Policy rekommendationer för att skydda Teams, grupper och filerPolicy recommendations for securing Teams chats, groups, and files

I den här artikeln beskrivs hur du implementerar de rekommenderade identiteterna och enhets åtkomst principer för att skydda Microsoft Teams-chattar, grupper och innehåll som filer och kalendrar.This article describes how to implement the recommended identity and device-access policies to protect Microsoft Teams chats, groups, and content such as files and calendars. Den här vägledningen bygger på vanliga principer för identitets-och enhets åtkomst, med ytterligare information som Teams-specifika.This guidance builds on the common identity and device access policies, with additional information that's Teams-specific. Eftersom team integreras med våra andra produkter kan du även läsa Policy rekommendationer för att skydda SharePoint-webbplatser och filer och Policy rekommendationer för att skydda e-post.Because Teams integrates with our other products, also see Policy recommendations for securing SharePoint sites and files and Policy recommendations for securing email.

Dessa rekommendationer är baserade på tre olika nivåer av säkerhet och skydd för team som kan användas baserat på hur dina behov fungerar: bas linje, känslig och högreglerad.These recommendations are based on three different tiers of security and protection for Teams that can be applied based on the granularity of your needs: baseline, sensitive, and highly regulated. Du kan läsa mer om de här säkerhets nivåerna och rekommenderade principer som refereras av av dessa rekommendationer i konfigurationerna för identitets-och enhets åtkomst.You can learn more about these security tiers and the recommended policies referenced by these recommendations in the Identity and device access configurations.

Ytterligare rekommendationer som är specifika för distribution av team ingår i den här artikeln för specifika autentiseringskrav, inklusive för användare utanför organisationen.Additional recommendations specific to Teams deployment are included in this article to cover specific authentication circumstances, including for users outside your organization. Du måste följa den här vägledningen för att få en fullständig säkerhets upplevelse.You will need to follow this guidance for a complete security experience.

Komma igång med Teams innan andra beroende tjänsterGetting started with Teams before other dependent services

Du behöver inte aktivera beroende tjänster för att komma igång med Microsoft Teams.You don't need to enable dependent services to get started with Microsoft Teams. Då kommer alla att "fungera".These will all "just work." Du måste emellertid vara beredd på att hantera följande:However, you do need to be prepared to manage the following:

  • Microsoft 365-grupperMicrosoft 365 groups
  • SharePoint-gruppwebbplatserSharePoint team sites
  • OneDrive för företagOneDrive for Business
  • Exchange-postlådorExchange mailboxes
  • Ström-och planerings planer (om de här tjänsterna är aktiverade)Stream videos and Planner plans (if these services are enabled)

Uppdatera gemensamma principer för att inkludera teamUpdating common policies to include Teams

För att skydda chatt, grupper och innehåll i team visar följande diagram vilka principer som ska uppdateras från principer för åtkomst för identitet och enheter.To protect chat, groups and content in Teams, the following diagram illustrates which policies to update from the the common identity and device access policies. För varje princip som ska uppdateras bör du kontrol lera att team och beroende tjänster ingår i tilldelningen av Cloud-appar.For each policy to update, make sure that Teams and dependent services are included in the assignment of cloud apps.

Sammanfattning av princip uppdateringar för att skydda åtkomst till team och dess beroende tjänsterSummary of policy updates for protecting access to Teams and its dependent services

Visa en större version av bildenSee a larger version of this image

Det här är de tjänster som är underordnade för tilldelning av moln program för grupper:These are the dependent services to include in the assignment of cloud apps for Teams:

  • Microsoft TeamsMicrosoft Teams
  • SharePoint och OneDrive för företagSharePoint and OneDrive for Business
  • Exchange OnlineExchange Online
  • Skype för företag onlineSkype for Business Online
  • Microsoft Stream (Mötes inspelningar)Microsoft Stream (meeting recordings)
  • Microsoft Planner (Planner-uppgifter och planera data)Microsoft Planner (Planner tasks and plan data)

I den här tabellen visas de principer som måste återanvändas och länkar till varje princip i den allmänna principer för identitets-och enhets åtkomst, som har den bredare princip som är inställd för alla Office-program.This table lists the policies that need to be revisited and links to each policy in the common identity and device access policies, which has the wider policy set for all Office applications.

Skydds nivåProtection level PrincipernaPolicies Ytterligare information om Team implementeringFurther information for Teams implementation
GrundläggandeBaseline Kräv MFA när en inloggnings risk är mellan eller högRequire MFA when sign-in risk is medium or high Se till att team och beroende tjänster ingår i listan med program.Be sure Teams and dependent services are included in the list of apps. Teams har gäst åtkomst och regler för extern åtkomst att överväga och mer information om dessa längre fram i den här artikeln.Teams has Guest Access and External Access rules to consider as well, you'll learn more about these later in this article.
Blockera klienter som inte har stöd för modern autentiseringBlock clients that don't support modern authentication Inkludera team och beroende tjänster i tilldelningen av Cloud-appar.Include Teams and dependent services in the assignment of cloud apps.
Användare med hög risk måste byta lösenordHigh risk users must change password Tvingar team användare att ändra sitt lösen ord när de loggar in om en högrisk aktivitet identifieras för sitt konto.Forces Teams users to change their password when signing in if high-risk activity is detected for their account. Se till att team och beroende tjänster ingår i listan med program.Be sure Teams and dependent services are included in the list of apps.
Tillämpa program data skydds policyApply APP data protection policies Se till att team och beroende tjänster ingår i listan med program.Be sure Teams and dependent services are included in the list of apps. Uppdatera policyn för var och en av plattformarna (iOS, Android, Windows).Update the policy for each platform (iOS, Android, Windows).
Definiera principer för efterlevnadsprinciperDefine device compliance policies Inkludera team och tjänster i den här policyn.Include Teams and dependent services in this policy.
Kräv kompatibla PC-datorerRequire compliant PCs Inkludera team och tjänster i den här policyn.Include Teams and dependent services in this policy.
KänsligSensitive Kräv MFA när en inloggnings risk är låg, medium eller högRequire MFA when sign-in risk is low, medium or high Teams har gäst åtkomst och regler för extern åtkomst att överväga och mer information om dessa längre fram i den här artikeln.Teams has Guest Access and External Access rules to consider as well, you'll learn more about these later in this article. Inkludera team och tjänster i den här policyn.Include Teams and dependent services in this policy.
Kräv kompatibla datorer och mobila enheterRequire compliant PCs and mobile devices Inkludera team och tjänster i den här policyn.Include Teams and dependent services in this policy.
Strikt regleradHighly regulated Kräv alltid MFAAlways require MFA Oavsett användarens identitet används MFA av din organisation.Regardless of user identity, MFA will be used by your organization. Inkludera team och tjänster i den här policyn.Include Teams and dependent services in this policy.

Arkitektur för Teams beroende tjänsterTeams dependent services architecture

Följande diagram visar att tjänsterna är bevarade för referens.For reference, the following diagram illustrates the services Teams relies on. Mer information och ytterligare illustrationer finns i Microsoft Teams och relaterade produktivitets tjänster i microsoft 365 för IT-arkitekter.For more information and additional illustrations, see Microsoft Teams and related productivity services in Microsoft 365 for IT architects.

Diagram som visar team beroenden på SharePoint, OneDrive för företag och ExchangeDiagram showing Teams dependencies on SharePoint, OneDrive for Business, and Exchange

Visa en större version av bildenSee a larger version of this image

Gäst och extern åtkomst till TeamsGuest and external access for Teams

Microsoft Teams definierar följande:Microsoft Teams defines the following:

  • Gäst åtkomst använder ett Azure AD B2B-konto för en gäst eller extern användare som kan läggas till som medlem i ett team och få åtkomst till kommunikationen och resurserna i teamet.Guest access uses an Azure AD B2B account for a guest or external user that can be added as a member of a team and have all permissioned access to the communication and resources of the team.

  • Extern åtkomst är för en extern användare som inte har ett Azure AD B2B-konto.External access is for an external user that does not have an Azure AD B2B account. Extern åtkomst kan inkludera inbjudningar och deltagande i samtal, chattar och möten, men inte grupp medlemskap och åtkomst till teamens resurser.External access can include invitations and participation in calls, chats, and meetings, but does not include team membership and access to the resources of the team.

Principer för villkorsstyrd åtkomst gäller endast för gäst åtkomst i Teams eftersom det finns ett motsvarande Azure AD B2B-konto.Conditional Access policies only apply to guest access in Teams because there is a corresponding Azure AD B2B account.

Information om rekommenderade principer för att tillåta åtkomst för gäst och externa användare med ett Azure AD B2B-konto finns i principer för att tillåta gäst-och externt B2B-konto åtkomst.For recommended policies to allow access for guest and external users with an Azure AD B2B account, see Policies for allowing guest and external B2B account access.

Gäst åtkomst i TeamsGuest access in Teams

Utöver policyerna för användare som är interna för ditt företag eller din organisation kan administratörer aktivera gäst åtkomst för att tillåta att användare som är medlemmar i ditt företag eller din organisation får åtkomst till Teams-resurser och interagerar med interna personer, till exempel gruppkonversationer, chatt och möten.In addition to the policies for users who are internal to your business or organization, administrators may enable guest access to allow, on a user-by-user basis, people who are external to your business or organization to access Teams resources and interact with internal people for things like group conversations, chat, and meetings.

Mer information om gäst åtkomst och hur du implementerar det finns i Teams gäst åtkomst.For more information about guest access and how to implement it, see Teams guest access.

Extern åtkomst i TeamsExternal access in Teams

Extern åtkomst förväxlas ibland med gäst åtkomst, så det är viktigt att vara tydligt att dessa två icke-interna åtkomst funktioner faktiskt skiljer sig åt.External access is sometimes confused with guest access, so it's important to be clear that these two non-internal access mechanisms are actually quite different.

Extern åtkomst är ett sätt för team användare från en hel extern domän att hitta, ringa, chatta och konfigurera möten med användarna i Teams.External access is a way for Teams users from an entire external domain to find, call, chat, and set up meetings with your users in Teams. Teams-administratörer konfigurerar extern åtkomst på organisations nivå.Teams administrators configure external access at the organization level. Mer information finns i Hantera extern åtkomst i Microsoft Teams.For more information, see Manage external access in Microsoft Teams.

Externa Access-användare har mindre åtkomst till och funktionalitet jämfört med en person som har lagts till via gäst åtkomst.External access users have less access and functionality than an individual who's been added via guest access. Externa Access-användare kan till exempel chatta med dina interna användare med Teams, men inte komma åt grupp kanaler, filer eller andra resurser.For example, external access users can chat with your internal users with Teams but cannot access team channels, files, or other resources.

Extern åtkomst använder inte Azure AD B2B-användarkonton och använder därför inte principer för villkorsstyrd åtkomst.External access does not use Azure AD B2B user accounts and therefore does not use Conditional Access policies.

Team policyTeams policies

Utanför de gemensamma principer som anges ovan finns det teambaserade principer som kan och ska konfigureras för att hantera olika team funktioner.Outside of the common policies listed above, there are Teams-specific policies that can and should be configured to manage various Teams functionalities.

Principer för team och kanalerTeams and channels policies

Team och kanaler är två vanliga element i Microsoft Teams och det finns principer du kan ange för att styra vad användare kan och inte kan göra när du använder team och kanaler.Teams and channels are two commonly used elements in Microsoft Teams, and there are policies you can put in place to control what users can and cannot do when using teams and channels. Du kan skapa ett globalt team, om din organisation har 5000 användare eller mindre, men det är troligt att det är bra att ha mindre team och kanaler för speciella ändamål, online med dina organisations behov.While you can create a global team, if your organization has 5000 users or less, you are likely to find it helpful to have smaller teams and channels for specific purposes, in-line with your organizational needs.

Att ändra standard princip eller skapa anpassade principer rekommenderas och du kan läsa mer om hur du hanterar dina principer på den här länken: Hantera Teams-principer i Microsoft Teams.Changing the default policy or creating custom policies would be recommended, and you can learn more about managing your policies at this link: Manage teams policies in Microsoft Teams.

Meddelande principerMessaging policies

Meddelanden och chattar kan även hanteras via den globala standard principen eller via anpassade principer, och detta kan hjälpa användarna att kommunicera med varandra på ett sätt som passar din organisation.Messaging, or chat, can also be managed through the default global policy, or through custom policies, and this can help your users communicate with one another in a way that's appropriate for your organization. Den här informationen kan granskas när du hanterar meddelande principer i Teams.This information can be reviewed at Managing messaging policies in Teams.

Mötes principerMeeting policies

Du behöver inte längre diskutera och implementera principer kring Teams-möten.No discussion of Teams would be complete without planning and implementing policies around Teams meetings. Möten är en viktig komponent i Teams, så att folk kan möta och presentera för många användare samtidigt, samt dela innehåll som är relevanta för mötet.Meetings are an essential component of Teams, allowing people to formally meet and present to many users at once, as well as share content relevant to the meeting. Det är viktigt att ange rätt principer för din organisation.Setting the right policies for your organization around meetings is essential.

Mer information finns i hantera Mötes principer i Teams .Please review Manage meeting policies in Teams for more information.

Program behörighets principerApp permission policies

I Teams kan du också använda appar på olika platser, till exempel kanaler eller personliga chattar.Teams also allows you to use apps in various places, such as channels or personal chats. Ha principer kring vilka appar som kan läggas till och användas, och var de är nödvändiga för att underhålla innehålls rika miljöer som också är säkra.Having policies around what apps can be added and used, and where, is essential to maintaining a content-rich environment that is also secure.

Mer information om behörighets principer för appar finns i Hantera principer för programbehörigheter i Microsoft Teams.For more reading about App Permission Policies, check out Manage app permission policies in Microsoft Teams.

Nästa stegNext steps

Steg 4: principer för Microsoft 365-molnappar

Konfigurera principer för villkorsstyrd åtkomst för:Configure Conditional Access policies for: