Compartir a través de


Recomendaciones de directivas para proteger chats, grupos y archivos de Teams

En este artículo, se describe cómo implementar las directivas recomendadas de acceso a identidades y dispositivos de confianza cero para proteger los chats, grupos y contenido de Microsoft Teams, como archivos y calendarios. Esta guía se basa en las directivas comunes de acceso a identidades y dispositivos, con información adicional específica de Teams. Dado que Teams se integra con nuestros otros productos, consulte también Recomendaciones de directivas para proteger sitios y archivos de SharePoint y Recomendaciones de directivas para proteger el correo electrónico.

Estas recomendaciones se basan en tres niveles diferentes de seguridad y protección para Teams que se pueden aplicar en función de la granularidad de las necesidades: punto de partida, empresa y seguridad especializada. Puede obtener más información sobre estos niveles de seguridad y las directivas recomendadas a las que hacen referencia estas recomendaciones en las configuraciones de acceso a identidades y dispositivos.

En este artículo se incluyen más recomendaciones específicas para la implementación de Teams para cubrir circunstancias de autenticación específicas, incluidos los usuarios externos a la organización. Deberá seguir esta guía para obtener una experiencia de seguridad completa.

Introducción a Teams antes de otros servicios dependientes

No es necesario habilitar los servicios dependientes para empezar a trabajar con Microsoft Teams. Estos servicios funcionarán en consecuencia. Sin embargo, debe estar preparado para administrar los siguientes elementos relacionados con el servicio:

  • Grupos de Microsoft 365
  • Sitios de grupos de SharePoint
  • OneDrive
  • Buzones de Exchange
  • Vídeos de Stream y planes de Planner (si estos servicios están habilitados)

Actualización de directivas comunes para incluir Teams

Para proteger el chat, los grupos y el contenido en Teams, en el diagrama siguiente, se muestran las directivas que se van a actualizar de las directivas comunes de acceso a identidades y dispositivos. Para que cada directiva se actualice, asegúrese de que Teams y los servicios dependientes se incluyen en la asignación de aplicaciones en la nube.

Diagrama que muestra el resumen de las actualizaciones de directivas para la protección del acceso a Teams y sus servicios dependientes.

Estos servicios son los servicios dependientes que se van a incluir en la asignación de aplicaciones en la nube para Teams:

  • Microsoft Teams
  • SharePoint y OneDrive
  • Exchange Online
  • Skype Empresarial Online
  • Microsoft Stream (grabaciones de reuniones)
  • Microsoft Planner (tareas y datos de planes de Planner)

En esta tabla, se enumeran las directivas que deben revisarse y vínculos a cada directiva de las directivas comunes de acceso a identidades y dispositivos, que tiene la directiva más amplia establecida para todas las aplicaciones de Office.

Nivel de protección Directivas Más información sobre la implementación de Teams
Punto de partida Exigir la MFA cuando el riesgo de inicio de sesión sea medio o alto Asegúrese de que Teams y los servicios dependientes se incluyen en la lista de aplicaciones. Teams también tiene reglas de acceso de invitado y acceso externo que se deben tener en cuenta. Obtendrá más información sobre estas reglas más adelante en este artículo.
Bloquear clientes que no admiten la autenticación moderna Incluya Teams y servicios dependientes en la asignación de aplicaciones en la nube.
Los usuarios de alto riesgo deben cambiar la contraseña Obliga a los usuarios de Teams a cambiar su contraseña al iniciar sesión si se detecta actividad de alto riesgo para su cuenta. Asegúrese de que Teams y los servicios dependientes se incluyen en la lista de aplicaciones.
Aplicar directivas de protección de datos de aplicaciones Asegúrese de que Teams y los servicios dependientes se incluyen en la lista de aplicaciones. Actualice la directiva para cada plataforma (iOS, Android, Windows).
Empresa Exigir la MFA cuando el riesgo de inicio de sesión sea bajo, medio o alto Teams también tiene reglas de acceso de invitado y acceso externo que se deben tener en cuenta. Obtendrá más información sobre estas reglas más adelante en este artículo. Incluya Teams y servicios dependientes en esta directiva.
Definir directivas de cumplimiento de dispositivos Incluya Teams y servicios dependientes en esta directiva.
Exigir PC y dispositivos móviles conformes Incluya Teams y servicios dependientes en esta directiva.
Seguridad especializada Exigir siempre la MFA Independientemente de la identidad del usuario, la organización usará la MFA. Incluya Teams y servicios dependientes en esta directiva.

Arquitectura de servicios dependientes de Teams

Como referencia, en el diagrama siguiente, se muestran los servicios en los que se basa Teams. Para más información e ilustraciones, consulte Microsoft Teams y los servicios de productividad relacionados en Microsoft 365 para arquitectos de TI.

Diagrama que muestra las dependencias de Teams en SharePoint, OneDrive para la Empresa y Exchange.

Acceso de invitado y externo para Teams

Microsoft Teams define los siguientes usuarios:

  • El acceso de invitado usa una cuenta de Microsoft Entra B2B para un usuario invitado o externo que se puede agregar como miembro de un equipo y tener todo el acceso con permisos a la comunicación y los recursos del equipo.

  • El acceso externo es para un usuario externo que no tiene una cuenta de Microsoft Entra B2B. El acceso externo puede incluir invitaciones y participación en llamadas, chats y reuniones, pero no incluye la pertenencia al equipo ni el acceso a los recursos del equipo.

Las directivas de acceso condicional solo se aplican al acceso de invitado en Teams porque hay una cuenta de Microsoft Entra B2B correspondiente.

Para obtener directivas recomendadas para permitir el acceso a usuarios invitados y externos con una cuenta de Microsoft Entra B2B, consulte Directivas para permitir el acceso a cuentas B2B externas y de invitado.

Acceso de invitado en Teams

Además de las directivas para los usuarios que son internos de su empresa u organización, los administradores pueden habilitar el acceso de invitado para permitir, por usuario, personas externas a su empresa u organización para acceder a los recursos de Teams e interactuar con personas internas para cosas como conversaciones de grupo, chat y reuniones.

Para más información sobre el acceso de invitado y cómo implementarlo, consulte Acceso de invitado de Teams.

Acceso externo en Teams

El acceso externo a veces se confunde con el acceso de invitado, por lo que es importante tener claro que estos dos mecanismos de acceso no internos son diferentes tipos de acceso.

El acceso externo es una manera de que los usuarios de Teams accedan a un dominio externo completo para buscar, llamar, chatear y configurar reuniones con los usuarios de Teams. Los administradores de Teams configuran el acceso externo en el nivel de organización. Para obtener más información, vea Administrar el acceso externo en Microsoft Teams.

Los usuarios de acceso externo tienen menos acceso y funcionalidad que una persona que se ha agregado a través del acceso de invitado. Por ejemplo, los usuarios de acceso externo pueden chatear con los usuarios internos con Teams, pero no pueden acceder a canales, archivos u otros recursos del equipo.

El acceso externo no usa cuentas de usuario de Microsoft Entra B2B y, por tanto, no usa directivas de acceso condicional.

Directivas de Teams

Fuera de las directivas comunes enumeradas anteriormente, hay directivas específicas de Teams que pueden y deben configurarse para administrar diversas funcionalidades de Teams.

Directivas de Teams y canales

Teams y canales son dos elementos que se usan habitualmente en Microsoft Teams y hay directivas que puede poner en marcha para controlar lo que los usuarios pueden y no pueden hacer al usar equipos y canales. Aunque puede crear un equipo global, si su organización tiene 5000 usuarios o menos, es probable que le resulte útil tener equipos y canales más pequeños con fines específicos, en línea con sus necesidades organizativas.

Se recomienda cambiar la directiva predeterminada o crear directivas personalizadas. Además, puede obtener más información sobre cómo administrar las directivas en este vínculo: Administrar directivas de equipos en Microsoft Teams.

Directivas de mensajería

La mensajería o el chat también se pueden administrar a través de la directiva global predeterminada, o a través de directivas personalizadas, y esto puede ayudar a los usuarios a comunicarse entre sí de una manera adecuada para su organización. Esta información se puede revisar en Administración de directivas de mensajería en Teams.

Directivas de reunión

No se completaría ninguna discusión de Teams sin planear e implementar directivas en torno a las reuniones de Teams. Las reuniones son un componente esencial de Teams, lo que permite a las personas reunirse y presentarse formalmente a muchos usuarios a la vez y compartir contenido relevante para la reunión. Es esencial establecer las directivas adecuadas para su organización en torno a las reuniones.

Para más información, consulte Administrar directivas de reunión en Teams.

Directivas de permisos de la aplicación

Teams también le permite usar aplicaciones en varios lugares, como canales o chats personales. Tener directivas en torno a qué aplicaciones se pueden agregar y usar, y dónde, es esencial para mantener un entorno enriquecido en contenido que también es seguro.

Para más información sobre las directivas de permisos de aplicación, consulte Administrar directivas de permisos de aplicación en Microsoft Teams.

Pasos siguientes

Captura de pantalla de las directivas para aplicaciones en la nube de Microsoft 365.

Configuración de directivas de acceso condicional para: