Recomendações de políticas para proteger chats, grupos e arquivos do Teams
Este artigo descreve como implementar as políticas recomendadas de identidade e acesso a dispositivos Zero Trust para proteger chats, grupos e conteúdo do Microsoft Teams, como arquivos e calendários. Estas orientações baseiam-se nas políticas comuns de identidade e acesso a dispositivos, com informações adicionais específicas do Teams. Como o Teams se integra com nossos outros produtos, consulte também Recomendações de políticas para proteger sites e arquivos do SharePoint e Recomendações de políticas para proteger emails.
Essas recomendações são baseadas em três níveis diferentes de segurança e proteção para o Teams que podem ser aplicados com base na granularidade de suas necessidades: ponto de partida, segurança empresarial e especializada. Você pode saber mais sobre essas camadas de segurança e as políticas recomendadas referenciadas por essas recomendações nas Configurações de identidade e acesso a dispositivos.
Mais recomendações específicas para a implantação do Teams estão incluídas neste artigo para cobrir circunstâncias específicas de autenticação, inclusive para usuários fora da sua organização. Você precisará seguir estas orientações para ter uma experiência de segurança completa.
Introdução ao Teams antes de outros serviços dependentes
Não é necessário habilitar serviços dependentes para começar a usar o Microsoft Teams. Todos esses serviços "simplesmente funcionarão". No entanto, você precisa estar preparado para gerenciar os seguintes elementos relacionados ao serviço:
- Grupos do Microsoft 365
- Sites de equipe do SharePoint
- OneDrive
- Caixas de correio do Exchange
- Transmitir vídeos e planos do Planner (se esses serviços estiverem ativados)
Atualização de políticas comuns para incluir o Teams
Para proteger o chat, os grupos e o conteúdo no Teams, o diagrama a seguir ilustra quais políticas devem ser atualizadas a partir das políticas comuns de identidade e acesso a dispositivos. Para cada política a atualizar, certifique-se de que o Teams e os serviços dependentes estão incluídos na atribuição de aplicações na nuvem.
Estes serviços são os serviços dependentes a incluir na atribuição de aplicações na nuvem para o Teams:
- Microsoft Stream
- SharePoint e OneDrive
- Exchange Online
- Skype para Empresas Online
- Microsoft Stream (gravações de reuniões)
- Microsoft Planner (Tarefas do Planejador e dados do plano)
Esta tabela lista as políticas que precisam ser revisitadas e links para cada política nas políticas comuns de identidade e acesso a dispositivos, que tem a política mais ampla definida para todos os aplicativos do Office.
Nível de proteção | Políticas | Mais informações para a implementação do Teams |
---|---|---|
Ponto de partida | Exigir MFA quando o risco de entrada for médio ou alto | Certifique-se de que as equipas e os serviços dependentes estão incluídos na lista de aplicações. O Teams também tem regras de Acesso de Convidado e Acesso Externo para considerar, você aprenderá mais sobre essas regras mais adiante neste artigo. |
Bloquear clientes que não suportam autenticação moderna | Inclua equipes e serviços dependentes na atribuição de aplicativos na nuvem. | |
Usuários de alto risco devem alterar a senha | Força os usuários do Teams a alterar sua senha ao entrar se for detetada atividade de alto risco em sua conta. Certifique-se de que as equipas e os serviços dependentes estão incluídos na lista de aplicações. | |
Aplicar políticas de proteção de dados da APP | Certifique-se de que as equipas e os serviços dependentes estão incluídos na lista de aplicações. Atualize a política para cada plataforma (iOS, Android, Windows). | |
Enterprise | Exigir MFA quando o risco de entrada for baixo, médio ou alto | O Teams também tem regras de Acesso de Convidado e Acesso Externo para considerar, você aprenderá mais sobre essas regras mais adiante neste artigo. Inclua equipes e serviços dependentes nesta política. |
Definir políticas de conformidade de dispositivos | Inclua equipes e serviços dependentes nesta política. | |
Requer PCs e dispositivos móveis compatíveis | Inclua equipes e serviços dependentes nesta política. | |
Segurança especializada | Exigir sempre MFA | Independentemente da identidade do usuário, o MFA será usado pela sua organização. Inclua equipes e serviços dependentes nesta política. |
Arquitetura de serviços dependentes de equipes
Para referência, o diagrama a seguir ilustra os serviços nos quais o Teams confia. Para obter mais informações e ilustrações, consulte Microsoft Teams e serviços de produtividade relacionados no Microsoft 365 para arquitetos de TI.
Acesso convidado e externo para Equipas
O Microsoft Teams define os seguintes tipos de acesso:
O acesso de convidado usa uma conta B2B do Microsoft Entra para um convidado ou usuário externo que pode ser adicionado como membro de uma equipe e tem todo o acesso permitido à comunicação e aos recursos da equipe.
O acesso externo é para um usuário externo que não tem uma conta B2B do Microsoft Entra. O acesso externo pode incluir convites e participação em chamadas, chats e reuniões, mas não inclui a associação à equipe e o acesso aos recursos da equipe.
As políticas de Acesso Condicional só se aplicam ao acesso de convidado no Teams porque existe uma conta B2B correspondente do Microsoft Entra.
Para obter as políticas recomendadas para permitir o acesso de usuários convidados e externos com uma conta B2B do Microsoft Entra, consulte Políticas para permitir acesso a contas B2B convidadas e externas.
Acesso de convidados no Teams
Além das políticas para usuários internos à sua empresa ou organização, os administradores podem habilitar o acesso de convidado para permitir, usuário a usuário, que pessoas externas à sua empresa ou organização acessem os recursos do Teams e interajam com pessoas internas para coisas como conversas em grupo, bate-papo e reuniões.
Para obter mais informações sobre o acesso de convidado e como implementá-lo, consulte Acesso de convidado do Teams.
Acesso externo no Teams
O acesso externo às vezes é confundido com o acesso de convidado, por isso é importante deixar claro que esses dois mecanismos de acesso não internos são tipos diferentes de acesso.
O acesso externo é uma maneira de os usuários do Teams de um domínio externo inteiro encontrarem, ligarem, conversarem e configurarem reuniões com seus usuários no Teams. Os administradores de equipes configuram o acesso externo no nível da organização. Para obter mais informações, consulte Gerenciar acesso externo no Microsoft Teams.
Os usuários de acesso externo têm menos acesso e funcionalidade do que um indivíduo que foi adicionado por meio do acesso de convidado. Por exemplo, os usuários de acesso externo podem conversar com seus usuários internos com o Teams, mas não podem acessar canais de equipe, arquivos ou outros recursos.
O acesso externo não usa contas de usuário B2B do Microsoft Entra e, portanto, não usa políticas de Acesso Condicional.
Políticas do Teams
Fora das políticas comuns listadas acima, existem políticas específicas do Teams que podem e devem ser configuradas para gerenciar várias funcionalidades do Teams.
Políticas de equipas e canais
Equipes e canais são dois elementos comumente usados no Microsoft Teams, e há políticas que você pode implementar para controlar o que os usuários podem ou não fazer ao usar equipes e canais. Embora você possa criar uma equipe global, se sua organização tiver 5000 usuários ou menos, é provável que você ache útil ter equipes e canais menores para fins específicos, de acordo com suas necessidades organizacionais.
Recomenda-se alterar a política padrão ou criar políticas personalizadas, e você pode saber mais sobre como gerenciar suas políticas neste link: Gerenciar políticas de equipes no Microsoft Teams.
Políticas de mensagens
As mensagens ou bate-papo também podem ser gerenciados por meio da política global padrão ou por meio de políticas personalizadas, e isso pode ajudar seus usuários a se comunicarem entre si de uma maneira apropriada para sua organização. Essas informações podem ser revisadas em Gerenciando políticas de mensagens no Teams.
Políticas de reunião
Nenhuma discussão sobre o Teams estaria completa sem o planejamento e a implementação de políticas em torno das reuniões do Teams. As reuniões são um componente essencial do Teams, permitindo que as pessoas se encontrem e apresentem formalmente a muitos usuários ao mesmo tempo e compartilhem conteúdo relevante para a reunião. Definir as políticas certas para sua organização em torno de reuniões é essencial.
Para obter mais informações, consulte Gerenciar políticas de reunião no Teams.
Políticas de permissão de aplicações
O Teams também permite que você use aplicativos em vários lugares, como canais ou bate-papos pessoais. Ter políticas sobre quais aplicativos podem ser adicionados e usados, e onde, é essencial para manter um ambiente rico em conteúdo que também seja seguro.
Para saber mais sobre as Políticas de Permissão de Aplicativos, confira Gerenciar políticas de permissão de aplicativos no Microsoft Teams.
Próximos passos
Configure políticas de Acesso Condicional para: