Udostępnij za pośrednictwem

Zabezpieczanie dostępu zewnętrznego do usług Microsoft Teams, SharePoint i OneDrive przy użyciu identyfikatora Entra firmy Microsoft

  • Artykuł

Skorzystaj z tego artykułu, aby określić i skonfigurować zewnętrzną współpracę organizacji przy użyciu usługi Microsoft Teams, OneDrive dla Firm i programu SharePoint. Typowym wyzwaniem jest równoważenie bezpieczeństwa i łatwości współpracy dla użytkowników końcowych i użytkowników zewnętrznych. Jeśli zatwierdzona metoda współpracy jest postrzegana jako restrykcyjna i uciążliwa, użytkownicy końcowi unikają zatwierdzonej metody. Użytkownicy końcowi mogą wysyłać wiadomości e-mail z niezabezpieczoną zawartością lub konfigurować zewnętrzne procesy i aplikacje, takie jak osobista usługa Dropbox lub OneDrive.

Zanim rozpoczniesz

Ten artykuł jest numerem 9 w serii 10 artykułów. Zalecamy przejrzenie artykułów w kolejności. Przejdź do sekcji Następne kroki , aby wyświetlić całą serię.

Ustawienia tożsamości zewnętrznych i identyfikator entra firmy Microsoft

Udostępnianie na platformie Microsoft 365 jest częściowo zarządzane przez zewnętrzne tożsamości, ustawienia współpracy zewnętrznej w usłudze Microsoft Entra ID. Jeśli udostępnianie zewnętrzne jest wyłączone lub ograniczone w identyfikatorze Entra firmy Microsoft, zastępuje ustawienia udostępniania skonfigurowane w usłudze Microsoft 365. Wyjątek dotyczy tego, że integracja z firmą Microsoft Entra B2B nie jest włączona. Możesz skonfigurować program SharePoint i usługę OneDrive, aby obsługiwać udostępnianie ad hoc za pośrednictwem hasła jednorazowego (OTP). Poniższy zrzut ekranu przedstawia okno dialogowe Tożsamości zewnętrzne, Ustawienia współpracy zewnętrznej.

Screenshot of options and entries under External Identities, External collaboration settings.

Więcej informacji:

Dostęp użytkownika-gościa

Użytkownicy-goście są zapraszani do uzyskiwania dostępu do zasobów.

  1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra.
  2. Przejdź do pozycji Tożsamość>Zewnętrzne tożsamości>Zewnętrzne ustawienia współpracy.
  3. Znajdź opcje dostępu użytkownika-gościa.
  4. Aby uniemożliwić dostęp użytkowników-gości do innych szczegółów użytkownika-gościa i zapobiec wyliczaniu członkostwa w grupie, wybierz pozycję Użytkownicy-goście mają ograniczony dostęp do właściwości i członkostwa w obiektach katalogu.

Ustawienia zaproszenia gościa

Ustawienia zapraszania gości określają, kto zaprasza gości i jak goście są zapraszani. Ustawienia są włączone, jeśli integracja B2B jest włączona. Zaleca się, aby administratorzy i użytkownicy w roli zapraszający gości mogli zapraszać. To ustawienie umożliwia konfigurowanie kontrolowanych procesów współpracy. Na przykład:

  • Właściciel zespołu przesyła bilet żądający przypisania do roli osoby zapraszającej gościa:

    • Odpowiedzialne za zaproszenia gościa
    • Zgadza się, aby nie dodawać użytkowników do programu SharePoint
    • Wykonuje regularne przeglądy dostępu
    • Odwołuje dostęp zgodnie z potrzebami

  • Zespół IT:

    • Po zakończeniu szkolenia zespół IT udziela roli osoba zapraszania gościa
    • Zapewnia, że istnieją wystarczające licencje microsoft Entra ID P2 dla właścicieli grup platformy Microsoft 365, którzy będą przeglądać
    • Tworzy przegląd dostępu do grupy platformy Microsoft 365
    • Potwierdza, że występują przeglądy dostępu
    • Usuwa użytkowników dodanych do programu SharePoint
  1. Wybierz baner z wiadomością e-mail z jednorazowymi kodami dostępu dla gości.
  2. W obszarze Włącz samoobsługowe rejestrowanie gościa za pośrednictwem przepływów użytkownika wybierz pozycję Tak.

Ograniczenia współpracy

W przypadku opcji Ograniczenia współpracy wymagania biznesowe organizacji określają wybór zaproszenia.

  • Zezwalaj na wysyłanie zaproszeń do dowolnej domeny (w większości inkluzywnej) — każdy użytkownik może zostać zaproszony
  • Odmów zaproszeń do określonych domen — każdy użytkownik spoza tych domen może zostać zaproszony
  • Zezwalaj na zaproszenia tylko do określonych domen (najbardziej restrykcyjnych) — nie można zaprosić żadnego użytkownika spoza tych domen

Użytkownicy zewnętrzni i użytkownicy-goście w usłudze Teams

Zespoły rozróżniają użytkowników zewnętrznych (spoza organizacji) i użytkowników-gości (kont gości). Ustawienie współpracy można zarządzać w centrum administracyjnym usługi Microsoft Teams w obszarze Ustawienia dla całej organizacji. Poświadczenia konta autoryzowanego są wymagane do zalogowania się do portalu usługi Teams Administracja.

  • Dostęp zewnętrzny — usługa Teams domyślnie zezwala na dostęp zewnętrzny. Organizacja może komunikować się ze wszystkimi domenami zewnętrznymi
    • Użyj ustawienia Dostęp zewnętrzny, aby ograniczyć lub zezwolić na domeny
  • Dostęp gościa — zarządzanie dostępem gościa w usłudze Teams

Dowiedz się więcej: Użyj dostępu gościa i dostępu zewnętrznego, aby współpracować z osobami spoza organizacji.

Funkcja współpracy tożsamości zewnętrznych w usłudze Microsoft Entra ID kontroluje uprawnienia. Możesz zwiększyć ograniczenia w usłudze Teams, ale ograniczenia nie mogą być niższe niż ustawienia microsoft Entra.

Więcej informacji:

Zarządzanie dostępem w programach SharePoint i OneDrive

Administratorzy programu SharePoint mogą znaleźć ustawienia dla całej organizacji w centrum administracyjnym programu SharePoint. Zalecane jest, aby ustawienia w całej organizacji to minimalne poziomy zabezpieczeń. Zwiększ bezpieczeństwo niektórych witryn zgodnie z potrzebami. Na przykład w przypadku projektu wysokiego ryzyka ogranicz użytkowników do określonych domen i wyłącz zapraszanie gości.

Więcej informacji:

Integrowanie programów SharePoint i OneDrive z firmą Microsoft Entra B2B

W ramach strategii zarządzania współpracą zewnętrzną zaleca się włączenie integracji programów SharePoint i OneDrive z firmą Microsoft Entra B2B. Firma Microsoft Entra B2B ma uwierzytelnianie i zarządzanie użytkownikami-gośćmi. Dzięki integracji z programem SharePoint i usługą OneDrive użyj jednorazowych kodów dostępu do udostępniania zewnętrznych plików, folderów, elementów listy, bibliotek dokumentów i witryn.

Więcej informacji:

Jeśli włączysz integrację usługi Microsoft Entra B2B, udostępnianie programów SharePoint i OneDrive podlega ustawieniom relacji organizacyjnych firmy Microsoft Entra, takim jak członkowie mogą zapraszać , a goście mogą zapraszać.

Zasady udostępniania w programach SharePoint i OneDrive

W witrynie Azure Portal możesz użyć ustawień udostępniania zewnętrznego dla programów SharePoint i OneDrive, aby ułatwić konfigurowanie zasad udostępniania. Ograniczenia usługi OneDrive nie mogą być bardziej permisywne niż ustawienia programu SharePoint.

Dowiedz się więcej: Omówienie udostępniania zewnętrznego

Screenshot of external sharing settings for SharePoint and OneDrive.

Zalecenia dotyczące ustawień udostępniania zewnętrznego

Skorzystaj ze wskazówek w tej sekcji podczas konfigurowania udostępniania zewnętrznego.

  • Ktoś - niezalecane. Jeśli ta opcja jest włączona, niezależnie od stanu integracji, żadne zasady platformy Azure nie są stosowane dla tego typu linku.
    • Nie włączaj tej funkcji na potrzeby zarządzanej współpracy
    • Użyj go do ograniczeń w poszczególnych witrynach
  • Nowi i istniejący goście — zalecane, jeśli integracja jest włączona
    • Włączono integrację usługi Microsoft Entra B2B: nowi goście mają konto gościa Microsoft Entra B2B, którymi można zarządzać za pomocą zasad firmy Microsoft Entra
    • Integracja microsoft Entra B2B nie jest włączona: nowi goście nie mają konta Microsoft Entra B2B i nie można zarządzać z poziomu identyfikatora Microsoft Entra ID
    • Goście mają konto Microsoft Entra B2B, w zależności od sposobu utworzenia gościa
  • Istniejący goście — zalecane, jeśli nie włączono integracji
    • Po włączeniu tej opcji użytkownicy mogą udostępniać innym użytkownikom w katalogu
  • Tylko osoby w organizacji — niezalecane w przypadku współpracy użytkowników zewnętrznych
    • Niezależnie od stanu integracji użytkownicy mogą udostępniać innym użytkownikom w organizacji
  • Ogranicz udostępnianie zewnętrzne według domeny — domyślnie program SharePoint zezwala na dostęp zewnętrzny. Udostępnianie jest dozwolone w domenach zewnętrznych.
    • Użyj tej opcji, aby ograniczyć lub zezwolić na domeny dla programu SharePoint
  • Zezwalaj tylko użytkownikom w określonych grupach zabezpieczeń na udostępnianie zewnętrzne — to ustawienie umożliwia ograniczenie udostępniania zawartości w programach SharePoint i OneDrive. Ustawienie w usłudze Microsoft Entra ID dotyczy wszystkich aplikacji. Ograniczenie służy do kierowania użytkowników do szkolenia na temat bezpiecznego udostępniania. Ukończenie to sygnał dodawania ich do grupy zabezpieczeń udostępniania. Jeśli to ustawienie jest zaznaczone, a użytkownicy nie mogą stać się zatwierdzonym współużytkownikiem, mogą znaleźć niezatwierdzone sposoby udostępniania.
  • Zezwalaj gościom na udostępnianie elementów, których nie posiadają — niezalecane. Wskazówki dotyczą wyłączania tej funkcji.
  • Osoby, którzy używają kodu weryfikacyjnego, muszą ponownie uwierzytelniać się po tym wielu dniach (wartość domyślna to 30) — zalecane

Kontrole dostępu

Ustawienie Kontroli dostępu wpływa na wszystkich użytkowników w organizacji. Ponieważ nie można kontrolować, czy użytkownicy zewnętrzni mają zgodne urządzenia, kontrolki nie zostaną uwzględnione w tym artykule.

  • Wylogowywanie sesji bezczynności — zalecane
    • Użyj tej opcji, aby ostrzegać i wylogować użytkowników na urządzeniach niezarządzanych po okresie braku aktywności
    • Okres braku aktywności i ostrzeżenie można skonfigurować
  • Lokalizacja sieciowa — ustaw tę kontrolkę, aby zezwolić na dostęp z adresów IP własnych organizacji.
    • W przypadku współpracy zewnętrznej ustaw tę kontrolę, jeśli partnerzy zewnętrzni uzyskują dostęp do zasobów w sieci lub z wirtualną siecią prywatną (VPN).

W centrum administracyjnym programu SharePoint można ustawić sposób udostępniania łączy plików i folderów. Można skonfigurować ustawienie dla każdej lokacji.

Screenshot of File and folder links options.

Dzięki włączeniu integracji usługi Microsoft Entra B2B udostępnianie plików i folderów użytkownikom spoza organizacji powoduje utworzenie użytkownika B2B.

  1. W obszarze Wybierz typ łącza wybranego domyślnie, gdy użytkownicy udostępniają pliki i foldery w programach SharePoint i OneDrive, wybierz pozycję Tylko osoby w organizacji.
  2. W obszarze Wybierz domyślnie wybrane uprawnienie do udostępniania łączy wybierz pozycję Edytuj.

To ustawienie można dostosować dla ustawienia domyślnego dla poszczególnych witryn.

Włączenie linków dla wszystkich nie jest zalecane. Jeśli ją włączysz, ustaw wygaśnięcie i ogranicz użytkowników do wyświetlania uprawnień. Jeśli wybierzesz pozycję Wyświetl tylko uprawnienia do plików lub folderów, użytkownicy nie będą mogli zmienić linków Każdy, aby uwzględnić uprawnienia do edycji.

Więcej informacji:

Następne kroki

Skorzystaj z poniższej serii artykułów, aby dowiedzieć się więcej na temat zabezpieczania dostępu zewnętrznego do zasobów. Zalecamy przestrzeganie wymienionej kolejności.

  1. Określanie stanu zabezpieczeń na potrzeby dostępu zewnętrznego za pomocą identyfikatora Entra firmy Microsoft

  2. Odnajdywanie bieżącego stanu współpracy zewnętrznej w organizacji

  3. Tworzenie planu zabezpieczeń na potrzeby dostępu zewnętrznego do zasobów

  4. Zabezpieczanie dostępu zewnętrznego za pomocą grup w usłudze Microsoft Entra ID i Microsoft 365

  5. Przejście do zarządzanej współpracy z firmą Microsoft Entra B2B

  6. Zarządzanie dostępem zewnętrznym za pomocą zarządzania upoważnieniami firmy Microsoft

  7. Zarządzanie dostępem zewnętrznym do zasobów przy użyciu zasad dostępu warunkowego

  8. Kontrolowanie dostępu zewnętrznego do zasobów w identyfikatorze Entra firmy Microsoft przy użyciu etykiet poufności

  9. Zabezpieczanie dostępu zewnętrznego do aplikacji Microsoft Teams, SharePoint i OneDrive dla Firm przy użyciu identyfikatora Entra firmy Microsoft (jesteś tutaj)

  10. Konwertowanie lokalnych kont gości na konta gości Microsoft Entra B2B