Konfigurera en team med säkerhetsisolering

I den här artikeln får du rekommendationer och anvisningar om hur du konfigurerar privata team i Microsoft Teams och använder en unik känslighetsetikett för att kryptera filer så att bara teammedlemmarna kan dekryptera dem.

Utöver den privata åtkomst som beskrivs i artikeln hur du konfigurerar den associerade SharePoint-webbplatsen. Den når du via avsnittet Filer i en teamkanal så att du får den extra säkerhet som krävs för lagring av strikt reglerade data.

Komponenterna i konfigurationen för en grupp med säkerhets isolering är:

  • Ett privat team
  • Ytterligare säkerhet på den associerade SharePoint-webbplatsen för teamet som:
    • Hindrar medlemmar i webbplatsen från att dela webbplatsen med andra.
    • Hindrar icke-medlemmar av webbplatsen från att begära åtkomst till webbplatsen.
  • En känslighetsetikett särskilt för det här teamet:
    • Hindrar åtkomst till SharePoint-innehåll från ohanterade enheter
    • Tillåter eller nekar gäståtkomst till teamet, beroende på dina behov
    • Krypterar dokument som etikett används för

Viktigt

Kontrollera att du har aktiverat känslighetsetiketter för att skydda innehåll i Microsoft Teams, Office 365-grupper och SharePoint-webbplatser innan du fortsätter med stegen i den här artikeln.

Titta på den här videon för att få en översikt över distributionsprocessen.

För en 1-sidig sammanfattning av detta scenario, se Microsoft Teams med säkerhetsisoleringsaffisch.

Microsoft Teams med säkerhets isolering, affisch.

Du kan också ladda ned den här affischen i PDF- eller PowerPoint-format och skriva ut den i pappersstorleken letter, legal eller tabloid (11 x 17).

Prova den här konfigurationen i den egna testlabbmiljön med hjälp av de här instruktionerna.

Se hur Contoso Corporation använde en isolerad grupp för ett topphemligt projekt i den här fallstudien.

Initiala skydd

Läs följande metodtips för att skydda åtkomst till teamet och dess underliggande SharePoint-webbplats:

Gästdelning

Beroende på företagets natur kan du kanske inte aktivera gästdelning för det här teamet. Om du tänker samarbeta med personer utanför organisationen i teamet aktiverar du gästdelning.

Information om hur du delar med gäster säkert finns i följande resurser:

För att tillåta eller blockera gästdelning använder vi en kombination av känslighetsetiketter för teamet och delning på webbplats nivå för den associerade SharePoint-webbplatsen, som vi ser senare.

Skapa ett privat team

Eftersom vi skapar en känslighetsetikett för det här teamet är nästa steg att skapa teamet. Om du har ett befintligt team kan du använda det.

Skapa en team för känslig information

  1. I Teams klickar du på Teams till vänster i programmet och sedan på gå med i eller skapa en teams längst ned i grupplistan.
  2. Klicka på Skapa team (första kortet, övre vänstra hörnet).
  3. Välj Skapa ett team från början.
  4. Behåll standardinställningen i listan Känslighet.
  5. Under Sekretess klickar du på Privat.
  6. Ange ett namn för teamet som är relaterat till ditt känsliga projekt. Till exempel Project Saturn.
  7. Klicka på Skapa.
  8. Lägg till användare i teamet och klicka sedan på Stäng.

Inställningar för privata kanaler

Vi rekommenderar att du begränsar skapandet av privata kanaler till teamägare.

För att begränsa skapandet av en privat kanal

  1. Klicka på Fler alternativ i teamet och klicka sedan på Hantera team.
  2. På fliken Inställningar, expandera medlemsbehörigheter.
  3. Avmarkera kryssrutan Tillåt att medlemmar skapar privata kanaler.

Du kan också använda teamprinciper för att styra vem som kan skapa privata kanaler.

Skapa en känslighetsetikett

Om du vill konfigurera ett team för säkerhetsisolering kommer vi att använda en känslighetsetikett som skapats specifikt för det här teamet. Etiketten används på teamnivån för att styra gästdelning och för att blockera åtkomst från ohanterade enheter. Den kan också användas för att klassificera och kryptera enskilda filer i gruppen så att bara teamägare och medlemmar kan öppna dem.

Om du har ett intern partner- eller intresseteam som ska kunna visa krypterade dokument men inte redigera dem, kan du lägga till dem i etiketten med endast visningsbehörigheter. Du kan sedan lägga till dessa personer i teamets SharePoint-webbplats med läsarbehörigheter och de kommer att ha skrivskyddad åtkomst till webbplatsen där dokumenten behålls, men inte själva teamet.

Att skapa en känslighetsetikett

  1. Öppna Microsoft 365 Efterlevnadscenter och under Lösningar väljer du Information Protection.
  2. Klicka på Skapa en etikett.
  3. Namge etiketten. Vi föreslår att du namnger det efter teamet som du ska använda det med.
  4. Lägg till ett visningsnamn och en beskrivning och klicka på Nästa.
  5. På sidan Definiera omfång för etikett väljer du filer och e-postmeddelanden samt grupper och webbplatser och klickar på Nästa.
  6. På sidan Välj säkerhetsinställningar för filer och e-postmeddelanden väljer du Kryptera filer och e-postmeddelande och klickar på Nästa.
  7. På sidan Kryptering väljer du Konfigurera krypteringsinställningar.
  8. Klicka på Lägg till användare eller grupper, markera det team som du har skapat och klicka sedan på Lägg till
  9. Klicka på Välj behörigheter.
  10. Välj Samtidig redigering från listrutan och klicka sedan på Spara.
  11. Om du vill lägga till användare eller grupper med skrivskyddad åtkomst till filer med etiketten:
    1. Klicka på Tilldela behörigheter.
    2. Klicka på Lägg till användare eller grupper, välj de användare eller grupper du vill lägga till och klicka sedan på Lägg till.
    3. Klicka på Välj behörigheter.
    4. Välj Visningsprogram i listrutan och klicka på Spara.
  12. Klicka på Spara och sedan på Nästa.
  13. På sidan Auto-etiketting för filer och e-postmeddelanden* klickar du på Nästa.
  14. På sidan Definiera säkerhetsinställningar för grupper och webbplatser väljer du Inställningar för sekretess och extern användaråtkomst samt Inställningar för enhetsåtkomst och extern delning och klickar på Nästa.
  15. Välj alternativet Privat under Sekretess på sidan Definiera inställningar för sekretess och extern användaråtkomst.
  16. Om du vill tillåta gäståtkomst väljer du Låt Microsoft 365-gruppägare lägga till personer utanför organisationen i gruppen som gäster under Extern användaråtkomst.
  17. Klicka på Nästa.
  18. På sidan Definiera inställningar för extern delning och enhetsåtkomst väljer du Styra extern delning från etiketterade SharePoint-webbplatser.
  19. Under Innehåll kan delas med väljer du Nya och befintliga gäster om du vill tillåta gäståtkomst eller Endast personer i organisationen.
  20. Under Åtkomst från ohanterade enheter väljer du Blockera åtkomst.
  21. Klicka på Nästa.
  22. På sidan Auto-etiketting för databaskolumner klickar du på Nästa.
  23. Klicka på Skapa etikett och sedan på Klart.

När du har skapat en etikett måste du publicera den till de användare som ska använda den. I det här fallet gör vi etiketten tillgänglig bara för personer i teamet.

För att publicera en känslighetsetikett:

  1. I Microsoft 365 Efterlevnadscenter, på sidan Information Protection, väljer du fliken Etikettprinciper.
  2. Klicka på Publicera etiketter.
  3. På sidan Välj känslighetsetiketter att publicera klickar du på Välj känslighetsetiketter att publicera.
  4. Markera de etiketter som du har skapat och klicka sedan på Lägg till.
  5. Klicka på Nästa.
  6. På sidan Publicera till användare och grupper klickar du på Välja användare och grupper.
  7. Klicka på Lägg till och välj sedan det team som du har skapat.
  8. Klicka på Lägg till och sedan på Klart.
  9. Klicka på Nästa.
  10. På sidan Principinställningar väljer du kryssrutan Användare måste ge anledning till att ta bort en etikett eller lägre klassificeringsetikett och klickar sedan på Nästa.
  11. Skriv ett namn för principen och klicka sedan på Nästa.
  12. Klicka på Skicka och klicka sedan på Klart.

Använda etiketten i teamet

När etiketten har publicerats måste du använda den i teamet för att inställningarna för gästdelning och hanterade enheter ska börja gälla. Det görs i SharePoint Online Administrationscenter. Obs! Det kan ta lite tid innan etiketten blir tillgänglig när den har publicerats.

Använda känslighetsetiketten

  1. Öppna SharePoint Online Administrationscenter.
  2. Under Webbplatser klickar du på Aktiva webbplatser.
  3. Klicka på den webbplats som är kopplad till teamet.
  4. På fliken Principer klickar du på Redigera under Känslighet.
  5. Markera den etikett som du har skapat och klicka sedan på Spara.

SharePoint-inställningar

Det finns tre steg att utföra i SharePoint:

  • Uppdatera inställningarna för gästdelning för webbplatsen i SharePoint Online Administrationscenter för att matcha det du valde när du skapade etiketten och uppdatera sedan standard delningslänken till Personer med befintlig åtkomst.
  • Uppdatera inställningarna för webbplatsdelning på själva webbplatsen och förhindra att medlemmar kan dela filer, mappar eller webbplatsen och inaktivera åtkomstförfrågningar.
  • Om du har lagt till personer eller grupper till etiketten med behörighet till visningsprogrammet, kan du lägga till dem på SharePoint-webbplatsen med läsbehörigheter.

Gästdelning i SharePoint

Den inställning för gästdelning som du valde när du skapade etiketten (som bara påverkar teammedlemskap) ska matcha inställningarna för gästdelning för den associerade SharePoint-webbplatsen på följande sätt:

Etikettinställning Inställning för SharePoint-webbplats
Låt Office 365-gruppägare lägga till personer utanför organisationen i gruppen markerad Nya och befintliga gäster (standard för nya grupper)
Låt Office 365-gruppägare lägga till personer utanför organisationen i gruppen inte markerad Endast personer i organisationen

Vi kommer också att uppdatera standardtypen av delnings ’länk för att minska risken för att filer och mappar delas av misstag.

Uppdatera webbplatsinställningar

  1. Öppna SharePoint Online Administrationscenter.
  2. Under Webbplatser klickar du på Aktiva webbplatser.
  3. Klicka på den webbplats som är kopplad till teamet.
  4. Klicka på Redigera under Extern delning på fliken Principer.
  5. Om du tillät gästdelning när du skapade känslighetsetiketten ska du kontrollera att Nya och befintligt gäster har markerats. Om du inte tillåter delning när du skapade etiketten väljer du Bara personer i organisationen.
  6. Avmarkera kryssrutan Samma som organisationsnivå under standardtyp av delningslänk och välj Personer med befintlig åtkomst.
  7. Klicka på Spara.

Privata kanaler

Om du lägger till privata kanaler i teamet skapas en ny SharePoint-webbplats med standard delningsinställningar. De här webbplatserna visas inte i SharePoint Online Administrationscenter. Du måste därför använda Windows PowerShell-cmdleten set-SPOSite med följande parametrar för att uppdatera inställningarna för gästdelning:

  • -SharingCapability Disabled Inaktivera gästdelning (det är aktiverat som standard)
  • -DefaultSharingLinkType Internal ändra standard delningslänk till Vissa personer

Om du inte planerar att använda privata kanaler med ditt team kan det vara bra att inaktivera möjligheten för teammedlemmarna att skapa dem under medlemsbehörigheter i teaminställningar.

Inställningar för webbplatsdelning

För att se till att SharePoint-webbplatsen inte delas med personer som inte är medlemmar i teamet kan vi begränsa delning till ägare. Vi begränsar även delning av filer och mappar till teamägare. På så sätt ser du till att ägare känner till när en fil delas med någon utanför teamet.

Konfigurera webbplatsdelning endast för ägare

  1. Gå till fliken Allmänt i teamet som du vill uppdatera i Teams.
  2. I verktygsfältet för teamet klickar du på Filer.
  3. Klicka på ellipsen och sedan på Öppna i SharePoint.
  4. Klicka på inställningsikonen i verktygsfältet på den underliggande SharePoint-webbplatsen och klicka sedan på Webbplatsbehörigheter.
  5. I fönstret Webbplatsbehörigheter under Delningsinställningar klickar du på Ändra delningsinställningar.
  6. Under Delningsbehörigheter väljer du Endast webbplatsens ägare kan dela filer, mappar och webbplatsen. Klicka sedan på Spara.

Anpassade webbplatsbehörigheter

Om du har lagt till personer med visningsbehörighet till känsliga etiketter kan du lägga till dem på SharePoint-webbplatsen med läsåtkomst så att de enkelt kan komma åt filerna.

Bjuda in användare till webbplatsen

  1. På sidan klickar du på inställningsikonen och klickar sedan på Webbplatsbehörigheter.
  2. Klicka Bjud in personer och klicka sedan på dela bara webbplats.
  3. Skriv namnen på de användare och grupper som du vill bjuda in.
  4. Om du vill ändra behörigheten för varje person eller grupp som du lägger till kan du ändra deras behörigheter från Redigera att Läsa.
  5. Välj om du vill skicka ett e-postmeddelande med en länk till webbplatsen.
  6. Klicka på Lägg till.

Ytterligare skydd

Microsoft 365 tillhandahåller fler metoder för att skydda innehållet. Överväg att använda följande alternativ för att förbättra säkerheten för din organisation.

Driva på teammedlemmarnas användning

Med teamet på plats är det dags att driva på teamets användning och den extra säkerheten för teammedlemmar.

Utbilda dina användare

Teamets medlemmar kan komma åt teamet och alla dess resurser, inklusive chattar, möten och andra appar. När du arbetar med filer från avsnittet Filer i en kanal ska medlemmarna i teamet ange känslighetsetikett för filerna de skapar.

När etiketten tillämpas krypteras filen. Teamets medlemmar kan öppna och samarbeta i realtid. Om filen lämnar webbplatsen och vidarebefordras till en illvillig användare måste användaren ange autentiseringsuppgifterna för ett användarkonto som är medlem i teamgruppen för att öppna filen och visa innehållet.

Utbilda dina teammedlemmar i följande:

  • Om vikten av att använda det nya teamet för chattar, möten, filer och andra resurser för SharePoint-webbplatsen och konsekvenserna av en läcka av strikt reglerade data, till exempel juridiska aspekter, tillsynsböter, utpressningstrojaner eller förlust av konkurrensfördelar.
  • Hur man får åtkomst till teamet.
  • Hur man skapar nya filer på webbplatsen och laddar upp nya filer som lagras lokalt.
  • Hur du förser filer med rätt känslighetsetikett för teamet.
  • Hur etiketten skyddar filer även när de läcker från webbplatsen.

I den här utbildningen ska det ingå praktiska övningar så att teamets medlemmar kan prova funktionerna och se deras resultat.

Utföra regelbundna granskningar av användning och hantera feedback för teammedlemmar

I veckorna efter utbildningen:

  • Snabbt hantera feedback från teammedlemmar och finjustera principer och konfigurationer.
  • Analysera teamets användning och jämföra med den förväntade användningen.
  • Kontrollera att strikt reglerade filer har etiketterats korrekt med den anpassade känslighetsetiketten. (Du kan se vilka filer som har tilldelats en etikett genom att visa en mapp i SharePoint och lägga till kolumnen Känslighet genom alternativet Visa/dölj kolumner i Lägg till kolumn.

Vidareutbilda dina användare efter behov.

Se även

Azure Active Directory Privileged Identity Management