Protección del acceso externo a Microsoft Teams, SharePoint y OneDrive con el identificador de Entra de Microsoft

Use este artículo para determinar y configurar la colaboración externa de su organización mediante Microsoft Teams, OneDrive para la Empresa y SharePoint. Un desafío común es equilibrar la seguridad y la facilidad de colaboración para los usuarios finales y los usuarios externos. Si un método de colaboración aprobado se percibe como restrictivo y onerous, los usuarios finales evitan el método aprobado. Los usuarios finales pueden enviar por correo electrónico contenido no seguro o configurar procesos y aplicaciones externos, como un Dropbox personal o OneDrive.

Antes de empezar

Este artículo es el número 9 de una serie de 10 artículos. Se recomienda leer los artículos en orden. Vaya a la sección Pasos siguientes para ver toda la serie.

Configuración de identidades externas y identificador de Microsoft Entra

El uso compartido de Microsoft 365 se rige parcialmente por las identidades externas, la configuración de colaboración externa en Microsoft Entra ID. Si el uso compartido externo está deshabilitado o restringido en el identificador de Entra de Microsoft, invalida la configuración de uso compartido configurada en Microsoft 365. Una excepción es si la integración de Microsoft Entra B2B no está habilitada. Puede configurar SharePoint y OneDrive para admitir el uso compartido ad hoc a través de contraseña única (OTP). En la captura de pantalla siguiente se muestra el cuadro de diálogo Identidades externas, Configuración de colaboración externa.

Aprende más:

• Centro de administración de Microsoft Entra
• Identidades externas en Microsoft Entra ID

Acceso de usuario invitado

Se invita a los usuarios invitados a tener acceso a los recursos.

1. Inicie sesión en el centro de administración de Microsoft Entra.
2. Vaya a Entra ID>Identidades externas>Configuración de colaboración externa.
3. Busque las opciones de acceso de usuario invitado .
4. Para evitar el acceso de los usuarios invitados a otros detalles del usuario invitado y para evitar la enumeración de la pertenencia a grupos, seleccione Usuarios invitados tienen acceso limitado a propiedades y pertenencias a objetos de directorio.

Configuración para invitar a invitados

La configuración de invitación de invitado determina quién invita a los invitados y cómo se invita a los invitados. La configuración está habilitada si la integración B2B está habilitada. Se recomienda que los administradores y los usuarios, en el rol de Invitador de invitados, puedan invitar. Esta configuración permite configurar procesos de colaboración controlados. Por ejemplo:

• El propietario del equipo envía un ticket solicitando la asignación al rol de Invitador de Invitados.

  • Responsable de las invitaciones de los invitados
  • Acepta no agregar usuarios a SharePoint
  • Realiza revisiones de acceso periódicas
  • Revoca el acceso según sea necesario.

• El equipo de TI:

  • Una vez completado el entrenamiento, el equipo de TI concede el rol de Invitador de invitados.
  • Garantiza que hay suficientes licencias de Microsoft Entra ID P2 para los propietarios del grupo de Microsoft 365 que revisarán.
  • Crea una revisión de acceso de grupo de Microsoft 365
  • Confirma que se producen revisiones de acceso
  • Quita los usuarios agregados a SharePoint

1. Seleccione el banner de Códigos de acceso de un solo uso de correo electrónico para invitados.
2. En Habilitar el registro de autoservicio de invitado a través de flujos de usuario, seleccione Sí.

Restricciones de colaboración

Para la opción Restricciones de colaboración, los requisitos empresariales de la organización dictan la elección de la invitación.

• Permitir que las invitaciones se envíen a cualquier dominio (más inclusivo): se puede invitar a cualquier usuario.
• Denegar invitaciones a los dominios especificados : se puede invitar a cualquier usuario fuera de esos dominios.
• Permitir invitaciones solo a los dominios especificados (más restrictivos): no se puede invitar a ningún usuario externo a esos dominios.

Usuarios externos y usuarios invitados en Teams

Teams diferencia entre usuarios externos (fuera de su organización) y usuarios invitados (cuentas de invitado). Puede administrar la configuración de colaboración en el Centro de administración de Microsoft Teams en Configuración de toda la organización. Se requieren credenciales de cuenta autorizadas para iniciar sesión en el portal de administración de Teams.

• Acceso externo : Teams permite el acceso externo de forma predeterminada. La organización puede comunicarse con todos los dominios externos
  • Usar la configuración de acceso externo para restringir o permitir dominios
• Acceso de invitado: administrar el acceso de invitado en Teams

Más información: Use el acceso de invitado y el acceso externo para colaborar con personas ajenas a su organización.

La característica de colaboración External Identities de Microsoft Entra controla los permisos. Puede aumentar las restricciones en Teams, pero las restricciones no pueden ser inferiores a la configuración de Microsoft Entra.

Aprende más:

• Administrar reuniones externas y chatear en Microsoft Teams
• Paso 1. Determinación del modelo de identidad en la nube
• Modelos de identidad y autenticación para Microsoft Teams
• Etiquetas de confidencialidad para Microsoft Teams

Controlar el acceso en SharePoint y OneDrive

Los administradores de SharePoint pueden encontrar la configuración de toda la organización en el Centro de administración de SharePoint. Se recomienda que la configuración de toda la organización sea el nivel de seguridad mínimo. Aumente la seguridad en algunos sitios, según sea necesario. Por ejemplo, para un proyecto de alto riesgo, restrinja a los usuarios a determinados dominios y deshabilite a los miembros de invitar a invitados.

Aprende más:

• Centro de administración de SharePoint : se requieren permisos de acceso
• Introducción al Centro de administración de SharePoint
• Información general sobre el uso compartido externo

Integración de SharePoint y OneDrive con Microsoft Entra B2B

Como parte de su estrategia para controlar la colaboración externa, se recomienda habilitar la integración de SharePoint y OneDrive con Microsoft Entra B2B. Microsoft Entra B2B tiene la autenticación y administración de usuarios invitados. Con la integración de SharePoint y OneDrive, use códigos de acceso de un solo uso para compartir archivos, carpetas, elementos de lista, bibliotecas de documentos y sitios.

Aprende más:

• Autenticación de código de acceso de un solo uso de correo electrónico
• Integración de SharePoint y OneDrive con Microsoft Entra B2B
• Introducción a la colaboración B2B

Si habilita la integración de Microsoft Entra B2B, el uso compartido en SharePoint y OneDrive está sujeto a la configuración de relaciones organizativas de Microsoft Entra, como Los miembros pueden invitar y Los invitados pueden invitar.

Compartir directivas en SharePoint y OneDrive

En Azure Portal, puede usar la configuración de uso compartido externo para SharePoint y OneDrive para ayudar a configurar directivas de uso compartido. Las restricciones de OneDrive no pueden ser más permisivas que la configuración de SharePoint.

Más información: Información general sobre el uso compartido externo

Recomendaciones de configuración de uso compartido externo

Use las instrucciones de esta sección al configurar el uso compartido externo.

• Cualquiera - no se recomienda. Si está habilitado, independientemente del estado de integración, no se aplicará ninguna directiva de Azure para este tipo de vínculo.
  • No habilite esta funcionalidad para la colaboración regulada
  • Úselo para restricciones en sitios individuales
• Invitados nuevos y existentes : recomendado, si la integración está habilitada
  • Integración de Microsoft Entra B2B habilitada: los invitados nuevos y actuales tienen una cuenta de invitado de Microsoft Entra B2B que puede administrar con las directivas de Microsoft Entra.
  • Integración de Microsoft Entra B2B no habilitada: los nuevos invitados no tienen una cuenta de Microsoft Entra B2B y no se pueden administrar desde el identificador de Microsoft Entra
  • Los invitados tienen una cuenta de Microsoft Entra B2B, en función de cómo se creó el invitado.
• Invitados existentes : recomendado, si no tiene habilitada la integración
  • Con esta opción habilitada, los usuarios pueden compartir con otros usuarios del directorio.
• Solo personas de su organización : no se recomienda con la colaboración de usuarios externos
  • Independientemente del estado de integración, los usuarios pueden compartir con otros usuarios de la organización.
• Limitar el uso compartido externo por dominio : de forma predeterminada, SharePoint permite el acceso externo. El uso compartido se permite con dominios externos.
  • Use esta opción para restringir o permitir dominios para SharePoint
• Permitir que solo los usuarios de grupos de seguridad específicos compartan externamente : use esta configuración para restringir quién comparte contenido en SharePoint y OneDrive. La configuración de Microsoft Entra ID se aplica a todas las aplicaciones. Use la restricción para dirigir a los usuarios al entrenamiento sobre el uso compartido seguro. La finalización es la señal para incorporarlas a un grupo de seguridad compartido. Si se selecciona esta configuración y los usuarios no pueden convertirse en un recurso compartido aprobado, es posible que encuentren formas no aprobadas de compartir.
• Permitir que los invitados compartan elementos que no son propietarios : no se recomienda. Las instrucciones son deshabilitar esta característica.
• Las personas que usan un código de verificación deben volver a autenticarse después de estos días (el valor predeterminado es 30): recomendado

Controles de acceso

La configuración de controles de acceso afecta a todos los usuarios de su organización. Dado que es posible que no pueda controlar si los usuarios externos tienen dispositivos compatibles, los controles no se abordarán en este artículo.

• Cierre de sesión por inactividad - recomendado
  • Use esta opción para advertir y cerrar la sesión de los usuarios en dispositivos no administrados, después de un período de inactividad
  • Puede configurar el período de inactividad y la advertencia.
• Ubicación de red : establezca este control para permitir el acceso desde direcciones IP que posee su organización.
  • Para la colaboración externa, establezca este control si los asociados externos acceden a los recursos cuando están en la red o con la red privada virtual (VPN).

Vínculos de archivos y carpetas

En el Centro de administración de SharePoint, puede establecer cómo se comparten los vínculos de archivos y carpetas. Puede configurar la configuración de cada sitio.

Con la integración de Microsoft Entra B2B habilitada, el uso compartido de archivos y carpetas con usuarios externos a la organización da lugar a la creación de un usuario B2B.

1. Para Elegir el tipo de vínculo seleccionado de forma predeterminada cuando los usuarios comparten archivos y carpetas en SharePoint y OneDrive, seleccione Solo personas de su organización.
2. En Elija el permiso seleccionado de forma predeterminada para los vínculos de uso compartido, seleccione Editar.

Puede personalizar esta configuración para un valor predeterminado por sitio.

Enlaces de cualquiera

No se recomienda habilitar vínculos accesibles para cualquiera. Si lo habilita, establece una expiración y restringe a los usuarios para ver los permisos. Si selecciona permisos de solo visualización para archivos o carpetas, los usuarios no pueden cambiar los enlaces de acceso público para incluir privilegios de edición.

Aprende más:

• Información general sobre el uso compartido externo
• Integración de SharePoint y OneDrive con Microsoft Entra B2B

Pasos siguientes

Use la siguiente serie de artículos para obtener más información sobre cómo proteger el acceso externo a los recursos. Se recomienda seguir el orden indicado.

1. Determine su postura de seguridad para el acceso externo con Microsoft Entra ID

2. Detección del estado actual de la colaboración externa en su organización

3. Creación de un plan de seguridad para el acceso externo a los recursos

4. Protección del acceso externo con grupos en el identificador de Microsoft Entra y Microsoft 365

5. Transición a la colaboración regulada con la colaboración B2B de Microsoft Entra

6. Administrar el acceso externo con la administración de derechos de Microsoft Entra

7. Administración del acceso externo a los recursos mediante directivas de acceso condicional

8. Control del acceso externo a los recursos de Microsoft Entra ID con etiquetas de confidencialidad

9. Proteger el acceso externo a Microsoft Teams, SharePoint y OneDrive para la Empresa con Microsoft Entra ID (se encuentra aquí)

10. Convertir cuentas de invitado locales en cuentas de invitado de Microsoft Entra B2B