Principrekommendationer för att skydda Teams, chattar, grupper och filer
I den här artikeln beskrivs hur du implementerar rekommenderade principer för nollförtroendeidentitet och enhetsåtkomst för att skydda Microsoft Teams, chattar, grupper och innehåll, till exempel filer och kalendrar. Den här vägledningen bygger på de gemensamma identitets-och enhetsåtkomstprinciperna, med ytterligare information som är Teams specifik. Eftersom Teams är integrerat med våra andra produkter kan du även se Principrekommendationer för att skydda SharePoint webbplatser och filer och principrekommendationer för att skydda e-post.
Dessa rekommendationer baseras på tre olika nivåer av säkerhet och skydd för Teams som kan tillämpas utifrån dina behovs granularitet: startpunkt, företag och särskild säkerhet. Du kan läsa mer om dessa säkerhetsnivåer och de rekommenderade principerna som refereras av dessa rekommendationer i konfigurationerna för identitets- och enhetsåtkomst.
Fler rekommendationer för Teams distribution finns i den här artikeln för att täcka specifika autentiseringsförhållanden, bland annat för användare utanför organisationen. Du måste följa den här vägledningen för en fullständig säkerhetsupplevelse.
Komma igång med Teams innan andra beroende tjänster
Du behöver inte aktivera beroende tjänster för att komma igång med Microsoft Teams. De här tjänsterna kommer att "bara fungera". Du måste dock vara redo att hantera följande tjänstrelaterade element:
- Microsoft 365-grupper
- SharePoint-gruppwebbplatser
- OneDrive för företag
- Exchange postlådor
- Strömma videor och Planner-planer (om de här tjänsterna är aktiverade)
Uppdatera vanliga principer så att de omfattar Teams
I följande diagram visas vilka principer som ska uppdateras från de gemensamma principerna för identitets- och enhetsåtkomst för att skydda chatt, grupper och innehåll i Teams. För varje princip som ska uppdateras kontrollerar du Teams och beroende tjänster inkluderas i tilldelningen av molnappar.
De här tjänsterna är de beroende tjänster som ska ingå i tilldelningen av molnappar för Teams:
- Microsoft Teams
- SharePoint och OneDrive för företag
- Exchange Online
- Skype för företag – Online
- Microsoft Stream (mötesinspelningar)
- Microsoft Planner (uppgifter och plandata i Planner)
I den här tabellen visas de principer som behöver granskas igen och länkar till varje princip i de gemensamma principerna för identitets- och enhetsåtkomst, som har en större uppsättning principer för alla Office program.
| Skyddsnivå | Policyer | Mer information för Teams implementering |
|---|---|---|
| Startpunkt | Kräv MFA när inloggningsrisken är medium eller hög | Se till Teams och beroende tjänster ingår i listan med program. Teams har gäståtkomstregler och regler för extern åtkomst att ta hänsyn till får du mer information om dessa regler längre fram i den här artikeln. |
| Blockera klienter som inte har stöd för modern autentisering | Inkludera Teams och beroende tjänster i tilldelningen av molnappar. | |
| Användare med hög risk måste byta lösenord | Tvingar Teams användarna att ändra sina lösenord när de loggar in om högriskaktivitet identifieras för sitt konto. Se till Teams och beroende tjänster ingår i listan med program. | |
| Använda principer för APP-dataskydd | Se till Teams och beroende tjänster ingår i listan med program. Uppdatera principen för varje plattform (iOS, Android och Windows). | |
| Enterprise | Kräv MFA när inloggningsrisken är låg, medelstor eller hög | Teams har gäståtkomstregler och regler för extern åtkomst att ta hänsyn till får du mer information om dessa regler längre fram i den här artikeln. Inkludera Teams och beroende tjänster i den här principen. |
| Definiera principer för enhetsefterlevnad | Inkludera Teams och beroende tjänster i den här principen. | |
| Kräv kompatibla datorer och mobila enheter | Inkludera Teams och beroende tjänster i den här principen. | |
| Särskild säkerhet | Kräv alltid MFA | Oavsett användaridentitet används MFA av din organisation. Inkludera Teams och beroende tjänster i den här principen. |
Teams arkitektur för beroende tjänster
Som referens illustrerar följande diagram de tjänster Teams förlitar sig på. Mer information och illustrationer finns i Microsoft Teams och relaterade produktivitetstjänster i Microsoft 365 för IT-arkitekter.
Gäståtkomst och extern åtkomst för Teams
Microsoft Teams definierar följande åtkomsttyper:
Gäståtkomst använder ett Azure AD B2B-konto för en gäst eller extern användare som kan läggas till som medlem i ett team och har all behörighet till teamets kommunikation och resurser.
Extern åtkomst är för en extern användare som inte har ett Azure AD B2B-konto. Extern åtkomst kan vara inbjudningar och deltagande i samtal, chattar och möten, men omfattar inte teammedlemskap och åtkomst till teamets resurser.
Villkorsstyrda åtkomstprinciper gäller endast för gäståtkomst i Teams eftersom det finns ett motsvarande Azure AD B2B-konto.
Rekommenderade principer för att tillåta åtkomst för gästanvändare och externa användare med ett Azure AD B2B-konto finns i Principer för att tillåta åtkomst till gäst- och externa B2B-konton.
Gäståtkomst i Teams
Förutom principerna för användare som är interna i ditt företag eller din organisation kan administratörer göra det möjligt för gäståtkomst att tillåta, per användare, personer som finns utanför företaget eller organisationen att få åtkomst till Teams-resurser och interagera med interna personer för saker som gruppkonversationer, chatt och möten.
Mer information om gäståtkomst och hur du implementerar den finns i Teams gäståtkomst.
Extern åtkomst i Teams
Extern åtkomst förväxlas ibland med gäståtkomst, så det är viktigt att vara tydlig med att dessa två icke-interna åtkomstmekanismer är olika typer av åtkomst.
Extern åtkomst är ett sätt Teams användare från en hel extern domän att hitta, ringa, chatta och konfigurera möten med användarna i Teams. Teams externa administratörer konfigurerar extern åtkomst på organisationsnivå. Mer information finns i Hantera extern åtkomst i Microsoft Teams.
Externa åtkomstanvändare har mindre åtkomst och funktionalitet än en person som har lagts till via gäståtkomst. Externa användare kan till exempel chatta med interna användare med Teams men inte komma åt teamkanaler, filer eller andra resurser.
Extern åtkomst använder inte Azure AD B2B-användarkonton och använder därför inte villkorsstyrda åtkomstprinciper.
Teams principer
Förutom de vanliga principerna som anges ovan finns det Teams specifika principer som kan och bör konfigureras för att hantera Teams funktioner.
Teams kanaler och kanaler
Teams och kanaler är två vanliga element i Microsoft Teams, och det finns principer som du kan använda för att styra vad användarna kan och inte kan göra när de använder team och kanaler. Du kan skapa ett globalt team, men om organisationen har 5 000 användare eller mindre är det troligt att det är bra att ha mindre team och kanaler för särskilda ändamål, i linje med organisationens behov.
Vi rekommenderar att du ändrar standardprincipen eller skapar anpassade principer och du kan läsa mer om hantering av principer på den här länken: Hantera teamprinciper i Microsoft Teams.
Meddelandeprinciper
Meddelanden, eller chatt, kan också hanteras genom den globala standardprincipen eller med anpassade principer, och det kan hjälpa användarna att kommunicera med varandra på ett sätt som passar för din organisation. Den här informationen finns under Hantera principer för meddelanden i Teams.
Mötes principer
Ingen diskussion om Teams skulle vara fullständig utan planering och implementering av principer kring Teams möten. Möten är en viktig del av Teams, så att personer formellt kan träffas och presentera för många användare samtidigt, och för att dela innehåll som är relevant för mötet. Det är viktigt att ange rätt principer för organisationen kring möten.
Mer information finns i Hantera mötes principer i Teams.
Appbehörighetsprinciper
Teams kan du även använda appar på olika platser, till exempel kanaler eller personliga chattar. Det är viktigt att ha principer för vilka appar som kan läggas till och användas och var, för att upprätthålla en innehållsrikt miljö som också är säker.
Mer information om programbehörighetsprinciper finns i Hantera principer för programbehörigheter i Microsoft Teams.
Nästa steg

Konfigurera principer för villkorsstyrd åtkomst för: