共用方式為

保護 Teams 聊天、群組和檔案的原則建議

  • 發行項

本文說明如何實作建議的零信任身分識別和裝置存取原則,以保護Microsoft Teams 聊天、群組和內容(例如檔案和行事歷)。 本指南基於 通用身分識別和裝置存取原則,並提供針對 Teams 的專屬資訊。 由於 Teams 與我們的其他產品整合,亦請參閱保護 SharePoint 網站和檔案的政策建議 ,以及保護電子郵件的政策建議

這些建議是以三種不同的安全性和保護層級為基礎,可根據需求的數據粒度套用:起點企業,以及 特製化安全性。 您可以根據需求的數據粒度來套用這些原則。 如需詳細資訊,請參閱 建議的安全策略和組態簡介

本文專為 Microsoft Teams 提供的具體建議,以涵蓋驗證情境,包括組織外部的使用者。 請遵循此指引以取得完整的安全性體驗。

在其他相依服務之前開始使用Teams

您不需要啟用相依服務,即可開始使用 Microsoft Teams。 這些服務全都會「正常運作」。不過,您必須準備好管理下列服務相關元素:

  • Exchange Online 信箱
  • Microsoft 365 群組
  • OneDrive
  • SharePoint 小組網站
  • 串流影片和規劃計劃(如果啟用這些服務)

更新通用原則以包含 Teams

為了保護 Teams 中的聊天、群組和內容,下圖說明要從通用身分識別和裝置存取原則更新哪些原則。 在每個需要更新的原則中,請務必在雲端應用程式的指派中包含 Teams 和相應的服務。

圖表顯示為保護 Teams 及其相依服務所做的原則更新摘要。

您需要包含的相依服務會在下列清單中說明:

  • Microsoft Teams
  • SharePoint 和 OneDrive
  • Exchange Online (信箱)
  • Microsoft Stream (會議錄製)
  • Microsoft Planner(Planner 任務和計畫數據)

檢閱下表所列的原則,並針對 Microsoft Teams 進行建議的新增,或確認這些設定已包含。 每個原則都會連結到 通用身分識別和裝置存取原則中相關聯的設定指示,

保護層級 政策 Teams 實作的進一步資訊
起點 需要多重驗證(MFA)當登入風險為 中等 請確定 Teams 和相依服務包含在應用程式清單中。 Teams 有來賓存取和外部存取規則需要考慮,本文稍後會加以說明。
封鎖不支援新式驗證的用戶端 將 Teams 和相依服務納入雲端應用程式的指派中。
高風險用戶必須變更密碼 如果偵測到帳戶的高風險活動,強制Teams用戶變更其密碼。 請確定 Teams 和相依服務包含在應用程式清單中。
套用應用程式數據保護原則 請確定 Teams 和相依服務包含在應用程式清單中。 更新每個平台的原則(iOS/iPadOS、Android 和 Windows)。
企業 當登入風險 中等時, 需要 MFA Teams 有來賓存取和外部存取規則需要考慮,本文稍後會加以說明。 在此原則中包含 Teams 和相依服務在內。
定義裝置合規性政策 在此政策中包含 Teams 和其相依服務。
需要符合規範的計算機 和行動裝置 在此原則中包含 Teams 和相關服務。
專業化安全 始終 需要 MFA 請將 Teams 及其相依服務納入此政策。

Teams 相依服務架構

如需參考,下圖說明 Teams 依賴的服務。 如需詳細資訊,請參閱 適用於 IT 架構師的 Microsoft 365 中的 Microsoft Teams 和相關效率服務

顯示 SharePoint、OneDrive 和 Exchange Online 上 Teams 相依性的圖表。

Teams 的來賓和外部存取

Microsoft Teams 會為組織外部的使用者定義下列存取類型:

  • 來賓存取:針對可新增為小組成員的每個使用者,使用Microsoft Entra B2B 帳戶。 來賓存取允許存取 Teams 資源,以及在群組交談、聊天和會議中與內部用戶互動。

    如需來賓存取以及如何實作的詳細資訊,請參閱 Microsoft Teams 中的來賓存取。

  • 外部存取:組織外部沒有Microsoft Entra B2B 帳戶的使用者。 外部存取可以包含邀請和參與通話、聊天和會議,但不包含小組成員資格或小組資源的存取權。 外部存取是外部網域中的 Teams 用戶尋找、通話、聊天,以及在 Teams 中設定與貴組織使用者會議的方式。

    Teams 系統管理員可以使用自定義原則來設定組織、使用者群組或個別使用者的外部存取。 如需詳細資訊,請參閱 IT 系統管理員 - 使用 Microsoft 身分識別管理外部會議並與人員和組織聊天。

外部存取使用者比來賓存取使用者少一些存取和功能。 例如,外部存取使用者可以與 Teams 與內部使用者聊天,但無法存取小組頻道、檔案或其他資源。

條件式存取原則僅適用於 Teams 中的來賓存取使用者,因為有對應的Microsoft Entra B2B 帳戶。 外部存取不會使用 Microsoft Entra B2B 帳戶,因此無法使用條件式存取原則。

如需允許使用 Microsoft Entra B2B 帳戶存取的建議原則,請參閱 允許來賓和外部 B2B 帳戶存取的原則

Teams 原則

除了先前所述的常見原則之外,還有您需要設定的Teams特定原則來管理Teams中的特定功能。

小組和頻道原則

原則可用來控制使用者可以和無法在 Teams 中的小組和頻道中執行哪些動作。 雖然全域小組可供使用,但您更可能建立更小型且更特定的小組和頻道,以符合您的業務需求。

建議您變更預設全域原則或建立自定義原則,如下列所述:在 Microsoft Teams中管理頻道原則。

傳訊原則

您也可以使用預設全域原則或自定義原則來管理傳訊(也稱為聊天)。 此方法可協助使用者以適合您組織的方式進行通訊。 如需詳細資訊,請參閱在Teams 中管理傳訊原則

會議原則

會議可讓小型和大型人員正式聚在一起並分享相關內容。 為會議設定正確的組織原則至關重要。 如需詳細資訊,請參閱 會議

應用程式許可權原則

您也可以在 Teams 內使用應用程式,例如在頻道或個人聊天中。 定義應用程式使用範圍和位置的政策,對於一個內容豐富且安全的環境而言至關重要。

如需應用程式許可權原則的詳細資訊,請參閱 使用應用程式許可權原則來控制使用者對應用程式的存取

後續步驟

Microsoft 365 雲端應用程式原則的螢幕快照。

針對下列項目設定條件式存取原則: