强化 Microsoft Teams 安全性的 5 个技巧

Microsoft Teams 概述

Microsoft Teams 是一个在线协作平台，使团队成员能够无缝、高效地协同工作。作为 Office 365 套件的一部分，Microsoft Teams 在 Windows、Mac、Linux、iOS 和 Android 上运行，几乎可以在所有桌面和移动设备上进行远程通信。

Teams 提供以下主要功能和服务：

• 聊天 - 此功能允许用户互相发送私人消息并将文件附加到消息线程。 OneDrive for Business 充当聊天中文件共享的底层机制。
• 团队 - 此选项卡允许用户创建团队或加入现有团队，以在团队频道中开始群组协作和对话。当用户创建团队时，他们实质上是在后端创建一个 Office 365 组。
• 日历 - 该服务与用户的 Outlook 日历同步，以便他们可以安排会议和规划项目。
• 呼叫 - 此选项卡允许用户发起和接收点对点语音和视频通信。 Calls 建立在 Skype 框架之上，事实上，许多公司正在用 Microsoft Teams 取代 Skype for Business 作为其企业通信平台。

对 Microsoft Teams 安全性的担忧

Microsoft Teams 是支持跨职能甚至跨组织协作的强大工具，但其开放性引发了对无限数量用户之间不受限制的文件和数据共享的担忧。特别是，以下功能和问题给 IT 专业人员带来了安全挑战。

• 访客访问 - 访客访问功能使团队所有者能够邀请组织外部的各方参与团队活动。客人可以完全访问团队频道、聊天、共享文件和会议。除了要求客人拥有企业或消费者电子邮件帐户之外，没有任何限制或审查程序来管理谁可以或不能获得客人访问权限。这引起了人们对敏感或专有数据如何容易地暴露给组织外部实体的明显担忧。

• 权限模型 - 为了促进来自不同职能组的个人之间敏捷、自组织的协作，Microsoft 特意设计了具有开放权限模型的 Teams：

  • 任何用户都可以通过创建团队并邀请其他用户加入来成为团队所有者。
• 每个团队成员都可以完全访问团队公共渠道上的所有数据，包括聊天消息、会议内容和共享文件。他们可以共享文件并创建新频道。
• 来自组织外部的任何来宾都可以共享文件，甚至可以在团队内创建新频道。

很容易看出，这种权限模型可以多快地形成一个非常适合协作的数据共享环境，但跟踪和控制却让 IT 部门头疼。

• 应用程序管理 - 用户可以通过添加应用程序来扩展团队渠道的功能，这些应用程序可以采用自定义选项卡、机器人或连接器的形式。应用程序允许频道中的用户直接从他们喜欢的第三方服务（例如 Trello 和 GitHub）获取内容和更新。然而，这些应用程序经常请求（甚至要求）用户允许他们访问自己的数据，这为将公司信息不当传输给外部第三方打开了大门。由于如此多的合作伙伴渴望在 Teams 商店中发布其生产力应用程序，IT 现在需要监控和管理额外的安全问题。
• 数据生命周期管理 - 开放通信和文件共享的 Teams 精神与安全数据治理实践背道而驰，安全数据治理对于敏感信息的收集、使用、保留和删除有严格的协议。 此外，HIPAA 和 PCI DSS 等安全和合规标准要求采取数据治理措施，例如企业范围内的标签、内容监督和跟踪，以及对已过期或更改分类的数据的适当处理。对通过 Teams 传播的聊天消息和数据文件的分散生态系统实施这种级别的控制具有挑战性。
• 数据泄露 - 如果没有足够的安全执行，Teams 用户可能会故意或意外地与未经授权的收件人共享机密信息，这可能会使公司的知识产权、合规状态和声誉面临风险。此外，由于 Teams 是一个通过云发送和接收数据包的 SaaS 平台，因此存在恶意软件或不良行为者拦截传输中的文件并将其用于恶意目的的风险。

Microsoft Teams 的安全基础知识

幸运的是，Teams 受益于与 Microsoft 安全框架关键元素的集成：

• 文件共享体验由 SharePoint 提供支持。
• 团队对话存储在 Exchange Online 中的专用组邮箱中。
• Azure Active Directory (Azure AD) 存储和管理团队数据和成员资格。它还管理整个 Teams 平台的用户身份验证。

在您的组织普遍使用 Teams 之前，请务必检查和配置以下内容：

• Azure AD 中用于用户登录 Teams 的身份验证设置
• Office 365 中的全局安全设置 — 许多设置会转移到 Teams 或与 Teams 协同工作的 SharePoint、OneDrive 和 Exchange

MS Teams 聊天隐私

虽然 Microsoft Teams 使人们能够更轻松地进行远距离协作，但它并没有消除监督的需要。这就是它提供内置监控功能的原因。

MS Teams 通信监控

Microsoft Teams 聊天监控允许管理员设置关键字警报，以便在使用特定单词时收到通知。在大型组织中，此功能可以帮助管理员更快地响应问题。然而，除了关键字警报之外，管理员还必须手动监控通信。

每个组织都可以设计自己的 Microsoft Teams 聊天监控策略，以满足其业务和安全需求。 管理员可以选择使用 Microsoft 提供的模板，例如设计用于监视敏感信息通信的模板，或者从头开始创建监视策略。他们需要决定哪些用户和渠道将受到监控、收集哪些数据以及谁可以检查受监控的渠道。该策略确定组织的 MS Teams 聊天隐私级别。

出于多种原因，监控工作聊天很有价值。特别是，它允许您：

• 执行有关适合工作的对话的公司政策。
• 通过跟踪安全、敏感和攻击性关键字来执行风险管理。
• 通过维护机密性和公平性来维持监管合规性。

Microsoft 团队管理员角色

MS Teams 中有许多管理员角色。以下是与通信合规性相关的一些主要内容及其赋予的权利：

• 通信合规性管理员 - 可以配置通信合规性策略，包括角色组分配，但无法查看消息警报
• 通信合规调查员 - 可以读取所有消息及其元数据，并标记消息以供调查中审查
• 通信合规分析师 — 可以查看消息元数据，但看不到消息本身
• 通信合规性查看器 - 可以管理所有通信报告

MS Teams 活动报告

管理员还可以通过 Teams 活动报告检查 Teams 中的用户活动。它允许审查整个组织和个人用户的活动。该报告可供全局管理员、产品特定管理员（Exchange 和 SharePoint 管理员）以及具有“报告阅读者”角色的用户使用。

该报告收集以下信息：

• 用户组织和参加的计划内和计划外会议的数量
• 登录 Teams 时的屏幕、音频和视频使用分钟数
• 聊天通讯统计，例如每分钟按键次数

在 MS Teams 中使用私人频道

对于既需要协作又需要保密的用户，Teams 提供了私人频道。这些渠道将所有消息发送到参与者的个人收件箱；未包括在内的客人和团队成员无法阅读该消息。

管理员可以通过将关键字专门包含在电子数据展示中来监控私有渠道的关键字。然而，私人渠道尚未获得全面的合规性和安全支持。

MS Teams 中的受监督聊天

受监督的聊天是一项功能，可阻止大多数用户发起私人聊天，除非包括指定用户。它旨在供教育机构使用，以防止学生在没有老师在场的情况下开始私人聊天。然而，它可以在任何环境中使用。

完全启用受监督聊天后，只有当指定的监督用户参与时才能发起新的私人聊天。主管不能被删除或离开对话。这确保了所有讨论都是安全的，并且比简单的关键字警报受到更严格的监控，同时仍然允许 MS Teams 聊天隐私。

Microsoft Teams 安全提示

此外，您可以通过使用内置功能和第三方工具的组合来增强 Microsoft Teams 的安全性。以下五种最佳实践将帮助你在组织中安全部署 Teams。

1.设置应用管理。

Teams 商店中的应用程序属于以下三个类别之一：

• Microsoft 提供的内置应用程序
• 由第三方构建的应用程序
• 定制内部应用程序

考虑根据某些应用程序的来源及其处理数据的方式限制其使用：

• 若要控制要阻止或向组织提供哪些应用，请使用 Teams 管理中心的管理应用页面上的设置。
• 您还可以使用应用程序权限策略来阻止或允许特定用户组使用某些应用程序。

2.建立全球团队管理。

默认情况下，在 Exchange Online 中拥有邮箱的任何用户都可以创建团队并成为团队所有者。如果要限制具有此权限的用户数量，请考虑创建一个 Office 365 组，该组的用户拥有创建新组以及新团队的独占权限。

还可以为您的组织配置全局 Teams 设置 - 您可以指定组织范围的首选项，例如：

• 用户是否可以与组织外部的个人进行交流
• 是否启用文件共享和云存储功能
• 访问会议内容的身份验证要求

作为员工培训的一部分，教育您的用户创建私人频道的能力，这些频道仅限于选定的团队成员子集。如果某些团队成员想要就机密内容进行协作，他们应该创建一个私人频道，而不是所有成员和来宾都可以访问的标准频道。但是，请记住，在撰写本文时，Microsoft 尚未为私人频道中的内容提供全面的安全性和合规性支持。

3.设置安全的访客访问。

您可以使用 Teams 管理中心中的来宾访问设置来配置授予来宾用户的访问级别。 为了获得最大的安全性，您可以默认禁用访客访问。或者，您可以打开访客访问权限，但禁用某些权限，例如屏幕共享或点对点呼叫。

4.构建信息保护架构。

建立信息保护架构不仅对于防止数据泄露至关重要，而且对于满足合规和诉讼要求也至关重要。

你的 Teams 数据驻留在 Azure 云基础设施的指定地理区域中，具体取决于组织的 Office 365 租户。由于不同的区域可能遵循不同的数据安全标准，因此最好确保 Teams 数据的位置适合您的业务要求。

使用以下现成的第三方工具在 Teams 中建立信息管理，使您的数据保持可跟踪、受保护且合规。

• 电子取证和法律保留 - 电子取证 (eDiscovery) 是一种 Office 365 工具，可让您创建和管理电子取证案例以遵守法律规定。您可以为电子取证案例分配具有专门权限的成员并定义参数与调查相关的内容的搜索查询。

为了保留重要证据，您可以合法保留用户邮箱或团队邮箱的内容。保留可确保即使原始内容在 Teams 中发生更改，内容的不可变副本仍可通过电子数据展示搜索保持可用。

• 内容搜索 - Office 365 提供内容搜索功能和丰富的筛选器，可在所有 Teams 数据中搜索目标内容。例如，您可以使用搜索工具查找与合规性标准相关的内容。或者，您可以执行内容搜索作为电子数据展示工作流程的一部分来收集法律证据。
• 数据保留策略 - 您可以创建保留策略，指定何时保留 Teams 数据以符合业务、监管或诉讼要求。您还可以使用保留策略来指导删除不再需要保留的数据。
• 高级威胁防护 (ATP) - 此功能可检测并阻止用户访问 Teams 中的恶意内容。 ATP 还可以抵御 SharePoint 和 OneDrive for Business 中的恶意文件，这些平台为 Teams 中的文件存储和文件共享服务提供支持。确保为 SharePoint、OneDrive 和 Teams 启用 ATP。
• 数据丢失防护 (DLP) - 您可以设置 DLP 策略，自动阻止未经授权的用户在 Teams 频道或私人聊天中共享敏感数据。使用 DLP 策略强制执行 Teams 中的安全用户行为并防止数据泄露。
• 备份 — 配置将所有 Office 365 数据自动备份到 OneDrive 或本地存储驱动器。
• 自动信息标记 - 为了确保正确应用您的 DLP 策略操作，您需要对 Teams 中共享的数据进行准确的分类和标记，这需要自动化的数据发现和分类解决方案来确保分类的高精度。

Netwrix 数据分类提供强大的数据分类技术，以确保 Teams 中的敏感信息得到准确、系统的标记。 Netwrix 数据分类可让您控制标签的使用，以便敏感文件得到正确的分类。您还可以应用工作流从敏感度级别已过期的文件中删除标签，以便 Teams 用户可以再次访问这些文件而不会造成业务中断。

5.审核用户活动。

您可以使用 Microsoft 的监督策略来监控聊天和团队频道。您还可以通过各种内置报告和功能监控使用情况：

• 转到 Microsoft Teams 管理中心中的分析和报告。
• 转到 Microsoft 365 管理中心中的报告 > 使用情况。
• 在 Power BI 中使用 Microsoft 365 使用情况分析。

要更深入地了解 Teams 中的活动，请使用 Netwrix Auditor 等解决方案。 Netwrix Auditor 提供对事件和活动的全面、详细的监控，包括：

• 用户登录 Teams
• 团队成员和变更
• 围绕 Teams 中的常规和私人对话中交换的数据进行的所有数据操作
• 对数据的权限以及对这些权限的更改
• 在 Teams 中安装应用程序

常问问题

Microsoft Teams 安全吗？

Teams 是一项 D 级服务，这意味着它符合欧盟示范条款 (EUMC)、HIPAA、ISO 27001、ISO 27018 以及 SSAE 16 SOC 1 和 SOC 2 标准。

此外，Teams 还得到 Azure AD 的支持，它提供单点登录和两因素身份验证等安全控制。

Microsoft Teams 中的数据是否已加密？

Microsoft Teams 尚不支持端到端加密。数据在传输过程中、数据旅程的每个阶段以及静态时都经过加密。中间服务可以在需要时解密内容，例如，将数据存储在保留记录中。

静态文件使用 SharePoint 加密存储在 SharePoint 中。笔记使用 OneNote 加密存储在 OneNote 中。聊天内容在传输过程中和静态时都会被加密。

如果您担心移动端点的数据安全，Microsoft Teams 移动客户端支持 Microsoft Intune 的应用程序保护策略。

Microsoft Teams 使用哪些协议？

Microsoft Teams 使用以下协议：

• 264 用于视频
• ICE建立媒体
• MNP24 用于信号传输
• 会议用 OPUS
• 用于点对点和语音通话的 SILK
• 用于桌面共享的 VBSS

可以监控 Microsoft Teams 中的活动吗？

是的。您可以使用以下现成的功能来监视 Teams 中的活动和使用情况：

• 监管政策
• Microsoft Teams 管理中心中的分析和报告
• Microsoft 365 管理中心中的报告 > 使用情况
• Power BI 中的 Microsoft 365 使用情况分析

您还可以使用 Netwrix Auditor 监控 Teams 中的登录、成员资格、权限和数据访问。