Sdílet prostřednictvím

Vytvoření bezpečnějšího prostředí pro sdílení hostů

  • Článek

V tomto článku si projdeme různé možnosti vytvoření bezpečnějšího prostředí pro sdílení hostů v Microsoftu 365. Tyto příklady vám poskytnou představu o dostupných možnostech. Tyto postupy můžete použít v různých kombinacích, abyste splnili požadavky vaší organizace na zabezpečení a dodržování předpisů.

Tento článek obsahuje:

  • Nastavení vícefaktorového ověřování pro hosty
  • Nastavení podmínek použití pro hosty.
  • Nastavení čtvrtletních kontrol přístupu hostů, které budou pravidelně ověřovat, jestli hosté nadále potřebují oprávnění k týmům a webům.
  • Omezení přístupu hostů pouze na web pro nespravovaná zařízení.
  • Konfigurace zásady časového limitu relace, která zajistí denní ověřování hostů.
  • Vytvoření typu citlivých informací pro vysoce citlivý projekt
  • Automatické přiřazení popisku citlivosti k dokumentům, které obsahují typ citlivých informací.
  • Automatické odebrání přístupu hostů ze souborů s popiskem citlivosti

Některé z možností popsaných v tomto článku vyžadují, aby hosté měli účet v Microsoft Entra ID. Pokud chcete zajistit, aby hosté byli součástí adresáře, když s nimi sdílíte soubory a složky, použijte integraci SharePointu a OneDrivu s Microsoft Entra B2B Preview.

Všimněte si, že v tomto článku se nezabíráme povolením nastavení sdílení hostů. Podrobnosti o povolení sdílení hostů pro různé scénáře najdete v tématu Spolupráce s lidmi mimo vaši organizaci .

Nastavení vícefaktorového ověřování pro hosty

Vícefaktorové ověřování výrazně snižuje pravděpodobnost ohrožení účtu. Vzhledem k tomu, že hosté můžou používat osobní e-mailové účty, které nedodržují žádné zásady správného řízení nebo osvědčené postupy, je obzvláště důležité vyžadovat pro hosty vícefaktorové ověřování. Pokud je uživatelské jméno a heslo hosta odcizeno, je vyžadování druhého ověřovacího faktoru výrazně nižší pravděpodobnost, že neznámé strany získají přístup k vašim webům a souborům.

V tomto příkladu nastavíme vícefaktorové ověřování pro hosty pomocí zásad podmíněného přístupu v Microsoft Entra ID.

Nastavení vícefaktorového ověřování pro hosty

  1. Otevřete Centrum pro správu Microsoft Entra.
  2. Rozbalte položku Ochrana a pak vyberte Podmíněný přístup.
  3. V podmíněném přístupu | Na stránce Přehled vyberte Vytvořit novou zásadu.
  4. Do pole Název zadejte název.
  5. Vyberte odkaz Uživatelé .
  6. Zvolte Vybrat uživatele a skupiny a pak zaškrtněte políčko Host nebo externí uživatelé .
  7. V rozevíracím seznamu vyberte B2B collaboration host users (Uživatelé typu host) a B2B collaboration member users (Uživatelé spolupráce B2B).
  8. Vyberte odkaz Cílové prostředky .
  9. Na kartě Zahrnout vyberte Všechny cloudové aplikace.
  10. Vyberte odkaz Udělit .
  11. V okně Udělit zaškrtněte políčko Vyžadovat vícefaktorové ověřování a potom klikněte na Vybrat.
  12. V části Povolit zásadu vyberte Zapnuto a pak vyberte Vytvořit.

Aby mohli hosté přistupovat ke sdílenému obsahu, webům nebo týmům, musí se teď zaregistrovat do vícefaktorového ověřování.

Další informace

Plánování nasazení vícefaktorového ověřování Microsoft Entra

Nastavení podmínek použití pro hosty

V některých situacích nemusí hosté s vaší organizací podepsat smlouvy o mlčenlivosti nebo jiné právní smlouvy. Před přístupem k souborům, které s nimi sdílíte, můžete od hostů vyžadovat souhlas s podmínkami použití. Podmínky použití se můžou zobrazit při prvním pokusu o přístup ke sdílenému souboru nebo webu.

Pokud chcete vytvořit podmínky použití, musíte nejdřív vytvořit dokument v Word nebo jiném programu pro vytváření obsahu a pak ho uložit jako .pdf soubor. Tento soubor se pak dá nahrát do Microsoft Entra ID.

Vytvoření Microsoft Entra podmínek použití

  1. Otevřete Centrum pro správu Microsoft Entra.

  2. Rozbalte položku Ochrana a pak vyberte Podmíněný přístup.

  3. Vyberte Podmínky použití.

  4. Vyberte Nové termíny.

    Snímek obrazovky s Microsoft Entra novým nastavením podmínek použití

  5. Zadejte Název.

  6. V části Dokument Podmínky použití přejděte na soubor PDF, který jste vytvořili, a vyberte ho.

  7. Vyberte jazyk dokumentu s podmínkami použití.

  8. Zadejte zobrazovaný název.

  9. Nastavte Možnost Vyžadovat, aby uživatelé rozšířili podmínky použití na Zapnuto.

  10. V části Podmíněný přístup v seznamu Šablony zásad podmíněného přístupu vynutit pomocí zásad podmíněného přístupu zvolte Vytvořit zásadu podmíněného přístupu později.

  11. Vyberte Vytvořit.

Po vytvoření podmínek použití je dalším krokem vytvoření zásady podmíněného přístupu, která zobrazí podmínky použití pro hosty.

Vytvoření zásady podmíněného přístupu

  1. V Centru pro správu Microsoft Entra v části Ochrana vyberte Podmíněný přístup.
  2. V podmíněném přístupu | Na stránce Přehled vyberte Vytvořit novou zásadu.
  3. Do pole Název zadejte název.
  4. Vyberte odkaz Uživatelé .
  5. Vyberte Vybrat uživatele a skupiny a potom zaškrtněte políčko Host nebo externí uživatelé .
  6. V rozevíracím seznamu vyberte B2B collaboration host users (Uživatelé typu host) a B2B collaboration member users (Uživatelé spolupráce B2B).
  7. Vyberte odkaz Cílové prostředky .
  8. Na kartě Zahrnout vyberte Vybrat aplikace a potom klikněte na odkaz Vybrat .
  9. V okně Vybrat vyberte Office 365 a pak klikněte na Vybrat.
  10. Vyberte odkaz Udělit .
  11. V okně Udělit zaškrtněte políčko u podmínek použití, které jste vytvořili, a potom klikněte na Vybrat.
  12. V části Povolit zásadu vyberte Zapnuto a pak vyberte Vytvořit.

Když se teď host poprvé pokusí o přístup k obsahu nebo týmu nebo webu ve vaší organizaci, bude muset přijmout podmínky použití.

Další informace

Microsoft Entra podmínek použití

Přehled eSignature služby Microsoft SharePoint

Nastavení kontrol přístupu hostů

Pomocí kontrol přístupu v Microsoft Entra ID můžete automatizovat pravidelnou kontrolu přístupu uživatelů k různým týmům a skupinám. Vyžadováním kontroly přístupu pro hosty můžete pomoct zajistit, aby si hosté neuchovávají přístup k citlivým informacím vaší organizace déle, než je nezbytné.

Nastavení kontroly přístupu hostů

  1. Otevřete Centrum pro správu Microsoft Entra.

  2. Rozbalte zásady správného řízení identit a vyberte Kontroly přístupu.

  3. Vyberte Nová kontrola přístupu.

  4. Zvolte možnost Teams + Groups (Týmy a skupiny ).

  5. Zvolte možnost Všechny skupiny Microsoftu 365 s uživateli typu host . Pokud chcete vyloučit všechny skupiny, klikněte na Vybrat skupiny , které chcete vyloučit.

  6. Zvolte možnost Pouze uživatelé typu host a pak vyberte Další: Recenze.

  7. V části Vybrat revidující zvolte Vlastníky skupin.

  8. Klikněte na Vybrat náhradní revidující, zvolte, kdo má být náhradními revidujícími, a potom klikněte na Vybrat.

  9. Zvolte dobu trvání (ve dnech), aby se recenze otevřela pro komentáře.

  10. V části Zadat opakování recenze zvolte Čtvrtletně.

  11. Vyberte počáteční datum a dobu trvání.

  12. V části Konec zvolte Nikdy a pak vyberte Další: Nastavení.

    Snímek obrazovky s Microsoft Entra kartou kontroly přístupu

  13. Na kartě Nastavení zkontrolujte nastavení dodržování obchodních pravidel.

    Snímek obrazovky s kartou nastavení kontroly přístupu Microsoft Entra

  14. Vyberte Další: Zkontrolovat a vytvořit.

  15. Zadejte Název revize a zkontrolujte nastavení.

  16. Vyberte Vytvořit.

Další informace

Správa přístupu hostů pomocí kontrol přístupu

Vytvoření kontroly přístupu skupin a aplikací v id Microsoft Entra

Nastavení webového přístupu pro hosty s nespravovanými zařízeními

Pokud vaši hosté používají zařízení, která nespravuje vaše organizace nebo jiná organizace, se kterou máte důvěryhodný vztah, můžete od nich vyžadovat přístup k vašim týmům, webům a souborům jenom pomocí webového prohlížeče. Tím se snižuje pravděpodobnost, že si můžou stáhnout citlivé soubory a nechat je na nespravovaném zařízení. To je také užitečné při sdílení s prostředími, která používají sdílená zařízení.

U Skupiny Microsoft 365 a Teams se to provádí pomocí zásad podmíněného přístupu Microsoft Entra. Pro SharePoint je to nakonfigurované v Centru pro správu SharePointu. (Pomocí popisků citlivosti můžete také omezit přístup hostů pouze na web.)

Omezení přístupu hostů pouze na web pro skupiny a teams:

  1. Otevřete Centrum pro správu Microsoft Entra.

  2. Rozbalte položku Ochrana a pak vyberte Podmíněný přístup.

  3. V podmíněném přístupu | Na stránce Přehled vyberte Vytvořit novou zásadu.

  4. Do pole Název zadejte název.

  5. Vyberte odkaz Uživatelé .

  6. Vyberte Vybrat uživatele a skupiny a potom zaškrtněte políčko Host nebo externí uživatelé .

  7. V rozevíracím seznamu vyberte B2B collaboration host users (Uživatelé typu host) a B2B collaboration member users (Uživatelé spolupráce B2B).

  8. Vyberte odkaz Cílové prostředky .

  9. Na kartě Zahrnout vyberte Vybrat aplikace a potom klikněte na odkaz Vybrat .

  10. V okně Vybrat vyberte Office 365 a potom klikněte na Vybrat.

  11. Vyberte odkaz Podmínky .

  12. V okně Podmínky vyberte odkaz Klientské aplikace .

  13. V okně Klientské aplikace vyberte v části Konfigurovatmožnost Ano a pak vyberte nastavení Mobilní aplikace a desktopoví klienti, protokol Exchange ActiveSync klienti a Další klienti. Zrušte zaškrtnutí políčka Prohlížeč .

    Snímek obrazovky Microsoft Entra nastavení klientských aplikací podmíněného přístupu

  14. Vyberte Hotovo.

  15. Vyberte odkaz Udělit .

  16. V okně Udělit vyberte Vyžadovat, aby zařízení bylo označené jako vyhovující a Vyžadovat Microsoft Entra zařízení připojené k hybridnímu připojení.

  17. V části Pro více ovládacích prvků vyberte Vyžadovat jeden z vybraných ovládacích prvků a potom klikněte na Vybrat.

  18. V části Povolit zásadu vyberte Zapnuto a pak vyberte Vytvořit.

Další informace

Řízení přístupu k nespravovaným zařízením na SharePointu a OneDrivu

Konfigurace časového limitu relace pro hosty

Vyžadování pravidelného ověřování hostů může snížit možnost přístupu neznámých uživatelů k obsahu vaší organizace, pokud zařízení hosta není zabezpečené. V Microsoft Entra ID můžete nakonfigurovat zásady podmíněného přístupu k vypršení časového limitu relace pro hosty.

Konfigurace zásad časového limitu relace hosta

  1. Otevřete Centrum pro správu Microsoft Entra.
  2. Rozbalte položku Ochrana a pak vyberte Podmíněný přístup.
  3. V podmíněném přístupu | Na stránce Přehled vyberte Vytvořit novou zásadu.
  4. Do pole Název zadejte název.
  5. Vyberte odkaz Uživatelé .
  6. Vyberte Vybrat uživatele a skupiny a potom zaškrtněte políčko Host nebo externí uživatelé .
  7. V rozevíracím seznamu vyberte B2B collaboration host users (Uživatelé typu host) a B2B collaboration member users (Uživatelé spolupráce B2B).
  8. Vyberte odkaz Cílové prostředky .
  9. Na kartě Zahrnout vyberte Vybrat aplikace a potom klikněte na odkaz Vybrat .
  10. V okně Vybrat vyberte Office 365 a potom klikněte na Vybrat.
  11. Vyberte odkaz Relace .
  12. V okně Relace vyberte Četnost přihlašování.
  13. Zvolte 1 a dny pro časové období a potom klikněte na Vybrat.
  14. V části Povolit zásadu vyberte Zapnuto a pak vyberte Vytvořit.

Vytvoření typu citlivých informací pro vysoce citlivý projekt

Typy citlivých informací jsou předdefinované řetězce, které je možné použít v pracovních postupech zásad k vynucování požadavků na dodržování předpisů. Portál dodržování předpisů Microsoft Purview obsahuje více než sto typů citlivých informací, včetně čísel řidičských průkazů, čísel platebních karet, čísel bankovních účtů atd.

Můžete vytvořit vlastní typy citlivých informací, které vám pomůžou spravovat obsah specifický pro vaši organizaci. V tomto příkladu vytvoříme vlastní typ citlivých informací pro vysoce citlivý projekt. Tento typ citlivých informací pak můžeme použít k automatickému použití popisku citlivosti.

Vytvoření typu citlivých informací

  1. V Portál dodržování předpisů Microsoft Purview v levém navigačním panelu rozbalte Klasifikace dat a pak vyberte Klasifikátory.
  2. vyberte kartu Typy citlivých informací .
  3. Vyberte Vytvořit typ citlivých informací.
  4. Jako Název a Popis zadejte Projekt Saturn a pak vyberte Další.
  5. Vyberte Vytvořit vzor.
  6. Na panelu Nový vzor vyberte Přidat primární prvek a pak vyberte Seznam klíčových slov.
  7. Zadejte ID , například Projekt Saturn.
  8. Do pole Nerozlišují se malá a velká písmena zadejte Projekt Saturn, Saturn a pak vyberte Hotovo.
  9. Vyberte Vytvořit a pak vyberte Další.
  10. Zvolte úroveň spolehlivosti a pak vyberte Další.
  11. Vyberte Vytvořit.
  12. Vyberte Hotovo.

Další informace najdete v tématu Informace o typech citlivých informací.

Vytvoření zásady automatického popisování pro přiřazení popisku citlivosti na základě typu citlivých informací

Pokud ve vaší organizaci používáte popisky citlivosti, můžete ho automaticky použít u souborů, které obsahují definované typy citlivých informací.

Vytvoření zásady automatického popisování

  1. Otevřete Centrum pro správu Microsoft Purview.
  2. V levém navigačním panelu rozbalte Information Protection a vyberte Automatické popisování.
  3. Vyberte Vytvořit zásadu automatického popisování.
  4. Na stránce Zvolte informace, na které chcete tento popisek použít , zvolte Vlastní a pak vyberte Vlastní zásady.
  5. Vyberte Další.
  6. Zadejte název a popis zásady a vyberte Další.
  7. Na stránce Přiřadit jednotky pro správu vyberte Další.
  8. Na stránce Zvolte umístění, ve kterých chcete použít popisek , vyberte Weby SharePointu a volitelně vyberte Upravit a zvolte weby.
  9. Vyberte Další.
  10. Na stránce Nastavit společná nebo rozšířená pravidla zvolte Běžná pravidla a vyberte Další.
  11. Na stránce Definovat pravidla pro obsah ve všech umístěních vyberte Nové pravidlo.
  12. Na stránce Nové pravidlo pojmenujte pravidlo, vyberte Přidat podmínku a pak vyberte Obsah obsahuje.
  13. Vyberte Přidat, vyberte Typy citlivých informací, zvolte typy citlivých informací, které chcete použít, vyberte Přidat a pak vyberte Uložit.
  14. Vyberte Další.
  15. Vyberte Zvolit popisek, vyberte popisek, který chcete použít, a pak vyberte Přidat.
  16. Vyberte Další.
  17. Nechte zásadu v režimu simulace a vyberte, jestli se má automaticky zapnout.
  18. Vyberte Další.
  19. Vyberte Vytvořit zásadu a pak vyberte Hotovo.

Když uživatel zadá do dokumentu "Project Saturn", zásada automatického popisování automaticky použije zadaný popisek při skenování souboru.

Další informace o automatickém popisování najdete v tématu Automatické použití popisku citlivosti u obsahu.

Další informace

Konfigurace výchozího popisku citlivosti pro knihovnu dokumentů SharePointu

Vytvoření zásady ochrany před únikem informací pro odebrání přístupu hostů k vysoce citlivým souborům

Pomocí Ochrana před únikem informací Microsoft Purview (DLP) můžete zabránit nežádoucímu sdílení citlivého obsahu hostem. Ochrana před únikem informací může provádět akce na základě popisku citlivosti souboru a odebírat přístup hostů.

Vytvoření pravidla ochrany před únikem informací

  1. Otevřete Centrum pro správu Microsoft Purview.

  2. V levém navigačním panelu rozbalte Možnost Ochrana před únikem informací a vyberte Zásady.

  3. Vyberte Vytvořit zásadu.

  4. Zvolte Vlastní a pak Vlastní zásady.

  5. Vyberte Další.

  6. Zadejte název zásady a vyberte Další.

  7. Na stránce Přiřadit jednotky pro správu vyberte Další.

  8. Na stránce Umístění pro použití zásad vypněte všechna nastavení kromě sharepointových webů a účtů OneDrivu a pak vyberte Další.

  9. Na stránce Definovat nastavení zásad vyberte Další.

  10. Na stránce Přizpůsobit rozšířená pravidla ochrany před únikem informací vyberte Vytvořit pravidlo a zadejte název pravidla.

  11. V části Podmínky vyberte Přidat podmínku a zvolte Obsah se sdílí z Microsoftu 365.

  12. V rozevíracím seznamu zvolte s lidmi mimo moji organizaci.

  13. V části Podmínky vyberte Přidat podmínku a zvolte Obsah obsahuje.

  14. Vyberte Přidat, zvolte Popisky citlivosti, zvolte popisky, které chcete použít, a vyberte Přidat.

  15. V části Akce vyberte Přidat akci a zvolte Omezit přístup nebo šifrovat obsah v umístěních Microsoft 365.

  16. Zvolte možnost Blokovat jenom lidi mimo vaši organizaci .

    Snímek obrazovky s možnostmi akcí pravidla ochrany před únikem informací

  17. Zapněte oznámení uživatelů a zaškrtněte políčko Upozornit uživatele ve službě Office 365 pomocí tipu zásad.

  18. Vyberte Uložit a pak vyberte Další.

  19. Zvolte možnosti testu a vyberte Další.

  20. Vyberte Odeslat a pak vyberte Hotovo.

Je důležité si uvědomit, že tyto zásady neodeberou přístup, pokud je host členem webu nebo týmu jako celku. Pokud plánujete mít na webu nebo v týmu s členy hosta vysoce citlivé dokumenty, zvažte tyto možnosti:

  • Používejte soukromé kanály a povolte v soukromých kanálech jenom členy vaší organizace.
  • Sdílené kanály můžete používat ke spolupráci s lidmi mimo vaši organizaci, ale mít jenom lidi z vaší organizace v samotném týmu.

Další možnosti

Microsoft 365 a ID Microsoft Entra nabízí několik dalších možností, které vám můžou pomoct zabezpečit prostředí sdílení hostů.

Omezení náhodného vystavení souborům při sdílení s hosty

Osvědčené postupy pro sdílení souborů a složek s neověřenými uživateli