Freigeben über

Sichern des externen Zugriffs auf Microsoft Teams, SharePoint und OneDrive mit Microsoft Entra-ID

Verwenden Sie diesen Artikel, um die externe Zusammenarbeit Ihrer Organisation mithilfe von Microsoft Teams, OneDrive for Business und SharePoint zu ermitteln und zu konfigurieren. Eine häufige Herausforderung besteht darin, die Sicherheit und die Einfache Zusammenarbeit für Endbenutzer und externe Benutzer zu ausgleichen. Wenn eine genehmigte Zusammenarbeitsmethode als restriktiv und beschwerlich wahrgenommen wird, umgehen Endbenutzer die genehmigte Methode. Endbenutzer können unsichere Inhalte per E-Mail senden oder externe Prozesse und Anwendungen einrichten, z. B. eine persönliche Dropbox oder OneDrive.

Bevor Sie anfangen

Dieser Artikel ist Nummer 9 in einer Reihe von 10 Artikeln. Sie sollten die Artikel der Reihe nach lesen. Wechseln Sie zum Abschnitt "Nächste Schritte ", um die gesamte Datenreihe anzuzeigen.

Einstellungen für externe Identitäten und Microsoft Entra-ID

Die Freigabe in Microsoft 365 wird zum Teil über die Einstellungen in External Identities, Externe Zusammenarbeit in Microsoft Entra ID gesteuert. Wenn die externe Freigabe in der Microsoft Entra-ID deaktiviert oder eingeschränkt ist, überschreibt sie freigabeeinstellungen, die in Microsoft 365 konfiguriert sind. Eine Ausnahme ist, wenn die Microsoft Entra B2B-Integration nicht aktiviert ist. Sie können SharePoint und OneDrive so konfigurieren, dass die Ad-hoc-Freigabe über einmaliges Kennwort (ONE-Time Password, OTP) unterstützt wird. Der folgende Screenshot zeigt das Dialogfeld "Externe Identitäten", "Einstellungen für die externe Zusammenarbeit".

Screenshot der Optionen und Einträge unter

Weitere Informationen:

Gastbenutzerzugriff

Gastbenutzer werden eingeladen, Zugriff auf Ressourcen zu haben.

  1. Melden Sie sich beim Microsoft Entra Admin Center an.
  2. Navigieren Sie zu Entra ID>Externe Identitäten>Einstellungen für die externe Zusammenarbeit.
  3. Suchen Sie die Optionen für den Gastbenutzerzugriff .
  4. Um den Gastbenutzerzugriff auf andere Gastbenutzerdetails zu verhindern und die Aufzählung der Gruppenmitgliedschaft zu verhindern, haben Ausgewählte Gastbenutzer eingeschränkten Zugriff auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten.

Einstellungen für Gastseinladungen

Einstellungen für Gastseinladungen bestimmen, wer Gäste einlädt und wie Gäste eingeladen werden. Die Einstellungen werden aktiviert, wenn die B2B-Integration aktiviert ist. Es wird empfohlen, dass Administratoren und Benutzer in der Rolle "Guest Inviter" einladen können. Diese Einstellung ermöglicht das Einrichten von kontrollierten Zusammenarbeitsprozessen. Beispiel:

  • Der Teambesitzer übermittelt ein Ticket, das eine Zuweisung der Rolle "Gasteinladender" anfordert:

    • Verantwortlich für Gastseinladungen
    • Stimmt zu, Benutzer nicht zu SharePoint hinzuzufügen
    • Führt regelmäßige Zugriffsüberprüfungen durch
    • Widerruft den Zugriff nach Bedarf

  • Das IT-Team:

    • Nach Abschluss der Schulung gewährt das IT-Team die Rolle "Guest Inviter"
    • Stellt sicher, dass genügend Microsoft Entra ID P2-Lizenzen für die Microsoft 365-Gruppenbesitzer vorhanden sind, die eine Überprüfung durchführen.
    • Erstellt eine Zugriffsüberprüfung für Microsoft 365-Gruppen
    • Bestätigt, dass Zugriffsüberprüfungen auftreten
    • Entfernt Benutzer, die zu SharePoint hinzugefügt wurden
  1. Wählen Sie das Banner für einmalige E-Mail-Kennungen für Gäste aus.
  2. Wählen Sie "Ja" aus, um die Self-Service-Registrierung von Gastbenutzern über Benutzerflüsse zu aktivieren.

Einschränkungen für die Zusammenarbeit

Für die Option "Einschränkungen für die Zusammenarbeit" diktieren die Geschäftlichen Anforderungen der Organisation die Auswahl der Einladung.

  • Zulassen, dass Einladungen an eine beliebige Domäne (einschließlich) gesendet werden – jeder Benutzer kann eingeladen werden.
  • Einladungen zu den angegebenen Domänen verweigern – alle Benutzer außerhalb dieser Domänen können eingeladen werden.
  • Einladungen nur für die angegebenen Domänen zulassen (restriktiv) – alle Benutzer außerhalb dieser Domänen können nicht eingeladen werden.

Externe Benutzer und Gastbenutzer in Teams

Teams unterscheidet zwischen externen Benutzern (außerhalb Ihrer Organisation) und Gastbenutzern (Gastkonten). Sie können die Einstellung für die Zusammenarbeit im Microsoft Teams Admin Center unter organisationsweiten Einstellungen verwalten. Autorisierte Kontoanmeldeinformationen sind erforderlich, um sich beim Teams-Verwaltungsportal anzumelden.

  • Externer Zugriff – Teams ermöglicht standardmäßig externen Zugriff. Die Organisation kann mit allen externen Domänen kommunizieren.
    • Verwenden der Einstellung für den externen Zugriff zum Einschränken oder Zulassen von Domänen
  • Gastzugriff – Verwalten des Gastzugriffs in Teams

Weitere Informationen: Verwenden sie Gastzugriff und externen Zugriff, um mit Personen außerhalb Ihrer Organisation zusammenzuarbeiten.

Das Feature für die Zusammenarbeit mit externen Identitäten in Microsoft Entra ID steuert Berechtigungen. Sie können Einschränkungen in Microsoft Teams erhöhen, einschränkungen können jedoch nicht niedriger als Microsoft Entra-Einstellungen sein.

Weitere Informationen:

Steuern des Zugriffs in SharePoint und OneDrive

SharePoint-Administratoren können organisationsweite Einstellungen im SharePoint Admin Center finden. Es wird empfohlen, dass Ihre organisationsweiten Einstellungen die mindestsicherheitsstufen sind. Erhöhen Sie die Sicherheit auf einigen Websites nach Bedarf. Beschränken Sie z. B. für ein Projekt mit hohem Risiko Benutzer auf bestimmte Domänen, und deaktivieren Sie Mitglieder daran, Gäste einzuladen.

Weitere Informationen:

Integrieren von SharePoint und OneDrive mit Microsoft Entra B2B

Als Teil Ihrer Strategie zur Regelung der externen Zusammenarbeit empfiehlt es sich, die SharePoint- und OneDrive-Integration in Microsoft Entra B2B zu aktivieren. Microsoft Entra B2B verfügt über die Gastbenutzerauthentifizierung und -verwaltung. Verwenden Sie bei der SharePoint- und OneDrive-Integration Einmalpasswörter für die externe Freigabe von Dateien, Ordnern, Listenelementen, Dokumentbibliotheken und Sites.

Weitere Informationen:

Wenn Sie die Microsoft Entra B2B-Integration aktivieren, unterliegt die SharePoint- und OneDrive-Freigabe den Organisationsbeziehungen von Microsoft Entra, z. B. Mitglieder können einladen und Gäste einladen.

Freigaberichtlinien in SharePoint und OneDrive

Im Azure-Portal können Sie die Einstellungen für die externe Freigabe für SharePoint und OneDrive verwenden, um freigaberichtlinien zu konfigurieren. OneDrive-Einschränkungen können nicht mehr zulässig sein als SharePoint-Einstellungen.

Weitere Informationen: Übersicht über die externe Freigabe

Screenshot der Einstellungen für die externe Freigabe in SharePoint und OneDrive

Empfehlungen für die Einstellungen zur externen Freigabe

Verwenden Sie den Leitfaden in diesem Abschnitt beim Konfigurieren der externen Freigabe.

  • Jeder: Nicht empfohlen. Wenn diese Option aktiviert ist, werden unabhängig vom Integrationsstatus keine Azure-Richtlinien für diesen Linktyp angewendet.
    • Aktivieren Sie diese Funktionalität nicht für die geregelte Zusammenarbeit
    • Verwenden Sie sie für Einschränkungen auf einzelnen Websites.
  • Neue und vorhandene Gäste – Empfohlen, wenn die Integration aktiviert ist
    • Microsoft Entra B2B-Integration aktiviert: Neue und aktuelle Gäste verfügen über ein Microsoft Entra B2B-Gastkonto, das Sie mit Microsoft Entra-Richtlinien verwalten können
    • Microsoft Entra B2B-Integration nicht aktiviert: Neue Gäste verfügen nicht über ein Microsoft Entra B2B-Konto und können nicht über die Microsoft Entra-ID verwaltet werden.
    • Gäste verfügen über ein Microsoft Entra B2B-Konto, je nachdem, wie der Gast erstellt wurde
  • Vorhandene Gäste – Empfohlen, wenn Die Integration nicht aktiviert ist
    • Wenn diese Option aktiviert ist, können Benutzer Inhalte an andere Benutzer in Ihrem Verzeichnis freigeben.
  • Nur Personen in Ihrer Organisation – Nicht empfohlen für die Zusammenarbeit externer Benutzer
    • Unabhängig vom Integrationsstatus können Benutzer Informationen mit anderen Benutzern in Ihrer Organisation teilen.
  • Einschränken der externen Freigabe nach Domäne – Standardmäßig lässt SharePoint den externen Zugriff zu. Teilen mit externen Domänen ist zulässig.
    • Verwenden Sie diese Option, um Domänen für SharePoint einzuschränken oder zuzulassen.
  • Zulassen, dass nur Benutzer in bestimmten Sicherheitsgruppen extern freigeben können – Verwenden Sie diese Einstellung, um einzuschränken, wer Inhalte in SharePoint und OneDrive freigibt. Die Einstellung in der Microsoft Entra-ID gilt für alle Anwendungen. Verwenden Sie diese Einschränkung, um Benutzer an das Training zur sicheren Freigabe weiterzuleiten. Der Abschluss des Trainings ist das Signal, sie einer Sicherheitsgruppe für die Freigabe hinzuzufügen. Wenn diese Einstellung ausgewählt ist und Benutzer kein genehmigter Freigaber werden können, finden sie möglicherweise nicht genehmigte Methoden zum Freigeben.
  • Zulassen, dass Gäste Elemente freigeben können, die sie nicht besitzen – nicht empfohlen. Die Anleitung besteht darin, dieses Feature zu deaktivieren.
  • Personen, die einen Überprüfungscode verwenden, müssen nach diesen vielen Tagen erneut authentifizieren (Standardwert ist 30) – Empfohlen

Zugriffssteuerung

Zugriffssteuerungseinstellungen wirken sich auf alle Benutzer in Ihrer Organisation aus. Da Sie möglicherweise nicht steuern können, ob externe Benutzer über kompatible Geräte verfügen, werden die Steuerelemente in diesem Artikel nicht behandelt.

  • Abmelden bei inaktiven Sitzungen – Empfohlen
    • Verwenden Sie diese Option, um Benutzer auf nicht verwalteten Geräten nach einem Bestimmten Zeitraum der Inaktivität zu warnen und abzumelden.
    • Sie können den Zeitraum der Inaktivität und die Warnung konfigurieren.
  • Netzwerkstandort: Legen Sie dieses Steuerelement fest, um den Zugriff von IP-Adressen aus zuzulassen, die Ihrer Organisation gehören.
    • Legen Sie dieses Steuerelement für die externe Zusammenarbeit fest, wenn Ihre externen Partner in Ihrem Netzwerk oder mit Ihrem virtuellen privaten Netzwerk (VPN) auf Ressourcen zugreifen.

Im SharePoint Admin Center können Sie festlegen, wie Datei- und Ordnerlinks freigegeben werden. Sie können die Einstellung für jede Website konfigurieren.

Screenshot der Optionen für Datei- und Ordnerlinks.

Mit aktivierter Microsoft Entra B2B-Integration führt das Freigeben von Dateien und Ordnern für Benutzer außerhalb der Organisation zur Erstellung eines B2B-Benutzers.

  1. Wenn Sie den Linktyp auswählen möchten, der standardmäßig ausgewählt ist, wenn Benutzer Dateien und Ordner in SharePoint und OneDrive freigeben, wählen Sie "Nur Personen in Ihrer Organisation" aus.
  2. Für Wählen Sie die Berechtigung aus, die standardmäßig für Freigabelinks ausgewählt ist, wählen Sie Bearbeiten.

Sie können diese Einstellung für eine Standardeinstellung pro Website anpassen.

Das Aktivieren von Jeder-Links wird nicht empfohlen. Wenn Sie diese Option aktivieren, legen Sie ein Ablaufdatum fest, und beschränken Sie Benutzer auf das Anzeigen von Berechtigungen. Wenn Sie "Nur Berechtigungen für Dateien oder Ordner anzeigen" auswählen, können Benutzer "Jeder"-Links nicht ändern, um Bearbeitungsberechtigungen einzuschließen.

Weitere Informationen:

Nächste Schritte

In der folgenden Artikelserie erfahren Sie, wie Sie den externen Zugriff auf Ressourcen sichern können. Wir empfehlen Ihnen, die Artikel in der angegebenen Reihenfolge zu lesen.

  1. Ermitteln Des Sicherheitsstatus für den externen Zugriff mit der Microsoft Entra-ID

  2. Ermitteln des aktuellen Status der externen Zusammenarbeit in Ihrer Organisation

  3. Erstellen eines Sicherheitsplans für den externen Zugriff auf Ressourcen

  4. Sichern Sie den externen Zugriff mit Gruppen in Microsoft Entra ID und Microsoft 365

  5. Übergang zur gesteuerten Zusammenarbeit mit Microsoft Entra B2B-Zusammenarbeit

  6. Verwalten des externen Zugriffs mit der Verwaltung von Microsoft Entra-Berechtigungen

  7. Verwalten des externen Zugriffs auf Ressourcen mit Richtlinien für bedingten Zugriff

  8. Steuern des externen Zugriffs auf Ressourcen in der Microsoft Entra-ID mit Vertraulichkeitsbezeichnungen

  9. Sichern Sie den externen Zugriff auf Microsoft Teams, SharePoint und OneDrive for Business mit Microsoft Entra ID (Sie sind hier)

  10. Konvertieren lokaler Gastkonten in Microsoft Entra B2B-Gastkonten