保護 Teams 聊天、群組和檔案的原則建議
本文說明如何實作建議的 零信任 身分識別和裝置存取原則,以保護 Microsoft Teams 聊天、群組和內容,例如檔案和行事歷。 本指南是以一般身分識別和裝置存取原則為基礎,其中包含 Teams 專屬的其他資訊。 由於 Teams 與其他產品整合,也請參閱 保護 SharePoint 網站和檔案 的原則建議,以及 保護電子郵件的原則建議。
這些建議是以 Teams 的三種不同安全性與保護層級為基礎,可根據您的需求粒度套用:起點、企業和特製化安全性。 您可以在身分識別和裝置存取設定中深入瞭解這些安全性層級,以及這些建議所參考的建議原則。
本文包含 Teams 部署的特定建議,以涵蓋特定驗證情況,包括組織外部的使用者。 您必須遵循此指引,以取得完整的安全性體驗。
在其他相依服務之前開始使用Teams
您不需要啟用相依服務即可開始使用 Microsoft Teams。 這些服務全都會「正常運作」。不過,您必須準備好管理下列服務相關元素:
- Microsoft 365 群組
- SharePoint 小組網站
- OneDrive
- Exchange 信箱
- 串流影片和規劃計劃(如果啟用這些服務)
更新通用原則以包含 Teams
為了保護 Teams 中的聊天、群組和內容,下圖說明要從通用身分識別和裝置存取原則更新哪些原則。 針對要更新的每個原則,請確定 Teams 和相依服務包含在雲端應用程式的指派中。
這些服務是包含在 Teams 雲端應用程式指派中的相依服務:
- Microsoft Teams
- SharePoint 和 OneDrive
- Exchange Online
- Skype for Business Online
- Microsoft Stream (會議錄製)
- Microsoft Planner (Planner 工作和計劃數據)
下表列出需要重新瀏覽的原則,以及通用身分識別和裝置存取原則中每個原則的鏈接,這些原則已針對所有 Office 應用程式 lication 設定更廣泛的原則。
保護等級 | 原則 | Teams 實作的進一步資訊 |
---|---|---|
起點 | 登入風險為 中 或 高時需要 MFA | 請確定 Teams 和相依服務包含在應用程式清單中。 Teams 也有來賓存取和外部存取規則,您稍後也會在此文章中深入了解這些規則。 |
封鎖不支援新式驗證的用戶端 | 在雲端應用程式的指派中包含 Teams 和相依服務。 | |
高風險的用戶必須變更密碼 | 如果偵測到帳戶有高風險活動,則強制Teams用戶變更其密碼。 請確定 Teams 和相依服務包含在應用程式清單中。 | |
套用APP數據保護原則 | 請確定 Teams 和相依服務包含在應用程式清單中。 更新每個平台的原則(iOS、Android、Windows)。 | |
企業 | 登入風險低、中或高時需要 MFA | Teams 也有來賓存取和外部存取規則,您稍後也會在此文章中深入了解這些規則。 在此原則中包含 Teams 和相依服務。 |
定義裝置合規性原則 | 在此原則中包含 Teams 和相依服務。 | |
需要符合規範的計算機 和 行動裝置 | 在此原則中包含 Teams 和相依服務。 | |
特製化安全性 | 一律 需要 MFA | 不論使用者身分識別為何,您的組織都會使用 MFA。 在此原則中包含 Teams 和相依服務。 |
Teams 相依服務架構
如需參考,下圖說明 Teams 依賴的服務。 如需詳細資訊和圖例,請參閱 適用於IT架構師的 Microsoft 365 中的 Microsoft Teams 和相關生產力服務。
Teams 的來賓和外部存取
Microsoft Teams 會定義下列存取類型:
來賓存取 會針對可新增為小組成員的來賓或外部使用者使用 Microsoft Entra B2B 帳戶,並具有小組通訊和資源的所有許可權存取權。
外部存取 適用於沒有 Microsoft Entra B2B 帳戶的外部使用者。 外部存取可以包含邀請和參與通話、聊天和會議,但不包含小組成員資格和小組資源的存取權。
條件式存取原則僅適用於 Teams 中的來賓存取,因為有對應的 Microsoft Entra B2B 帳戶。
如需允許具有 Microsoft Entra B2B 帳戶之來賓和外部使用者存取的建議原則,請參閱 允許來賓和外部 B2B 帳戶存取的原則。
Teams 中的來賓存取
除了貴企業或組織內部用戶的原則之外,系統管理員也可以讓使用者以使用者為基礎,允許外部人員存取 Teams 資源,並與內部人員互動,以進行群組交談、聊天和會議等專案。
如需來賓存取以及如何實作的詳細資訊,請參閱 Teams來賓存取。
Teams 中的外部存取
外部存取有時會與來賓存取混淆,因此請務必清楚這兩種非內部存取機制是不同類型的存取。
外部存取是一種讓來自整個外部網域的Teams使用者在Teams中尋找、通話、聊天和設定會議的方式。 Teams 系統管理員會在組織層級設定外部存取。 如需詳細資訊,請參閱 在 Microsoft Teams 中管理外部存取。
外部存取使用者比透過來賓存取新增的個人,具有較少的存取權和功能。 例如,外部存取使用者可以與 Teams 與內部使用者聊天,但無法存取小組頻道、檔案或其他資源。
外部存取不會使用 Microsoft Entra B2B 用戶帳戶,因此不會使用條件式存取原則。
Teams 原則
除了上述的一般原則之外,還有 Teams 特定的原則可以且應該設定為管理各種 Teams 功能。
Teams 和頻道原則
Teams 和頻道是 Microsoft Teams 中常用的兩個元素,而且有一些原則可讓您控制使用者在使用團隊和頻道時可以和無法執行的動作。 雖然您可以建立全域小組,但如果您的組織有 5000 個使用者或更少,但您可能會發現,為了特定目的,讓較小的小組和頻道符合組織需求,這很有説明。
建議變更默認原則或建立自定義原則,您可以在此連結深入瞭解管理原則: 在 Microsoft Teams 中管理 Teams 原則。
訊息原則
訊息或聊天也可以透過預設全域原則或自定義原則來管理,這可協助使用者以適合您組織的方式彼此通訊。 您可以在管理 Teams 中的傳訊原則中檢閱此資訊。
會議原則
在規劃及實作Teams會議的原則的情況下,Teams不會完成任何討論。 會議是 Teams 的重要元件,可讓人員一次正式開會並呈現給許多使用者,以及共用與會議相關的內容。 為貴組織設定會議的正確原則至關重要。
如需詳細資訊,請參閱 在Teams中管理會議原則。
應用程式權限原則
Teams 也可讓您在各種位置使用應用程式,例如頻道或個人聊天。 針對哪些應用程式可以新增和使用的原則,以及在何處,對於維護也安全的豐富內容環境至關重要。
如需應用程式許可權原則的詳細資訊,請參閱 在 Microsoft Teams 中管理應用程式許可權原則。
下一步
針對下列項目設定條件式存取原則: