot niet-beheerde apparaten. Label kan ook worden gebruikt voor bestanden om bestanden te versleutelen. |
Als variatie op de zeer gevoelige optie, gebruikt Teams met beveiligingsisolatie een uniek gevoeligheidslabel voor één team, dat extra beveiliging biedt. U kunt dit label gebruiken om bestanden te versleutelen, waarna alleen leden van dat team ze kunnen lezen.
Basislijnbeveiliging omvat zowel openbare teams als privéteams. Openbare teams kunnen door iedereen in de organisatie worden gedetecteerd en geopend. Privéteams kunnen alleen door leden van het team worden gedetecteerd en geopend. Bij beide configuraties wordt het delen van de gekoppelde SharePoint-site beperkt tot teameigenaren om te helpen bij het beheren van machtigingen.
Teams met gevoelige en zeer gevoelige bescherming zijn privé-teams waarin het delen en het aanvragen van toegang voor de bijbehorende site beperkt is en waarin gevoeligheidslabels worden gebruikt voor het instellen van beleidsregels voor delen met gasten, toegang tot apparaten en versleuteling van inhoud.
Gevoeligheidslabels
De gevoelige en zeer gevoelige lagen gebruiken gevoeligheidslabels om het team en de bijbehorende bestanden te beveiligen. Om deze lagen te implementeren, moet u gevoeligheidslabels gebruiken om inhoud te beveiligen in Microsoft Teams, Office 365-groepen en SharePoint-sites.
Hoewel de basislaag geen gevoeligheidslabels vereist, kunt u overwegen een algemeen label te maken en vervolgens te vereisen dat alle teams een label hebben. Dit zorgt ervoor dat gebruikers een bewuste keuze maken over de gevoeligheid van een team dat ze maken. Als u van plan bent de gevoelige of zeer gevoelige lagen te implementeren, raden we u aan een algemeen label te maken dat u kunt gebruiken voor basislijnteams en voor bestanden die niet gevoelig zijn.
Als u nog geen ervaring hebt met het gebruiken van gevoeligheidslabels, raden we u aan Aan de slag met gevoeligheidslabels te lezen.
Als u al eerder gevoeligheidslabels in uw organisatie hebt geïmplementeerd, dient u te overwegen hoe de labels die worden gebruikt in de gevoelige en zeer gevoelige passen in uw algemene labelstrategie.
De SharePoint-site delen
Elk team heeft een gekoppelde SharePoint-site waarop documenten worden opgeslagen. (Dit is het tabblad Bestanden in een Teams-kanaal.) De SharePoint-site behoudt zijn eigen machtigingsbeheer, maar is gekoppeld aan teammachtigingen. Op de bijbehorende site worden teameigenaren opgenomen als site-eigenaren en teamleden als siteleden.
Met de resulterende machtigingen kunnen:
- Teameigenaren de site beheren en beschikken over volledige controle over de inhoud van de site.
- Teamleden bestanden op de site maken en bewerken.
Teameigenaren en -leden kunnen standaard de site zelf delen met personen buiten het team zonder ze toe te hoeven voegen aan het team. We raden dit af aangezien dit het gebruikersbeheer moeilijker maakt en ertoe kan leiden dat personen die geen lid zijn van het team toegang hebben tot teambestanden zonder dat teameigenaren dit doorhebben. Om dit te voorkomen, raden we u aan om vanaf het beveiligingsniveau op de basislijn alleen eigenaren toestemming te geven om de site rechtstreeks te delen.
Hoewel teams geen optie voor alleen-lezen-toestemming hebben, heeft de SharePoint-site dit wel. Als er aandeelhouders of partnergroepen zijn die teambestanden moeten kunnen bekijken, maar deze niet mogen bewerken, kunt u overwegen hen rechtstreeks aan de SharePoint-site toe te voegen met de machtiging Lezen.
Bestanden en mappen delen
Zowel eigenaren en leden van het team kunnen standaard bestanden en mappen delen met personen buiten het team. Dit kunnen personen van buiten uw organisatie zijn, als u delen met gasten hebt toegestaan. In alle drie de lagen wordt het standaardkoppelingstype bijgewerkt om te voorkomen dat er per ongeluk te veel wordt gedeeld. In de zeer gevoelige laag wordt dergelijk delen beperkt tot teameigenaren.
Gasten delen
Als u wilt samenwerken met personen buiten uw organisatie, raden we u aan SharePoint- en OneDrive-integratie met Azure AD B2B te configureren voor de beste manier van delen en administratie.
Delen met gasten in Teams is standaard ingeschakeld, maar u kunt dit indien nodig uitschakelen in de gevoelige en zeer gevoelige niveaus met behulp van een gevoeligheidslabel.
In de zeer gevoelige laag configureren we het gevoeligheidslabel zo dat het de bestanden waarop het wordt toegepast versleutelt. Als u uw gasten toegang wilt geven tot deze bestanden, moet u ze machtigingen geven wanneer u het label aanmaakt.
We raden u ten zeerste aan om delen met gasten ingeschakeld te laten voor de basislijnlaag en voor de gevoelige of zeer gevoelige laag als u moet samenwerken met personen buiten uw organisatie. De functies voor het delen met gasten in Microsoft 365 bieden een veiligere en beter beheerbare manier om bestanden te delen dan het verzenden van bestanden als bijlagen in e-mails. Hiermee wordt ook het risico op schaduw-IT beperkt, waarbij gebruikers onbeheerde consumentenproducten gebruiken om te delen met legitieme externe medewerkers.
Zie de volgende verwijzingen om een veilige en productieve omgeving voor het delen met gasten te creëren voor uw organisatie:
- Aanbevolen procedures voor het delen van bestanden en mappen met niet-geverifieerde gebruikers
- Het beperken van de onopzettelijke blootstelling van bestanden bij het delen met personen buiten uw organisatie
- Een beveiligde omgeving voor het delen met gasten maken
Toegang vanaf niet-beheerde apparaten
Voor de gevoelige en zeer gevoelige lagen beperken we toegang tot SharePoint-inhoud met gevoeligheidslabels. Met voorwaardelijke toegang van Azure AD kunt u op verschillende manieren vaststellen hoe gebruikers toegang hebben tot Microsoft 365, met inbegrip van beperkingen op basis van locatie, risico, apparaatcompatibiliteit en andere factoren. We raden u aan om Wat is voorwaardelijke toegang? te lezen en na te denken over welke aanvullende beleidsregels mogelijk geschikt zijn voor uw organisatie.
Houd er rekening mee dat gasten vaak geen apparaten hebben die door uw organisatie worden beheerd. Als u gasten in een van de lagen toestaat, dient u te overwegen wat voor apparaat ze gebruiken voor toegang tot teams en sites, zodat u uw beleid voor onbeheerde apparaten op basis daarvan in kunt stellen.
Apparaattoegang in Microsoft 365 bepalen
De instelling voor niet-beherende apparaten in gevoeligheidslabels is alleen van invloed op SharePoint-toegang. Als u de controle over niet-beheerde apparaten wilt uitbreiden buiten SharePoint, kunt u in plaats daarvan Een beleid voor voorwaardelijke toegang van Azure Active Directory maken voor alle apps en services in uw organisatie. Als u dit beleid specifiek wilt configureren voor Microsoft 365-services, selecteert u de cloud-app Office 365 onder Cloud-apps of -acties.
Het gebruik van een beleid dat alle Microsoft 365-services aanpast, kan leiden tot een betere beveiliging en een betere ervaring voor uw gebruikers. Als u bijvoorbeeld de toegang tot niet-beheerde apparaten enkel in SharePoint blokkeert, hebben gebruikers met een niet-beheerd apparaat toegang tot de chatfunctie in een team, maar hebben ze geen toegang meer wanneer ze toegang proberen te krijgen tot het tabblad Bestanden. Met de Office 365-cloud-app kunt u problemen met serviceafhankelijkheden vermijden.
Volgende stap
Begin door het niveau van de basislijn voor bescherming te configureren. Indien nodig kunt u gevoelige beveiliging en zeer gevoelige beveiliging toevoegen bovenop de basislijn.