Настройка Teams с тремя уровнями безопасности общего доступа к файлам
. Для некоторых функций в этой статье требуется Microsoft Syntex — расширенное управление SharePoint
В статьях этой серии содержатся рекомендации по настройке команд в Microsoft Teams и связанных с ними сайтов SharePoint для защиты файлов, которая обеспечивает баланс между безопасностью и простотой совместной работы.
В этой статье описываются четыре различные конфигурации, начиная с общедоступной команды с наиболее открытыми политиками общего доступа. Каждая дополнительная конфигурация представляет собой значительный шаг вперед в защите, в то время как возможность доступа к файлам, хранящимся в группах, и совместной работы с ними ограничена соответствующим набором членов группы.
Представленные в этой статье конфигурации соответствуют приведенным ниже рекомендациям корпорации Майкрософт относительно трех уровней защиты данных, удостоверений и устройств.
Базовый уровень защиты
Конфиденциальный уровень защиты
Высокочувствительная защита
Сведения о создании среды собраний Teams, которая соответствует вашим требованиям соответствия требованиям, см. в статье Настройка собраний Teams с тремя уровнями защиты.
Три уровня с первого взгляда
В следующей таблице приведены конфигурации для каждого уровня. Используйте эти конфигурации в качестве исходных рекомендаций и настройте их в соответствии с потребностями вашей организации. Вам может не понадобиться каждый уровень.
| Базовый (общедоступный) | Базовый (частный) | Конфиденциальный | Строго конфиденциальный | |
|---|---|---|---|---|
| Частная или публичная команда | Общедоступное | Частный | Частный | Частный |
| У кого есть доступ? | Все в организации, включая гостей B2B. | Только члены команды. Другие могут запросить доступ к связанному сайту. | Только члены команды. | Только члены команды. |
| Частные каналы | Владельцы и участники могут создавать частные каналы | Владельцы и участники могут создавать частные каналы | Только владельцы могут создавать частные каналы | Только владельцы могут создавать частные каналы |
| Гостевой доступ на уровне сайта | Новые и существующие гости (по умолчанию). | Новые и существующие гости (по умолчанию). | Новые и существующие гости или Только люди в вашей организации в зависимости от потребностей команды. | Новые и существующие гости или Только люди в вашей организации в зависимости от потребностей команды. |
| Условный доступ на уровне сайта | Полный доступ из настольных приложений, мобильных приложений и Интернета (по умолчанию). | Полный доступ из настольных приложений, мобильных приложений и Интернета (по умолчанию). | Разрешить ограниченный доступ только через Интернет. | Настраиваемая политика условного доступа |
| Тип ссылки для общего доступа по умолчанию | Только сотрудники вашей организации | Только сотрудники вашей организации | Определенные пользователи | Пользователи с существующим доступом |
| Метки конфиденциальности | Нет | Нет | Метка чувствительности, используемая для классификации команды, управления гостевым доступом и неуправляемым доступом к устройствам. | Метка конфиденциальности, используемая для классификации команды, управления общим доступом гостей и указания политики условного доступа. Метка файла по умолчанию используется для их шифрования. |
| Настройки общего доступа к сайту | Владельцы и участники сайта, а также пользователи с правами «Редактировать» могут делиться файлами и папками, но только владельцы сайта могут делиться сайтом. | Владельцы и участники сайта, а также пользователи с правами «Редактировать» могут делиться файлами и папками, но только владельцы сайта могут делиться сайтом. | Владельцы и участники сайта, а также пользователи с правами «Редактировать» могут делиться файлами и папками, но только владельцы сайта могут делиться сайтом. | Н/Д (управляется политикой управления ограниченным доступом на уровне сайта.) |
| Политика ограниченного управления доступом на уровне сайта | Нет | Нет | Нет | Только участники команды |
Базовая защита включает общедоступные и закрытые команды. Обнаруживать общедоступные команды и получать к ним доступ может любой пользователь в организации. Обнаруживать закрытые команды и получать к ним доступ могут только участники команды. Обе эти конфигурации ограничивают общий доступ к связанному сайту SharePoint для владельцев групп, чтобы помочь в управлении разрешениями.
Teams для чувствительной и высокочувствительной защиты являются частными командами, в которых ограничено совместное использование и запрос доступа к связанному сайту, а метки чувствительности используются для установки политик в отношении совместного использования гостя, доступа к устройству и шифрования контента.
Метки конфиденциальности
Чувствительные и высокочувствительные уровни используют метки чувствительности, чтобы помочь защитить команду и ее файлы. Чтобы реализовать эти уровни, необходимо включить метки конфиденциальности для защиты содержимого в Microsoft Teams, группах Microsoft 365 и сайтах SharePoint.
Хотя базовый уровень не требует меток конфиденциальности, рассмотрите возможность создания "общей" метки, а затем требовать, чтобы все команды были помечены. Это помогает гарантировать, что пользователи делают осознанный выбор в отношении конфиденциальности при создании команды. Если вы планируете развернуть конфиденциальные или высокочувствительные уровни, рекомендуется создать метку "общая", которую можно использовать для базовых команд и для файлов, которые не являются конфиденциальными. Для уровня с высоким уровнем конфиденциальности мы также укажем метку конфиденциальности по умолчанию для библиотек документов, чтобы файлы Office и другие совместимые файлы автоматически применялись при их отправке.
Если вы новичок в использовании меток чувствительности, мы рекомендуем прочитать статью Начало работы с метками чувствительности, чтобы начать.
Если вы уже развернули метки чувствительности в своей организации, подумайте, как метки, используемые на чувствительных и высокочувствительных уровнях, соответствуют вашей общей стратегии меток.
Совместное использование сайта SharePoint
У каждой команды есть связанный сайт SharePoint, где хранятся документы. (Это вкладка Файлы в канале групп.) Сайт SharePoint сохраняет собственное управление разрешениями, но связан с разрешениями групп. Владельцы групп включаются в список владельцев сайтов, а члены группы включаются в качестве участников сайта в связанный сайт.
Итоговые разрешения позволяют следующее:
- Владельцы команды для администрирования сайта и полного контроля над содержимым сайта.
- Члены команды для создания и редактирования файлов на сайте.
По умолчанию владельцы и участники группы могут делиться сайтом с людьми вне группы, фактически не добавляя их в группу. Мы рекомендуем не использовать это, так как это усложняет управление пользователями и может привести к тому, что пользователи, не являющиеся членами команды, получают доступ к файлам команды, не осознавая это владельцами команд. Чтобы предотвратить это, начиная с базового уровня защиты, мы рекомендуем, чтобы только владельцы имели право делиться сайтом напрямую.
Хотя у команд нет разрешения только для чтения, это делает сайт SharePoint. Если у вас есть заинтересованные лица или группы партнеров, которым нужно иметь возможность просматривать файлы команд, но не редактировать их, рекомендуется добавить их непосредственно на сайт SharePoint с разрешениями на просмотр.
Для уровня с высоким уровнем конфиденциальности мы ограничиваем доступ к сайту только участникам команды. Это ограничение также запрещает общий доступ к файлам пользователям за пределами команды.
Предоставление доступа к файлам и папкам
По умолчанию как владельцы, так и члены группы могут делиться файлами и папками с людьми, не входящими в группу. Это могут быть пользователи за пределами вашей организации, если вы разрешите общий доступ к гостевым пользователям. На всех трех уровнях мы обновляем тип ссылки для обмена по умолчанию, чтобы избежать случайного разделения. Как отмечалось выше, на уровне с высоким уровнем конфиденциальности доступ к файлам ограничен только участниками команды.
Общий доступ для пользователей из-за пределов организации
Если вам необходимо поделиться контентом Teams с людьми из-за пределов вашей организации, существует два варианта:
- Общий доступ к гостевым пользователям использует совместную работу Microsoft Entra B2B, которая позволяет пользователям обмениваться файлами, папками, сайтами, группами и командами с пользователями за пределами вашей организации. Эти люди получают доступ к общим ресурсам с помощью гостевых учетных записей в вашем каталоге.
- Общие каналы . Общие каналы используют прямое подключение Microsoft Entra B2B, которое позволяет пользователям делиться ресурсами в вашей организации с людьми из других организаций Microsoft Entra. Эти люди получают доступ к общим каналам в Teams с помощью своей собственной рабочей или учебной учетной записи. В вашей организации не создается гостевая учетная запись.
В зависимости от ситуации удобны как гостевой общий доступ, так и общие каналы. Сведения о каждом варианте и о том, что выбрать для конкретного сценария, см. в статье Планирование внешнего взаимодействия.
Если вы планируете использовать гостевой общий доступ, рекомендуется настроить интеграцию SharePoint и OneDrive с Microsoft Entra B2B , чтобы обеспечить лучший общий доступ и администрирование.
При необходимости можно запретить общий доступ гостей Teams на конфиденциальных и высокочувствительных уровнях с помощью метки конфиденциальности. Общие каналы включены по умолчанию, но требуется настройка межорганизационных связей для каждой организации, с которой нужно взаимодействовать. Подробные сведения см. в статье Совместная работа с внешними участниками в канале.
На уровне с высоким уровнем конфиденциальности мы настраиваем метку конфиденциальности библиотеки по умолчанию для шифрования файлов, к которым она применяется. Если вам нужны гости для доступа к этим файлам, вы должны дать им разрешения при создании ярлыка. Внешние участники в общих каналах не могут получать разрешения для доступа к меткам конфиденциальности и не могут получать доступ к контенту, зашифрованному меткой конфиденциальности.
Мы настоятельно рекомендуем вам оставить гостевой доступ для базового уровня и для чувствительных или очень чувствительных уровней, если вам нужно сотрудничать с людьми за пределами вашей организации. Функции обмена гостями в Microsoft 365 обеспечивают гораздо более безопасный и управляемый обмен, чем отправка файлов в виде вложений в сообщения электронной почты. Это также снижает риск использования теневых ИТ-ресурсов, когда пользователи используют неуправляемые потребительские продукты, чтобы делиться ими с законными внешними сотрудниками.
Если вы регулярно работаете с другими организациями, используюющими Идентификатор Microsoft Entra ID, можно использовать общие каналы. Общие каналы легко отображаются в клиенте Teams другой организации и позволяют внешним участникам использовать свою обычную учетную запись пользователя для своей организации, а не выполнять вход отдельно с помощью гостевой учетной записи.
См. Следующие ссылки, чтобы создать безопасную и продуктивную гостевую среду для вашей организации:
- Рекомендации по предоставлению общего доступа к файлам и папкам непроверенным пользователям
- Ограничьте случайное воздействие файлов при обмене с людьми за пределами вашей организации
- Создание безопасной среды гостевого общего доступа
Политики условного доступа
Условный доступ Microsoft Entra предлагает множество вариантов для определения того, как пользователи получают доступ к Microsoft 365, включая ограничения на основе расположения, риска, соответствия устройств и других факторов. Мы рекомендуем вам прочитать Что такое условный доступ? и подумайте, какие дополнительные политики могут быть подходящими для вашей организации.
Для конфиденциальных и высокочувствительных уровней мы используем метки конфиденциальности, чтобы ограничить доступ к содержимому SharePoint.
Для конфиденциального уровня мы ограничим доступ только в Интернете для неуправляемых устройств. (Обратите внимание, что у гостей часто нет устройств, управляемых вашей организацией. Если вы разрешаете гостям любой из уровней, рассмотрите, какие типы устройств они используют для доступа к командам и сайтам, и настройте политики неуправляемых устройств соответствующим образом.)
Для уровня с высоким уровнем конфиденциальности мы будем использовать контекст проверки подлинности Microsoft Entra с меткой конфиденциальности, чтобы активировать настраиваемую политику условного доступа, когда пользователи, обращаюсь к сайту SharePoint, связываются с командой.
Условный доступ между службами, связанными с Teams
Параметры условного доступа в метках конфиденциальности влияют только на доступ к SharePoint. Если вы хотите расширить условный доступ за пределы SharePoint, вы можете использовать общую политику условного доступа: требовать соответствующее устройство, устройство с гибридным присоединением к Microsoft Entra или многофакторную проверку подлинности для всех пользователей . Чтобы настроить эту политику для служб Microsoft 365, выберите облачное приложение Office 365 в разделе Облачные приложения или действия.
Использование политики, охватывающей все службы Microsoft 365, может способствовать укреплению безопасности и повышению удобства для пользователей. Например, если заблокировать доступ неуправляемых устройств только в SharePoint, пользователи смогут получать доступ к чату в команде, используя неуправляемое устройство, но не смогут получить доступ к вкладке Файлы. Использование облачного приложения Office 365 поможет избежать проблем с зависимостями служб.
Следующий шаг
Начните с настройки базового уровня защиты. При необходимости можно также добавить щекотливые ивысокочувствительные защиты .