Microsoft Teams w firmie – bezpieczna konfiguracja krok po kroku

Dlaczego domyślna konfiguracja Teams bywa ryzykowna?

Microsoft Teams jest aktywny w większości pakietów Microsoft 365 – często bez żadnej dodatkowej konfiguracji ze strony IT. W praktyce oznacza to, że każdy pracownik może tworzyć nowe zespoły, zapraszać zewnętrznych gości i instalować aplikacje firm trzecich. To wygodne dla użytkowników, ale niebezpieczne dla firmy.

Najczęstsze problemy z domyślną konfiguracją Teams:

• Niekontrolowane tworzenie zespołów – każdy pracownik może założyć nowy zespół, co prowadzi do chaosu w zarządzaniu danymi i uprawnieniami oraz utrudnia inwentaryzację zasobów.
• Dostęp gości bez weryfikacji – domyślnie każdy pracownik może zaprosić osobę z zewnątrz do dowolnego zespołu, w tym do kanałów zawierających poufne dokumenty i dane klientów.
• Brak polityk retencji – wiadomości i pliki są przechowywane bezterminowo lub usuwane bez kontroli, co utrudnia zgodność z RODO i innymi przepisami dotyczącymi ochrony danych.
• Nieautoryzowane aplikacje – bez ograniczeń użytkownicy mogą integrować Teams z zewnętrznymi narzędziami, które uzyskują dostęp do firmowych wiadomości, plików i kalendarzy.

Dobra wiadomość: wszystkie te ryzyka można skutecznie ograniczyć przez właściwą konfigurację w centrum administracyjnym Teams i Microsoft 365 – bez konieczności zakupu droższych planów.

Krok 1 – Kontrola tworzenia zespołów i dostępu gości

Pierwszym krokiem do bezpiecznego Teams jest ograniczenie tego, kto może tworzyć nowe zespoły i zapraszać użytkowników zewnętrznych. W centrum administracyjnym Microsoft 365 możesz precyzyjnie określić te uprawnienia bez wpływu na codzienną pracę zespołów.

Ograniczenie tworzenia zespołów:

1. Zaloguj się do centrum administracyjnego Microsoft 365 (admin.microsoft.com).
2. Przejdź do Ustawienia > Ustawienia organizacji > Grupy Microsoft 365.
3. Ogranicz możliwość tworzenia grup (a tym samym zespołów Teams) do wybranej grupy bezpieczeństwa – np. kadry kierowniczej i administratorów IT.

Konfiguracja dostępu gości:

1. W centrum administracyjnym Teams (admin.teams.microsoft.com) przejdź do Użytkownicy > Dostęp gości.
2. Zdecyduj, które funkcje mają być dostępne dla gości: czat, połączenia głosowe, spotkania wideo, udostępnianie plików.
3. Zalecenie dla MŚP: ogranicz gościom możliwość wyszukiwania innych pracowników firmy oraz udostępniania plików poza przypisanym kanałem.

Ważna różnica: dostęp gości (konto zewnętrzne dodane do konkretnego zespołu) różni się od dostępu zewnętrznego (federacja z innymi organizacjami Teams). Oba mechanizmy wymagają oddzielnej konfiguracji i regularnej weryfikacji – domyślnie oba mogą być włączone szerzej, niż firma potrzebuje.

Krok 2 – Bezpieczne polityki spotkań w Teams

Spotkania w Teams to potencjalny punkt wycieku informacji – szczególnie gdy uczestniczą w nich osoby zewnętrzne lub anonimowi uczestnicy dołączający przez link. Polityki spotkań pozwalają precyzyjnie kontrolować, co wolno uczestnikom, zanim jeszcze dołączą do rozmowy.

Kluczowe ustawienia do skonfigurowania w centrum Teams (> Spotkania > Zasady spotkań):

• Poczekalnia (lobby) – określ, kto automatycznie wchodzi do spotkania, a kto czeka na akceptację organizatora. Zalecenie: pracownicy Twojej organizacji mogą omijać poczekalnie, natomiast goście zewnętrzni i anonimowi uczestnicy zawsze powinni przez nią przechodzić.
• Nagrywanie spotkań – zdecyduj, czy pracownicy mogą nagrywać spotkania i gdzie trafiają nagrania (OneDrive lub SharePoint). Rozważ ustawienie automatycznego terminu wygaśnięcia nagrań, np. po 60 lub 90 dniach, aby unikać niekontrolowanej akumulacji danych.
• Udostępnianie ekranu – ogranicz możliwość przejęcia kontroli nad ekranem przez uczestników zewnętrznych. Zablokuj udostępnianie całego pulpitu i wymuś tryb konkretnego okna aplikacji.
• Anonimowi uczestnicy – wyłącz możliwość dołączania do spotkań bez logowania się na konto Microsoft lub firmowe, jeśli nie jest to absolutnie konieczne w Twojej działalności.

Możesz tworzyć różne polityki dla różnych grup pracowników – np. bardziej restrykcyjną dla działu finansowego i prawnego, a liberalniejszą dla zespołu sprzedaży obsługującego regularnie klientów zewnętrznych. Takie zróżnicowanie pozwala zachować balans między bezpieczeństwem a wygodą pracy.

Krok 3 – Retencja danych i zgodność z RODO

RODO i inne regulacje nakładają na firmy obowiązek kontroli nad tym, jak długo przechowywane są dane pracowników i klientów. W Teams dotyczy to wiadomości czatu, plików przesyłanych w kanałach oraz nagrań ze spotkań.

Jak skonfigurować polityki retencji w Microsoft Purview:

1. Zaloguj się do portalu Microsoft Purview (purview.microsoft.com).
2. Przejdź do Zarządzanie danymi > Zasady przechowywania i utwórz nową politykę.
3. Wybierz lokalizacje objęte polityką: wiadomości kanałów Teams, czaty prywatne Teams, a także pliki w SharePoint i OneDrive powiązane z Teams.
4. Określ okres przechowywania (np. 3 lub 5 lat) oraz działanie po jego upływie – automatyczne usunięcie lub przeniesienie do archiwum zgodności.

DLP (zapobieganie utracie danych) w Teams: jeśli posiadasz plan Microsoft 365 Business Premium lub wyższy, możesz skonfigurować polityki DLP, które automatycznie wykrywają i blokują wysyłanie wrażliwych informacji przez czat Teams – numerów PESEL, danych kart płatniczych czy dokumentacji medycznej – zanim trafią do nieautoryzowanych odbiorców.

Dzienniki audytu: upewnij się, że rejestrowanie inspekcji jest włączone w centrum zgodności Microsoft Purview. Pozwala to śledzić, kto udostępnił plik, zmienił ustawienia zespołu lub zalogował się do Teams z nieznanego urządzenia – co jest niezbędne przy analizie incydentów bezpieczeństwa.

Krok 4 – Kontrola aplikacji i integracji zewnętrznych

Teams to platforma otwarta na tysiące integracji firm trzecich – co jest jej siłą, ale też istotnym zagrożeniem. Aplikacje zewnętrzne mogą uzyskiwać dostęp do wiadomości, plików, kalendarza i danych użytkowników bez wiedzy administratora IT, jeśli nie wprowadzi się odpowiednich ograniczeń.

Jak zarządzać aplikacjami w Teams:

• Zablokuj instalację przez użytkowników – w centrum administracyjnym Teams przejdź do Aplikacje Teams > Zasady uprawnień i utwórz politykę ograniczającą lub całkowicie blokującą instalację aplikacji zewnętrznych przez zwykłych pracowników.
• Zbuduj listę zatwierdzonych aplikacji – zidentyfikuj narzędzia faktycznie używane w firmie (np. Jira, Trello, Salesforce) i dodaj je do listy dozwolonych. Wszystko inne powinno wymagać formalnej zgody admina IT.
• Sprawdzaj uprawnienia aplikacji – regularnie przeglądaj, jakich dostępów żądają zainstalowane aplikacje. Usuń te, które wymagają nadmiernych uprawnień, np. dostępu do wszystkich plików w OneDrive całej organizacji.
• Aplikacje niestandardowe i LOB – jeśli firma korzysta z własnych aplikacji Teams, ogranicz ich instalację do konkretnych grup użytkowników i środowisk testowych przed wdrożeniem produkcyjnym.

Nieużywane integracje to otwarte drzwi do firmowych danych. Regularny przegląd zainstalowanych aplikacji – co najmniej raz na kwartał – powinien być stałym elementem harmonogramu działań działu IT lub zewnętrznego partnera odpowiedzialnego za wsparcie Microsoft 365.

Checklist bezpiecznego Teams dla admina IT

Poniżej zebraliśmy najważniejsze ustawienia, które warto skonfigurować zanim oddasz Teams w ręce wszystkich pracowników. Potraktuj tę listę jako punkt wyjścia do własnej polityki bezpieczeństwa platformy komunikacyjnej w firmie:

• Ograniczenie tworzenia zespołów do wybranych użytkowników lub grup bezpieczeństwa.
• Konfiguracja dostępu gości – wyłącz lub ogranicz funkcje dostępne dla kont zewnętrznych.
• Polityka poczekalni – goście i anonimowi uczestnicy zawsze czekają na akceptację organizatora spotkania.
• Ograniczenie nagrywania spotkań z automatycznym wygaśnięciem nagrań po ustalonym czasie.
• Polityki retencji dla wiadomości i plików Teams skonfigurowane w Microsoft Purview.
• Blokada instalacji nieautoryzowanych aplikacji przez użytkowników.
• Włączone dzienniki inspekcji i audytu w centrum zgodności M365.
• DLP w Teams (dla planów Business Premium i wyższych) – blokowanie wrażliwych danych w czacie.
• Kwartalne przeglądy listy gości z dostępem i zainstalowanych aplikacji zewnętrznych.
• Szkolenie pracowników z zasad bezpiecznego korzystania z Teams – szczególnie w zakresie udostępniania plików osobom zewnętrznym.

Konfiguracja bezpiecznego Teams to nie jednorazowe zadanie. Microsoft regularnie dodaje nowe funkcje, które mogą wymagać aktualizacji polityk, a skład zespołów i lista gości zmienia się wraz z rotacją pracowników i partnerów. Warto zaplanować kwartalny przegląd konfiguracji jako stały punkt w harmonogramie IT. Jeśli nie wiesz, od czego zacząć lub chcesz zweryfikować obecne ustawienia – audyt IT przeprowadzony przez specjalistów NovaSys szybko wskaże luki i priorytety do poprawy.