规划和部署文件协作环境 - SharePoint

  • 项目

使用 Microsoft 365 服务,可为用户创建安全高效的文件协作环境。 SharePoint 支持大部分功能,但 Microsoft 365 中的文件协作功能超出了传统 SharePoint 网站的范围。 Teams、OneDrive 以及各种治理和安全选项在创建一个用户可以轻松协作且组织的敏感内容保持安全的丰富环境方面都起到了一定的作用。

在以下部分中,我们将介绍管理员在设置协作环境时应考虑的选项和决策:

  • SharePoint 如何与 Microsoft 365 中的其他协作服务(包括 OneDrive、Microsoft 365 组 和 Teams)关联。

  • 如何为用户创建直观高效的协作环境。

  • 如何通过权限、数据分类、治理规则和监视来管理访问权限来保护组织数据。

这是更广泛的 Microsoft 365 协作故事的一部分:

建议在 Microsoft 365 for IT 架构师中下载 Microsoft Teams 和相关生产力服务 海报,并在阅读本文时参考它。 此海报详细介绍了 Microsoft 365 中的协作服务如何相互关联和交互。

创建成功的协作体验

在 Microsoft 365 中为文件协作选择的技术实现选项应平衡看似矛盾的要求:

  • 保护知识产权

  • 启用自助服务

  • 创建流畅的用户体验

保护知识产权

本文稍后将介绍几个用于保护知识产权的选项。 其中包括限制可与其共享文件的人员、使用敏感度标签应用治理策略以及管理用户用于访问内容的设备。

在考虑要选择的选项时,建议采用平衡的方法:

允许用户自由共享内容的配置可能会导致机密数据意外共享。 然而,难以使用或过于限制的用户体验可能会导致用户找到规避管理策略的替代协作选项,最终导致更大的风险。

通过使用功能的组合(具体取决于数据的敏感性)可以创建易于使用的协作环境,并提供所需的安全性和审核控制。

启用自助服务

在 Microsoft 365 中,我们建议允许用户根据需要创建 Teams、Microsoft 365 组和 SharePoint 网站。 可以使用敏感度标签来强制实施权限治理,利用保护内容的合规性功能,并使用过期和续订策略来确保未使用的网站不会累积。

通过选择支持用户自助服务的选项,可将对 IT 员工的影响降至最低,同时为用户创建更轻松的体验。

创建流畅的用户体验

创建流畅的用户体验的关键是避免为用户制造他们不理解或必须升级到技术支持的障碍。 例如,关闭网站的外部共享可能会导致用户困惑或沮丧;而将网站及其内容标记为机密,并使用数据丢失防护策略提示和电子邮件来教育用户管理策略,这可以给他们带来更流畅的体验。

SharePoint、Microsoft 365 组和 Teams

在 Microsoft 365 中的 SharePoint 中,每个 SharePoint 团队网站都是 Microsoft 365 组的一部分。 Microsoft 365 组是与各种 Microsoft 365 服务(包括 SharePoint 网站、Planner实例、邮箱、共享日历等)关联的单个权限组。 当您将所有者或成员添加到 Microsoft 365 组时,他们将被授予对 SharePoint 网站和其他连接服务的访问权限。

虽然可以通过 SharePoint 组继续单独管理 SharePoint 网站权限,但我们建议通过向关联的 Microsoft 365 组添加人员或从中删除人员来管理 SharePoint 的权限。 这简化了管理,并允许用户访问大量相关服务,他们可以使用这些服务进行更好的协作。

Microsoft Teams 通过将所有与 Microsoft 365 组相关的服务以及各种特定于 Teams 的服务集中到一个具有持续聊天功能的单一用户体验中,来提供一个协作中心。 Teams 使用关联的 Microsoft 365 组来管理其权限。 在 Teams 体验内,用户可直接访问 SharePoint 和其他服务,而无需切换应用程序。 这提供了一个集中的协作空间,可通过单个位置管理权限。 Teams 将连接到 Microsoft 365 组的 SharePoint 网站用于标准通道中的文件,并为每个专用或共享频道创建单独的 SharePoint 网站。 对于组织中的协作方案,我们强烈建议使用 Teams,而不是单独使用 SharePoint 等服务。

有关 SharePoint 和 Teams 交互方式的详细信息,请参阅 Teams 和 SharePoint 集成的概述集成 SharePoint 和 Teams 时的管理设置和权限

客户端应用程序中的协作

Word、Excel 和 PowerPoint 等 Office 应用程序提供了各种协作功能,包括共同创作和 @mentions,还集成了敏感度标签和数据丢失防护 (下面) 讨论。

强烈建议部署Microsoft 365 企业应用版。 Microsoft 365 企业应用版为用户提供始终最新的体验,并按你可以控制的计划提供最新功能和更新。

有关部署Microsoft 365 企业应用版的详细信息,请参阅Microsoft 365 应用版部署指南

OneDrive 库

虽然 SharePoint 为团队可以协作的共享文件提供共享库,但用户在 OneDrive 中也有一个单独的库,他们可以在其中存储他们拥有的文件。

当用户将文件添加到 OneDrive 时,不会与其他人共享该文件。 OneDrive 提供与 SharePoint 相同的共享功能,因此用户可以根据需要在 OneDrive 中共享文件。

可以从 Teams 以及 OneDrive Web 界面和移动应用程序访问用户的各个库。

在运行 Windows 或 macOS 的设备上,用户可以安装 OneDrive 同步 应用,将 OneDrive 和 SharePoint 中的文件同步到其本地磁盘。 这样,他们就可以脱机处理文件,还可以在本机应用程序 ((如 Word 或 Excel) )中打开文件,而无需转到 Web 界面。

在协作方案中使用 OneDrive 时需要考虑的两个main决策是:

SharePoint 管理中心提供这些设置。

保护数据

成功的协作解决方案的很大一部分是确保组织的数据保持安全。 Microsoft 365 提供各种功能,可帮助确保数据安全,同时为用户提供无缝协作体验。

若要帮助保护组织的信息,可以:

  • 控制共享 - 通过为每个网站配置适合网站中信息类型的共享设置,你可以为用户创建协作空间,同时保护你的知识产权。

  • 对信息进行分类和保护 – 通过对组织中的信息类型进行分类,可以创建治理策略,为机密信息提供比要自由共享的信息更高级别的安全性。

  • 管理设备 - 使用设备管理,可以根据设备、位置和其他参数控制对信息的访问。

  • 监视活动 – 通过监视 Teams 和 SharePoint 中发生的协作活动,可以深入了解组织信息的使用方式。 还可以设置警报以标记可疑活动。

  • 防范威胁 - 通过使用策略检测 SharePoint、OneDrive 和 Teams 中的恶意文件,可以帮助确保组织数据和网络的安全。

下面将更详细地讨论这些内容。 有许多选项可供选择。 根据组织的需求,可以选择在安全性和可用性方面实现最佳平衡的选项。 如果你处于高度监管的行业或处理高度机密的数据,你可能希望实施更多这些控制措施:而如果你的组织信息不敏感,你可能希望依赖于基本共享设置和恶意文件警报。

控制共享

为 SharePoint 和 OneDrive 配置的共享设置决定了用户可以与谁协作,无论是在组织内部还是组织外部。 根据业务需求和数据敏感性,可以:

  • 禁止与组织外部的人员共享。

  • 要求组织外部的人员进行身份验证。

  • 将共享限制为指定的域。

可以为整个组织配置这些设置,也可以为每个网站单独配置这些设置, (专用或共享频道网站) 除外。 有关详细信息,请参阅 打开或关闭共享打开或关闭网站的共享

有关与组织外部人员共享的其他指导,请参阅 限制在与来宾共享时意外公开文件

当用户共享文件和文件夹时,将创建一个对项目具有权限的可共享链接。 主要链接类型有三种:

  • 任何人 - 适用于任何人且不需要登录的链接
  • 组织中的人员 - 适用于组织中的用户的链接
  • 特定人员 - 创建链接时为指定人员工作的链接

有关这些链接类型的详细信息,请参阅 Microsoft 365 中的 OneDrive 和 SharePoint 中的可共享链接的工作原理

通过 任何人 链接进行未经身份验证的访问

任何人 链接都是与组织外部人员轻松共享文件和文件夹的好方法。 不过,如果你要共享的是敏感信息,这可能不是最佳选择。

如果要求组织外部的人员进行身份验证, 则用户无法使用任何人 链接,并且你将能够审核共享文件和文件夹上的来宾活动。

尽管 任何人 链接不要求组织外部的人员进行身份验证,但你可以跟踪 任何人 链接的使用情况,并根据需要撤销访问权限。

若要允许“任何人”链接,可以通过多种方式来确保更安全的共享体验。

可以将“任何人”链接限制为只读。 还可以设置过期时间限制,此后链接将停止工作。

另一个选项是配置默认向用户显示的其他链接类型。 这有助于将不当共享的机率降至最低。 例如,如果要允许任何人链接,但担心它们仅用于特定目的,可以将默认链接类型设置为组织中的特定人员链接或人员链接,而不是任何人链接。 然后,在共享文件或文件夹时,用户就必须显式选择“任何人”链接。

还可以使用数据丢失防护来限制 任何人 链接访问包含敏感信息的文件。

组织中的人员链接

组织中的人员链接是在组织中共享信息的一种好方法。 由于“组织中的人员”链接适用于组织中的所有人,因此用户可以与不是团队成员或网站成员的人共享文件和文件夹。 链接在兑换时授予对特定文件或文件夹的访问权限,并且可以在组织内部传递。 这样,就可以与可能具有单独团队或网站的组(例如设计、营销和支持组)的利益干系人轻松协作。

在组织中创建人员链接不会使关联的文件或文件夹显示在搜索结果中,也不会通过 Copilot 访问,也不会向组织中的每个人授予访问权限。 仅创建此链接不提供对内容的组织范围的访问权限。 对于访问文件或文件夹的个人,他们必须拥有链接,并且需要通过兑换激活它。 用户可以通过单击链接来兑换链接;在某些情况下,通过电子邮件、聊天或其他通信方法发送给某人时,该链接可能会自动兑换。 此链接不适用于来宾或组织外部的其他人。

特定人员 链接

特定人员 链接最适合用户希望限制对文件或文件夹的访问的情况。 该链接仅适用于指定的人员,并且他们必须进行身份验证才能使用它。 如果已启用来宾共享) ,这些链接可以是内部或外部 (。

对信息进行分类和保护

Microsoft Purview 数据丢失防护提供了一种方法来对团队、组、网站和文档进行分类,并创建一系列条件、操作和例外,以控制它们的使用和共享方式。

通过对信息进行分类并围绕这些信息创建治理规则,可以创建一个协作环境,使用户可以轻松地相互协作,而不会意外或有意地不恰当地共享敏感信息。

有了数据丢失防护策略,你可以相对宽松地使用给定站点的共享设置,并依靠数据丢失防护来强制实施治理要求。 这提供了更友好的用户体验,并避免了用户可能尝试解决的不必要的限制。

有关数据丢失防护的详细信息,请参阅 了解数据丢失防护

敏感度标签

敏感度标签提供了一种使用描述性标签对团队、组、网站和文档进行分类的方法,这些标签随后可用于强制实施治理工作流。

使用敏感度标签可帮助用户安全地共享信息并维护治理策略,而无需用户成为这些策略的专家。

例如,可以配置一个策略,要求分类为机密的 Microsoft 365 组是专用组,而不是公共组。 在这种情况下,创建组、团队或 SharePoint 网站的用户只有在选择机密分类时才会看到“专用”选项。 有关将敏感度标签用于团队、组和网站的信息,请参阅 使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容

条件和操作

使用数据丢失保护条件和操作,可以在满足给定条件时强制实施治理工作流。

示例包括:

  • 如果在文档中检测到客户信息,则用户无法与来宾共享该文档。

  • 如果文档包含机密项目的名称,则来宾无法打开文档,即使它已与他们共享。

有关详细信息,请参阅 了解数据丢失防护

条件访问

Microsoft Entra条件访问提供了额外的控制措施,以防止用户在有风险的情况下(例如从不受信任的位置或从不是最新的设备)访问组织的资源。

示例包括:

  • 阻止来宾从风险位置登录

  • 要求对移动设备进行多重身份验证

可以创建专用于来宾的访问策略,从而为最有可能拥有非托管设备的用户提供风险缓解。

有关详细信息,请参阅 什么是条件访问?

使用报表进行监视

Microsoft 365 中提供了各种报告,可帮助你监视网站使用情况、文档共享、治理合规性以及许多其他事件。

有关如何查看 SharePoint 网站使用情况报告的信息,请参阅管理员中心的 Microsoft 365 报告 - SharePoint 网站使用情况

有关如何查看数据丢失防护报告的信息,请参阅 查看数据丢失防护报告

有关可帮助你监视内容共享的报表的信息,请参阅 SharePoint 网站的数据访问治理报告

创建安全的来宾共享环境

有关与未经认证用户共享文件和文件夹的最佳做法

Microsoft Syntex - SharePoint 高级管理概述