配置具有基线保护的团队
本文将介绍如何部署具有基线保护级别的团队。 通过此级别,用户可通过多种方式进行协作,同时提升权限管理,并针对过度共享提供基本保护。 此级别的建议保护包括标识和设备访问策略和恶意软件保护。 此外,可以根据需要应用条件访问策略和数据丢失保护。
初始保护
第一步,我们建议配置基本身份和设备访问策略。 有关详细信息,请参阅保护 Teams 聊天、组和文件的策略建议。
建议启用基本的 Defender for Office 365 功能,防范文档、附件和链接中的恶意软件。 我们建议启用下表中的每个选项。
| 选项 | 信息 |
|---|---|
| SharePoint、OneDrive 和 Teams 的安全附件 | Microsoft Defender for Office 365 中的安全附件 Defender for Office 365 - SharePoint、OneDrive 和 Microsoft Teams |
| 安全文档 | Microsoft 365 A5或 E5 安全性中的安全文档 |
| 适用于 Teams 的安全链接 | 适用于 Microsoft Teams 的安全链接设置 |
团队来宾共享
在每个层中,我们都可以选择 与组织外部的人员共享。 对于敏感层和高度敏感层,可以选择使用敏感度标签在团队级别关闭来宾共享。 但必须启用“组织级别的来宾共享设置”,以使来宾共享在 Teams 中均可正常工作。
默认情况下,商业组织将启用来宾共享。 但是,如果你以前更改了组织的任何来宾共享设置,我们建议查看与 团队中的来宾协作 ,以确保来宾共享在 Teams 中可用。
网站和文件共享
为了降低意外与组织外部人员共享文件或文件夹的风险,建议将 SharePoint 的默认共享链接更改为“仅限组织中的人员”。 (如果用户需要在外部共享,并且启用了来宾共享,他们在共享时仍可以更改链接类型。)
更改默认共享链接
- 打开 SharePoint 管理中心,在策略下,选择共享。
- 在“文件和文件夹链接”下,选中“仅限组织中的人员”。
- 选择“保存”。
为了获得最佳来宾共享体验,我们还建议启用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 集成。
创建团队
基线保护级别的其他配置在与团队相关联的 SharePoint 网站中完成。 创建公共或私人团队,然后再继续进行下一部分。
网站共享设置
默认情况下,SharePoint 网站的成员可以邀请其他人加入该网站。 网站是团队的一部分时,团队成员将作为网站成员包括在内。 但是,直接添加到网站的人员不能访问团队的其他成员。 因此,我们建议仅通过团队来管理权限。
为了帮助进行权限管理,我们建议将关联的站点配置为仅允许所有者自己共享该站点。 这简化了权限管理,有助于阻止团队所有者不知道的人员访问。 对需要基线保护的每个团队执行此操作。
更新网站共享设置
- 在团队的工具栏中,选择“ 文件”。
- 选择“ 在 SharePoint 中打开”。
- 在 SharePoint 网站的工具栏中,选择设置图标,然后选择“ 网站权限”。
- 在“ 网站权限 ”窗格中的“ 网站共享”下,选择“ 更改成员共享方式”。
- 在 “共享权限”下,选择“ 网站所有者和成员”,具有“编辑”权限的人员可以共享文件和文件夹,但只有网站所有者可以共享网站,然后选择“ 保存”。
附加保护
Microsoft 365 提供了其他用于保护内容的方法。 考虑以下选项是否有助于提高组织的安全性。