当用户使用他们的设备连接到你的 Teams 系统时,他们可能会由于该设备上存在的应用程序和配置而无意中引入安全漏洞。防止此类漏洞的一种方法是设置测试设备和用户的策略,然后根据结果决定他们的访问级别。您可以通过在 Microsoft Teams 中使用条件访问来实现这种方法。
条件访问Conditional Access
条件访问是 Azure Active Directory 的一项安全功能。条件访问使用多个信号来确定用户或设备是否值得信赖。您可以使用条件访问策略来确定某物的可信度。 条件访问策略是 if-then 语句,允许安全专业人员提供深度防御,并在完成第一因素身份验证后强制执行。 Microsoft Teams 作为 Azure Active Directory 条件访问策略中的云应用程序单独受支持。
条件访问策略是 由分配和访问控制的 if-then 语句组成。 策略的分配部分控制条件访问策略的人员、内容和位置。 策略的访问部分控制它的执行方式。 如果满足一个或多个附加条件,则根据分配,它可以授予访问权限、阻止访问权限或授予访问权限。
Multifactor authentication 多因素身份验证
多因素身份验证 (MFA) 是在登录期间提示用户提供其他身份验证形式的过程。他们可能会被要求在手机上输入密码或提供指纹扫描。 MFA 显着降低了用户帐户被盗用的机会。要求对所有用户进行 MFA 将显着提高您组织的身份安全性。
条件访问策略实施 Conditional Access policy enforcement
可以为团队设置条件访问策略。但是,Teams 与其他 Microsoft 应用程序集成以实现会议、日历、互操作聊天和文件共享等功能。还可以为这些应用程序设置条件访问策略。当用户登录 Microsoft Teams 时,在任何客户端上都会应用为 Teams 和任何集成云应用程序设置的条件访问策略。请务必注意,即使可能为 Teams 设置了条件访问策略,如果 Exchange Online 和 SharePoint 等其他应用程序上没有正确的策略,用户仍然可以直接访问资源。如果您配置了服务依赖项,则可能会使用早绑定或晚绑定强制来应用该策略:
- 提前绑定策略执行意味着用户必须在访问调用应用程序之前满足依赖服务策略。例如,用户在登录之前必须满足 SharePoint 策略 团队。
- 用户登录调用应用程序后会执行后期绑定策略。 当调用应用程序为下游服务(例如 Teams 访问 Planner)请求令牌时,会推迟强制执行。
下图说明了 Teams 服务依赖项。 实线箭头表示提前强制执行; Planner 的虚线箭头表示延迟执行。
为 Teams 配置多因素身份验证MFA
以下是根据指定条件在使用 Microsoft Teams 时为销售部门的用户创建条件访问策略的示例步骤:
1.以全局管理员身份登录 Azure Active Directory 管理中心。
2.在左侧窗格中,选择所有服务并搜索条件访问,然后选择 Azure AD 条件访问。
3.在条件访问 – 策略页面上,选择新建策略。
4.在新建页面上,在左侧导航菜单部分的相应字段中插入以下信息:
- 在字段名称中,输入策略的名称,例如“Sales_ConditionalAccess”。
- 在分配部分配置以下设置:
- 选择您希望将此策略应用到的用户和组,例如 Sales 组。
- 选择要应用策略的云应用或操作,然后从应用列表中选择 Microsoft Teams。
- 选择您希望包含在策略中的条件,例如登录风险级别、设备平台、物理位置、客户端应用程序和设备状态。
- 为您在“分配”部分中配置的设置选择要部署的访问控制类型。
- 选择授予以选择将实施哪些控制,例如多因素身份验证。
- 如果您需要在云应用程序中配置有限的体验,例如应用程序强制限制,请选择会话。
5.通过在启用策略部分中选择开启,然后单击创建来启用策略。