Создание безопасной среды гостевого общего доступа

В этой статье рассматриваются различные параметры создания безопасной среды гостевого общего доступа в Microsoft 365. Эти примеры помогут получить представление о доступных возможностях. Эти процедуры можно использовать в различных сочетаниях для обеспечения безопасности и соответствия требованиям в организации.

В этой статье:

  • Настройка многофакторной проверки подлинности для гостей.
  • Настройка условий использования для гостей.
  • Настройка ежеквартальных проверок гостевого доступа, чтобы периодически подтверждать необходимость предоставления гостям разрешения на доступ к группам и сайтам.
  • Ограничение для гостей, с предоставлением им доступа только через Интернет с неуправляемых устройств.
  • Настройка политики ожидания сеанса, чтобы обеспечить ежедневную проверку подлинности гостей.
  • Создание типа конфиденциальной информации для строго конфиденциального проекта.
  • Автоматическое присвоение метки конфиденциальности документам, содержащим конфиденциальную информацию.
  • Автоматический запрет гостевого доступа к файлам с меткой конфиденциальности.

Для некоторых параметров, рассматриваемых в этой статье, требуется наличие у гостей учетной записи в Azure Active Directory. Чтобы обеспечить включение гостей в каталог при совместном использовании файлов и папок с ними, используйтеинтеграцию SharePoint и OneDrive с Azure AD B2B (предварительная версия).

Обратите внимание, что в этой статье не рассматривается включение параметров гостевого общего доступа. Дополнительные сведения о включении гостевого общего доступа для разных сценариев см. в статье Совместная работа с пользователями не из организации.

Настройка многофакторной проверки подлинности для гостей

Многофакторная проверка подлинности значительно снижает вероятность компрометации учетной записи. Так как гости могут использовать личные учетные записи электронной почты, не применяющие политики или рекомендации управления, очень важно требовать многофакторную проверку подлинности для гостей. Если имя пользователя и пароль гостя похищены, обязательная дополнительная проверка подлинности значительно снижает вероятность получения неизвестными лицами доступа к вашим сайтам и файлам.

В этом примере настраивается многофакторная проверка подлинности для гостей с помощью политики условного доступа в Azure Active Directory.

Чтобы настроить многофакторную проверку подлинности для гостей

  1. Перейдите в раздел Политики условного доступа Azure.
  2. В колонке Условный доступ | Политики щелкните Новая политика.
  3. В поле Имя введите имя.
  4. Щелкните ссылку Пользователи .
  5. Выберите Выбрать пользователей и группы, а затем установите флажок Гостевые или внешние пользователи .
  6. В раскрывающемся списке выберите гостевые пользователи службы совместной работы B2B и пользователи участников совместной работы B2B.
  7. Выберите ссылку Облачные приложения или действия .
  8. Выберите Все облачные приложения на вкладке Включить .
  9. Выберите ссылку Предоставить .
  10. В колонке Предоставление установите флажок Требовать многофакторную проверку подлинности и нажмите кнопку Выбрать.
  11. В разделе Включить политику щелкните Включено, а затем — Создать.

Теперь гостям потребуется зарегистрироваться в службе многофакторной проверки подлинности, чтобы получить доступ к общему контенту, сайтам или группам.

Дополнительные сведения

Планирование развертывания многофакторной проверки подлинности Azure AD

Настройка условий использования для гостей

В некоторых ситуациях у гостей могут отсутствовать подписанные соглашения о неразглашении или другие юридические договоры с вашей организацией. Вы можете требовать у пользователей согласия с условиями использования перед предоставлением доступа к файлам, которыми с ними поделились. Условия использования могут отображаться при первой попытке доступа к общему файлу или сайту.

Чтобы создать условия использования, сначала нужно создать документ в Word или другом редакторе, а затем сохранить его как PDF-файл. Затем этот файл можно отправить в Azure AD.

Чтобы создать условия использования Azure AD

  1. Войдите на портал Azure от имени глобального администратора, администратора безопасности или администратора условного доступа.

  2. Откройте раздел Условия использования.

  3. Щелкните Добавить условия.

    Снимок экрана: параметры новых условий использования Azure AD.

  4. Введите имя.

  5. Чтобы перейти к документу с условиями использования, найдите созданный вами PDF-файл и выберите его.

  6. Выберите язык для документа с условиями использования.

  7. Введите отображаемое имя.

  8. Установите переключатель Требовать, чтобы пользователи развернули условия использования в положение Включить.

  9. В разделе Условный доступ в списке Принудительное применение шаблонов политик условного доступа выберите вариант Создать политику условного доступа позже.

  10. Нажмите кнопку Создать.

После создания условий использования нужно создать политику условного доступа, отображающую условия использования для гостей.

Чтобы создать политику условного доступа

  1. Перейдите в раздел Политики условного доступа Azure.
  2. В колонке Условный доступ | Политики щелкните Новая политика.
  3. Введите имя в поле Имя.
  4. Щелкните ссылку Пользователи .
  5. Выберите Выбрать пользователей и группы, а затем установите флажок Гостевые или внешние пользователи .
  6. В раскрывающемся списке выберите гостевые пользователи службы совместной работы B2B и пользователи участников совместной работы B2B.
  7. Выберите ссылку Облачные приложения или действия .
  8. На вкладке Включить выберите Выбрать приложения, а затем щелкните ссылку Выбрать .
  9. В колонке Выбор выберите Office 365, а затем нажмите кнопку Выбрать.
  10. Выберите ссылку Предоставить .
  11. В колонке Предоставление выберите пункт Условия использования для гостей и нажмите кнопку Выбрать.
  12. В разделе Включить политику щелкните Включено, а затем — Создать.

Теперь при первой попытке гостя получить доступ к содержимому, группе или сайту в вашей организации ему потребуется принять условия использования.

Примечание.

Для использования условного доступа требуется лицензия Azure AD Premium P1. Дополнительные сведения см. в статье Что такое условный доступ.

Дополнительные сведения

Условия использования Azure Active Directory

Настройка проверок гостевого доступа

С помощью проверок доступа в Azure AD вы можете автоматизировать периодические проверки доступа пользователей к различным командам и группам. Требуя специальную проверку доступа для гостей, вы можете гарантировать, что доступ гостей к конфиденциальным сведениям вашей организации не сохраняется дольше, чем требуется.

Чтобы настроить проверку доступа гостя

  1. На странице Управление удостоверениями в меню слева щелкните Проверки доступа.

  2. Нажмите кнопку Новая проверка доступа.

  3. Выберите параметр Команды и группы.

  4. Выберите параметр Все группы Microsoft 365 с гостевыми пользователями. Щелкните Выберите группы для исключения, если хотите исключить какие-либо группы.

  5. Выберите параметр Только гостевые пользователи и нажмите Далее: проверки.

  6. В разделе Выбор проверяющих выберите Владельцы группы.

  7. Щелкните Выберите резервных проверяющих, укажите нужных резервных проверяющих и нажмите Выбрать.

  8. Выберите длительность (в днях), чтобы проверка была открыта для комментариев.

  9. В разделе Указание повторения проверкивыберите Ежеквартально.

  10. Выберите дату начала и длительность.

  11. Для параметра Завершение выберите Никогда и щелкните Далее: параметры.

    Снимок экрана: вкладка проверки доступа Azure AD.

  12. На вкладке Параметры проверьте параметры соответствия правилам своей организации.

    Снимок экрана: вкладка параметров проверки доступа Azure AD.

  13. Щелкните Далее: проверка и создание.

  14. Введите имя проверки и проверьте параметры.

  15. Щелкните Создать.

Дополнительные сведения

Управление гостевым доступом с помощью проверок доступа Azure AD

Создание проверки доступа для групп или приложений в службе проверки доступа Azure AD

Настройка веб-доступа для гостей с неуправляемыми устройствами

Если ваши гости используют устройства, которые не управляются вашей организацией или другой организацией, с которыми у вас есть отношения доверия, вы можете потребовать от них доступа к командам, сайтам и файлам только с помощью веб-браузера. Это снижает вероятность того, что они могут скачать конфиденциальные файлы и оставить их на неуправляемом устройстве. Это также удобно при предоставлении общего доступа средам, использующим общие устройства.

Для групп Microsoft 365 и Teams в подобных случаях используется политика условного доступа Azure AD. Для SharePoint настройка производится в Центре администрирования SharePoint. (Также можно ииспользовать метки конфиденциальности, чтобы предоставить гостям доступ только для чтения.)

Чтобы ограничить доступ гостей к группам и командам только веб-доступом:

  1. Перейдите в раздел Политики условного доступа Azure.

  2. Щелкните Создать политику.

  3. Введите имя в поле Имя.

  4. Щелкните ссылку Пользователи .

  5. Выберите Выбрать пользователей и группы, а затем установите флажок Гостевые или внешние пользователи .

  6. В раскрывающемся списке выберите гостевые пользователи службы совместной работы B2B и пользователи участников совместной работы B2B.

  7. Щелкните ссылку Облачные приложения или действия .

  8. На вкладке Включить выберите Выбрать приложения, а затем щелкните ссылку Выбрать .

  9. В колонке Выбор выберите Office 365 и нажмите кнопку Выбрать.

  10. Щелкните ссылку Условия .

  11. В колонке Условия щелкните ссылку Клиентские приложения .

  12. В колонке Клиентские приложения установите переключатель Да для параметр Настроить, выберите параметры Мобильные приложения и настольные клиенты, Клиенты Exchange ActiveSync и Другие клиенты. Снимите флажок Браузер.

    Снимок экрана: параметры клиентских приложений условного доступа Azure AD.

  13. Нажмите кнопку Готово.

  14. Щелкните ссылку Предоставить .

  15. В колонке Предоставление установите флажки Требовать, чтобы устройство было отмечено как соответствующее и Требовать устройство с гибридным присоединением к Azure AD.

  16. В разделе Для нескольких элементов управления установите флажок Требовать один из выбранных элементов управления и нажмите кнопку Выбрать.

  17. В разделе Включить политику щелкните Включено, а затем — Создать.

Дополнительная информация

Неуправляемые элементы управления доступом к устройствам в SharePoint и OneDrive для администраторов

Настройка времени ожидания сеанса для гостей

Обязательная регулярная проверка подлинности гостей может снизить вероятность доступа неизвестных лиц к содержимому вашей организации, если нарушена безопасность устройства гостя. Вы можете настроить политику условного доступа со временем ожидания сеанса для гостей в Azure AD.

Чтобы настроить политику времени ожидания сеанса для гостей

  1. Перейдите в раздел Политики условного доступа Azure.
  2. Щелкните Создать политику.
  3. В поле Имя введите Время ожидания сеанса для гостей.
  4. Щелкните ссылку Пользователи .
  5. Выберите Выбрать пользователей и группы, а затем установите флажок Гостевые или внешние пользователи .
  6. В раскрывающемся списке выберите гостевые пользователи службы совместной работы B2B и пользователи участников совместной работы B2B.
  7. Щелкните ссылку Облачные приложения или действия .
  8. На вкладке Включить выберите Выбрать приложения, а затем щелкните ссылку Выбрать .
  9. В колонке Выбор выберите Office 365 и нажмите кнопку Выбрать.
  10. Щелкните ссылку Сеанс .
  11. В колонке Сеанс установите флажок Частота входа.
  12. Выберите 1 и Дни для периода времени, а затем нажмите кнопку Выбрать.
  13. В разделе Включить политику щелкните Включено, а затем — Создать.

Создание типа конфиденциальной информации для строго конфиденциального проекта

Типы конфиденциальной информации — это предопределенные строки, которые можно использовать в рабочих процессах политик для принудительного обеспечения соответствия требованиям. На портале соответствия требованиям Microsoft Purview доступны более ста типов конфиденциальной информации, включая номера водительских удостоверений, номера кредитных карт, номера банковских счетов и т. д.

Вы можете создавать настраиваемые типы конфиденциальной информации для управления содержимым своей организации. В этом примере создается настраиваемый тип конфиденциальной информации для строго конфиденциального проекта. Этот тип конфиденциальной информации можно затем использовать для автоматического применения метки конфиденциальности.

Чтобы создать тип конфиденциальной информации

  1. В Портал соответствия требованиям Microsoft Purview в области навигации слева выберите Классификация данных, а затем перейдите на вкладку Типы конфиденциальной информации.
  2. Щелкните Создать тип конфиденциальной информации.
  3. В полях Название и Описание введите Проект Сатурн и нажмите кнопку Далее.
  4. Выберите Создать шаблон.
  5. На панели Новый шаблон выберите Добавить основной элемент, а затем выберите Список ключевых слов.
  6. Введите идентификатор , например Проект Сатурн.
  7. В поле Без учета регистра введитеПроект Сатурн, Сатурн, а затем нажмите кнопку Готово.
  8. Нажмите кнопку Создать, а затем нажмите кнопку Далее.
  9. Выберите уровень достоверности и нажмите кнопку Далее.
  10. Нажмите Создать.
  11. Нажмите кнопку Готово.

Дополнительные сведения см. в разделе Настраиваемые типы конфиденциальной информации.

Создание политики автоматического применения меток для присвоения меток конфиденциальности на основе типа конфиденциальной информации

Если вы используете метки конфиденциальности в организации, можно автоматически применять метки к файлам, содержащим определенные типы конфиденциальной информации.

Создание политики автоматического применения меток

  1. Откройте Центр администрирования Microsoft Purview на странице.
  2. В области навигации слева щелкните Защита информации.
  3. На вкладке Автоматическое применение меток щелкните Создать политику автоматического применения меток.
  4. На странице Выбор сведений, к которым будет применена эта метка , выберите Пользовательская , а затем нажмите кнопку Настраиваемая политика.
  5. Нажмите кнопку Далее.
  6. Введите имя и описание политики и нажмите кнопку Далее.
  7. На странице Выбор расположений для применения метки включите переключатель Сайты SharePoint, затем щелкните Выбрать сайты.
  8. Добавьте URL-адреса сайтов, на которых вы нужно включить автоматическое применение меток, затем нажмите кнопку Готово.
  9. Нажмите кнопку Далее.
  10. На странице Настройка общих и расширенных правил выберите Общие правила и нажмите кнопку Далее.
  11. На странице Определение правил для содержимого во всех расположениях щелкните Создать правило.
  12. На странице Новое правило присвойте правилу имя, нажмите кнопку Добавить условие, а затем — Содержимое содержит.
  13. Нажмите кнопку Добавить, щелкните Типы конфиденциальной информации, выберите нужные типы конфиденциальной информации, нажмите кнопку Добавить, затем нажмите кнопку Сохранить.
  14. Нажмите кнопку Далее.
  15. Щелкните Выбрать метку, выберите нужную метку и нажмите кнопку Добавить.
  16. Нажмите кнопку Далее.
  17. Оставьте политику в режиме имитации и выберите, будет ли она автоматически включаться.
  18. Нажмите кнопку Далее.
  19. Щелкните Создать политику, затем нажмите кнопку Готово.

Если после создания политики пользователь введет в документе текст "Project Saturn", политика автоматического применения меток автоматически применит указанную метку при сканировании файла.

Подробнее см. в статье Автоматическое применение метки конфиденциальности к содержимому

Создание политики DLP для запрета гостевого доступа к строго конфиденциальным файлам

Вы можете использовать защиту от потери данных (DLP) Microsoft Purview, чтобы предотвратить нежелательный гостевой доступ к конфиденциальному содержимому. Функция защиты от потери данных может действовать на основании метки конфиденциальности файла и запретить гостевой доступ.

Создание правила DLP

  1. В Центре соответствия требованиям Microsoft Purview перейдите на страницу Защита от потери данных.

  2. На вкладке Политики щелкните Создать политику.

  3. Выберите Настраиваемый, а затем — Настраиваемая политика.

  4. Нажмите кнопку Далее.

  5. Введите имя политики и нажмите кнопку Далее.

  6. На странице Расположения для применения политик отключите все параметры, кроме Сайты SharePoint и Учетные записи OneDrive, затем нажмите кнопку Далее.

  7. На странице Определение параметров политики нажмите кнопку Далее.

  8. На странице Настройка расширенных правил DLP щелкните Создать правило и введите имя правила.

  9. В разделе Условия щелкните Добавить условие и выберите Содержимое предоставлено из Microsoft 365.

  10. В раскрывающемся списке выберите людей за пределами моей организации.

  11. В разделе Условия щелкните Добавить условие и выберите Содержит.

  12. Нажмите кнопку Добавить, выберите Метки конфиденциальности, выберите нужные метки конфиденциальности и нажмите кнопку Добавить.

    Снимок экрана: параметры условий, типы конфиденциальной информации, метки конфиденциальности и метки хранения.

  13. В разделе Действия нажмите Добавить действие и выберите Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365.

  14. Установите флажок Ограничить доступ или зашифровать содержимое в расположениях Microsoft 365 , а затем выберите параметр Блокировать только людей за пределами организации .

    Снимок экрана: параметры действия правила защиты от потери данных.

  15. Включите уведомления пользователей, а затем установите флажок Уведомлять пользователей в службе Office 365 с помощью подсказки политики.

  16. Нажмите Сохранить, а затем — Далее.

  17. Выберите настройки тестирования и нажмите кнопку Далее.

  18. Нажмите кнопку Отправить, затем нажмите кнопку Готово.

Важно отметить, что эта политика не запрещает доступ, если гость является участником сайта или команды в целом. Если вы планируете использовать строго конфиденциальные документы на сайте или в команде с гостевыми участниками, рассмотрите следующие варианты.

  • Используйте закрытые каналы, допуская к работе с ними только участников вашей организации.
  • Используйте общие каналы для совместной работы с людьми из-за пределов вашей организации, допуская в команду только сотрудников вашей организации.

Дополнительные параметры

Для обеспечения безопасности среды гостевого общего доступа также можно использовать некоторые дополнительные параметры в Microsoft 365 и Azure Active Directory.

См. также

Ограничение возможности случайного раскрытия файлов при предоставлении доступа гостям

Рекомендации по предоставлению общего доступа к файлам и папкам непроверенным пользователям

Создание экстрасети B2B с управляемыми гостями