有关保护 Teams 聊天、组和文件的策略建议
本文介绍如何实施建议的零信任标识和设备访问策略来保护 Microsoft Teams 聊天、组以及文件和日历等内容。 本指南以通用标识和设备访问策略为基础,并包含特定于 Teams 的其他信息。 由于 Teams 与我们的其他产品集成,因此另请参阅有关保护 SharePoint 网站和文件的策略建议和有关保护电子邮件的策略建议。
这些建议基于 Teams 文件的三个不同安全和保护级别,可根据需求粒度进行应用:起点、企业和专业安全性。 可以在标识和设备访问配置中详细了解这些安全层以及这些建议引用的建议策略。
本文中包含更多特定于 Teams 部署的建议,以涵盖特定的身份验证环境,包括针对组织外部的用户。 需要遵循本指南才能获得完整的安全体验。
在其他依赖服务之前开始使用 Teams
无需启用依赖服务即可开始使用 Microsoft Teams。 这些服务都将“正常工作”。但是,确实需要准备好管理以下与服务相关的元素:
- Microsoft 365 组
- SharePoint 团队网站
- OneDrive
- Exchange 邮箱
- 流视频和 Planner 计划(如果启用了这些服务)
更新通用策略以包括 Teams
下图演示了要根据通用标识和设备访问策略更新哪些策略才能保护 Teams 中的聊天、组和内容。 对于要更新的每个策略,请确保 Teams 和依赖服务包含在云应用的分配中。
这些服务是包含在 Teams 云应用分配中的依赖服务:
- Microsoft Teams
- SharePoint 和 OneDrive
- Exchange Online
- Skype for Business Online
- Microsoft Stream(会议录制)
- Microsoft Planner(Planner 任务和计划数据)
此表列出了需要重新访问的策略以及通用标识和设备访问策略中每个策略的链接,为所有 Office 应用程序设置了更广泛的策略。
保护级别 | 策略 | 有关 Teams 实现的更多信息 |
---|---|---|
起点 | 登录风险为中或高时需要 MFA | 确保 Teams 和相关服务包含在应用列表中。 Teams 还需要考虑来宾访问和外部访问规则,本文稍后将介绍有关这些规则的详细信息。 |
阻止不支持新式验证的客户端 | 将 Teams 和依赖服务包含在云应用的分配中。 | |
高风险用户必须更改密码 | 如果检测到用户帐户存在高风险活动,则强制 Teams 用户在登录时更改密码。 确保 Teams 和相关服务包含在应用列表中。 | |
应用 APP 数据保护策略 | 确保 Teams 和相关服务包含在应用列表中。 更新所有平台的策略 (iOS、Android、Windows)。 | |
企业 | 登录风险为低、中或高时需要 MFA | Teams 还需要考虑来宾访问和外部访问规则,本文稍后将介绍有关这些规则的详细信息。 在此策略中包括 Teams 和相关服务。 |
定义设备合规性策略 | 在此策略中包括 Teams 和相关服务。 | |
需要合规的电脑和移动设备 | 在此策略中包括 Teams 和相关服务。 | |
专用安全性 | 始终需要 MFA | 无论采用何种用户标识,你的组织都会使用 MFA。 在此策略中包括 Teams 和相关服务。 |
Teams 依赖服务体系结构
下图演示了 Teams 所依赖的服务作为参考。 有关详细信息和演示,请参阅面向 IT 架构师的 Microsoft 365 中的 Microsoft Teams 和相关生产力服务。
Teams 的来宾和外部访问
Microsoft Teams 定义了以下访问类型:
来宾访问使用来宾或外部用户的 Microsoft Entra B2B 帐户,该用户可以添加为团队成员,并拥有对该团队的通信和资源的所有访问权限。
外部访问适用于没有 Microsoft Entra B2B 帐户的外部用户。 外部访问可以包括邀请和参与通话、聊天和会议,但不包括团队成员资格和对团队资源的访问权限。
条件访问策略仅适用于 Teams 中的来宾访问,因为存在相应的 Microsoft Entra B2B 帐户。
有关允许具有 Microsoft Entra B2B 帐户的来宾和外部用户访问的建议策略,请参阅允许来宾和外部 B2B 帐户访问的策略。
Teams 中的来宾访问
除了针对企业或组织内部用户的策略之外,管理员还可以启用来宾访问,以允许企业或组织外部的人员访问 Teams 资源,并与内部人员进行群组对话、聊天和会议等交互活动。
有关来宾访问及其实现方法的详细信息,请参阅 Teams 来宾访问。
Teams 中的外部访问
外部访问有时会与来宾访问相混淆,因此必须明确知道这两种非内部访问机制是不同类型的访问。
外部访问是整个外部域中的 Teams 用户在 Teams 中查找、呼叫、聊天和设置会议的一种方式。 Teams 管理员在组织级别配置外部访问。 有关详细信息,请参阅在 Microsoft Teams 中管理外部访问。
与通过来宾访问添加的个人相比,外部访问用户拥有的访问权限和功能较少。 例如,外部访问用户可以通过 Teams 与内部用户聊天,但无法访问团队渠道、文件或其他资源。
外部访问不使用 Microsoft Entra B2B 用户帐户,因此不使用条件访问策略。
Teams 策略
除了上面列出的通用策略之外,还有特定于 Teams 的策略,你可以并且应该配置这些策略来管理各种 Teams 功能。
团队和渠道策略
团队和渠道是 Microsoft Teams 中的两个常用元素,可以制定一些策略来控制用户在使用团队和渠道时可以执行的操作和不能执行的操作。 虽然可以创建一个全局团队,但如果组织中的用户数不超过 5000 个,则你可能发现,根据组织需求针对特定目的创建较小团队和渠道会很有帮助。
建议更改默认策略或创建自定义策略,并且可以通过以下链接了解有关管理策略的详细信息:在 Microsoft Teams 中管理团队策略。
消息传递策略
还可以通过默认全局策略或自定义策略来管理消息传递或聊天,这可以帮助用户以适合组织的方式相互通信。 可以在在 Teams 中管理消息传递策略中查看此信息。
会议策略
如果没有 Teams 会议相关的规划和实施策略,则 Teams 的讨论就不完整。 会议是 Teams 的重要组成部分,它使人们能够正式会面、向许多用户同时演示,并分享会议相关的内容。 为组织制定会议相关的正确策略至关重要。
有关详细信息,请参阅在 Teams 中管理会议策略。
应用权限策略
Teams 还允许在不同的位置使用应用,例如渠道或个人聊天。 针对可以添加和使用哪些应用以及在何处添加和使用应用制定策略,对于维护内容丰富且安全的环境至关重要。
有关应用权限策略的详细信息,请查看在 Microsoft Teams 中管理应用权限策略。
后续步骤
为以下项配置条件访问策略: