Синхронизация B2B
Приложение синхронизации OneDrive теперь позволяет пользователям синхронизировать библиотеки или папки в Microsoft SharePoint или Microsoft OneDrive, к которым предоставлен общий доступ из других организаций. Этот сценарий часто называется совместной работой "бизнес-бизнес" (B2B). Мы вызываем эту новую функцию в приложении синхронизации OneDrive "Синхронизация B2B".
Гостевые учетные записи Microsoft Entra играют ключевую роль в обеспечении возможности совместной работы B2B. Гостевая учетная запись в одной организации ссылается на учетную запись участника в другой организации. После создания гостевая учетная запись позволяет службам Microsoft 365, таким как OneDrive и SharePoint, предоставлять гостевые разрешения для сайтов и папок так же, как это предоставляется участнику организации. Так как учетные записи в двух организациях связаны, пользователю нужно только запомнить имя пользователя и пароль для учетной записи в своей организации. В результате единый вход в учетную запись обеспечивает доступ к содержимому из своей организации и других организаций, которые создали для них гостевые учетные записи.
Важно!
Рекомендуется включить интеграцию SharePoint и OneDrive с Microsoft Entra B2B , чтобы убедиться, что необходимая гостевая учетная запись Microsoft Entra для получателя общей папки создана в каталоге вашей организации.
Чтобы пользователи за пределами вашей организации синхронизировать общие библиотеки и папки:
- Внешний общий доступ должен быть включен для вашей организации.
- Для сайта или OneDrive должен быть включен внешний общий доступ.
- Содержимое должно предоставляться пользователям за пределами организации на уровне сайта или папки. Если папка является общей, она должна находиться по ссылке, для которой требуется вход.
- Получатели общего доступа должны иметь рабочую или учебную учетную запись Microsoft 365 (в идентификаторе Microsoft Entra) в том же облаке, что и клиент содержимого : Microsoft Azure Commercial, Microsoft Azure для государственных организаций или Microsoft Azure для Китая. (Обратите внимание, что Microsoft Azure Commercial содержит коммерческие облачные среды Microsoft 365 и GCC, а Microsoft Azure для государственных организаций — облачные среды GCC High и DoD.)
- Все политики условного доступа Microsoft Entra должны быть совместимы с гостями (подробнее ниже).
- ADAL не должен быть включен при использовании сборок до версии 19.086.*.
В этой статье представлен обзор возможностей синхронизации B2B и более подробно описаны эти требования.
- Содержимое, предоставленное клиентом в одном облаке (например, Microsoft Azure для Китая), не может синхронизироваться пользователем в другом облаке (например, Microsoft Azure Commercial).
- На компьютере Mac эскизы файлов по запросу не будут отображаться с сайтов внешней организации. Эскизы будут отображаться правильно для файлов из собственной организации пользователя.
- На компьютере Mac, если учетная запись гостя была создана в формате адреса электронной почты, отличном от формата, используемого в приложении синхронизации, содержимое внешнего сайта не может быть синхронизировано. Например, first.last@fabrikam.com vs alias@fabrikam.com.
- На компьютере Mac внешнее содержимое может размещаться на локальном компьютере в папке собственной организации пользователя, а не в папке с именем внешней организации.
- Интерактивный пользовательский интерфейс проверки подлинности для гостевых учетных записей из внешней организации не поддерживается клиентом синхронизации.
Ниже приведен пример того, что происходит после того, как кто-то из "Contoso" предоставляет общий доступ к сайту или папке с кем-то из "Fabrikam":
Получатель Fabrikam получает сообщение электронной почты, как показано ниже.
Когда получатель щелкает ссылку в сообщении электронной почты, чтобы перейти к общему элементу, он должен щелкнуть "Учетная запись организации", чтобы войти с помощью учетной записи Fabrikam. В фоновом режиме создается гостевая учетная запись Contoso в Microsoft Entra ID.
Получателю может потребоваться ввести имя пользователя или пароль Fabrikam, а затем он сможет просмотреть общий элемент. Если они не хотят синхронизировать все, что было предоставлено, они могут перейти к библиотеке или папке, которые они хотят синхронизировать. Чтобы настроить синхронизацию, необходимо нажать кнопку Синхронизация.
В браузере гостя появится сообщение с вопросом, хотите ли они открыть "Microsoft OneDrive", и ему нужно будет разрешить это.
Если гость впервые использует приложение синхронизации со своей учетной записью Fabrikam, ей потребуется войти в систему. Для адреса электронной почты будет автоматически задана учетная запись Fabrikam, используемая на предыдущих шагах. Гость должен выбрать "Войти".
Гость может войти в приложение синхронизации без ввода пароля Fabrikam, если он вошел в Windows с той же учетной записью. В противном случае потребуется ввести пароль.
Гость подтвердит, где он хочет синхронизировать общий элемент на своем компьютере.
Примечание
Содержимое помещается в папку, имя которой содержит название организации (в этом примере "SharePoint — Contoso"). Если пользователь также синхронизирует содержимое SharePoint из Fabrikam, у него также будет папка "SharePoint - Fabrikam".
Гость продолжит настройку приложения синхронизации OneDrive.
После завершения настройки гостевого сайта начнется синхронизация. Пользователь может щелкнуть значок синего облака в области уведомлений, чтобы открыть центр действий синхронизации OneDrive и просмотреть синхронизацию файлов, открыть локальную папку с файлами или открыть сайт SharePoint в веб-браузере.
Чтобы пользователи в вашей организации могли обмениваться данными со своими партнерами в других организациях, внешний общий доступ должен быть включен на уровне организации. Для этого необходимо быть глобальным администратором или администратором SharePoint в Microsoft 365. После включения внешнего общего доступа на уровне организации его можно ограничить по сайтам. Параметры сайта могут совпадать с параметрами организации или более строгими, но не более разрешительными.
Вы можете изменить параметры общего доступа на уровне организации в двух разных местах (оба управляют одно и то же):
- На странице Общий доступ в новом Центре администрирования SharePoint. Дополнительные сведения см. в разделе Изменение параметра внешнего общего доступа на уровне организации.
- В Центре администрирования Microsoft 365 на странице > Параметры организации SharePoint.
Важно!
Если вы разрешите ссылки на любой пользователь (иногда называемые ссылками "анонимный доступ"), эти ссылки не создают гостевые учетные записи, поэтому получатель внешнего ресурса не сможет использовать синхронизацию B2B при получении этого типа ссылки.
Дополнительные сведения см. в статье Обзор внешнего общего доступа.
Если пользователям разрешено делиться содержимым из вашей организации извне, вы можете использовать несколько функций Microsoft 365 для управления доступом к содержимому. Администраторы и владельцы сайтов могут просматривать разрешения и выполнять аудит доступа к сайтам. Дополнительные сведения см. в разделах Поиск содержимого сайта, к которым предоставлен доступ пользователям за пределами организации , и Включение уведомлений о внешнем совместном доступе. Вы можете включить внешний общий доступ только с определенными доменами Интернета или заблокировать определенные домены. Дополнительные сведения см. в разделе Общий доступ к ограниченным доменам. Кроме того, вы можете разрешить предоставлять общий доступ извне только членам определенных групп безопасности. Дополнительные сведения см. в разделе Включение или отключение внешнего общего доступа.
Рекомендуется создавать отдельные сайты (семейства веб-сайтов, а не дочерние сайты) для каждого блока работы, к которым вы хотите предоставить общий доступ извне. Таким образом, вы можете четко примечать сайты, чтобы указать, что люди за пределами организации имеют доступ, и избежать непреднамеренного раскрытия информации. Для отдельных пользователей, которые делятся содержимым из OneDrive, рекомендуется создавать отдельные папки для разных проектов или групп совместной работы.
Вы можете удалить разрешение гостя на сайт или папку или удалить учетную запись гостя, чтобы удалить разрешение на все содержимое вашей организации.
Важно!
Все синхронизированное содержимое останется на компьютере пользователя после удаления разрешений.
Чтобы просмотреть или изменить параметр общего доступа для любого сайта, используйте новый Центр администрирования SharePoint.
Перейдите в раздел Активные сайты в Центре администрирования SharePoint и войдите, используя учетную запись с правами администратора в вашей организации.
Примечание
Если вы используете Office 365 под управлением 21Vianet (Китай), войдите в Центр администрирования Microsoft 365, затем перейдите в Центр администрирования SharePoint и откройте страницу "Активные сайты".
Настройте представление при необходимости, чтобы просмотреть столбец Внешний общий доступ.
При необходимости измените параметр внешнего общего доступа для сайта.
Администратор клиента может включить несколько типов политик условного доступа в своем клиенте. Когда гость собирается получить доступ к содержимому клиента, эти политики, возможно, потребуется изменить для гостей, чтобы они могли получить доступ.
В настоящее время клиент синхронизации не поддерживает интерактивный пользовательский интерфейс проверки подлинности при синхронизации внешнего содержимого. Любая политика, требующая использования пользовательского интерфейса входа, например MFA (многофакторная проверка подлинности) или запрос на использование (условия использования), будет препятствовать синхронизации внешнего содержимого из этого клиента. Если администратор клиента развертывает такую политику до того, как гость начнет синхронизацию из этого клиента, пользователь не сможет установить связь синхронизации. Если политика развертывается после того, как гость синхронизирует содержимое из клиента, этот гость получит ошибку и не сможет продолжить синхронизацию из клиента.
Клиенты могут время от времени обновлять свои условия использования (TOU). Политика может активировать для пользователя просмотр и принятие обновленных условий использования с помощью интерактивного запроса на проверку подлинности. Так как синхронизация не поддерживает пользовательский интерфейс входа внешнего клиента, синхронизация будет означать, что ей не удается синхронизировать содержимое внешнего сайта.
Соответствие устройств требует, чтобы компьютеры пользователей управляли клиентом, а затем обновлялись с учетом требований. Для гостей их компьютеры, скорее всего, будут управляться собственной организацией и, следовательно, несовместимы с требованием, чтобы их компьютеры управляли клиентом совместного использования содержимого.
Политики условного доступа на основе расположения обычно используются для применения дополнительных требований, таких как MFA, если пользователь не подключается из надежного расположения (например, сети офиса клиента). Как правило, в гостевом сценарии клиентский компьютер не находится в доверенных расположениях, и так как синхронизация не поддерживает MFA, скорее всего, эта политика не будет применяться к гостям.
Дополнительные сведения см. в разделе Проверка подлинности и условный доступ для внешних удостоверений.
В SharePoint и OneDrive к сайтам и папкам можно предоставлять общий доступ различными способами:
- Если пользователи синхронизируют папку, они могут щелкнуть ее правой кнопкой мыши в проводнике, чтобы поделиться ею.
- Пользователи могут перейти на сайт или папку SharePoint в Интернете и нажать кнопку Поделиться, чтобы поделиться ими.
- Пользователи могут предоставлять общий доступ к сайтам и папкам в мобильных приложениях SharePoint и OneDrive.
- Администраторы могут создавать гостевые учетные записи и добавлять их на сайты с помощью Центра администрирования или PowerShell.
Примечание
Дополнительные сведения об этих методах см . в разделах Узнайте, как предоставить общий доступ к сайту и Узнайте, как предоставить общий доступ к папке.
Синхронизация B2B работает со всеми этими методами общего доступа. Он имеет только следующие требования:
- Для синхронизации общего содержимого гости должны предоставлять общий доступ к содержимому на уровне сайта или папки. Гости не могут синхронизировать файлы, к которым предоставлен общий доступ по отдельности (например, из приложений Office).
- Синхронизация B2B работает только при создании гостевых учетных записей в организации и если у получателя есть учетная запись Microsoft Entra. Это не работает, если пользователи совместно используют ссылку "Любой пользователь" (также называемую ссылкой "анонимный доступ") или когда они совместно используются пользователями с учетной записью Майкрософт или другой личной учетной записью.
Как администратор в Microsoft 365, вы можете предоставлять общий доступ пользователям за пределами организации, создавая гостей по отдельности в Центре администрирования Microsoft Entra, а затем добавляя их на сайт группы SharePoint по отдельности или добавляя их в группу безопасности, у которой уже есть разрешения на сайт, к которому вы хотите предоставить общий доступ. Если вы предоставляете разрешения с помощью страницы расширенных разрешений (а не с помощью кнопки Общий доступ к сайту), необходимо сообщить гостю, что вы предоставили ему разрешение на доступ к сайту. Они не получат электронное письмо с приглашением.
Важно!
Если вы используете страницу расширенных разрешений, рекомендуется предоставлять разрешения на уровне сайта, а не на уровне библиотеки документов или папки.
Использование PowerShell для массового создания гостевых учетных записей и их добавления в группу SharePoint
Если вам нужно создать и предоставить разрешения для многих гостевых учетных записей, можно использовать следующий сценарий PowerShell, который создает гостевые учетные записи и предоставляет им разрешения для сайта. Скрипт принимает в качестве входных данных CSV-файл (значение, разделенное запятыми), который содержит список отображаемых имен пользователей и адресов электронной почты. Для каждого имени и адреса электронной почты создается гостевая учетная запись, которая добавляется в группу безопасности, чтобы предоставить ей разрешение. Скрипт разработан таким образом, чтобы можно было передать результирующий выходной CSV-файл в качестве входных данных в скрипт при последующем запуске. Это позволяет добавить дополнительных пользователей в CSV-файл или повторить создание любой учетной записи, в которой произошел сбой.
Примечание
Модули PowerShell Azure AD и MSOnline устарели с 30 марта 2024 г. Дополнительные сведения см. в статье Обновление для прекращения поддержки. После этой даты поддержка этих модулей ограничивается поддержкой миграции пакета SDK Для Microsoft Graph PowerShell и исправлениями безопасности. Устаревшие модули будут работать до 30 марта 2025 г.
Мы рекомендуем выполнить миграцию в Microsoft Graph PowerShell , чтобы взаимодействовать с Идентификатором Microsoft Entra (прежнее название — Azure AD). Распространенные вопросы о миграции см. в разделе Вопросы и ответы о миграции.
Имейте в виду, что версии 1.0. x msOnline может столкнуться с нарушениями после 30 июня 2024 г.
По мере добавления пользователей в группу Microsoft Entra они должны получить электронное письмо с приветствием их в группу. После выполнения скрипта необходимо отправить пользователям по электронной почте прямую ссылку на сайт SharePoint, на который вы предоставили разрешения. Щелкнув ссылку, они будут представлены с приведенным ниже пользовательским интерфейсом, чтобы принять условия приглашения. После того как они примут, они будут доставлены на сайт, которым вы предоставили общий доступ. В этот момент они могут нажать кнопку Синхронизация, чтобы начать синхронизацию файлов сайтов с компьютером ИЛИ Mac.
# first line of InviteGuests.ps1 PowerShell script
# requires latest AzureADPreview
# Get-Module -ListAvailable AzureAD*
# Uninstall-Module AzureAD
# Uninstall-Module AzureADPreview
# Install-Module AzureADPreview
# customizable properties for this script
$csvDir = ''
$csvInput = $csvDir + 'BulkInvite.csv'
$csvOutput = $csvDir + 'BulkInviteResults.csv'
$domain = 'YourTenantOrganization.onmicrosoft.com'
$admin = "admin@$domain"
$redirectUrl = 'https://YourTenantOrganization.sharepoint.com/sites/SiteName/'
$groupName = 'SiteName'
# CSV file expected format (with the header row):
# Name,Email
# Jane Doe,jane@contoso.com
$csv = import-csv $csvInput
# will prompt for credentials for the tenantorganization admin account
# (who has permissions to send invites and add to groups)
Connect-AzureAD -TenantDomain $domain -AccountId $admin
$group = (Get-AzureADGroup -SearchString $groupName)
foreach ($row in $csv)
{
Try
{
if ((Get-Member -inputobject $row -name 'error') -and `
($row.error -eq 'success'))
{
$out = $row #nothing to do, user already invited and added to group
}
else
{
echo ("name='$($row.Name)' email='$($row.Email)'")
$inv = (New-AzureADMSInvitation -InvitedUserEmailAddress $row.Email -InvitedUserDisplayName $row.Name `
-InviteRedirectUrl $redirectUrl -SendInvitationMessage $false)
$out = $row
$out|Add-Member -MemberType ScriptProperty -force -name 'time' -Value {$(Get-Date -Format u)}
$out|Add-Member -MemberType ScriptProperty -force -name 'status' -Value {$inv.Status}
$out|Add-Member -MemberType ScriptProperty -force -name 'userId' -Value {$inv.InvitedUser.Id}
$out|Add-Member -MemberType ScriptProperty -force -name 'redeemUrl' -Value {$inv.inviteRedeemUrl}
$out|Add-Member -MemberType ScriptProperty -force -name 'inviteId' -Value {$inv.Id}
# this will send a welcome to the group email
Add-AzureADGroupMember -ObjectId $group.ObjectId -RefObjectId $inv.InvitedUser.Id
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {'success'}
}
}
Catch
{
$err = $PSItem.Exception.Message
$out|Add-Member -MemberType ScriptProperty -force -name 'error' -Value {$err}
}
Finally
{
$out | export-csv -Path $csvOutput -Append
}
}
# for more information please see
# https://learn.microsoft.com/azure/active-directory/b2b/b2b-tutorial-bulk-invite
# end of InviteGuests.ps1 powershell script
См. также:
Если гостевая учетная запись пользователя удалена или его разрешение на общий доступ к содержимому удалено, приложение синхронизации отобразит ошибку.
Появится уведомление о том, что невозможно синхронизировать библиотеку.
На значке OneDrive в области уведомлений появится сообщение об ошибке.
Когда гость щелкнет значок, он увидит баннер об ошибке в центре действий.
Функция синхронизации B2B приложения синхронизации OneDrive позволяет пользователям в организации синхронизировать содержимое, к которым им предоставлен доступ из другой организации. Если вы хотите запретить пользователям в вашей организации использовать синхронизацию B2B, вы можете задать значение политики на компьютере с Windows или Mac пользователей, чтобы заблокировать внешнюю синхронизацию.
Эти действия необходимо выполнить только в том случае, если вы хотите запретить пользователям в вашей организации использовать функцию синхронизации B2B (чтобы предотвратить синхронизацию библиотек и папок, к которым предоставлен общий доступ из других организаций).
Новый параметр BlockExternalSync описан в файлах adm\OneDrive.admx и OneDrive.adml, установленных в составе сборки продукта синхронизации OneDrive 19.086.* или более поздней версии. Если вы используете ADM для управления политиками приложений синхронизации, импортируйте новые файлы, как обычно, чтобы увидеть новый параметр.
Если вы используете другие системы управления для развертывания политик на компьютерах с Windows пользователей, используйте эквивалент следующей команды, чтобы предотвратить синхронизацию B2B:
reg add "HKLM\SOFTWARE\Policies\Microsoft\OneDrive" /v BlockExternalSync /t REG_DWORD /d 1
На компьютере Mac с версией OneDrive для Apple Store используйте эквивалент следующей команды, чтобы предотвратить синхронизацию B2B:
defaults write com.microsoft.OneDrive-mac BlockExternalSync -bool YES
На компьютере Mac с автономной версией OneDrive используйте эквивалент следующей команды, чтобы предотвратить синхронизацию B2B:
defaults write com.microsoft.OneDrive BlockExternalSync -bool YES