Richtlinienempfehlungen zum Sichern von Teams-Chats, -Gruppen und -Dateien

In diesem Artikel wird beschrieben, wie Sie die empfohlenen Zero Trust-Identitäts- und Gerätezugriffsrichtlinien zum Schutz von Microsoft Teams-Chats, -Gruppen und -Inhalten wie Dateien und Kalender implementieren. Dieser Leitfaden basiert auf den allgemeinen Identitäts- und Gerätezugriffsrichtlinien und bietet zusätzliche Team-spezifische Informationen. Da sich Teams in unsere anderen Produkte integrieren lässt, sollten Sie auch die Artikel Richtlinienempfehlungen zum Sichern von SharePoint-Websites und -Dateien und Richtlinienempfehlungen zum Sichern von E-Mails lesen.

Diese Empfehlungen basieren auf drei verschiedenen Sicherheits- und Schutzebenen für Teams, die basierend auf der Granularität Ihrer Anforderungen angewendet werden können: Ausgangspunkt, Unternehmen und spezialisierte Sicherheit. In Identitäts- und Gerätezugriffskonfigurationen erfahren Sie mehr über diese Sicherheitsebenen und die empfohlenen Richtlinien, auf die in diesen Empfehlungen verwiesen wird.

Dieser Artikel enthält weitere Empfehlungen, die sich speziell auf die Bereitstellung von Teams beziehen, um bestimmte Authentifizierungsbedingungen, auch für Benutzer und Benutzerinnen außerhalb Ihrer Organisation, abzudecken. Um umfassende Sicherheit zu gewährleisten, müssen Sie diesen Leitfaden befolgen.

Erste Schritte mit Teams vor anderen abhängigen Diensten

Für erste Schritte mit Microsoft Teams müssen Sie abhängige Dienste nicht aktivieren. Diese Dienste „funktionieren einfach“. Sie müssen jedoch darauf vorbereitet sein, die folgenden dienstbezogenen Elemente zu verwalten:

  • Microsoft 365-Gruppen
  • SharePoint-Teamwebsites
  • OneDrive
  • Exchange-Postfächer
  • Streamen von Videos und Planner-Plänen (wenn diese Dienste aktiviert sind)

Aktualisieren allgemeiner Richtlinien, um Teams einzubeziehen

Das folgende Diagramm veranschaulicht, welche Richtlinien aus den allgemeinen Identitäts- und Gerätezugriffsrichtlinien zum Schutz von Chats, Gruppen und Inhalten in Teams aktualisiert werden müssen. Stellen Sie sicher, dass Teams und abhängigen Dienste in die Zuweisung von Cloud-Apps einbezogen werden, damit jede Richtlinie aktualisiert wird.

Diagramm, das die Zusammenfassung der Richtlinienupdates zum Schutz des Zugriffs auf Teams und abhängige Dienste zeigt

Die folgenden Dienste sind die abhängigen Dienste, die in die Zuweisung von Cloud-Apps für Teams einbezogen werden sollen:

  • Microsoft Teams
  • SharePoint und OneDrive
  • Exchange Online
  • Skype for Business Online
  • Microsoft Stream (Besprechungsaufzeichnungen)
  • Microsoft Planner (Planner-Aufgaben und Plandaten)

In dieser Tabelle enthält die Richtlinien, die überarbeitet werden müssen, und Links zu den einzelnen Richtlinien in den gemeinsamen Identitäts- und Gerätezugriffsrichtlinien, wo die breitere Richtlinie für alle Office-Anwendungen festgelegt ist.

Schutzebene Richtlinien Weitere Informationen zur Teams-Implementierung
Startpunkt rfordern Sie MFA, wenn das Anmelderisiko mittel oder hoch ist Stellen Sie sicher, dass Teams und abhängige Dienste in der Liste der Apps enthalten sind. Teams verfügt über Regeln für den Gastzugriff und den externen Zugriff, die Sie ebenfalls berücksichtigen sollten. Weitere Informationen zu diesen Regeln finden Sie weiter unten in diesem Artikel.
Blockieren Sie Clients, die die moderne Authentifizierung nicht unterstützen Schließen Sie Ihre Apps und abhängigen Dienste in die Zuweisung von Cloud-Apps ein.
Benutzer mit hohem Risiko müssen das Kennwort ändern Erzwingt Teams-Benutzer und -Benutzerinnen, ihr Kennwort bei der Anmeldung zu ändern, wenn bei ihrem Konto risikoreiche Aktivitäten erkannt werden. Stellen Sie sicher, dass Teams und abhängige Dienste in der Liste der Apps enthalten sind.
Wenden Sie die APP-Datenschutzrichtlinien an Stellen Sie sicher, dass Teams und abhängige Dienste in der Liste der Apps enthalten sind. Aktualisieren Sie die Richtlinie für jede Plattform (iOS, Android, Windows).
Enterprise Erfordern Sie MFA, wenn das Anmelderisiko niedrig, mittel oder hoch ist Teams verfügt über Regeln für den Gastzugriff und den externen Zugriff, die Sie ebenfalls berücksichtigen sollten. Weitere Informationen zu diesen Regeln finden Sie weiter unten in diesem Artikel. Nehmen Sie Teams und abhängige Dienste in diese Richtlinie auf.
Definieren von Konformitätsrichtlinien für Geräte Nehmen Sie Teams und abhängige Dienste in diese Richtlinie auf.
Erfordert kompatible PCs und Mobilgeräte Nehmen Sie Teams und abhängige Dienste in diese Richtlinie auf.
Spezialisierte Sicherheit Erfordern Sie immer MFA Unabhängig von der Benutzeridentität wird MFA von Ihrer Organisation verwendet. Nehmen Sie Teams und abhängige Dienste in diese Richtlinie auf.

Teams – Architektur abhängiger Dienste

Das folgende Diagramm veranschaulicht die Dienste, auf die sich Teams stützt. Weitere Informationen und Illustrationen finden Sie unter Microsoft Teams und zugehörige Produktivitätsdienste in Microsoft 365 für IT-Architekten und IT-Architektinnen.

Das Diagramm zeigt Teams-Abhängigkeiten von SharePoint, OneDrive for Business und Exchange.

Gastzugriff und externer Zugriff für Teams

In Microsoft Teams sind die folgenden Zugriffstypen definiert:

  • Beim Gastzugriff wird ein Microsoft Entra B2B-Konto für einen Gast oder externen Benutzer bzw. eine externe Benutzerin verwendet, der bzw. die als Teammitglied hinzugefügt werden kann und über alle Berechtigungen für den Zugriff auf die Kommunikation und Ressourcen des Teams verfügt.

  • Der externe Zugriff ist für eine externe Benutzer und Benutzerinnen vorgesehen, die nicht über ein Microsoft Entra B2B-Konto verfügen. Der externe Zugriff kann Einladungen und die Teilnahme an Anrufen, Chats und Besprechungen umfassen, nicht aber die Mitgliedschaft im Team und den Zugriff auf die Ressourcen des Teams.

Richtlinien für bedingten Zugriff gelten nur für den Gastzugriff in Teams, weil hier ein entsprechendes Microsoft Entra B2B-Konto vorhanden ist.

Empfohlene Richtlinien zum Zulassen des Zugriffs für Gast- und externe Benutzer sowie Benutzerinnen mit einem Microsoft Entra B2B-Konto finden Sie unter Richtlinien zum Zulassen des Gast- und externen B2B-Kontozugriffs.

Gastzugriff in Teams

Zusätzlich zu den Richtlinien für Benutzer und Benutzerinnen, die Ihrem Unternehmen oder Ihrer internen Organisation angehören, können Administratoren den Gastzugriff aktivieren, um externen Benutzern und Benutzerinnen, die Teil Ihres Unternehmens oder Ihrer Organisation sind, den Zugriff auf Teams-Ressourcen zu ermöglichen und mit internen Mitarbeitern und Mitarbeiterinnen in Gruppenunterhaltungen, Chats und Besprechungen zu interagieren.

Weitere Informationen zum Gastzugriff und dessen Implementierung finden Sie unter Teams-Gastzugriff.

Externer Zugriff in Teams

Der externe Zugriff wird manchmal mit dem Gastzugriff verwechselt. Daher ist es wichtig, klarzustellen, dass diese beiden nicht internen Zugriffsmechanismen unterschiedliche Typen von Zugriff sind.

Der externe Zugriff ist eine Möglichkeit für Teams-Benutzer und -Benutzerinnen aus einer gesamten externen Domäne, Benutzer und -Benutzerinnen in Teams zu finden, anzurufen, mit ihnen zu chatten und Besprechungen zu vereinbaren. Teams-Administratoren konfigurieren den externen Zugriff auf Organisationsebene. Weitere Informationen hierzu finden Sie unter Verwalten des externen Zugriffs in Microsoft Teams.

Benutzern und Benutzerinnen mit externem Zugriff stehen weniger Zugriffsrechte und Funktionalität zur Verfügung als einer Person, die über den Gastzugriff hinzugefügt wurde. Beispielsweise können Benutzern und Benutzerinnen mit externem Zugriff mit Ihren internen Benutzern und Benutzerinnen mithilfe von Teams chatten, aber nicht auf Kanäle, Dateien oder andere Ressourcen eines Teams zugreifen.

Für den externen Zugriff werden keine Microsoft Entra B2B-Benutzerkonten und daher keine Richtlinien für bedingten Zugriff verwendet.

Teams-Richtlinien

Neben den oben aufgeführten allgemeinen Richtlinien gibt es Teams-spezifische Richtlinien, die für die Verwaltung verschiedener Teams-Funktionen konfiguriert werden können und sollten.

Richtlinien für Teams und Kanäle

Teams und Kanäle sind zwei häufig verwendete Elemente in Microsoft Teams, und es gibt Richtlinien, mit denen Sie steuern können, was Benutzer und Benutzerinnen bei der Verwendung von Teams und Kanälen tun können und was nicht. Sie können zwar ein globales Team einrichten, aber wenn Ihre Organisation 5.000 oder weniger Benutzer und Benutzerinnen hat, werden Sie es wahrscheinlich als hilfreich empfinden, kleinere Teams und Kanäle für bestimmte Zwecke einzurichten, die auf die Bedürfnisse Ihrer Organisation abgestimmt sind.

Es wird empfohlen, die Standardrichtlinie zu ändern oder benutzerdefinierte Richtlinien zu erstellen. Weitere Informationen über die Verwaltung Ihrer Richtlinien finden Sie unter diesem Link: Verwalten von Teams-Richtlinien in Microsoft Teams.

Messagingrichtlinien

Nachrichten oder Chats können auch über die globale Standardrichtlinie oder über benutzerdefinierte Richtlinien verwaltet werden. Dies kann Ihren Benutzern und Benutzerinnen helfen, auf eine Weise miteinander zu kommunizieren, die für Ihre Organisation angemessen ist. Sie finden weitere Informationen hierzu unter Verwalten von Messagingrichtlinien in Teams.

Besprechungsrichtlinien

Keine Diskussion über Teams wäre vollständig ohne die Planung und Umsetzung von Richtlinien für Teams-Besprechungen. Besprechungen sind ein wesentlicher Bestandteil von Teams, da sie es ermöglichen, sich formell zu treffen, Präsentationen für eine große Anzahl von Benutzern und Benutzerinnen abzuhalten und Inhalte freigeben können, die für die Besprechung relevant sind. Es ist entscheidend, die richtigen Richtlinien für Ihre Organisation in Bezug auf Besprechungen festzulegen.

Weitere Informationen hierzu erfahren Sie unter Verwalten von Besprechungsrichtlinien in Teams.

Richtlinien für App-Berechtigungen

Teams ermöglicht es Ihnen auch, Apps an verschiedenen Stellen, z. B. Kanälen oder persönlichen Chats, zu verwenden. Um eine inhaltsreiche und sichere Umgebung aufrechtzuerhalten, müssen Richtlinien festgelegt werden, die regeln, welche Anwendungen wo hinzugefügt und verwendet werden können.

Weitere Informationen zu App-Berechtigungsrichtlinien finden Sie unter Verwalten von App-Berechtigungsrichtlinien in Microsoft Teams.

Nächste Schritte

Screenshot: Richtlinien für Microsoft 365-Cloud-Apps

Konfigurieren von Richtlinien für bedingten Zugriff für: