Sichern des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive mit Microsoft Entra ID

Verwenden Sie diesen Artikel, um die Zusammenarbeit Ihrer Organisation mit Externen mithilfe von Microsoft Teams, OneDrive for Business und SharePoint zu klären und zu konfigurieren. Eine häufige Herausforderung besteht darin, einen Kompromiss zwischen Sicherheit und einfacher Zusammenarbeit zwischen Endbenutzern und externe Benutzern zu finden. Wenn eine genehmigte Methode der Zusammenarbeit als einschränkend und belastend empfunden wird, umgehen Endbenutzer diese Methode. Endbenutzer senden dann möglicherweise unsichere Inhalte per E-Mail oder richten externe Prozesse und Anwendungen ein, z. B. eine persönliche DropBox oder OneDrive.

Voraussetzungen

Dieser Artikel ist der neunte in einer Serie von zehn Artikeln. Sie sollten die Artikel der Reihe nach lesen. Im Abschnitt Nächste Schritte finden Sie die gesamte Serie.

Einstellungen für External Identities und Microsoft Entra ID

Die Freigabe in Microsoft 365 wird zum Teil über die Einstellungen in External Identities, Externe Zusammenarbeit in Microsoft Entra ID gesteuert. Wenn die externe Freigabe in Microsoft Entra ID deaktiviert oder eingeschränkt ist, werden damit alle in Microsoft 365 konfigurierten Freigabeeinstellungen außer Kraft gesetzt. Eine Ausnahme liegt vor, wenn die Microsoft Entra B2B-Integration nicht aktiviert ist. Sie können SharePoint und OneDrive so konfigurieren, dass sie Ad-hoc-Freigabe per Einmalkennwort (One-Time Password, OTP) unterstützt wird. Der folgende Screenshot zeigt das Dialogfeld „External Identities, Einstellungen für externe Zusammenarbeit“.

Weitere Informationen:

• Microsoft Entra Admin Center
• Externe Identitäten in Microsoft Entra ID

Gastbenutzerzugriff

Gastbenutzer werden eingeladen, auf Ressourcen zuzugreifen.

1. Melden Sie sich beim Microsoft Entra Admin Center an.
2. Browsen Sie zu Identität>Externe Identitäten>Externe Zusammenarbeitseinstellungen.
3. Suchen Sie die Optionen für Gastbenutzerzugriff.
4. Um den Gastbenutzerzugriff auf andere Gastbenutzerdetails sowie die Aufzählung der Gruppenmitgliedschaft zu verhindern, wählen Sie Gastbenutzer haben eingeschränkten Zugriff auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten aus.

Einstellungen für Gasteinladungen

Die Einstellungen für die Einladung von Gästen legen fest, wer Gäste einladen kann und wie die Einladung erfolgt. Diese Einstellungen sind aktiviert, wenn die B2B-Integration aktiviert ist. Es wird empfohlen, dass Administratoren und Benutzer mit der Rolle „Gasteinladender“ einladen dürfen. Diese Einstellung ermöglicht das Einrichten von kontrollierten Zusammenarbeitsprozessen. Beispiel:

• Der Teambesitzer übermittelt ein Ticket, das eine Zuweisung der Rolle "Gasteinladender" anfordert:

  • Verantwortlich für die Einladung von Gästen
  • Stimmt zu, Benutzer nicht zu SharePoint hinzuzufügen
  • Führt regelmäßige Zugriffsüberprüfungen durch
  • Widerruft den Zugriff bei Bedarf

• Das IT-Team:

  • Nach Abschluss des Trainings gewährt das IT-Team die Rolle „Gasteinladender“.
  • Stellt sicher, dass genügend Microsoft Entra ID P2-Lizenzen für die Besitzer der Microsoft 365-Gruppe vorhanden sind, die überprüfen
  • Erstellt eine Microsoft 365-Gruppe für die Zugriffsüberprüfung
  • Bestätigt, dass Zugriffsüberprüfungen durchgeführt werden
  • Entfernt Benutzer, die zu SharePoint hinzugefügt wurden

1. Wählen Sie das Banner für E-Mail-Einmal-Passcode für Gäste aus.
2. Wählen Sie bei Self-Service-Registrierung von Gästen über Benutzerflows aktivierenJa aus.

Einschränkungen für die Zusammenarbeit

Bei der Option „Einschränkungen für die Zusammenarbeit“ bestimmen die geschäftlichen Anforderungen der Organisation die Wahl der Einladung.

• Senden von Einladungen an beliebige Domänen zulassen (am umfassendsten) – alle Benutzer können eingeladen werden
• Einladungen für die angegebenen Domänen verweigern: Alle Benutzer außerhalb dieser Domänen können eingeladen werden.
• Einladungen nur für bestimmte Domänen zulassen (am restriktivsten) – Benutzer außerhalb dieser Domänen können nicht eingeladen werden

Externe Benutzer und Gastbenutzer in Teams

In Teams wird zwischen externen Benutzern (Personen außerhalb Ihrer Organisation) und Gastbenutzern (Benutzer mit Gastkonten) unterschieden. Sie können die Einstellungen für die Zusammenarbeit im Microsoft Teams Admin Center unter „Organisationsweite Einstellungen“ verwalten. Anmeldeinformationen für autorisierte Konten sind erforderlich, um sich beim Teams-Verwaltungsportal anzumelden.

• Externer Zugriff: Teams lässt den externen Zugriff standardmäßig zu. Die Organisation kann mit allen externen Domänen kommunizieren.
  • Verwenden der Einstellung „Externer Zugriff“, um Domänen einzuschränken oder zuzulassen
• Gastzugriff: Verwalten des Gastzugriffs in Teams

Weitere Informationen finden Sie unter: Verwenden des Gastzugriffs und des externen Zugriffs für die Zusammenarbeit mit Personen außerhalb Ihrer Organisation

Die Funktion „External Identities – Zusammenarbeit“ in Microsoft Entra ID steuert Berechtigungen. Sie können die Einschränkungen in Teams erhöhen, sie können jedoch nicht niedriger als die Microsoft Entra-Einstellungen sein.

Weitere Informationen:

• Verwalten externer Besprechungen und Chats in Microsoft Teams
• Schritt 1: Ermitteln Ihres Cloudidentitätsmodells
• Identitätsmodelle und Authentifizierung für Microsoft Teams
• Vertraulichkeitsbezeichnungen für Microsoft Teams

Steuern des Zugriffs in SharePoint und OneDrive

SharePoint-Administratoren finden organisationsweite Einstellungen im SharePoint Admin Center. Es wird empfohlen, dass Ihre organisationsweiten Einstellungen die Mindestsicherheitsstufen festlegen. Erhöhen Sie bei Bedarf die Sicherheit auf manchen Sites. Bei einem Projekt mit hohem Risiko beschränken Sie beispielsweise den Zugriff der Benutzer auf bestimmte Domänen und verwehren Mitgliedern die Möglichkeit, Gäste einzuladen.

Weitere Informationen:

• SharePoint Admin Center : Zugriffsberechtigungen sind erforderlich
• Erste Schritte mit dem SharePoint Admin Center
• Übersicht über die externe Freigabe

Integrieren von SharePoint und OneDrive in Microsoft Entra B2B

Als Teil Ihrer Strategie zur Steuerung der externen Zusammenarbeit sollten Sie die SharePoint- und OneDrive-Integration in Microsoft Entra B2B aktivieren. Microsoft Entra B2B verfügt über die Möglichkeit, Gastbenutzer zu authentifizieren und zu verwalten. Verwenden Sie bei der Integration von SharePoint und OneDrive Einmalkennungen für die externe Freigabe von Dateien, Ordnern, Listenelementen, Dokumentbibliotheken und Websites verwendet.

Weitere Informationen:

• Authentifizierung mit Einmalkennung per E-Mail
• Integrieren von SharePoint und OneDrive in Microsoft Entra B2B
• Übersicht über die B2B-Zusammenarbeit

Wenn Sie die Microsoft Entra B2B-Integration aktivieren, hängt die SharePoint- und OneDrive-Freigabe von den Einstellungen für Organisationsbeziehungen in Microsoft Entra ab, z. B. Mitglieder können einladen und Gäste können einladen.

Freigaberichtlinien in SharePoint und OneDrive

Im Azure-Portal können mithilfe den Einstellungen für die externe Freigabe für SharePoint und OneDrive Freigaberichtlinien einfacher konfigurieren. Einschränkungen für OneDrive können nicht weitreichender sein als die in den SharePoint-Einstellungen festgelegten.

Weitere Informationen: Übersicht über die externe Freigabe

Empfehlungen für die Einstellungen zur externen Freigabe

Verwenden Sie den Leitfaden in diesem Abschnitt beim Konfigurieren der externen Freigabe.

• Jeder: Nicht empfohlen. Wenn Sie diese Einstellung aktivieren, werden unabhängig vom Integrationsstatus keine Azure-Richtlinien für diesen Linktyp angewendet.
  • Aktivieren Sie diese Funktionalität nicht für eine gesteuerte Zusammenarbeit.
  • Verwenden Sie sie, um Einschränkungen auf einzelnen Sites vorzunehmen.
• Neue und vorhandene Gäste: Empfohlen, wenn die Integration aktiviert ist
  • Microsoft Entra B2B-Integration aktiviert: Neue und aktuelle Gäste verfügen über ein Microsoft Entra B2B-Gastkonto, das Sie mit Microsoft Entra Richtlinien verwalten können.
  • Microsoft Entra B2B-Integration nicht aktiviert: Neue Gäste verfügen nicht über ein Microsoft Entra B2B-Konto und können nicht über Microsoft Entra ID verwaltet werden.
  • Ob ein bestimmter Gast ein Microsoft Entra B2B-Konto hat, hängt davon ab, wie er erstellt wurde.
• Vorhandene Gäste: Empfohlen, wenn die Integration nicht aktiviert ist
  • Bei Aktivierung dieser Option ist das Freigeben zwischen Benutzern in Ihrem Verzeichnis möglich.
• Nur Personen in Ihrer Organisation: Nicht für die Zusammenarbeit mit externen Benutzern empfohlen
  • Unabhängig vom Integrationsstatus können Benutzer in Ihrer Organisation untereinander freigeben.
• Einschränken der externen Freigabe nach Domäne: Standardmäßig lässt SharePoint externen Zugriff zu. Die Freigabe für externe Domänen ist zulässig.
  • Verwenden Sie diese Option, um Domänen für SharePoint einzuschränken oder zuzulassen.
• Nur Benutzern in bestimmten Sicherheitsgruppen gestatten, extern freizugeben: Verwenden Sie diese Einstellung, um einzuschränken, wer Inhalte in SharePoint und OneDrive freigibt. Die Einstellung in Microsoft Entra-ID gilt für alle Anwendungen. Verwenden Sie diese Einschränkung, um Benutzer an das Training zur sicheren Freigabe weiterzuleiten. Der Abschluss des Trainings ist das Signal, sie einer Sicherheitsgruppe für die Freigabe hinzuzufügen. Wenn diese Einstellung ausgewählt ist und Benutzer keine Erlaubnis zur Freigabe erhalten können, werden sie möglicherweise nicht genehmigte Möglichkeiten suchen, um Inhalte freizugeben.
• Gästen das Teilen von Elementen gestatten, die sie nicht besitzen: Nicht empfohlen. Dieses Feature sollte deaktiviert werden.
• Personen, die einen Prüfcode verwenden, müssen sich nach der angegebenen Anzahl von Tagen erneut authentifizieren; Standardwert ist 30: Empfohlen

Zugriffssteuerung

Die Einstellung für Zugriffskontrollen betrifft alle Benutzer in Ihrer Organisation. Da Sie möglicherweise nicht steuern können, ob externe Benutzer über kompatible Geräte verfügen, werden Steuerelemente in diesem Artikel nicht behandelt.

• Abmelden von Sitzungen im Leerlauf: Empfohlen
  • Verwenden Sie diese Option, um Benutzer, die nicht verwaltete Geräte verwenden, nach längerer Inaktivität zu warnen und abzumelden.
  • Sie können den Zeitraum der Inaktivität und die Warnung konfigurieren.
• Netzwerkstandort: Legen Sie dieses Steuerelement fest, um den Zugriff von IP-Adressen aus zuzulassen, die Ihrer Organisation gehören.
  • Legen Sie für die externe Zusammenarbeit dieses Steuerelement fest, wenn Ihre externen Partner innerhalb Ihres Netzwerks oder über Ihr virtuelles privates Netzwerk (VPN) auf Ressourcen zugreifen.

Datei- und Ordnerlinks

Im SharePoint Admin Center können Sie festlegen, wie Datei- und Ordnerlinks freigegeben werden. Sie können die Einstellung für jede Site konfigurieren.

Wenn die Microsoft Entra B2B-Integration aktiviert ist, führt die Freigabe von Dateien und Ordnern für Benutzer außerhalb der Organisation zur Erstellung eines B2B-Benutzers.

1. Wählen Sie für Wählen Sie den Linktyp aus, der standardmäßig ausgewählt ist, wenn Benutzer Dateien und Ordner in SharePoint und OneDrive freigeben die Option Nur Personen in Ihrer Organisation aus.
2. Wählen Sie bei Wählen Sie die Berechtigung, die standardmäßig für das Freigeben von Links ausgewählt wirdBearbeiten aus.

Sie können einzelne Sites jeweils Standardeinstellungen festlegen.

Jeder-Links

Das Aktivieren von Jeder-Links wird nicht empfohlen. Wenn Sie diese Option aktivieren, legen Sie ein Ablaufdatum fest, und beschränken Sie Benutzer auf das Anzeigen von Berechtigungen. Wenn Sie für Dateien oder Ordner Berechtigungen vom Typ „Nur anzeigen“ auswählen, können Benutzer in Jeder-Links keine Änderungen vornehmen, um Bearbeitungsberechtigungen einzufügen.

Weitere Informationen:

• Übersicht über die externe Freigabe
• Integrieren von SharePoint und OneDrive in Microsoft Entra B2B

Nächste Schritte

In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.

1. Bestimmen Ihres Sicherheitsstatus für externem Zugriff mit Microsoft Entra ID

2. Ermitteln des aktuellen Status der Zusammenarbeit mit externen Benutzern in Ihrer Organisation

3. Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen

4. Schützen des externen Zugriffs mit Gruppen in Microsoft Entra ID und Microsoft 365

5. Umstellung auf geregelte Zusammenarbeit mit der Microsoft Entra B2B-Zusammenarbeit

6. Verwalten des externen Zugriffs mit der Microsoft Entra-Berechtigungsverwaltung

7. Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff

8. Steuern des externen Zugriffs auf Ressourcen in Microsoft Entra ID mit Vertraulichkeitsbezeichnungen

9. Sichern des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive for Business mit Microsoft Entra ID (aktueller Artikel)

10. Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten