Рекомендации по политике для защиты чатов, групп и файлов Teams
В этой статье описывается, как реализовать рекомендуемые политики удостоверений и доступа к устройствам для защиты чатов, групп и содержимого Microsoft Teams, таких как файлы и календари. Это руководство основывается на общих политиках доступа к удостоверениям и устройствам с дополнительными сведениями, зависящими от Teams. Так как Teams интегрируется с другими продуктами, также см . рекомендации по политике для защиты сайтов и файлов SharePoint и рекомендаций по политике для защиты электронной почты.
Эти рекомендации основаны на трех различных уровнях безопасности и защиты для Teams, которые можно применить на основе детализации ваших потребностей: начальной точки, предприятия и специализированной безопасности. Дополнительные сведения об этих уровнях безопасности и рекомендуемых политиках, на которые ссылаются эти рекомендации, см. в конфигурациях доступа к удостоверениям и устройствам.
Дополнительные рекомендации, относящиеся к развертыванию Teams, включены в эту статью, чтобы охватывать конкретные обстоятельства проверки подлинности, включая пользователей за пределами вашей организации. Вам потребуется следовать этим рекомендациям для полного взаимодействия с безопасностью.
Начало работы с Teams до других зависимых служб
Вам не нужно включить зависимые службы для начала работы с Microsoft Teams. Эти службы будут "просто работать". Однако необходимо подготовиться к управлению следующими элементами, связанными со службами:
- Группы Microsoft 365
- Сайты групп SharePoint
- OneDrive
- Почтовые ящики Exchange
- Потоковая передача видео и планов планировщика (если эти службы включены)
Обновление распространенных политик для включения Teams
Чтобы защитить чат, группы и содержимое в Teams, на следующей схеме показано, какие политики следует обновить из общих политик доступа к удостоверениям и устройствам. Для каждой политики для обновления убедитесь, что Teams и зависимые службы включены в назначение облачных приложений.
Эти службы являются зависимыми службами для включения в назначение облачных приложений для Teams:
- Microsoft Teams
- SharePoint и OneDrive
- Exchange Online
- Skype for Business Online
- Microsoft Stream (записи собраний)
- Планировщик (Майкрософт) (задачи планировщика и данные плана)
В этой таблице перечислены политики, которые необходимо пересмотреть и связать с каждой политикой в общих политиках доступа к удостоверениям и устройствам, которая имеет более широкий набор политик для всех Приложение Office ликации.
| Уровень защиты | Политики | Дополнительные сведения о реализации Teams |
|---|---|---|
| Начальная точка | Требовать многофакторную проверку подлинности, если риск входа является средним или высоким | Убедитесь, что Teams и зависимые службы включены в список приложений. Команды имеют правила гостевого доступа и внешнего доступа, которые также следует учитывать, вы узнаете больше об этих правилах далее в этой статье. |
| Блокировать клиенты, не поддерживающие современную проверку подлинности | Включите Teams и зависимые службы в назначение облачных приложений. | |
| Пользователи с высоким уровнем риска должны изменить пароль | Принудительно заставляет пользователей Teams изменять пароль при входе в систему, если для учетной записи обнаружена активность с высоким риском. Убедитесь, что Teams и зависимые службы включены в список приложений. | |
| Применение политик защиты данных APP | Убедитесь, что Teams и зависимые службы включены в список приложений. Обновите политику для каждой платформы (iOS, Android, Windows). | |
| Функции корпоративного уровня | Требовать многофакторную проверку подлинности, если риск входа низкий, средний или высокий | Команды имеют правила гостевого доступа и внешнего доступа, которые также следует учитывать, вы узнаете больше об этих правилах далее в этой статье. Включите Teams и зависимые службы в эту политику. |
| Определение политик соответствия устройств | Включите Teams и зависимые службы в эту политику. | |
| Требовать совместимые компьютеры и мобильные устройства | Включите Teams и зависимые службы в эту политику. | |
| Специализированная безопасность | Всегда требуется многофакторная проверка подлинности | Независимо от удостоверения пользователя MFA будет использоваться вашей организацией. Включите Teams и зависимые службы в эту политику. |
Архитектура зависимых служб Teams
Для справки на следующей схеме показаны службы Teams. Дополнительные сведения и иллюстрации см. в microsoft Teams и связанных службах повышения производительности в Microsoft 365 для ИТ-архитекторов.
