创建更安全的来宾共享环境
本文介绍在 Microsoft 365 中创建更安全的来宾共享环境的各种选项。 这些示例可让你大致了解可用选项。 你可以在不同的组合中使用这些过程,以满足组织的安全性和合规性需求。
本文包括:
- 为来宾设置多重身份验证。
- 设置来宾的使用条款。
- 设置每季度来宾访问评审,以定期验证来宾是否继续需要团队和站点的权限。
- 限制来宾仅对非托管设备进行仅 Web 访问。
- 配置会话超时策略,确保来宾每天进行身份验证。
- 为高度敏感的项目创建敏感信息类型。
- 自动为包含敏感信息类型的文档分配敏感度标签。
- 自动从带有敏感度标签的文件中删除来宾访问。
本文中讨论的一些选项要求来宾具有Microsoft Entra ID 中的帐户。 若要确保来宾在与来宾共享文件和文件夹时包含在目录中,请使用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 预览版集成。
请注意,本文不讨论如何启用来宾共享设置。 有关为不同方案启用来宾共享的详细信息,请参阅与组织外部人员进行协作。
为来宾设置多重身份验证
多重身份验证大大降低了帐户被入侵的可能性。 由于来宾可能使用的个人电子邮件帐户不符合任何治理策略或最佳做法,因此要求对来宾进行多重身份验证尤其重要。 如果来宾的用户名和密码被盗,则要求进行双重身份验证可大大降低未知方获得对网站和文件的访问权限的机率。
在此示例中,我们使用Microsoft Entra ID 中的条件访问策略为来宾设置多重身份验证。
为来宾设置多重身份验证
- 打开Microsoft Entra管理中心。
- 展开 “保护”,然后选择“ 条件访问”。
- 在 条件访问 |“概述 ”页,选择“ 创建新策略”。
- 在“名称”字段中,输入名称。
- 选择“ 用户” 链接。
- 选择“选择用户和组”,然后选择“来宾或外部用户检查”框。
- 在下拉列表中,选择 “B2B 协作来宾用户 ”和“ B2B 协作成员用户”。
- 选择“ 目标资源” 链接。
- 在“包括”选项卡上选择“所有云应用”。
- 选择 “授予” 链接。
- 在“授予”边栏选项卡上,选择“要求多重身份验证检查”框,然后单击“选择”。
- 在“启用策略”下,选择“启用”,然后选择“创建”。
现在,来宾必须先注册多重身份验证,然后才能访问共享内容、网站或团队。
更多信息
设置来宾的使用条款
在某些情况下,来宾可能尚未与组织签署保密协议或其他法律协议。 你可以要求来宾在访问与之共享的文件之前同意使用条款。 可在他们首次尝试访问共享文件或网站时显示使用条款。
若要创建使用条款,首先需要在 Word 或其他创作程序中创建文档,然后将其另存为 pdf 文件。 然后,可以将此文件上传到Microsoft Entra ID。
创建Microsoft Entra使用条款
展开 “保护”,然后选择“ 条件访问”。
选择 “使用条款”。
选择“ 新建术语”。
键入名称。
对于“使用条款文档”,浏览至你创建的 pdf 文件并选择它。
选择使用条款文档的语言。
键入显示名称。
将“要求用户展开使用条款”设置为“打开”。
在“条件访问”下的“强制实施条件访问策略模板”列表中,选择“稍后创建条件访问策略”。
选择“创建”。
创建使用条款后,下一步是创建对来宾显示使用条款的条件访问策略。
创建条件访问策略
- 在Microsoft Entra管理中心的“保护”下,选择“条件访问”。
- 在 条件访问 |“概述 ”页,选择“ 创建新策略”。
- 在“名称”框中,键入名称。
- 选择“ 用户” 链接。
- 选择“选择用户和组”,然后选择“来宾或外部用户检查”框。
- 在下拉列表中,选择 “B2B 协作来宾用户 ”和“ B2B 协作成员用户”。
- 选择“ 目标资源” 链接。
- 在“ 包括 ”选项卡上,选择“ 选择应用”,然后单击“ 选择” 链接。
- 在“选择”边栏选项卡上,选择“Office 365”,然后单击“选择”。
- 选择 “授予” 链接。
- 在“授予”边栏选项卡上,选择所创建使用条款的“检查”框,然后单击“选择”。
- 在“启用策略”下,选择“启用”,然后选择“创建”。
现在,来宾首次尝试访问组织中的内容或团队或网站时,需要他们接受使用条款。
更多信息
Microsoft SharePoint eSignature 概述
设置来宾访问评审
使用Microsoft Entra ID 中的访问评审,可以自动定期评审用户对各种团队和组的访问权限。 通过专门要求来宾进行访问评审,你可以帮助确保来宾不会保留对组织敏感信息的访问权限超过必要的时间。
设置来宾访问评审
展开 “标识治理”,然后选择“ 访问评审”。
选择“ 新建访问评审”。
选择 “Microsoft Teams + Microsoft 365 组” 选项。
选择“所有含来宾用户的Microsoft 365 组”选项。 如果需要排除任何组,单击“选择要排除的组”。
选择“ 仅来宾用户 ”选项,然后选择“ 下一步:评审”。
在“选择评审员”下,选择“组所有者”。
单击“选择回退评审员”,选择回退评审员,然后单击“选择”。
选择“ 持续时间 (天) ,以便打开评论。
在“指定定期评审”,选择“每季”。
选择开始日期与持续时间。
对于 “结束”,选择“ 从不”,然后选择“ 下一步:设置”。
在“设置”选项卡中,查看设置是否符合你的业务规则。
选择“ 下一步:查看 + 创建”。
键入“评审姓名”然后查看设置。
选择“创建”。
更多信息
使用Microsoft Entra ID 创建组和应用程序的访问评审
为具有非托管设备的来宾设置仅限 Web 的访问
如果你的来宾使用的设备不是由你的组织或你与之有信任关系的另一个组织管理的,你可以要求他们仅使用 Web 浏览器访问你的团队、站点和文件。 这减少了他们下载敏感文件并将它们保留在非托管设备上的可能性。 与使用共享设备的环境共享时,这也很有用。
对于Microsoft 365 组和 Teams,这是使用Microsoft Entra条件访问策略完成的。 对于 SharePoint,这是在 SharePoint 管理中心中进行配置的。 (还可使用敏感度标签限制来宾进行仅限于 Web 的访问。)
限制来宾对团队和组进行仅 Web 访问:
展开 “保护”,然后选择“ 条件访问”。
在 条件访问 |“概述 ”页,选择“ 创建新策略”。
在“名称”框中,键入名称。
选择“ 用户” 链接。
选择“选择用户和组”,然后选择“来宾或外部用户检查”框。
在下拉列表中,选择 “B2B 协作来宾用户 ”和“ B2B 协作成员用户”。
选择“ 目标资源” 链接。
在“ 包括 ”选项卡上,选择“ 选择应用”,然后单击“ 选择” 链接。
在“选择”边栏选项卡上,选择“Office 365”,然后单击“选择”。
选择 “条件” 链接。
在 “条件” 边栏选项卡上,选择“ 客户端应用” 链接。
在“客户端应用”边栏选项卡上,为“配置”选择“是”,然后选择“移动应用和桌面客户端”、“Exchange ActiveSync客户端”和其他客户端设置。 清除“浏览器”复选框。
选择“完成”。
选择 “授予” 链接。
在“授予”边栏选项卡上,选择“要求设备标记为合规”和“要求Microsoft Entra混合加入的设备”。
在“对于多个控件”,选择“需要某一已选控件”,然后单击“选择”。
在“启用策略”下,选择“启用”,然后选择“创建”。
更多信息
SharePoint 和 OneDrive 非托管设备访问控制
为来宾配置会话超时策略
如果来宾用户的设备不安全,则定期要求来宾进行身份验证可以降低未知用户访问组织内容的可能性。 可以在Microsoft Entra ID 中为来宾配置会话超时条件访问策略。
配置来宾会话超时策略
- 打开Microsoft Entra管理中心。
- 展开 “保护”,然后选择“ 条件访问”。
- 在 条件访问 |“概述 ”页,选择“ 创建新策略”。
- 在“名称”字段中,输入名称。
- 选择“ 用户” 链接。
- 选择“选择用户和组”,然后选择“来宾或外部用户检查”框。
- 在下拉列表中,选择 “B2B 协作来宾用户 ”和“ B2B 协作成员用户”。
- 选择“ 目标资源” 链接。
- 在“ 包括 ”选项卡上,选择“ 选择应用”,然后单击“ 选择” 链接。
- 在“选择”边栏选项卡上,选择“Office 365”,然后单击“选择”。
- 选择 “会话” 链接。
- 在“会话”边栏选项卡上,选择“登录频率”。
- 选择时间段的 “1 ”和“ 天 ”,然后单击“ 选择”。
- 在“启用策略”下,选择“启用”,然后选择“创建”。
为高度敏感的项目创建敏感信息类型
敏感信息类型是预定义的字符串,可以在策略工作流中使用这些字符串来强制执行合规性要求。 Microsoft Purview 合规性门户提供一百多种敏感信息类型,包括驾驶执照号码、信用卡号、银行帐号等。
你可以创建自定义敏感信息类型,以帮助管理特定于组织的内容。 在此示例中,我们为高度敏感的项目创建自定义敏感信息类型。 然后,可使用此敏感信息类型自动应用敏感度标签。
创建敏感信息类型
- 在Microsoft Purview 合规门户左侧导航中,展开“数据分类”,然后选择“分类器”。
- 选择“ 敏感信息类型 ”选项卡。
- 选择“ 创建敏感信息类型”。
- 对于“名称和说明”,键入“项目土星”,然后选择“下一步”。
- 选择“ 创建模式”。
- 在“ 新建模式 ”面板中,选择“ 添加主元素”,然后选择“ 关键字列表”。
- 键入 ID ,例如 Project Saturn。
- 在“ 不区分大小写 ”框中,键入 “土星项目”、“土星”,然后选择“ 完成”。
- 选择“ 创建”,然后选择“ 下一步”。
- 选择置信度,然后选择“ 下一步”。
- 选择“创建”。
- 选择“完成”。
有关详细信息,请参阅 了解敏感信息类型。
创建自动标记策略以基于敏感信息类型分配敏感度标签
如果在组织中使用敏感度标签,则可以自动将标签应用于包含定义的敏感信息类型的文件。
创建自动标记策略
- 打开 Microsoft Purview 管理中心。
- 在左侧导航中,展开 “信息保护”,然后选择“ 自动标记”。
- 选择“ 创建自动标记策略”。
- 在 “选择想要将此标签应用于的信息 ”页上,选择“ 自定义 ”,然后选择“ 自定义策略”。
- 选择“下一步”。
- 键入策略的名称和说明,然后选择“ 下一步”。
- 在 “分配管理单元 ”页上,选择“ 下一步”。
- 在 “选择要应用标签的位置” 页上,选择“ SharePoint 网站 ”,并选择“ 编辑 ”以选择网站。
- 选择“下一步”。
- 在 “设置通用或高级规则 ”页上,选择“ 通用规则 ”,然后选择“ 下一步”。
- 在 “为所有位置中的内容定义规则 ”页上,选择“ 新建规则”。
- 在 “新建规则 ”页上,为规则命名,选择“ 添加条件”,然后选择“ 内容包含”。
- 依次选择“ 添加”、“ 敏感信息类型”、“要使用的敏感信息类型”、“ 添加”和“ 保存”。
- 选择“下一步”。
- 选择“ 选择标签”,选择要使用的标签,然后选择“ 添加”。
- 选择“下一步”。
- 将策略保留为模拟模式,然后选择是否希望它自动启用。
- 选择“下一步”。
- 选择“ 创建策略”,然后选择“ 完成”。
实施策略后,当用户在文档中键入“Project Saturn”时,自动标记策略将在扫描文件时自动应用指定的标签。
有关自动标记的详细信息,请参阅 自动对内容应用敏感度标签。
更多信息
创建 DLP 策略以删除来宾对高度敏感文件的访问
可使用 Microsoft Purview 数据丢失防护 (DLP) 阻止与来宾进行不必要的敏感内容共享。 数据丢失防护可以根据文件的敏感度标签采取措施并删除来宾访问权限。
创建 DLP 规则
在左侧导航中,展开 “数据丢失防护”,然后选择“ 策略”。
选择“创建策略”。
选择 “自定义” ,然后选择“ 自定义策略”。
选择“下一步”。
键入策略的名称,然后选择“ 下一步”。
在 “分配管理单元 ”页上,选择“ 下一步”。
在 “要应用策略的位置” 页上,关闭 除 SharePoint 网站 和 OneDrive 帐户之外的所有设置,然后选择“ 下一步”。
在 “定义策略设置” 页上,选择“ 下一步”。
在 “自定义高级 DLP 规则 ”页上,选择“ 创建规则 ”并键入规则的名称。
在 “条件”下,选择“ 添加条件”,然后选择“ 内容从 Microsoft 365 共享”。
在下拉列表中,选择 组织外部的人员。
在 “条件”下,选择“ 添加条件”,然后选择“ 内容包含”。
依次选择“添加”、“敏感度标签”、“要使用的标签”和“添加”。
在 “操作” 下,选择“ 添加操作 ”,然后选择 “限制访问或加密 Microsoft 365 位置中的内容”。
选择“ 仅阻止组织外部的人员 ”选项。
将用户通知打开,然后选择“使用策略提示检查通知Office 365服务中的用户”框。
选择“ 保存 ”,然后选择“ 下一步”。
选择测试选项,然后选择“ 下一步”。
选择“ 提交”,然后选择“ 完成”。
请务必注意,如果来宾是整个网站或团队的成员,则此策略不会删除访问权限。 如果计划在含有来宾成员的网站或团队中包含高度敏感的文档,请考虑以下选项:
其他选项
Microsoft 365 和 Microsoft Entra ID 中还有其他一些选项可帮助保护来宾共享环境。
- 可创建允许或拒绝的共享域的列表,限制用户可以与之共享的人员。 有关详细信息,请参见“按域限制共享 SharePoint 和 OneDrive 内容”和“允许或组织邀请指定组织的 B2B 用户”。
- 可以限制用户可以连接到的其他Microsoft Entra租户。 有关信息 ,请参阅限制对租户的访问 。
- 可创建合作伙伴能够帮助管理访客用户的托管环境。 有关信息,请参见“创建有访客用户的 B2B 外联网”。