Recomendações de políticas para proteger chats, grupos e arquivos do Teams

Este artigo descreve como implementar as políticas recomendadas de identidade e acesso a dispositivos de Confiança Zero para proteger chats, grupos e conteúdos, como arquivos e calendários, do Microsoft Teams. Esta orientação se baseia nas políticas comuns de identidade e acesso a dispositivos, com informações adicionais específicas para o Teams. Como o Teams se integra com nossos outros produtos, veja também Recomendações de políticas para proteger sites e arquivos do SharePoint e Recomendações de políticas para proteger emails.

Essas recomendações são baseadas em três níveis diferentes de segurança e proteção para o Teams que podem ser aplicados com base na granularidade das suas necessidades: ponto de partida, empresa e segurança especializada. Você pode saber mais sobre esses níveis de segurança e as políticas recomendadas referenciadas por essas recomendações nas Configurações de identidade e acesso a dispositivos.

Mais recomendações específicas para a implantação do Teams estão incluídas neste artigo para cobrir circunstâncias de autenticação específicas, inclusive para usuários fora da sua organização. Você precisará seguir esta orientação para uma experiência de segurança completa.

Introdução ao Teams antes de outros serviços dependentes

Você não precisa habilitar serviços dependentes para começar a usar o Microsoft Teams. Esses serviços "simplesmente funcionarão". No entanto, você precisa estar preparado para gerenciar os seguintes elementos relacionados a serviços:

  • Grupos do Microsoft 365
  • Sites de equipe SharePoint
  • OneDrive
  • Caixas de correio do Exchange
  • Vídeos do Stream e planos do Planner (se esses serviços estiverem habilitados)

Atualizando políticas comuns para incluir o Teams

Para proteger chats, grupos e conteúdos no Teams, o diagrama a seguir ilustra quais políticas atualizar das políticas comuns de identidade e acesso a dispositivos. Para cada política a ser atualizada, certifique-se de que o Teams e os serviços dependentes estejam incluídos na atribuição de aplicativos na nuvem.

Diagrama que mostra o resumo das atualizações de políticas para a proteção do acesso ao Teams e seus serviços dependentes.

Estes serviços são os serviços dependentes a serem incluídos na atribuição de aplicativos na nuvem para o Teams:

  • Microsoft Teams
  • SharePoint and OneDrive
  • Exchange Online
  • Skype for Business Online
  • Microsoft Stream (gravações de reuniões)
  • Microsoft Planner (tarefas do Planner e dados do plano)

Esta tabela lista as políticas que precisam ser revisitadas e links para cada política nas políticas comuns de identidade e acesso a dispositivos, que possui o conjunto mais amplo de políticas para todos os aplicativos do Office.

Nível de proteção Políticas Informações adicionais para implementação do Teams
Ponto inicial Exigir MFA quando o risco de iniciar sessão é médio ou alto Certifique-se de que o Teams e os serviços dependentes estão incluídos na lista de aplicativos. O Teams possui regras de Acesso de Convidado e Acesso Externo a serem consideradas também; você aprenderá mais sobre essas regras mais adiante neste artigo.
Bloquear clientes que não dão suporte à autenticação moderna Inclui o Teams e os serviços dependentes na atribuição de aplicativos na nuvem.
Os usuários de alto risco devem alterar a senha Força os usuários do Teams a mudarem sua senha ao fazer login se for detectada atividade de alto risco em sua conta. Certifique-se de que o Teams e os serviços dependentes estão incluídos na lista de aplicativos.
Aplicar políticas de proteção de dados de aplicativo Certifique-se de que o Teams e os serviços dependentes estão incluídos na lista de aplicativos. Atualize a política para cada plataforma (iOS, Android, Windows).
Empresa Exigir MFA quando o risco de iniciar sessão for baixo, médio ou alto O Teams possui regras de Acesso de Convidado e Acesso Externo a serem consideradas também; você aprenderá mais sobre essas regras mais adiante neste artigo. Inclua o Teams e os serviços dependentes nesta política.
Definir políticas de conformidade de dispositivos Inclua o Teams e os serviços dependentes nesta política.
Exigir computadores e dispositivos móveis em conformidade Inclua o Teams e os serviços dependentes nesta política.
Segurança especializada Exigir a MFA sempre Independentemente da identidade do usuário, a MFA será usada pela sua organização. Inclua o Teams e os serviços dependentes nesta política.

Arquitetura dos serviços dependentes do Teams

Para referência, o diagrama a seguir ilustra os serviços dos quais o Teams depende. Para mais informações e ilustrações, consulte Microsoft Teams e serviços de produtividade relacionados no Microsoft 365 para arquitetos de TI.

O diagrama mostra as dependências do Teams no SharePoint, OneDrive for Business e Exchange.

Acesso de convidados e externos para o Teams

O Microsoft Teams define os seguintes tipos de acesso:

  • Acesso de Convidado usa uma conta Microsoft Entra B2B para um convidado ou usuário externo que pode ser adicionado como membro de uma equipe e ter acesso permitido à comunicação e aos recursos da equipe.

  • Acesso Externo é para um usuário externo que não possui uma conta Microsoft Entra B2B. O acesso externo pode incluir convites e participação em chamadas, chats e reuniões, mas não inclui a adesão à equipe e o acesso aos recursos da equipe.

As políticas de Acesso Condicional aplicam-se apenas ao acesso de convidados no Teams porque há uma conta Microsoft Entra B2B correspondente.

Para políticas recomendadas para permitir o acesso de usuários convidados e externos com uma conta Microsoft Entra B2B, consulte Políticas para permitir o acesso de conta convidada e externa B2B.

Acesso de convidados no Teams

Além das políticas para usuários internos ao seu negócio ou organização, os administradores podem habilitar o acesso de convidados para permitir, em uma base de usuário por usuário, que pessoas externas ao seu negócio ou organização acessem recursos do Teams e interajam com pessoas internas para coisas como conversas em grupo, chat e reuniões.

Para mais informações sobre o acesso de convidados e como implementá-lo, consulte Acesso de convidados do Teams.

Acesso externo no Teams

O acesso externo é às vezes confundido com o acesso de convidados, então é importante deixar claro que esses dois mecanismos de acesso não internos são tipos diferentes de acesso.

O acesso externo é uma maneira para os usuários do Teams de um domínio externo inteiro encontrarem, ligarem, conversarem e marcarem reuniões com seus usuários no Teams. Os administradores do Teams configuram o acesso externo no nível da organização. Para obter mais informações, consulte Gerenciar o acesso externo no Microsoft Teams.

Os usuários com acesso externo têm menos acesso e funcionalidade do que um indivíduo que foi adicionado via acesso de convidados. Por exemplo, os usuários com acesso externo podem conversar com seus usuários internos no Teams, mas não podem acessar canais de equipe, arquivos ou outros recursos.

O acesso externo não usa contas de usuários Microsoft Entra B2B e, portanto, não usa políticas de Acesso Condicional.

Políticas do Teams

Fora das políticas comuns listadas acima, há políticas específicas do Teams que podem e devem ser configuradas para gerenciar várias funcionalidades do Teams.

Políticas de equipes e canais

Equipes e canais são dois elementos comumente usados no Microsoft Teams, e há políticas que você pode colocar em prática para controlar o que os usuários podem e não podem fazer ao usar equipes e canais. Embora você possa criar uma equipe global, se sua organização tiver 5000 usuários ou menos, provavelmente achará útil ter equipes e canais menores para fins específicos, de acordo com as necessidades da sua organização.

Alterar a política padrão ou criar políticas personalizadas seria recomendado, e você pode aprender mais sobre como gerenciar suas políticas neste link: Gerenciar políticas de equipes no Microsoft Teams.

Política de mensagens

As mensagens, ou chat, também podem ser gerenciadas através da política global padrão ou por políticas personalizadas, e isso pode ajudar seus usuários a se comunicarem de maneira adequada para sua organização. Essa informação pode ser revisada em Gerenciando políticas de mensagens no Teams.

Políticas de reunião

Nenhuma discussão sobre o Teams estaria completa sem planejar e implementar políticas em torno das reuniões do Teams. As reuniões são um componente essencial do Teams, permitindo que as pessoas se reúnam formalmente e apresentem para muitos usuários de uma vez, e compartilhem conteúdo relevante para a reunião. É essencial definir as políticas certas para sua organização em relação às reuniões.

Para obter mais informações, examine Gerenciar políticas de reunião no Teams.

Políticas de permissão de aplicativo

O Teams também permite que você use aplicativos em vários locais, como canais ou chats pessoais. Ter políticas em torno de quais aplicativos podem ser adicionados e usados e onde, é essencial para manter um ambiente rico em conteúdo que também seja seguro.

Para obter mais leitura sobre políticas de permissão de aplicativo, confira Gerenciar políticas de permissão de aplicativo no Microsoft Teams.

Próximas etapas

Captura de tela das políticas para aplicativos de nuvem do Microsoft 365.

Configurar políticas de Acesso Condicional para: