使用 Microsoft 365 在 SharePoint 中进行文件协作

使用 Microsoft 365 服务,可为用户创建安全高效的文件协作环境。 SharePoint 支持这一点,但 Microsoft 365 中的文件协作功能远远超出了传统的 SharePoint 网站。 Teams、OneDrive 以及各种治理和安全选项在创建一个用户可以轻松协作且组织的敏感内容保持安全的丰富环境方面都起到了一定的作用。

在以下部分中,我们将介绍管理员在设置协作环境时应考虑的选项和决策:

  • SharePoint 如何与 Microsoft 365 中的其他协作服务(包括 OneDrive、Microsoft 365 组 和 Teams)关联。

  • 如何为用户创建直观高效的协作环境。

  • 如何通过权限、数据分类、治理规则和监视来管理访问权限来保护组织数据。

这是更广泛的 Microsoft 365 协作故事的一部分:

建议在 Microsoft 365 for IT 架构师中下载 Microsoft Teams 和相关生产力服务 海报,并在阅读本文时参考它。 此海报详细介绍了 Microsoft 365 中的协作服务如何相互关联和交互。

另请参阅 Microsoft 365 中的文件保护解决方案 关系图,大致了解用于保护数据的建议解决方案。

创建成功的协作体验

在 Microsoft 365 中为文件协作选择的技术实现选项应平衡看似矛盾的要求:

  • 保护知识产权

  • 启用自助服务

  • 创建流畅的用户体验

保护你的知识产权

本文稍后将介绍几个用于保护知识产权的选项。 其中包括限制可以与其共享文件的人员、使用敏感度标签应用治理策略,以及管理用户用于访问内容的设备。

在考虑要选择的选项时,建议采用平衡的方法:

允许用户自由共享内容的配置可能会导致机密数据意外共享。 然而,难以使用或过于限制的用户体验可能会导致用户找到规避管理策略的替代协作选项,最终导致更大的风险。

通过使用功能的组合(具体取决于数据的敏感性)可以创建易于使用的协作环境,并提供所需的安全性和审核控制。

启用自助服务

在本地 SharePoint Server 中,许多组织选择了以 IT 为中心的模型,用户必须请求网站并提供业务理由。 这样做是为了防止站点扩展,并针对敏感数据的访问应用治理策略。

在 Microsoft 365 中,我们建议允许用户根据需要创建 Teams、Microsoft 365 组和 SharePoint 网站。 可以使用敏感度标签来强制实施权限治理,利用保护内容的合规性功能,并使用过期和续订策略来确保未使用的网站不会累积。

通过选择支持用户自助服务的选项,可将对 IT 员工的影响降至最低,同时为用户创建更轻松的体验。

创建流畅的用户体验

创建流畅的用户体验的关键是避免为用户制造他们不理解或必须升级到技术支持的障碍。 例如,关闭网站的外部共享可能会导致用户困惑或沮丧;而将网站及其内容标记为机密,并使用数据丢失防护策略提示和电子邮件对用户进行治理策略教育,这可以给他们带来更流畅的体验。

SharePoint、Microsoft 365 组和 Teams

在 Microsoft 365 中,SharePoint 与各种其他服务集成,以提供比本地解决方案(如 SharePoint Server)更丰富的体验。 这些集成会影响管理用户权限的方式以及用户在协作方案中可以执行的操作。

通常情况下,SharePoint 权限是通过网站内的一系列权限组(所有者、成员、访问者等)进行管理的。 在 Microsoft 365 中的 SharePoint 中,每个 SharePoint 团队网站都是 Microsoft 365 组的一部分。 Microsoft 365 组是与各种 Microsoft 365 服务(包括 SharePoint 网站、Planner 实例、邮箱、共享日历等)关联的单个权限组。 当您将所有者或成员添加到 Microsoft 365 组时,他们将被授予对 SharePoint 网站和其他连接服务的访问权限。

虽然可以使用 SharePoint 组继续单独管理 SharePoint 网站权限,但我们建议通过向关联的 Microsoft 365 组添加人员或从中删除人员来管理 SharePoint 的权限。 这简化了管理,并允许用户访问大量相关服务,他们可以使用这些服务进行更好的协作。

Microsoft Teams 通过将所有与 Microsoft 365 组相关的服务以及各种特定于 Teams 的服务集中到一个具有持续聊天功能的单一用户体验中,来提供一个协作中心。 Teams 使用关联的 Microsoft 365 组来管理其权限。 在 Teams 体验内,用户可直接访问 SharePoint 和其他服务,而无需切换应用程序。 这提供了一个集中的协作空间,可通过单个位置管理权限。 Teams 对标准通道中的文件使用连接到 Microsoft 365 组的 SharePoint 网站,并为每个专用或共享频道创建单独的 SharePoint 网站。 对于组织中的协作方案,我们强烈建议使用 Teams,而不是单独使用 SharePoint 等服务。

有关 SharePoint 与 Teams 如何交互的详细信息,请参阅 SharePoint Online 和 OneDrive for Business 与 Microsoft Teams 如何交互

客户端应用程序中的协作

Word、Excel 和 PowerPoint 等 Office 应用程序提供了各种协作功能,包括共同创作和 @mentions,还集成了敏感度标签和数据丢失防护 () 。

强烈建议部署Microsoft 365 企业应用版。 Microsoft 365 企业应用版为用户提供始终最新的体验,并按你可以控制的计划提供最新功能和更新。

有关部署Microsoft 365 企业应用版的详细信息,请参阅Microsoft 365 企业应用版部署指南

OneDrive 库

虽然 SharePoint 为团队可以协作的共享文件提供共享库,但用户在 OneDrive 中也有一个单独的库,他们可以在其中存储他们拥有的文件。

当用户将文件添加到 OneDrive 时,不会与其他人共享该文件。 OneDrive 提供与 SharePoint 相同的共享功能,因此用户可以根据需要在 OneDrive 中共享文件。

可以从 Teams 以及 OneDrive Web 界面和移动应用程序访问用户的各个库。

在运行 Windows 或 macOS 的设备上,用户可以安装 OneDrive 同步 应用,将 OneDrive 和 SharePoint 中的文件同步到其本地磁盘。 这样,他们就可以脱机处理文件,还可以在本机应用程序 ((如 Word 或 Excel) )中打开文件,而无需转到 Web 界面。

在协作方案中使用 OneDrive 时需要考虑的两个主要决策是:

  • 是否允许 Microsoft 365 用户在 OneDrive 中与组织外部的人员共享文件?

  • 是否要以任何方式限制文件同步,例如仅限制到托管设备?

SharePoint 管理中心提供这些设置。

OneDrive 是 Microsoft 365 协作故事的重要组成部分。 有关如何在组织中部署 OneDrive 的信息,请参阅 适用于企业的 OneDrive 指南

保护数据

成功的协作解决方案的很大一部分是确保组织的数据保持安全。 Microsoft 365 提供各种功能,可帮助保护数据安全,同时为用户提供无缝协作体验。

若要帮助保护组织的信息,可以:

  • 控制共享 - 通过为每个网站配置适合网站中信息类型的共享设置,你可以为用户创建协作空间,同时保护你的知识产权。

  • 对信息进行分类和保护 – 通过对组织中的信息类型进行分类,可以创建治理策略,为机密信息提供比要自由共享的信息更高级别的安全性。

  • 管理设备 - 通过设备管理,可以根据设备、位置和其他参数控制对信息的访问。

  • 监视活动 – 通过监视 Teams 和 SharePoint 中发生的协作活动,您可以深入了解组织信息的使用方式。 还可以设置警报以标记可疑活动。

  • 防范威胁 - 通过使用策略检测 SharePoint、OneDrive 和 Teams 中的恶意文件,可以帮助确保组织数据和网络的安全。

下面将更详细地讨论这些内容。 有许多选项可供选择。 根据组织的需求,可以选择在安全性和可用性方面实现最佳平衡的选项。 如果你处于高度监管的行业或处理高度机密的数据,你可能希望实施更多这些控制措施:而如果你的组织信息不敏感,你可能希望依赖于基本共享设置和恶意文件警报。

