Externe toegang tot Microsoft Teams, SharePoint en OneDrive beveiligen met Microsoft Entra-id

Gebruik dit artikel om de externe samenwerking van uw organisatie te bepalen en te configureren met behulp van Microsoft Teams, OneDrive voor Bedrijven en SharePoint. Een veelvoorkomende uitdaging is het verdelen van de beveiliging en het gemak van samenwerking voor eindgebruikers en externe gebruikers. Als een goedgekeurde samenwerkingsmethode als beperkend en onerwijs wordt beschouwd, ontwijken eindgebruikers de goedgekeurde methode. Eindgebruikers kunnen onbeveiligde inhoud e-mailen of externe processen en toepassingen instellen, zoals een persoonlijke Dropbox of OneDrive.

Voordat u begint

Dit artikel is nummer 9 in een reeks van 10 artikelen. We raden u aan de artikelen op volgorde te bekijken. Ga naar de sectie Volgende stappen om de hele reeks weer te geven.

Instellingen voor externe identiteiten en Microsoft Entra-id

Delen in Microsoft 365 valt gedeeltelijk onder de instellingen voor externe identiteiten, instellingen voor externe samenwerking in Microsoft Entra ID. Als extern delen is uitgeschakeld of beperkt in Microsoft Entra-id, overschrijft deze de instellingen voor delen die zijn geconfigureerd in Microsoft 365. Een uitzondering is als Microsoft Entra B2B-integratie niet is ingeschakeld. U kunt SharePoint en OneDrive zo configureren dat ad-hoc delen via een eenmalig wachtwoord (OTP) wordt ondersteund. In de volgende schermopname ziet u het dialoogvenster Externe identiteiten, instellingen voor externe samenwerking.

Meer informatie:

• Microsoft Entra-beheercentrum
• Externe identiteiten in Microsoft Entra-id

Toegang van gastgebruikers

Gastgebruikers worden uitgenodigd om toegang te krijgen tot resources.

1. Meld u aan bij het Microsoft Entra-beheercentrum.
2. Blader naar >instellingen voor externe identiteiten>voor externe samenwerking.
3. Zoek de toegangsopties voor gastgebruikers.
4. Als u wilt voorkomen dat gastgebruikers toegang hebben tot andere gastgebruikersgegevens en om opsomming van groepslidmaatschap te voorkomen, selecteert u Gastgebruikers beperkte toegang tot eigenschappen en lidmaatschappen van adreslijstobjecten.

Instellingen voor gast uitnodigen

Instellingen voor gastnodiging bepalen wie gasten uitnodigt en hoe gasten worden uitgenodigd. De instellingen zijn ingeschakeld als de B2B-integratie is ingeschakeld. Het wordt aanbevolen dat beheerders en gebruikers, in de rol Gastnodiger, kunnen uitnodigen. Met deze instelling kunnen gecontroleerde samenwerkingsprocessen worden ingesteld. Voorbeeld:

• De teameigenaar verzendt een ticket dat een toewijzing aanvraagt naar de rol Gastnodiger:

  • Verantwoordelijk voor gastuitnodigingen
  • Hiermee gaat u akkoord dat gebruikers niet worden toegevoegd aan SharePoint
  • Voert reguliere toegangsbeoordelingen uit
  • Hiermee wordt de toegang indien nodig ingetrokken

• Het IT-team:

  • Nadat de training is voltooid, verleent het IT-team de rol Gastnodiger
  • Zorgt ervoor dat er voldoende Microsoft Entra ID P2-licenties zijn voor de Microsoft 365-groepseigenaren die zullen beoordelen
  • Hiermee maakt u een Toegangsbeoordeling voor Microsoft 365-groepen
  • Bevestigt dat er toegangsbeoordelingen plaatsvinden
  • Hiermee verwijdert u gebruikers die zijn toegevoegd aan SharePoint

1. Selecteer de banner voor eenmalige wachtwoordcodes voor gasten per e-mail.
2. Selecteer Ja als u selfserviceregistratie voor gasten via gebruikersstromen wilt inschakelen.

Samenwerkingsbeperkingen

Voor de optie Samenwerkingsbeperkingen bepaalt de bedrijfsvereisten van de organisatie de keuze van de uitnodiging.

• Toestaan dat uitnodigingen worden verzonden naar elk domein (inclusief) - elke gebruiker kan worden uitgenodigd
• Uitnodigingen weigeren voor de opgegeven domeinen : elke gebruiker buiten deze domeinen kan worden uitgenodigd
• Uitnodigingen alleen toestaan voor de opgegeven domeinen (meest beperkend): elke gebruiker buiten deze domeinen kan niet worden uitgenodigd

Externe gebruikers en gastgebruikers in Teams

Teams maakt onderscheid tussen externe gebruikers (buiten uw organisatie) en gastgebruikers (gastaccounts). U kunt de samenwerkingsinstelling beheren in het Microsoft Teams-beheercentrum onder Instellingen voor de hele organisatie. Geautoriseerde accountreferenties zijn vereist om u aan te melden bij de Teams Beheer-portal.

• Externe toegang - Teams staat standaard externe toegang toe. De organisatie kan communiceren met alle externe domeinen
  • De instelling Externe toegang gebruiken om domeinen te beperken of toe te staan
• Gasttoegang - Gasttoegang beheren in Teams

Meer informatie: Gasttoegang en externe toegang gebruiken om samen te werken met personen buiten uw organisatie.

De samenwerkingsfunctie voor externe identiteiten in Microsoft Entra ID bepaalt machtigingen. U kunt beperkingen in Teams verhogen, maar beperkingen kunnen niet lager zijn dan Microsoft Entra-instellingen.

Meer informatie:

• Externe vergaderingen en chatten beheren in Microsoft Teams
• Stap 1. Uw cloudidentiteitsmodel bepalen
• Identiteitsmodellen en verificatie voor Microsoft Teams
• Vertrouwelijkheidslabels voor Microsoft Teams

Toegang beheren in SharePoint en OneDrive

SharePoint-beheerders kunnen instellingen voor de hele organisatie vinden in het SharePoint-beheercentrum. Het wordt aanbevolen dat uw organisatiebrede instellingen de minimale beveiligingsniveaus zijn. Verhoog de beveiliging op sommige sites, indien nodig. Voor een project met een hoog risico beperkt u gebruikers bijvoorbeeld tot bepaalde domeinen en schakelt u leden uit om gasten uit te nodigen.

Meer informatie:

• SharePoint-beheercentrum : toegangsmachtigingen zijn vereist
• Aan de slag met het SharePoint-beheercentrum
• Overzicht van extern delen

SharePoint en OneDrive integreren met Microsoft Entra B2B

Als onderdeel van uw strategie om externe samenwerking te beheren, is het raadzaam om SharePoint- en OneDrive-integratie met Microsoft Entra B2B in te schakelen. Microsoft Entra B2B heeft verificatie en beheer van gastgebruikers. Gebruik eenmalige wachtwoordcodes voor het extern delen van bestanden, mappen, lijstitems, documentbibliotheken en sites met SharePoint- en OneDrive-integratie.

Meer informatie:

• Verificatie met eenmalige wachtwoordcode e-mailen
• Integratie van SharePoint en OneDrive met Microsoft Entra B2B
• Een overzicht van B2B-samenwerking

Als u Microsoft Entra B2B-integratie inschakelt, zijn SharePoint en OneDrive delen onderhevig aan de instellingen voor organisatierelaties van Microsoft Entra, zoals leden kunnen uitnodigen en gasten kunnen uitnodigen.

Beleid voor delen in SharePoint en OneDrive

In Azure Portal kunt u de instellingen voor extern delen voor SharePoint en OneDrive gebruiken om beleid voor delen te configureren. OneDrive-beperkingen kunnen niet meer permissief zijn dan SharePoint-instellingen.

Meer informatie: Overzicht van extern delen

Aanbevelingen voor instellingen voor extern delen

Gebruik de richtlijnen in deze sectie bij het configureren van extern delen.

• Iedereen - Niet aanbevolen. Als dit is ingeschakeld, ongeacht de integratiestatus, worden er geen Azure-beleidsregels toegepast voor dit koppelingstype.
  • Schakel deze functionaliteit niet in voor beheerde samenwerking
  • Deze gebruiken voor beperkingen op afzonderlijke sites
• Nieuwe en bestaande gasten - Aanbevolen, als integratie is ingeschakeld
  • Microsoft Entra B2B-integratie ingeschakeld: nieuwe en huidige gasten hebben een Microsoft Entra B2B-gastaccount dat u kunt beheren met Microsoft Entra-beleid
  • Microsoft Entra B2B-integratie is niet ingeschakeld: nieuwe gasten hebben geen Microsoft Entra B2B-account en kunnen niet worden beheerd vanuit Microsoft Entra ID
  • Gasten hebben een Microsoft Entra B2B-account, afhankelijk van hoe de gast is gemaakt
• Bestaande gasten - aanbevolen, als u geen integratie hebt ingeschakeld
  • Als deze optie is ingeschakeld, kunnen gebruikers delen met andere gebruikers in uw directory
• Alleen personen in uw organisatie - niet aanbevolen met samenwerking van externe gebruikers
  • Ongeacht de integratiestatus kunnen gebruikers delen met andere gebruikers in uw organisatie
• Extern delen per domein beperken- SharePoint staat standaard externe toegang toe. Delen is toegestaan met externe domeinen.
  • Gebruik deze optie om domeinen voor SharePoint te beperken of toe te staan
• Sta alleen gebruikers in specifieke beveiligingsgroepen toe om extern te delen. Gebruik deze instelling om te beperken wie inhoud deelt in SharePoint en OneDrive. De instelling in Microsoft Entra ID is van toepassing op alle toepassingen. Gebruik de beperking om gebruikers om te leiden naar training over veilig delen. Voltooiing is het signaal om ze toe te voegen aan een beveiligingsgroep voor delen. Als deze instelling is geselecteerd en gebruikers geen goedgekeurde sharer kunnen worden, vinden ze mogelijk niet-goedgekeurde manieren om te delen.
• Toestaan dat gasten items delen die ze niet bezitten - niet aanbevolen. De richtlijnen zijn het uitschakelen van deze functie.
• Mensen die een verificatiecode gebruiken, moet na dit aantal dagen opnieuw verifiëren (standaard is 30) - Aanbevolen

Besturingselementen voor toegang

De instelling voor besturingselementen voor toegang is van invloed op alle gebruikers in uw organisatie. Omdat u mogelijk niet kunt bepalen of externe gebruikers compatibele apparaten hebben, worden de besturingselementen niet behandeld in dit artikel.

• Afmelden voor niet-actieve sessie - Aanbevolen
  • Gebruik deze optie om gebruikers te waarschuwen en af te melden op onbeheerde apparaten, na een periode van inactiviteit
  • U kunt de periode van inactiviteit en de waarschuwing configureren
• Netwerklocatie : stel dit besturingselement in om toegang toe te staan vanaf IP-adressen die uw organisatie bezit.
  • Voor externe samenwerking stelt u dit besturingselement in als uw externe partners toegang hebben tot resources in uw netwerk of met uw VPN (Virtual Private Network).

Bestands- en maplinks

In het SharePoint-beheercentrum kunt u instellen hoe bestands- en mapkoppelingen worden gedeeld. U kunt de instelling voor elke site configureren.

Als Microsoft Entra B2B-integratie is ingeschakeld, resulteert het delen van bestanden en mappen met gebruikers buiten de organisatie in het maken van een B2B-gebruiker.

1. Als u het type koppeling wilt kiezen dat standaard is geselecteerd wanneer gebruikers bestanden en mappen delen in SharePoint en OneDrive, selecteert u Alleen personen in uw organisatie.
2. Als u de machtiging wilt kiezen die standaard is geselecteerd voor het delen van koppelingen, selecteert u Bewerken.

U kunt deze instelling aanpassen voor een standaardinstelling per site.

Links naar iedereen

Het inschakelen van iedereen-koppelingen wordt niet aanbevolen. Als u dit inschakelt, stelt u een vervaldatum in en beperkt u gebruikers om machtigingen weer te geven. Als u alleen machtigingen weergeven voor bestanden of mappen selecteert, kunnen gebruikers geen koppelingen voor iedereen wijzigen om bewerkingsbevoegdheden op te nemen.

Meer informatie:

• Overzicht van extern delen
• Integratie van SharePoint en OneDrive met Microsoft Entra B2B

Volgende stappen

Gebruik de volgende reeks artikelen voor meer informatie over het beveiligen van externe toegang tot resources. U wordt aangeraden de vermelde bestelling te volgen.

1. Uw beveiligingspostuur bepalen voor externe toegang met Microsoft Entra-id

2. De huidige status van externe samenwerking in uw organisatie ontdekken

3. Een beveiligingsplan maken voor externe toegang tot resources

4. Externe toegang beveiligen met groepen in Microsoft Entra ID en Microsoft 365

5. Overgang naar beheerde samenwerking met Microsoft Entra B2B-samenwerking

6. Externe toegang beheren met Microsoft Entra-rechtenbeheer

7. Externe toegang tot resources beheren met beleid voor voorwaardelijke toegang

8. Externe toegang tot resources in Microsoft Entra-id beheren met vertrouwelijkheidslabels

9. Externe toegang tot Microsoft Teams, SharePoint en OneDrive voor Bedrijven beveiligen met Microsoft Entra-id (u bent hier)

10. Lokale gastaccounts converteren naar Microsoft Entra B2B-gastaccounts