Styrende tilgang i Microsoft 365-grupper, Teams og SharePoint
Det finnes mange kontroller som lar deg styre hvordan personer får tilgang til ressurser i grupper, team og SharePoint. Se gjennom disse alternativene, og vurder hvordan de tilordnes forretningsbehovene dine, følsomheten til dataene dine og omfanget av personer som brukerne må samarbeide med.
Tabellen nedenfor gir en hurtigreferanse for tilgangskontrollene som er tilgjengelige i Microsoft 365. Du finner mer informasjon i avsnittene nedenfor.
| Kategori | Beskrivelse | Referanse |
|---|---|---|
| Medlemskap | ||
| Dynamisk gruppemedlemskap basert på regler | Opprette eller oppdatere en dynamisk gruppe i Microsoft Entra-ID | |
| Kontroller hvem som kan dele filer, mapper og områder. | Konfigurere og behandle tilgangsforespørsler | |
| Betinget tilgang | ||
| Godkjenning med flere faktorer | Microsoft Entra godkjenning med flere faktorer | |
| Kontroller enhetstilgang basert på gruppe-, gruppe- eller områdefølsomhet. | Bruke følsomhetsetiketter til å beskytte innhold i Microsoft Teams, Microsoft 365-grupper og SharePoint-nettsteder | |
| Begrens områdetilgang for uadministrerte enheter. | Kontrollere SharePoint-tilgang fra uadministrerte enheter | |
| Kontrollere områdetilgang basert på plassering | Kontrollere tilgang til SharePoint- og OneDrive-data basert på nettverksplassering | |
| Fremtving strengere tilgangsbetingelser når brukere får tilgang til SharePoint-områder. | Policy for betinget tilgang for SharePoint-områder og OneDrive | |
| Gjestetilgang | ||
| Tillat eller blokker SharePoint-deling fra angitte domener. | Begrense deling av SharePoint- og OneDrive-innhold etter domene | |
| Tillat eller blokker gruppemedlemskap fra angitte domener. | Tillat eller blokker invitasjoner til B2B-brukere fra bestemte organisasjoner | |
| Forhindre anonym deling. | Slå av Alle-koblinger | |
| Kontroller tillatelsene for anonyme tilgangskoblinger. | Angi koblingstillatelser for Alle-koblinger | |
| Kontroller utløp av anonyme delingskoblinger. | Angi en utløpsdato for Alle-koblinger | |
| Kontroller typen delingskobling som vises til brukere som standard. | Endre standard koblingstype for et område | |
| Begrens ekstern deling til bestemte personer. | Begrens ekstern deling til angitte sikkerhetsgrupper | |
| Kontroller gjestetilgang til en gruppe, et team eller et nettsted basert på informasjonsfølsomhet. | Bruke følsomhetsetiketter til å beskytte innhold i Microsoft Teams, Microsoft 365-grupper og SharePoint-nettsteder | |
| Deaktiver delingsalternativer. | Begrens deling i Microsoft 365 | |
| Brukeradministrasjon | ||
| Se gjennom team- og gruppemedlemskap regelmessig. | Hva er Microsoft Entra tilgangsvurderinger? | |
| Automatiser tilgangsadministrasjon til grupper og team. | Hva er Microsoft Entra rettighetsadministrasjon? | |
| Begrens Tilgang til OneDrive til medlemmer av en bestemt sikkerhetsgruppe. | Begrense OneDrive-tilgang etter sikkerhetsgruppe | |
| Begrense gruppe- eller områdetilgang til medlemmer av en gruppe. | Begrense tilgangen til SharePoint-området til medlemmer av en gruppe | |
| Informasjonsklassifisering | ||
| Klassifiser grupper og team | Bruke følsomhetsetiketter til å beskytte innhold i Microsoft Teams, Microsoft 365-grupper og SharePoint-nettsteder | |
| Klassifiser sensitivt innhold automatisk | Bruke en følsomhetsetikett på innhold automatisk | |
| Krypter sensitivt innhold | Begrense tilgangen til innhold ved hjelp av følsomhetsetiketter for å bruke kryptering | |
| Brukersegmentering | ||
| Begrense kommunikasjon mellom brukersegmenter | Informasjonsbarrierer | |
| Datalagring | ||
| Lagre data på bestemte geografiske plasseringer | Microsoft 365 Multi-Geo |
Medlemskap
Du kan administrere medlemskap i en gruppe eller et team dynamisk basert på noen kriterier, for eksempel avdeling. I dette tilfellet kan ikke medlemmer og eiere invitere personer til teamet. Dynamiske grupper bruker metadata som du definerer i Microsoft Entra-ID for å kontrollere hvem som er medlem av gruppen. Kontroller at metadataene du bruker, er fullstendige og oppdaterte, da uriktige metadata kan føre til at brukere utelates fra grupper eller at uriktige brukere legges til.
SharePoint-områder gir mulighet til å legge til eiere, medlemmer og besøkende bortsett fra gruppe- eller gruppemedlemskap. Avhengig av kravene dine, kan det være lurt å begrense hvem som kan invitere personer til nettstedet. Avhengig av følsomheten til informasjonen på et gitt nettsted, kan det også være lurt å begrense hvem som kan dele filer og mapper. Disse begrensningene konfigureres av gruppen, gruppen eller områdeeieren:
Betinget tilgang
Med Microsoft 365 kan du kreve godkjenning med flere faktorer for både personer i og utenfor organisasjonen. Det finnes mange alternativer for omstendighetene når personer blir bedt om en annen godkjenningsfaktor. Vi anbefaler på det sterkeste at du distribuerer godkjenning med flere faktorer for organisasjonen:
Hvis du har sensitiv informasjon i noen av gruppene og teamene dine, kan du håndheve policyer for enhetsadministrasjon basert på en gruppe eller teamets følsomhetsetikett. Du kan blokkere tilgangen fullstendig fra uadministrerte enheter, eller tillate begrenset tilgang bare på nettet:
I SharePoint kan du begrense tilgangen til områder fra angitte nettverksplasseringer.
Flere ressurser:
Gjestetilgang
Du kan begrense gjester basert på domenet til e-postadressen deres. SharePoint tilbyr innstillinger for organisasjonsomfattende og områdespesifikke domenebegrensninger. Grupper og Teams bruker domenets tillatelseslister eller blokkeringslister i Microsoft Entra-ID. Pass på å konfigurere begge innstillingene for å unngå uønsket deling og sikre en konsekvent brukeropplevelse:
Begrense deling av SharePoint- og OneDrive-innhold etter domene
Tillat eller blokker invitasjoner til B2B-brukere fra bestemte organisasjoner
Microsoft 365 tillater anonym deling av filer og mapper ved hjelp av alle som deler koblinger. Alle koblinger kan videresendes, og alle med koblingen kan få tilgang til det delte elementet. Avhengig av følsomheten til dataene, bør du vurdere å styre hvordan Alle-koblinger brukes – inkludert å slå dem helt av, begrense koblingstillatelser til skrivebeskyttet eller angi et utløpstidspunkt for dem:
Når du deler filer eller mapper, har brukerne flere koblingstyper å velge mellom. Hvis du vil redusere risikoen for utilsiktet upassende deling, kan du endre standard koblingstype som presenteres for brukere når de deler. Hvis du for eksempel endrer standarden fra Alle-koblinger – som tillater anonym tilgang – til Folk i organisasjonskoblingene, kan det redusere risikoen for uønsket ekstern deling av sensitiv informasjon:
Hvis organisasjonen har sensitive data som du må dele med gjester, men du er bekymret for upassende deling, kan du begrense ekstern deling av filer og mapper til medlemmer av angitte sikkerhetsgrupper. På denne måten kan du begrense deling eksternt til en bestemt gruppe personer, eller kreve at brukerne tar opplæring rundt riktig ekstern deling før de legges til i sikkerhetsgruppen:
Grupper og Teams har innstillinger på organisasjonsnivå som tillater eller nekter gjestetilgang. Selv om du kan begrense gjestetilgang til bestemte team eller grupper ved hjelp av Microsoft PowerShell, anbefaler vi at du gjør dette ved hjelp av en følsomhetsetikett. Med følsomhetsetiketter kan du automatisk tillate eller nekte gjestetilgang basert på etiketten som brukes:
I et miljø der du ofte inviterer gjester til grupper og team, bør du vurdere å konfigurere regelmessig planlagte gjennomganger av gjestetilgang. Eiere kan bli bedt om å se gjennom gjester i grupper og team og godkjenne eller nekte tilgang.
Microsoft 365 tilbyr mange forskjellige metoder for deling av informasjon. Hvis du har sensitiv informasjon og vil begrense hvordan den deles, kan du se gjennom alternativene for å begrense deling:
Flere ressurser:
Anbefalte fremgangsmåter for deling av filer og mapper med uautoriserte brukere
Begrens utilsiktet eksponering for filer når du deler med personer utenfor organisasjonen
Aktiver eksternt B2B-samarbeid og administrer hvem som kan invitere gjester
Brukeradministrasjon
Etter hvert som grupper og team utvikler seg i organisasjonen, er en god praksis å se gjennom team- og gruppemedlemskap regelmessig. Dette kan være spesielt nyttig for team og grupper med et medlemskap i endring, de som inneholder sensitiv informasjon eller de som inkluderer gjester. Vurder å konfigurere tilgangsvurderinger for disse teamene og gruppene:
Mange organisasjoner har forretningspartnerskap med andre organisasjoner eller nøkkelleverandører de samarbeider med i dybden. Brukeradministrasjon og tilgang til ressurser kan være utfordrende å administrere i disse scenariene. Vurder å automatisere noen av brukerbehandlingsoppgavene og til og med overføre noen av dem til partnerorganisasjonen:
Private kanaler i Teams tillater omfangsbaserte samtaler og fildeling mellom et delsett av teammedlemmer. Avhengig av dine spesifikke forretningsbehov, kan det være lurt å tillate eller blokkere denne funksjonen.
Med delte kanaler kan du invitere personer som er utenfor teamet eller utenfor organisasjonen. Avhengig av dine spesifikke forretningsbehov og policyer for ekstern deling, kan det hende du vil tillate eller blokkere denne funksjonen.
OneDrive er en enkel måte for brukere å lagre og dele innhold de arbeider med. Avhengig av forretningsbehovene dine, kan det være lurt å begrense tilgangen til dette innholdet til heltidsansatte i firmaet eller andre grupper i firmaet. I så fall kan du begrense tilgangen til OneDrive-innhold til medlemmer av en sikkerhetsgruppe.
For noen mer sensitive team eller nettsteder kan du begrense tilgangen til gruppe- eller nettstedsinnhold til medlemmer av gruppen eller til medlemmer av en sikkerhetsgruppe.
Flere ressurser:
Informasjonsklassifisering
Du kan bruke følsomhetsetiketter til å styre gjestetilgang, gruppe- og teampersonvern og tilgang av uadministrerte enheter for grupper og team. Når en bruker bruker etiketten, konfigureres disse innstillingene automatisk som angitt av etikettinnstillingene.
Du kan konfigurere Microsoft 365 til å bruke følsomhetsetiketter automatisk på filer og e-postmeldinger basert på kriteriene du angir, inkludert å oppdage sensitive informasjonstyper eller mønster som samsvarer med kalibrerbare klassifierere.
Du kan bruke følsomhetsetiketter til å kryptere filer, slik at bare de med tillatelse til å dekryptere og lese dem.
Flere ressurser:
Brukersegmentering
Med informasjonsbarrierer kan du segmentere dataene og brukerne for å begrense uønsket kommunikasjon og samarbeid mellom grupper og unngå interessekonflikter i organisasjonen. Med informasjonsbarrierer kan du opprette policyer for å tillate eller forhindre filsamarbeid, chat, anrop eller møteinvitasjoner mellom grupper av personer i organisasjonen.
Datalagring
Med Microsoft 365 Multi-Geo kan du klargjøre og lagre inaktive data på de geografiske plasseringene du har valgt for å oppfylle kravene til datalagring. I et Multi-Geo-miljø består Microsoft 365-leieren av en sentral plassering (der Microsoft 365-abonnementet opprinnelig ble klargjort) og én eller flere satellittplasseringer der du kan lagre data.
Beslektede emner
Anbefalinger for planlegging av samarbeidsstyring
Opprett samarbeidsstyringsplanen
Sikkerhet og samsvar i Microsoft Teams
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for