Защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive с помощью идентификатора Microsoft Entra

Используйте эту статью, чтобы определить и настроить внешнюю совместную работу организации с помощью Microsoft Teams, OneDrive для бизнеса и SharePoint. Распространенная проблема заключается в балансировке безопасности и простоте совместной работы для конечных пользователей и внешних пользователей. Если утвержденный метод совместной работы воспринимается как ограничивающий и нетеривный, конечные пользователи уклоняются от утвержденного метода. Конечные пользователи могут отправлять незащищенное содержимое или настраивать внешние процессы и приложения, такие как персональный Dropbox или OneDrive.

Подготовка к работе

Эта статья является номером 9 в серии из 10 статей. Мы рекомендуем ознакомиться с статьями по порядку. Перейдите к разделу "Дальнейшие действия ", чтобы просмотреть всю серию.

Параметры внешних удостоверений и идентификатор Microsoft Entra

Общий доступ в Microsoft 365 частично регулируется внешними удостоверениями, параметрами внешней совместной работы в идентификаторе Microsoft Entra. Если внешний общий доступ отключен или ограничен в идентификаторе Microsoft Entra, он переопределяет параметры общего доступа, настроенные в Microsoft 365. Исключение заключается в том, что интеграция Microsoft Entra B2B не включена. Вы можете настроить SharePoint и OneDrive для поддержки нерегламентированного общего доступа с помощью одноразового пароля (OTP). На следующем снимках экрана показан диалоговое окно "Внешние удостоверения", "Параметры внешней совместной работы".

Подробнее:

• Центр администрирования Microsoft Entra
• Внешние удостоверения в идентификаторе Microsoft Entra

Доступ гостевых пользователей

Гостевые пользователи могут иметь доступ к ресурсам.

1. Войдите в центр администрирования Microsoft Entra.
2. Перейдите к параметрам внешней совместной работы удостоверений>>.
3. Найдите параметры доступа гостевых пользователей.
4. Чтобы предотвратить доступ гостевых пользователей к другим сведениям о гостевых пользователях и предотвратить перечисление членства в группах, выберите гостевых пользователей ограниченный доступ к свойствам и членствам в объектах каталога.

Параметры приглашения гостевых пользователей

Параметры приглашения гостей определяют, кто приглашает гостей и как приглашенные гости. Параметры включены, если включена интеграция B2B. Рекомендуется приглашать администраторов и пользователей в роли приглашений гостей. Этот параметр позволяет настроить управляемые процессы совместной работы. Например:

• Владелец команды отправляет запрос на назначение на роль приглашений гостей:

  • Ответственность за приглашения гостей
  • Соглашается не добавлять пользователей в SharePoint
  • Выполняет регулярные проверки доступа
  • Отменяет доступ по мере необходимости

• ИТ-команда:

  • После завершения обучения ИТ-команда предоставляет роль приглашенных гостей
  • Гарантирует наличие достаточных лицензий Microsoft Entra ID P2 для владельцев групп Microsoft 365, которые будут проверять
  • Создает проверку доступа к группе Microsoft 365
  • Подтверждает наличие проверок доступа
  • Удаляет пользователей, добавленных в SharePoint

1. Выберите баннер для одноразовых секретных кодов электронной почты для гостей.
2. Чтобы включить самостоятельную регистрацию гостей через потоки пользователей, нажмите кнопку "Да".

Ограничения взаимодействия

Для параметра ограничений для совместной работы бизнес-требования организации определяют выбор приглашения.

• Разрешить отправку приглашений в любой домен (наиболее включительно) — любой пользователь может быть приглашен
• Запрет приглашений на указанные домены — может быть приглашен любой пользователь за пределами этих доменов .
• Разрешить приглашения только указанным доменам (наиболее строгим) — не удается пригласить любого пользователя за пределами этих доменов.

Внешние пользователи и гостевые пользователи в Teams

Teams отличает внешних пользователей (за пределами организации) и гостевых пользователей (гостевых учетных записей). Вы можете управлять параметрами совместной работы в Центре администрирования Microsoft Teams в разделе "Параметры всей организации". Учетные данные авторизованной учетной записи необходимы для входа на портал Teams Администратор.

• Внешний доступ — Teams по умолчанию разрешает внешний доступ. Организация может взаимодействовать со всеми внешними доменами
  • Использование параметра внешнего доступа для ограничения или разрешения доменов
• Гостевой доступ — управление гостевым доступом в Teams

Дополнительные сведения. Использование гостевого доступа и внешнего доступа для совместной работы с людьми за пределами организации.

Функция совместной работы внешних удостоверений в разрешениях идентификатора Microsoft Entra ID. Ограничения можно увеличить в Teams, но ограничения не могут быть ниже параметров Microsoft Entra.

Подробнее:

• Управление внешними собраниями и чатами в Microsoft Teams
• Шаг 1. Определение облачной модели удостоверений
• Модели удостоверений и проверка подлинности для Microsoft Teams
• Метки конфиденциальности для Microsoft Teams

Управление доступом в SharePoint и OneDrive

Администраторы SharePoint могут найти параметры на уровне организации в Центре администрирования SharePoint. Рекомендуется, чтобы параметры всей организации были минимальными уровнями безопасности. По мере необходимости увеличьте безопасность на некоторых сайтах. Например, для проекта с высоким риском ограничьте пользователей определенным доменам и отключите участников от приглашения гостей.

Подробнее:

• Центр администрирования SharePoint. Необходимы разрешения на доступ
• Начало работы с Центром администрирования SharePoint
• Общие сведения о внешнем совместном доступе

Интеграция SharePoint и OneDrive с Microsoft Entra B2B

В рамках стратегии управления внешней совместной работой рекомендуется включить интеграцию SharePoint и OneDrive с Microsoft Entra B2B. Microsoft Entra B2B имеет проверку подлинности и управление гостевыми пользователями. С интеграцией SharePoint и OneDrive используйте одноразовые секретные коды для внешнего общего доступа к файлам, папкам, элементам списка, библиотекам документов и сайтам.

Подробнее:

• Аутентификация с использованием одноразового секретного кода из сообщения
• Интеграция SharePoint и OneDrive с Microsoft Entra B2B
• Обзор совместной работы B2B

Если включить интеграцию Microsoft Entra B2B, общий доступ к SharePoint и OneDrive зависит от параметров отношений организации Microsoft Entra, таких как участники могут приглашатьгостей и приглашать гостей.

Политики общего доступа в SharePoint и OneDrive

В портал Azure можно использовать параметры внешнего общего доступа для SharePoint и OneDrive, чтобы настроить политики общего доступа. Ограничения OneDrive не могут быть более разрешительными, чем параметры SharePoint.

Дополнительные сведения: общие сведения о внешнем совместном доступе

Рекомендации по внешним параметрам общего доступа

Используйте инструкции в этом разделе при настройке внешнего общего доступа.

• Любой пользователь — не рекомендуется. Если этот тип ссылки включен, независимо от состояния интеграции, политики Azure не применяются к этому типу ссылки.
  • Не включите эту функцию для управляемой совместной работы
  • Используйте его для ограничений на отдельных сайтах
• Новые и существующие гости — рекомендуется, если интеграция включена
  • Интеграция Microsoft Entra B2B включена: у новых и текущих гостей есть гостевая учетная запись Microsoft Entra B2B, которую можно управлять с помощью политик Microsoft Entra
  • Интеграция Microsoft Entra B2B не включена: новые гости не имеют учетной записи Microsoft Entra B2B и не могут управляться с идентификатора Microsoft Entra ID
  • Гости имеют учетную запись Microsoft Entra B2B в зависимости от того, как был создан гость
• Существующие гости — рекомендуется, если у вас нет интеграции
  • С помощью этого параметра пользователи могут предоставлять общий доступ другим пользователям в каталоге.
• Только пользователи в вашей организации — не рекомендуется использовать внешнее взаимодействие с пользователями
  • Независимо от состояния интеграции пользователи могут поделиться с другими пользователями в организации.
• Ограничение внешнего доступа по домену . По умолчанию SharePoint разрешает внешний доступ. Общий доступ разрешен с внешними доменами.
  • Используйте этот параметр, чтобы ограничить или разрешить домены для SharePoint
• Разрешить только пользователям в определенных группах безопасности совместно использовать внешний доступ. Используйте этот параметр, чтобы ограничить доступ к содержимому в SharePoint и OneDrive. Параметр в идентификаторе Microsoft Entra применяется ко всем приложениям. Используйте ограничение, чтобы направлять пользователей на обучение о безопасном совместном доступе. Завершение — это сигнал для добавления их в группу безопасности общего доступа. Если этот параметр выбран, и пользователи не могут стать утвержденным общим ресурсом, они могут найти неутвержденные способы предоставления общего доступа.
• Разрешить гостям предоставлять общий доступ к элементам, которым они не принадлежат . Не рекомендуется. Руководство по отключению этой функции.
• Люди, которые используют код проверки, должны повторно пройти проверку подлинности после этого много дней (по умолчанию — 30) — рекомендуется.

Средства управления доступом

Настройка элементов управления доступом влияет на всех пользователей в организации. Так как вы не сможете контролировать, имеют ли внешние пользователи соответствующие устройства, элементы управления не будут рассмотрены в этой статье.

• Выход из сеанса простоя — рекомендуется
  • Используйте этот параметр для предупреждения и выхода пользователей на неуправляемых устройствах после периода бездействия
  • Можно настроить период бездействия и предупреждения
• Сетевое расположение — задайте этот элемент управления, чтобы разрешить доступ из IP-адресов, принадлежащих вашей организации.
  • Для внешней совместной работы задайте этот элемент управления, если внешние партнеры обращаются к ресурсам в сети или виртуальной частной сети (VPN).

Ссылки на файлы и папки

В Центре администрирования SharePoint можно задать общий доступ к файлам и папкам. Вы можете настроить параметр для каждого сайта.

Благодаря включенной интеграции Microsoft Entra B2B общий доступ к файлам и папкам с пользователями за пределами организации приводит к созданию пользователя B2B.

1. Для выбора типа ссылки, выбранной по умолчанию при совместном использовании файлов и папок в SharePoint и OneDrive, выберите только людей в вашей организации.
2. Чтобы выбрать разрешение, выбранное по умолчанию для ссылок общего доступа, нажмите кнопку "Изменить".

Этот параметр можно настроить для каждого сайта по умолчанию.

Ссылки типа "Любой пользователь"

Включение ссылок "Любой пользователь" не рекомендуется. Если включить его, задайте срок действия и ограничьте пользователей просмотром разрешений. Если выбрать только разрешения "Вид" для файлов или папок, пользователи не могут изменять ссылки на любой пользователь, чтобы включить права редактирования.

Подробнее:

• Общие сведения о внешнем совместном доступе
• Интеграция SharePoint и OneDrive с Microsoft Entra B2B

Следующие шаги

Используйте следующую серию статей, чтобы узнать о защите внешнего доступа к ресурсам. Рекомендуется следовать указанному заказу.

1. Определение состояния безопасности для внешнего доступа с помощью идентификатора Microsoft Entra

2. Обнаружение текущего состояния внешней совместной работы в организации

3. Создание плана безопасности для внешнего доступа к ресурсам

4. Безопасный внешний доступ с помощью групп в идентификаторе Microsoft Entra и Microsoft 365

5. Переход к управляемой совместной работе с Microsoft Entra B2B

6. Управление внешним доступом с помощью управления правами Microsoft Entra

7. Управление внешним доступом к ресурсам с помощью политик условного доступа

8. Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности

9. Защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive для бизнеса с помощью идентификатора Microsoft Entra (здесь)

10. Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B