控制共享

为 SharePoint 和 OneDrive 配置的共享设置决定了组织内外用户可以与谁协作。 根据业务需求和数据敏感性,可以:

  • 禁止与组织外部的人员共享。

  • 要求组织外部的人员进行身份验证。

  • 将共享限制为指定的域。

可以为整个组织配置这些设置,也可以为每个网站单独配置这些设置, (专用或共享频道网站) 除外。 有关详细信息,请参阅 打开或关闭共享打开或关闭网站的共享

有关与组织外部人员共享的其他指导,请参阅 限制在与来宾共享时意外公开文件

当用户共享文件和文件夹时,将创建一个对项目具有权限的可共享链接。 主要链接类型有三种:

  • “任何人”链接向有此链接的任何人授予对项的访问权限。 使用“任何人”链接的人无需进行身份验证,且无法审核其访问权限。

    显示如何将任何人链接从用户传递到用户的关系图

    任何人链接是可转让的可吊销密钥。 它是可转移的,因为可以将它转发给其他人。 它是可撤销的,因为通过删除链接,你可以撤销通过链接获取该链接的所有人的访问权限。 它是机密的,因为它不能被猜测或推导出来。 获得访问权限的唯一方式是获取链接,而获取链接的唯一方式则是有人向你提供链接。 任何人链接不能与 Teams 共享频道网站中的文件一起使用。

  • 组织中的人员链接仅适用于 Microsoft 365 组织内部的人员。 (它们不适用于目录中的来宾,只适用于成员)。

    显示如何将组织中的人员链接从用户传递到公司内部用户的关系图

    任何人 链接一样, 我组织中的人员 链接是可转移的、可吊销的密钥。 与 任何人 链接不同,这些链接仅适用于 Microsoft 365 组织内部的人员。 当某人 在我的组织中打开人员 链接时,需要以目录中的成员身份对其进行身份验证。 如果他们当前未登录,系统会提示他们登录。

  • 特定人员链接仅适用于用户共享项目时指定的人员。

    显示特定人员链接如何仅适用于指定人员的关系图

    特定人员链接是不可转让、可吊销的密钥。 与我组织中的任何人和人员链接不同,如果特定人员链接由除发件人指定的人员以外的任何人打开,则此链接将不起作用。

    特定人员 链接可用于与组织中的用户和组织外部的人员共享。 在这两种情况下,都需要验证收件人是否是链接中指定的用户。 对于 Teams 共享频道网站中的文件,特定人员链接只能发送给频道中的其他人。

请务必让用户了解这些共享链接的工作原理以及他们应使用哪些链接来最好地维护数据的安全性。 将用户链接发送到 共享 OneDrive 文件和文件夹以及SharePoint 文件或文件夹,并包含有关组织共享信息策略的信息。

通过 任何人 链接进行未经身份验证的访问

任何人 链接都是与组织外部人员轻松共享文件和文件夹的好方法。 不过,如果你要共享的是敏感信息,这可能不是最佳选择。

如果要求组织外部的人员进行身份验证, 则用户无法使用任何人 链接,并且你将能够审核共享文件和文件夹上的来宾活动。

尽管 任何人 链接不要求组织外部的人员进行身份验证,但你可以跟踪 任何人 链接的使用情况,并根据需要撤销访问权限。 如果组织中的人员经常向组织外部的人员发送电子邮件文档, 则“任何人 链接”可能比通过电子邮件发送附件更好。

若要允许“任何人”链接,可以通过多种方式来确保更安全的共享体验。

可以将“任何人”链接限制为只读。 还可以设置过期时间限制,此后链接将停止工作。

另一个选项是配置默认向用户显示的其他链接类型。 这有助于将不当共享的机率降至最低。 例如,如果要允许任何人链接,但担心它们仅用于特定目的,可以将默认链接类型设置为组织中的特定人员链接或人员链接,而不是任何人链接。 然后,在共享文件或文件夹时,用户就必须显式选择“任何人”链接。

还可以使用数据丢失防护来限制 任何人 链接访问包含敏感信息的文件。

组织中的人员链接

组织中的人员链接是在组织中共享信息的一种好方法。 由于“组织中的人员”链接适用于组织中的所有人,因此用户可以与不是团队成员或网站成员的人共享文件和文件夹。 该链接允许他们访问特定文件或文件夹,并且可以在组织内部传递。 这样,就可以与可能具有单独团队或网站的组(例如设计、营销和支持组)的利益干系人轻松协作。

在组织中创建人员链接不会导致文件或文件夹显示在搜索中,也不会让所有人直接访问文件或文件夹。 用户必须具有 链接才能访问文件或文件夹。 此链接不适用于来宾或组织外部的其他人。

特定人员 链接

特定人员 链接最适合用户希望限制对文件或文件夹的访问的情况。 该链接仅适用于指定的人员,并且他们必须进行身份验证才能使用它。 如果已启用来宾共享) ,这些链接可以是内部或外部 (。

对信息进行分类和保护

Microsoft Purview 数据丢失防护提供了一种方法来对团队、组、网站和文档进行分类,并创建一系列条件、操作和例外,以控制它们的使用和共享方式。

通过对信息进行分类并围绕这些信息创建治理规则,可以创建一个协作环境,使用户可以轻松地相互协作,而不会意外或有意地不恰当地共享敏感信息。

有了数据丢失防护策略,你可以相对宽松地使用给定站点的共享设置,并依靠数据丢失防护来强制实施治理要求。 这提供了更友好的用户体验,并避免了用户可能尝试解决的不必要的限制。

有关数据丢失防护的详细信息,请参阅 了解数据丢失防护

敏感度标签

敏感度标签提供了一种使用描述性标签对团队、组、网站和文档进行分类的方法,这些标签随后可用于强制实施治理工作流。

使用敏感度标签可帮助用户安全地共享信息并维护治理策略,而无需用户成为这些策略的专家。

例如,可以配置一个策略,要求分类为机密的 Microsoft 365 组是专用组,而不是公共组。 在这种情况下,创建组、团队或 SharePoint 网站的用户只有在选择机密分类时才会看到“专用”选项。 有关将敏感度标签用于团队、组和网站的信息,请参阅 使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容

条件和操作

使用数据丢失保护条件和操作,可以在满足给定条件时强制实施治理工作流。

示例包括:

  • 如果在文档中检测到客户信息,则用户无法与来宾共享该文档。

  • 如果文档包含机密项目的名称,则来宾无法打开文档,即使它已与他们共享。

Microsoft Defender for Cloud Apps提供了额外的精细条件、操作和警报,以帮助保护内容。 其中包括在满足指定条件时删除用户权限或隔离用户的功能。

用户通知

用户通知提供了一种通过电子邮件或策略提示向用户传达数据丢失防护检测到他们应注意的内容的方法。 然后,用户可以根据情况决定最佳操作方案。 例如,如果用户在不知不觉中尝试共享包含信用卡号的文档,系统会提示用户已找到信用卡号,并告知组织的相关策略。

管理访问权限

Microsoft 365 提供各种治理功能,可帮助你为用户创建直观但安全的协作环境。

  • 使用设备管理来确保只有合规设备才能访问组织的信息。

  • 使用条件访问可确保仅从你信任的位置和应用访问机密数据。

  • 通过报告实时监视信息共享,以确保满足治理要求,并保护敏感信息的安全。

此外,可以使用 Azure Active Directory 访问评审 自动对组和团队所有权以及成员身份进行定期评审。

设备管理

通过设备管理,可以采取其他步骤来保护组织的信息。 你可以管理用户可能拥有的几乎所有设备-电脑、Mac、移动设备和 Linux 计算机。

示例包括:

  • 在允许访问 Microsoft 365 之前,请确保设备具有最新更新

  • 防止将机密数据复制和粘贴到个人或非托管应用

  • 从托管设备擦除公司数据

在考虑通过设备管理控制信息访问的选项时,请记住,来宾可能具有非托管设备。 对于已启用来宾共享的网站,请确保提供对非托管设备所需的访问权限,即使这只是通过电脑或 Mac 进行 Web 访问。 下面讨论的 Azure Active Directory 条件访问 () 提供了一些选项来降低使用非托管设备来宾的风险。 某些设置可以直接从 SharePoint 进行配置

Microsoft Intune提供了详细的设备分析选项,还可以部署和管理 Office 应用和 OneDrive 等单个应用。 有关Intune和设备管理的详细信息,请参阅Microsoft Intune概述

可以从 Microsoft Endpoint Manager 管理中心配置设备管理。

条件访问

Azure Active Directory 条件访问提供了额外的控制措施,以防止用户在有风险的情况下访问组织的资源,例如从不受信任的位置或从不是最新的设备访问。

示例包括:

  • 阻止来宾从风险位置登录

  • 要求对移动设备进行多重身份验证

可以创建专用于来宾的访问策略,从而为最有可能拥有非托管设备的用户提供风险缓解。

有关详细信息,请参阅 什么是条件访问?

使用警报进行实时监视

Microsoft 365 Defender服务提供了广泛的策略基础结构,可用于监视认为对组织数据有风险的活动。

示例包括:

  • 当机密文件在外部共享时发出警报。

  • 单个用户进行批量下载时发出警报。

  • 当外部共享文件在指定时间段内未更新时发出警报。

Microsoft 365 Defender还可以监视异常行为,例如异常较大的上传或下载、从异常位置访问或异常管理活动。

通过配置警报,可以更自信地为用户提供开放共享体验。

可以在“Microsoft 365 Defender警报”页上看到警报

有关Microsoft 365 Defender中的警报的详细信息,请参阅调查Microsoft 365 Defender中的警报

使用报表进行监视

Microsoft 365 中提供了各种报告,可帮助你监视网站使用情况、文档共享、治理合规性以及许多其他事件。

有关如何查看 SharePoint 网站使用情况的报表的信息,请参阅管理员中心的 Microsoft 365 报告 - SharePoint 网站使用情况

有关如何查看数据丢失防护报告的信息,请参阅 查看数据丢失防护报告

有关如何查看 Defender for Cloud Apps 报表的信息,请参阅 生成数据管理报告

管理威胁

可以在 Microsoft Defender for Office 365 中使用适用于 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,以防止用户将恶意文件上传到 OneDrive、SharePoint 或 Teams。

当 SharePoint、OneDrive 和 Microsoft Teams 的安全附件发现恶意文件时,该文件将被锁定,因此用户无法打开、移动或复制该文件。

锁定的文件包含在可以监视的隔离项列表中。 然后,可以根据需要删除或释放文件。

有关详细信息,请参阅 SharePoint、OneDrive 和 Microsoft Teams 的安全附件

从本地迁移文件

与 SharePoint Server 等本地解决方案相比,Microsoft 365 在协作方案中提供的多功能性要高得多。 如果 SharePoint Server 上的文档库或文件共享中有文件, 请了解如何将它们迁移到 Microsoft 365。 如果用户的本地 Windows 已知文件夹中有文件,你还可以将其移动到 OneDrive 以增强协作功能。 了解已知文件夹移动

如果用户正在协作的内容位于 SharePoint Server 或文件共享中,建议将其迁移到 Microsoft 365 以利用更广泛的协作功能。

在迁移过程中,可以使用 Azure 信息保护 扫描程序扫描并标记本地环境中的敏感信息。 借助此信息,可以根据需要重新组织数据,然后再将其迁移到 SharePoint 中标记类似的网站。

创建安全的来宾共享环境

有关与未经认证用户共享文件和文件夹的最佳做法

了解Microsoft 信息保护功能如何协同工作

教程:自动应用 Azure 信息保护分类标签