Configure Teams con tres niveles de seguridad para el uso compartido de archivos
Algunas características de este artículo requieren Microsoft Syntex - Administración avanzada de SharePoint
Los artículos de esta serie proporcionan recomendaciones para configurar equipos en Microsoft Teams y sus sitios de SharePoint asociados para la protección de archivos que equilibra la seguridad con facilidad de colaboración.
Aquí se definen cuatro configuraciones distintas, empezando por un equipo público con las directivas de uso compartido más abiertas. Cada configuración adicional representa un paso significativo para la protección, mientras que el correspondiente conjunto de miembros del equipo pierde capacidad de acceder a los archivos almacenados en Teams y de colaborar en ellos.
Las configuraciones que se explican en este artículo concuerdan con las recomendaciones de Microsoft para los tres niveles de protección de datos, identidades y dispositivos:
Protección de base de referencia
Protección confidencial
Protección altamente confidencial
Para obtener información sobre cómo crear un entorno de reuniones de Teams que cumpla los requisitos de cumplimiento, consulte Configuración de reuniones de Teams con tres niveles de protección.
Tres niveles de un vistazo
En la tabla siguiente se resumen las configuraciones para cada nivel. Use estas configuraciones como punto de partida y ajuste las configuraciones para satisfacer las necesidades de la organización. Es posible que no necesite todos los niveles.
Línea de base (pública) | Línea de base (privada) | Confidencial | Altamente confidencial | |
---|---|---|---|---|
Equipo privado o público | Público | Private | Private | Private |
¿Quién tiene acceso? | Todos los usuarios de la organización, incluidos los invitados B2B. | Solo los miembros del equipo. Otros usuarios pueden solicitar acceso al sitio asociado. | Solo los miembros del equipo. | Solo los miembros del equipo. |
Canales privados | Los propietarios y miembros pueden crear canales privados | Los propietarios y miembros pueden crear canales privados | Solo los propietarios pueden crear canales privados | Solo los propietarios pueden crear canales privados |
Acceso de invitado en el nivel de sitio | Invitados nuevos y existentes (predeterminado). | Invitados nuevos y existentes (predeterminado). | Invitados nuevos y existentes o Solo las personas de su organización en función de las necesidades del equipo. | Invitados nuevos y existentes o Solo las personas de su organización en función de las necesidades del equipo. |
Acceso condicional de nivel de sitio | Acceso total desde aplicaciones de escritorio, aplicaciones móviles y la web (predeterminado). | Acceso total desde aplicaciones de escritorio, aplicaciones móviles y la web (predeterminado). | Permitir el acceso limitado, solo a través de la web. | Directiva de acceso condicional personalizada |
Tipo de vínculo para compartir predeterminado | Solo personas de la organización | Solo personas de la organización | Usuarios específicos | Personas que tienen acceso ya existente |
Etiquetas de confidencialidad | Ninguno | Ninguno | Etiqueta de confidencialidad usada para clasificar el equipo y controlar el uso compartido de invitado y el acceso de dispositivos no administrados. | Etiqueta de confidencialidad que se usa para clasificar el equipo, controlar el uso compartido de invitados y especificar una directiva de acceso condicional. La etiqueta de archivo predeterminada se usa en los archivos para cifrarlos. |
Configuración de uso compartido del sitio | Los propietarios y los miembros del sitio, y las personas con permisos de edición pueden compartir archivos y carpetas, pero solo los propietarios del sitio pueden compartir el sitio. | Los propietarios y los miembros del sitio, y las personas con permisos de edición pueden compartir archivos y carpetas, pero solo los propietarios del sitio pueden compartir el sitio. | Los propietarios y los miembros del sitio, y las personas con permisos de edición pueden compartir archivos y carpetas, pero solo los propietarios del sitio pueden compartir el sitio. | N/A (controlado por la directiva de control de acceso restringido de nivel de sitio). |
Directiva de control de acceso restringido de nivel de sitio | Ninguno | Ninguno | Ninguno | Solo miembros del equipo |
La protección de línea base incluye equipos públicos privados. Los equipos públicos son aquellos visibles y accesibles por cualquier persona de la organización. Los equipos privados solo pueden detectarlos y acceder a ellos los miembros del equipo. Ambas configuraciones restringen el uso compartido del sitio de SharePoint asociado a los propietarios del equipo para ayudar en la administración de permisos.
Los equipos para la protección confidencial y altamente confidencial son equipos privados en los que el uso compartido y la solicitud de acceso para el sitio asociado son limitados y las etiquetas de confidencialidad se usan para establecer directivas en relación con el uso compartido de invitados, el acceso a dispositivos y el cifrado de contenido.
Etiquetas de confidencialidad
Los niveles confidenciales y muy confidenciales usan etiquetas de confidencialidad para ayudar a proteger el equipo y sus archivos. Para implementar estos niveles, debe habilitar etiquetas de confidencialidad para proteger el contenido en Microsoft Teams, grupos de Microsoft 365 y sitios de SharePoint.
Aunque el nivel de línea base no requiere etiquetas de confidencialidad, considere la posibilidad de crear una etiqueta "general" y, a continuación, exigir que se etiquete a todos los equipos. Esto ayuda a garantizar que los usuarios elijan conscientemente la confidencialidad al crear un equipo. Si tiene previsto implementar los niveles confidenciales o altamente confidenciales, se recomienda crear una etiqueta "general" que pueda usar para los equipos de línea base y para los archivos que no sean confidenciales. Para el nivel altamente confidencial, también especificaremos una etiqueta de confidencialidad predeterminada para las bibliotecas de documentos para que los archivos de Office y otros archivos compatibles tengan esa etiqueta aplicada automáticamente cuando se carguen.
Si es nuevo en el uso de etiquetas de confidencialidad, le recomendamos que lea Empezar a usar las etiquetas de confidencialidad para comenzar.
Si ya ha implementado etiquetas de confidencialidad en la organización, tenga en cuenta que las etiquetas utilizadas en los niveles confidenciales y muy confidenciales se ajustan a la estrategia general de la etiqueta.
Compartir el sitio de SharePoint
Cada equipo tiene un sitio de SharePoint asociado en el que se almacenan los documentos. (Esta es la pestaña Archivos en un canal de equipos). El sitio de SharePoint conserva su propia administración de permisos, pero se vincula a los permisos de equipo. Los propietarios del equipo se incluyen como propietarios del sitio y los miembros del equipo se incluyen como miembros del sitio en el sitio asociado.
Los permisos resultantes permiten lo siguiente:
- Que los propietarios de los equipos administren el sitio y tengan control total sobre el contenido del sitio.
- Que los miembros de los equipos puedan crear y editar archivos en el sitio.
De forma predeterminada, los propietarios y miembros del equipo pueden compartir el sitio con personas ajenas al equipo sin tener que agregarlos al equipo. Se recomienda hacerlo, ya que complica la administración de usuarios y puede provocar que las personas que no son miembros del equipo tengan acceso a los archivos del equipo sin que los propietarios del equipo se den cuenta. Para ayudar a evitar esto, comenzando por el nivel de línea base de protección, se recomienda permitir que solo los propietarios puedan compartir el sitio directamente.
Aunque los equipos no tienen una opción de permiso de solo lectura, el sitio de SharePoint sí. Si tiene partes interesadas o grupos de asociados que necesitan poder ver archivos de equipo pero no editarlos, considere la posibilidad de agregarlos directamente al sitio de SharePoint con permisos de vista.
Para el nivel altamente confidencial, solo se restringe el acceso al sitio a los miembros del equipo. Esta restricción también impide compartir archivos con personas ajenas al equipo.
Compartir archivos y carpetas
De forma predeterminada, los propietarios y miembros del equipo pueden compartir archivos y carpetas con personas ajenas al equipo. Esto puede incluir a personas ajenas a su organización, si permite el uso compartido de invitados. En los tres niveles, actualizamos el tipo de vínculo compartido predeterminado para ayudar a evitar el uso compartido accidental. Como se indicó anteriormente, en el nivel altamente confidencial, el acceso a los archivos solo se limita a los miembros del equipo.
Compartir con usuarios ajenos a la organización
Si necesita compartir contenido de Teams con usuarios ajenos a la organización, tiene dos opciones:
- Uso compartido de invitados: el uso compartido de invitados usa la colaboración B2B de Microsoft Entra, que permite a los usuarios compartir archivos, carpetas, sitios, grupos y equipos con personas de fuera de la organización. Estos usuarios tienen acceso a recursos compartidos mediante cuentas de invitado en el directorio.
- Canales compartidos : los canales compartidos usan Microsoft Entra B2B direct connect, que permite a los usuarios compartir recursos de su organización con personas de otras organizaciones de Microsoft Entra. Estos usuarios pueden acceder a los canales compartidos en Teams con su propia cuenta profesional o educativa. No se crea ninguna cuenta de invitado en la organización.
Tanto el uso compartido de invitados como los canales compartidos son útiles dependiendo de la situación. Consulte Planear la colaboración externa para obtener más información sobre cada uno de ellos y cómo decidir qué usar en cada escenario específico.
Si tiene previsto usar el uso compartido de invitados, se recomienda configurar la integración de SharePoint y OneDrive con Microsoft Entra B2B para obtener la mejor experiencia de uso compartido y administración.
Puede evitar el uso compartido de invitados de Teams si es necesario en los niveles confidenciales y altamente confidenciales mediante una etiqueta de confidencialidad. Los canales compartidos están activados de forma predeterminada, pero requieren la configuración de relaciones entre organizaciones para cada organización con la que se desea colaborar. Consulte Colaborar con participantes externos en un canal para obtener más detalles.
En el nivel altamente confidencial, configuramos la etiqueta de confidencialidad de la biblioteca predeterminada para cifrar los archivos a los que se aplica. Si necesita que los invitados tengan acceso a estos archivos, deberá concederles permisos cuando cree la etiqueta. A los participantes externos de los canales compartidos no se les puede conceder permisos para las etiquetas de confidencialidad y no pueden acceder al contenido cifrado con etiquetas de confidencialidad.
Le recomendamos encarecidamente que deje el uso compartido de invitado activado para el nivel de línea base y para los niveles de confidencialidad o altamente confidenciales si necesita colaborar con personas ajenas a su organización. Las características de uso compartido de invitado de Microsoft 365 proporcionan una experiencia de uso compartido mucho más segura y controlada que al enviar archivos como datos adjuntos en mensajes de correo electrónico. También reduce el riesgo de TI en la sombra donde los usuarios usan productos de consumo no controlados para compartir con colaboradores externos legítimos.
Si colabora regularmente con otras organizaciones que usan Microsoft Entra ID, los canales compartidos pueden ser una buena opción. Los canales compartidos aparecen sin problemas en el cliente de Teams de la otra organización y permiten a los participantes externos usar su cuenta de usuario normal para su organización en lugar de tener que iniciar sesión por separado con una cuenta de invitado.
Vea las siguientes referencias para crear un entorno de uso compartido de invitado seguro y productivo para su organización:
- Prácticas recomendadas para compartir archivos y carpetas con usuarios no autenticados
- Limitar la exposición accidental de archivos al compartirlos con usuarios externos a la organización
- Crear un entorno seguro de uso compartido para invitados
Directivas de acceso condicional
El acceso condicional de Microsoft Entra ofrece muchas opciones para determinar cómo acceden las personas a Microsoft 365, incluidas las limitaciones basadas en la ubicación, el riesgo, el cumplimiento de dispositivos y otros factores. Se recomienda leer ¿Qué es el acceso condicional? y considerar otras directivas que podrían ser adecuadas para su organización.
Para los niveles confidenciales y altamente confidenciales, usamos etiquetas de confidencialidad para restringir el acceso al contenido de SharePoint.
Para el nivel confidencial, restringiremos el acceso a solo web para dispositivos no administrados. (Tenga en cuenta que los invitados a menudo no tienen dispositivos administrados por su organización. Si permite invitados en cualquiera de los niveles, considere qué tipos de dispositivos usan para acceder a equipos y sitios y establezca las directivas de dispositivos no administrados en consecuencia).
Para el nivel altamente confidencial, usaremos el contexto de autenticación de Microsoft Entra con la etiqueta de confidencialidad para desencadenar una directiva de acceso condicional personalizada cuando los usuarios accedan al sitio de SharePoint asociado al equipo.
Acceso condicional entre servicios relacionados con Teams
La configuración de acceso condicional en las etiquetas de confidencialidad solo afecta al acceso a SharePoint. Si desea expandir el acceso condicional más allá de SharePoint, puede usar la directiva de acceso condicional común: requerir un dispositivo compatible, un dispositivo unido a Microsoft Entra híbrido o la autenticación multifactor para todos los usuarios en su lugar. Para configurar esta directiva específicamente para servicios de Microsoft 365, seleccione la aplicación en la nube de Office 365 en Aplicaciones o acciones en la nube.
Usar una directiva que afecte a todos los servicios de Microsoft 365 puede resultar en una seguridad y una experiencia mejoradas para los usuarios. Por ejemplo, cuando bloquea el acceso a dispositivos no administrados en SharePoint solo, los usuarios pueden acceder al chat de un equipo con un dispositivo no administrado, pero perderán el acceso cuando intenten acceder a la pestaña Archivos. Usar la aplicación en la nube de Office 365 le ayuda a evitar problemas con dependencias del servicio.
Paso siguiente
Comience por configurar el nivel de línea base de protección. Si es necesario, también puede agregar protección confidencial y protección altamente confidencial .