Sdílet prostřednictvím

Doporučení zásad pro zabezpečení chatů, skupin a souborů Teams

  • Článek

Tento článek popisuje, jak implementovat doporučené zásady nulová důvěra (Zero Trust) identit a přístupu zařízení k ochraně chatů, skupin a obsahu Microsoft Teams, jako jsou soubory a kalendáře. Tyto pokyny vycházejí z běžných zásad přístupu k identitám a zařízením s dalšími informacemi, které jsou specifické pro Teams. Vzhledem k tomu, že se Teams integruje s našimi dalšími produkty, přečtěte si také doporučení zásad pro zabezpečení sharepointových webů a souborů a doporučení zásad pro zabezpečení e-mailu.

Tato doporučení jsou založená na třech různých úrovních zabezpečení a ochrany teams, které se dají použít na základě členitosti vašich potřeb: výchozí bod, podnik a specializované zabezpečení. Další informace o těchtoúrovních

Další doporučení specifická pro nasazení Teams jsou součástí tohoto článku, která se týkají konkrétních okolností ověřování, včetně uživatelů mimo vaši organizaci. K zajištění kompletního zabezpečení budete muset postupovat podle těchto pokynů.

Začínáme s Teams před dalšími závislými službami

Abyste mohli začít s Microsoft Teams, nemusíte povolovat závislé služby. Všechny tyto služby budou "jen fungovat". Je však potřeba připravit se na správu následujících prvků souvisejících se službou:

  • Skupiny Microsoft 365
  • Týmové weby SharePointu
  • OneDrive
  • Poštovní schránky Exchange
  • Streamování videí a plánů Planneru (pokud jsou tyto služby povolené)

Aktualizace běžných zásad tak, aby zahrnovaly Teams

Pokud chcete chránit chat, skupiny a obsah v Teams, následující diagram znázorňuje, které zásady se mají aktualizovat z běžných zásad identit a přístupu k zařízením. Aby se každá zásada aktualizovala, ujistěte se, že jsou v přiřazení cloudových aplikací zahrnuté služby Teams a závislé služby.

Diagram znázorňující souhrn aktualizací zásad pro ochranu přístupu k Teams a závislým službám

Tyto služby jsou závislé služby, které se mají zahrnout do přiřazování cloudových aplikací pro Teams:

  • Microsoft Teams
  • SharePoint a OneDrive
  • Exchange Online
  • Online Skype pro firmy
  • Microsoft Stream (nahrávky schůzek)
  • Microsoft Planner (úkoly Planneru a data plánu)

Tato tabulka uvádí zásady, které je potřeba znovu navštívit, a odkazuje na každou zásadu v běžných zásadách identit a přístupu zařízení, které mají širší sadu zásad pro všechny aplikace Office lications.

Úroveň ochrany Zásady Další informace o implementaci Teams
Bodem Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení střední nebo vysoké Ujistěte se, že jsou v seznamu aplikací zahrnuté služby Teams a závislé služby. Aplikace Teams má také pravidla přístupu hostů a externího přístupu, která je potřeba zvážit. Další informace o těchto pravidlech se dozvíte dále v tomto článku.
Blokování klientů, kteří nepodporují moderní ověřování Do přiřazování cloudových aplikací můžete zahrnout Teams a závislé služby.
Uživatelé s vysokým rizikem musí změnit heslo Vynutí uživatele Teams, aby při přihlašování změnili heslo, pokud se zjistí vysoká riziková aktivita pro svůj účet. Ujistěte se, že jsou v seznamu aplikací zahrnuté služby Teams a závislé služby.
Použití zásad ochrany dat APP Ujistěte se, že jsou v seznamu aplikací zahrnuté služby Teams a závislé služby. Aktualizujte zásady pro každou platformu (iOS, Android, Windows).
Enterprise Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední nebo vysoké Aplikace Teams má také pravidla přístupu hostů a externího přístupu, která je potřeba zvážit. Další informace o těchto pravidlech se dozvíte dále v tomto článku. Do této zásady zahrňte teams a závislé služby.
Definovánízásadch Do této zásady zahrňte teams a závislé služby.
Vyžadování kompatibilních počítačů a mobilních zařízení Do této zásady zahrňte teams a závislé služby.
Specializované zabezpečení Vždy vyžadovat vícefaktorové ověřování Bez ohledu na identitu uživatele bude vícefaktorové ověřování používat vaše organizace. Do této zásady zahrňte teams a závislé služby.

Architektura závislých služeb v Teams

Pro referenci znázorňuje následující diagram služby, na které Týmy spoléhá. Další informace a ilustrace najdete v microsoft Teams a souvisejících kancelářských službách v Microsoftu 365 pro IT architekty.

Diagram znázorňující závislosti Teams na SharePointu, OneDrive pro firmy a Exchange

Host a externí přístup pro Teams

Microsoft Teams definuje následující typy přístupu:

  • Přístup hostů používá účet Microsoft Entra B2B pro hosta nebo externího uživatele, který může být přidán jako člen týmu a má všechna oprávnění k komunikaci a prostředkům týmu.

  • Externí přístup je určený pro externího uživatele, který nemá účet Microsoft Entra B2B. Externí přístup může zahrnovat pozvánky a účast na hovorech, chatech a schůzkách, ale nezahrnuje členství v týmu a přístup k prostředkům týmu.

Zásady podmíněného přístupu platí jenom pro přístup hostů v Teams, protože existuje odpovídající účet Microsoft Entra B2B.

Doporučené zásady pro povolení přístupu pro hosta a externí uživatele s účtem Microsoft Entra B2B najdete v tématu Zásady pro povolení přístupu hosta a externího účtu B2B.

Přístup hostů v Teams

Kromě zásadproch přístup uživatelům pro uživatele, kteří jsou interní pro vaši firmu nebo organizaci, můžou správci povolit přístup hostů na základě uživatele, kteří jsou externí pro vaši firmu nebo organizaci, aby mohli přistupovat k prostředkům Teams a komunikovat s interními lidmi pro věci, jako jsou skupinové konverzace, chat a schůzky.

Další informace o přístupu hostů a o tom, jak ho implementovat, najdete v tématu Přístup hostů v Teams.

Externí přístup v Teams

Externí přístup se někdy zaměňuje s přístupem hostů, takže je důležité si uvědomit, že tyto dva neinterní přístupové mechanismy jsou různé typy přístupu.

Externí přístup je způsob, jak uživatelé Teams z celé externí domény vyhledávat, volat, chatovat a nastavovat schůzky s uživateli v Teams. Správci Teams konfigurovali externí přístup na úrovni organizace. Další informace najdete v tématu Správa externího přístupu v Microsoft Teams.

Uživatelé externího přístupu mají menší přístup a funkce než jednotlivec, který byl přidán prostřednictvím přístupu hostů. Uživatelé s externím přístupem můžou například chatovat s interními uživateli v Teams, ale nemají přístup k kanálům, souborům nebo jiným prostředkům týmu.

Externí přístup nepoužívá uživatelské účty Microsoft Entra B2B, a proto nepoužívá zásady podmíněného přístupu.

Zásady Teams

Mimo výše uvedené běžné zásady existují zásady specifické pro Teams, které je možné a měly by být nakonfigurované pro správu různých funkcí Teams.

Zásady teams a kanálů

Teams a kanály jsou dva běžně používané prvky v Microsoft Teams a existují zásady, které můžete zavést k řízení, co uživatelé můžou a nemůžou dělat při používání týmů a kanálů. I když můžete vytvořit globální tým, pokud má vaše organizace 5 000 uživatelů nebo méně, pravděpodobně vám pomůže mít menší týmy a kanály pro konkrétní účely v souladu s potřebami vaší organizace.

Doporučujeme změnit výchozí zásady nebo vytvořit vlastní zásady. Další informace o správě zásad najdete na tomto odkazu: Správa zásad týmů v Microsoft Teams.

Zásady zasílání zpráv

Zasílání zpráv nebo chatu je možné spravovat také prostřednictvím výchozích globálních zásad nebo vlastních zásad. To může uživatelům pomoct komunikovat mezi sebou způsobem, který je vhodný pro vaši organizaci. Tyto informace si můžete projít v tématu Správa zásad zasílání zpráv v Teams.

Zásady schůzek

Bez plánování a implementace zásad na schůzkách v Teams by nebyla žádná diskuze o Teams. Schůzky jsou základní součástí Aplikace Teams, což umožňuje formálně se setkat a prezentovat mnoha uživatelům najednou a sdílet obsah, který je pro schůzku relevantní. Nastavení správných zásad pro vaši organizaci pro schůzky je nezbytné.

Další informace najdete v tématu Správa zásad schůzek v Teams.

Zásady pro oprávnění aplikací

Teams vám také umožňuje používat aplikace na různých místech, jako jsou kanály nebo osobní chaty. Zásady týkající se toho, které aplikace je možné přidávat a používat a kde, je nezbytné pro zachování prostředí s bohatým obsahem, které je také zabezpečené.

Další informace o zásadách oprávnění aplikací najdete v tématu Správa zásad oprávnění aplikací v Microsoft Teams.

Další kroky

Snímek obrazovky se zásadami pro cloudové aplikace Microsoft 365

Konfigurace zásad podmíněného přístupu pro: