Styra åtkomst i Microsoft 365-grupper, Teams och SharePoint
Det finns många kontroller som gör att du kan styra hur personer får åtkomst till resurser i grupper, team och SharePoint. Granska de här alternativen och fundera över hur de mappar till dina affärsbehov, hur känsliga dina data är och omfånget för de personer som användarna behöver samarbeta med.
Följande tabell innehåller en snabbreferens för de åtkomstkontroller som är tillgängliga i Microsoft 365. Mer information finns i följande avsnitt.
| Kategori | Beskrivning | Referens |
|---|---|---|
| Medlemskap | ||
| Dynamiskt gruppmedlemskap baserat på regler | Skapa eller uppdatera en dynamisk grupp i Microsoft Entra-ID | |
| Kontrollera vem som kan dela filer, mappar och webbplatser. | Konfigurera och hantera åtkomstförfrågningar | |
| Villkorlig åtkomst | ||
| Multifaktorautentisering | Microsoft Entra multifaktorautentisering | |
| Kontrollera enhetsåtkomst baserat på grupp-, team- eller webbplatskänslighet. | Använd känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatser | |
| Begränsa webbplatsåtkomst för ohanterade enheter. | Kontrollera SharePoint-åtkomst från ohanterade enheter | |
| Kontrollera webbplatsåtkomst baserat på plats | Hantera åtkomst till SharePoint och OneDrive data baserat på nätverksplats | |
| Framtvinga strängare åtkomstvillkor när användare får åtkomst till SharePoint-webbplatser. | Princip för villkorlig åtkomst för SharePoint-webbplatser och OneDrive | |
| Gäståtkomst | ||
| Tillåt eller blockera SharePoint-delning från angivna domäner. | Begränsa delning av SharePoint- och OneDrive-innehåll efter domän | |
| Tillåt eller blockera gruppmedlemskap från angivna domäner. | Tillåt eller blockera inbjudningar till B2B-användare från specifika organisationer | |
| Förhindra anonym delning. | Inaktivera Alla-länkar | |
| Kontrollera behörigheterna för anonyma åtkomstlänkar. | Ange länkbehörigheter för alla-länkar | |
| Kontrollera förfallodatumet för anonyma delningslänkar. | Ange ett utgångsdatum för Alla-länkar | |
| Kontrollera vilken typ av delningslänk som visas för användarna som standard. | Ändra standardlänktyp för en webbplats | |
| Begränsa extern delning till specifika personer. | Begränsa extern delning till angivna säkerhetsgrupper | |
| Kontrollera gäståtkomsten till en grupp, ett team eller en webbplats baserat på informationskänslighet. | Använd känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatser | |
| Inaktivera delningsalternativ. | Begränsa delning i Microsoft 365 | |
| Användarhantering | ||
| Granska team- och gruppmedlemskap regelbundet. | Vad är Microsoft Entra åtkomstgranskningar? | |
| Automatisera åtkomsthantering för grupper och team. | Vad är Microsoft Entra berättigandehantering? | |
| Begränsa OneDrive-åtkomst till medlemmar i en specifik säkerhetsgrupp. | Begränsa OneDrive-åtkomst efter säkerhetsgrupp | |
| Begränsa teams- eller webbplatsåtkomst till medlemmar i en grupp. | Begränsa SharePoint-webbplatsåtkomst till medlemmar i en grupp | |
| Informationsklassificering | ||
| Klassificera grupper och team | Använd känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatser | |
| Klassificera känsligt innehåll automatiskt | Använda en känslighetsetikett för innehåll automatiskt | |
| Kryptera känsligt innehåll | Begränsa åtkomst till innehåll med hjälp av känslighetsetiketter för att tillämpa kryptering | |
| Användarsegmentering | ||
| Begränsa kommunikationen mellan användarsegment | Informationsbarriärer | |
| Datahemvist | ||
| Lagra data på specifika geo-platser | Microsoft 365 Multi-Geo |
Medlemskap
Du kan hantera medlemskap i en grupp eller ett team dynamiskt baserat på vissa kriterier, till exempel avdelning. I det här fallet kan medlemmar och ägare inte bjuda in personer till teamet. Dynamiska grupper använder metadata som du definierar i Microsoft Entra-ID för att styra vem som är medlem i gruppen. Se till att de metadata som du använder är fullständiga och uppdaterade eftersom felaktiga metadata kan leda till att användare lämnas ute från grupper eller att felaktiga användare läggs till.
SharePoint-webbplatser ger möjlighet att lägga till ägare, medlemmar och besökare förutom grupp- eller gruppmedlemskap. Beroende på dina krav kanske du vill begränsa vem som kan bjuda in personer till webbplatsen. Beroende på informationens känslighet på en viss webbplats kanske du också vill begränsa vem som kan dela filer och mappar. Dessa begränsningar konfigureras av teamet, gruppen eller webbplatsens ägare:
Villkorlig åtkomst
Med Microsoft 365 kan du kräva multifaktorautentisering för både personer inom och utanför organisationen. Det finns många alternativ för omständigheterna när personer uppmanas att ange en andra autentiseringsfaktor. Vi rekommenderar starkt att du distribuerar multifaktorautentisering för din organisation:
Om du har känslig information i vissa grupper och team kan du framtvinga principer för enhetshantering baserat på en grupps eller ett teams känslighetsetikett. Du kan blockera åtkomst helt från ohanterade enheter eller tillåta begränsad åtkomst till endast webben:
I SharePoint kan du begränsa åtkomsten till webbplatser från angivna nätverksplatser.
Fler resurser:
Gäståtkomst
Du kan begränsa gäster baserat på domänen för deras e-postadress. SharePoint erbjuder inställningar för organisationsomfattande och webbplatsspecifika domänbegränsningar. Grupper och Teams använder domänens tillåtna listor eller blocklistor i Microsoft Entra-ID. Se till att konfigurera båda inställningarna för att undvika oönskad delning och säkerställa en konsekvent användarupplevelse:
Begränsa delning av SharePoint- och OneDrive-innehåll efter domän
Tillåt eller blockera inbjudningar till B2B-användare från specifika organisationer
Microsoft 365 tillåter anonym delning av filer och mappar med hjälp av alla delningslänkar. Alla länkar kan vidarebefordras och alla med länken kan komma åt det delade objektet. Beroende på känsligheten för dina data kan du överväga att styra hur Alla-länkar används – inklusive att stänga av dem helt, begränsa länkbehörigheter till skrivskyddade eller ange en förfallotid för dem:
När du delar filer eller mappar har användarna flera länktyper att välja mellan. Om du vill minska risken för oavsiktlig olämplig delning kan du ändra standardlänktypen som visas för användare när de delar. Om du till exempel ändrar standardvärdet från Alla-länkar – vilket tillåter anonym åtkomst – till Personer i organisationens länkar kan du minska risken för oönskad extern delning av känslig information:
Om din organisation har känsliga data som du behöver dela med gäster, men du är orolig för olämplig delning, kan du begränsa extern delning av filer och mappar till medlemmar i angivna säkerhetsgrupper. På så sätt kan du begränsa delning externt till en viss grupp personer eller kräva att användarna tränar kring lämplig extern delning innan de läggs till i säkerhetsgruppen:
Grupper och Teams har inställningar på organisationsnivå som tillåter eller nekar gäståtkomst. Du kan begränsa gäståtkomsten till specifika team eller grupper med hjälp av Microsoft PowerShell, men vi rekommenderar att du gör detta med hjälp av en känslighetsetikett. Med känslighetsetiketter kan du automatiskt tillåta eller neka gäståtkomst baserat på etiketten som används:
I en miljö där du ofta bjuder in gäster till grupper och team bör du överväga att konfigurera regelbundet schemalagda granskningar av gäståtkomst. Ägare kan uppmanas att granska gäster i sina grupper och team och godkänna eller neka åtkomst.
Microsoft 365 erbjuder många olika metoder för att dela information. Om du har känslig information och vill begränsa hur den delas kan du granska alternativen för att begränsa delning:
Fler resurser:
Metodtips för att dela filer och mappar med oautentiserade användare
Begränsa oavsiktlig exponering för filer när de delas med personer utanför organisationen
Aktivera externt B2B-samarbete och hantera vem som kan bjuda in gäster
Användarhantering
När grupper och team utvecklas i din organisation är det bra att regelbundet granska gruppmedlemskap och gruppmedlemskap. Detta kan vara särskilt användbart för team och grupper med ett föränderligt medlemskap, de som innehåller känslig information eller sådana som inkluderar gäster. Överväg att konfigurera åtkomstgranskningar för dessa team och grupper:
Många organisationer har affärspartnerskap med andra organisationer eller viktiga leverantörer som de samarbetar med på djupet. Användarhantering och åtkomst till resurser kan vara svårt att hantera i dessa scenarier. Överväg att automatisera några av användarhanteringsuppgifterna och till och med överföra några av dem till din partnerorganisation:
Privata kanaler i Teams möjliggör begränsade konversationer och fildelning mellan en delmängd av gruppmedlemmarna. Beroende på dina specifika affärsbehov kanske du vill tillåta eller blockera den här funktionen.
Med delade kanaler kan du bjuda in personer som är utanför teamet eller utanför organisationen. Beroende på dina specifika affärsbehov och externa delningsprinciper kanske du vill tillåta eller blockera den här funktionen.
OneDrive är ett enkelt sätt för användare att lagra och dela innehåll som de arbetar med. Beroende på dina affärsbehov kanske du vill begränsa åtkomsten till det här innehållet till heltidsanställda i företaget eller andra grupper i företaget. I så fall kan du begränsa åtkomsten till OneDrive-innehåll till medlemmar i en säkerhetsgrupp.
För vissa mer känsliga team eller webbplatser kanske du vill begränsa åtkomsten till grupp- eller webbplatsinnehåll till medlemmar i teamet eller till medlemmar i en säkerhetsgrupp.
Fler resurser:
Informationsklassificering
Du kan använda känslighetsetiketter för att styra gäståtkomst, grupp- och gruppsekretess och åtkomst av ohanterade enheter för grupper och team. När en användare använder etiketten konfigureras de här inställningarna automatiskt enligt etikettinställningarna.
Du kan konfigurera Microsoft 365 för att automatiskt tillämpa känslighetsetiketter på filer och e-postmeddelanden baserat på de kriterier som du anger, inklusive identifiering av typer av känslig information eller mönstermatchning med träningsbara klassificerare.
Du kan använda känslighetsetiketter för att kryptera filer, så att endast de med behörighet att dekryptera och läsa dem.
Fler resurser:
Användarsegmentering
Med informationsbarriärer kan du segmentera dina data och användare för att begränsa oönskad kommunikation och samarbete mellan grupper och undvika intressekonflikter i din organisation. Med informationsbarriärer kan du skapa principer för att tillåta eller förhindra filsamarbete, chatt, samtal eller mötesinbjudningar mellan grupper av personer i organisationen.
Datahemvist
Med Microsoft 365 Multi-Geo kan du etablera och lagra vilande data på de geo-platser som du har valt för att uppfylla kraven på datahemvist. I en Multi-Geo-miljö består din Microsoft 365-klientorganisation av en central plats (där din Microsoft 365-prenumeration ursprungligen etablerades) och en eller flera satellitplatser där du kan lagra data.
Relaterade ämnen
Planeringsrekommendationer för samarbetsstyrning
Skapa din samarbetsstyrningsplan
Säkerhet och efterlevnad för Microsoft Teams