Гостевой и внешний доступ для Teams
Microsoft Teams определяет следующие типы доступа:
Гостевой доступ использует учетную запись Microsoft Entra B2B для гостевого или внешнего пользователя, который может быть добавлен в качестве члена команды и имеет все разрешения на доступ к обмену данными и ресурсами команды.
Внешний доступ предназначен для внешнего пользователя, у которых нет учетной записи Microsoft Entra B2B. Внешний доступ может включать приглашения и участие в звонках, чатах и собраниях, но не включает членство в команде и доступ к ресурсам команды.
Политики условного доступа применяются только к гостевму доступу в Teams, так как есть соответствующая учетная запись Microsoft Entra B2B.
Рекомендуемые политики для предоставления доступа для гостевых и внешних пользователей с учетной записью Microsoft Entra B2B см. в разделе "Политики" для предоставления гостевого и внешнего доступа к учетной записи B2B.
Гостевой доступ в Teams
В дополнение к политикам пользователей, которые являются внутренними для вашей организации или организации, администраторы могут разрешить гостевый доступ на основе пользователей, людей, которые являются внешними для вашей организации или организации для доступа к ресурсам Teams и взаимодействовать с внутренними людьми для таких действий, как групповые беседы, чат и собрания.
Дополнительные сведения о гостевом доступе и его реализации см. в разделе "Гостевой доступ Teams".
Внешний доступ в Teams
Внешний доступ иногда путается с гостевым доступом, поэтому важно ясно, что эти два механизма доступа, отличные от внутренних, являются различными типами доступа.
Внешний доступ — это способ для пользователей Teams из всего внешнего домена для поиска, вызова, чата и настройки собраний с пользователями в Teams. Администраторы Teams настраивают внешний доступ на уровне организации. Дополнительные сведения см. в статье Управление внешним доступом в Microsoft Teams.
Пользователи внешнего доступа имеют меньше доступа и функциональных возможностей, чем пользователь, который был добавлен через гостевой доступ. Например, пользователи внешнего доступа могут общаться с внутренними пользователями с Teams, но не могут получить доступ к каналам группы, файлам или другим ресурсам.
Внешний доступ не использует учетные записи пользователей Microsoft Entra B2B и поэтому не использует политики условного доступа.
Политики Teams
Вне общих политик, перечисленных выше, существуют политики, зависящие от Teams, которые могут и должны быть настроены для управления различными функциями Teams.
Политики Teams и каналов
Teams и каналы являются двумя часто используемыми элементами в Microsoft Teams, и существуют политики, которые можно установить для управления тем, что пользователи могут и не могут делать при использовании команд и каналов. Хотя вы можете создать глобальную команду, если у вашей организации есть 5000 пользователей или меньше, скорее всего, вам будет полезно иметь небольшие команды и каналы для конкретных целей в соответствии с потребностями организации.
Изменение политики по умолчанию или создание настраиваемых политик рекомендуется, и вы можете узнать больше об управлении политиками по этой ссылке: управление политиками teams в Microsoft Teams.
Политики обмена сообщениями
Обмен сообщениями или чат также можно управлять с помощью глобальной политики по умолчанию или с помощью пользовательских политик, и это может помочь пользователям взаимодействовать друг с другом таким образом, что подходит для вашей организации. Эти сведения можно просмотреть в разделе "Управление политиками обмена сообщениями" в Teams.
Политики собраний
Обсуждение Teams не будет завершено без планирования и реализации политик вокруг собраний Teams. Собрания являются важным компонентом Teams, что позволяет людям официально встречаться и представлять для многих пользователей одновременно, а также предоставлять общий доступ к содержимому, соответствующему собранию. Настройка правильных политик для вашей организации вокруг собраний является важной.
Дополнительные сведения см. в статье "Управление политиками собраний в Teams".
Политики разрешений для приложений
Teams также позволяет использовать приложения в различных местах, таких как каналы или личные чаты. Наличие политик в отношении того, какие приложения можно добавлять и использовать, а также где необходимо поддерживать многофункциональную среду содержимого, которая также безопасна.
Дополнительные сведения о политиках разрешений приложений проверка для управления политиками разрешений приложений в Microsoft Teams.
Следующие шаги
Настройка политик условного доступа для следующих условий:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по