使用 Microsoft Entra ID 保護 Microsoft Teams、SharePoint 和 OneDrive 的外部存取
使用本文來判斷及設定組織使用 Microsoft Teams、商務用 OneDrive 和 SharePoint 的外部共同作業。 常見的挑戰是平衡使用者和外部使用者共同作業的安全性和便利性。 如果核准的共同作業方法被視為限制性且繁重,則終端使用者會避開核准的方法。 終端使用者可能會傳送電子郵件給不安全的內容,或設定外部進程和應用程式,例如個人Dropbox或 OneDrive。
開始之前
本文是一系列 10 篇文章中的第 9 個。 建議您依序檢閱文章。 移至 後續步驟 一節,以查看整個系列。
外部身分識別設定和 Microsoft Entra 識別碼
Microsoft 365 中的共用部分受 Microsoft Entra ID 中的外部身分識別、外部共同作業設定 所控管。 如果 Microsoft Entra ID 中已停用或限制外部共用,則會覆寫 Microsoft 365 中設定的共享設定。 例外狀況是未啟用 Microsoft Entra B2B 整合。 您可以設定 SharePoint 和 OneDrive,以支援透過一次性密碼 (OTP) 進行臨機操作共用。 下列螢幕快照顯示 [外部身分識別]、[外部共同作業設定] 對話框。
深入了解:
來賓使用者存取
邀請來賓使用者存取資源。
- 登入 Microsoft Entra 系統管理中心。
- 流覽至 [身分識別外部身分>識別外部共同作業>設定]。
- 尋找來賓使用者存取選項。
- 若要防止來賓使用者存取其他來賓用戶詳細數據,以及防止列舉群組成員資格,請選取 [ 來賓使用者對目錄物件屬性和成員資格的有限存取權]。
來賓邀請集合
來賓邀請設定會決定邀請來賓的人員,以及邀請來賓的方式。 如果已啟用 B2B 整合,則會啟用設定。 建議系統管理員和使用者,在來賓邀請者角色中可以邀請。 此設定允許設定受控制的共同作業程式。 例如:
小組擁有者會將要求指派的票證提交至來賓邀請者角色:
- 負責來賓邀請
- 同意不要將使用者新增至 SharePoint
- 執行一般存取權檢閱
- 視需要撤銷存取權
IT 小組:
- 訓練完成後,IT 小組會授與來賓邀請者角色
- 確保 Microsoft 365 群組擁有者有足夠的 Microsoft Entra ID P2 授權將檢閱
- 建立 Microsoft 365 群組存取權檢閱
- 確認存取權檢閱發生
- 拿掉新增至 SharePoint 的使用者
- 選取來賓電子郵件單次密碼的橫幅。
- 針對 [透過使用者流程啟用來賓自助式註冊],選取 [ 是]。
共同作業限制
針對 [共同作業限制] 選項,組織的商務需求會決定邀請的選擇。
- 允許將邀請傳送至任何網域 (最包含的) - 任何使用者可以受邀
- 拒絕對指定網域 的邀請 - 可以邀請這些網域以外的任何使用者
- 只允許對指定網域的邀請 (限制最嚴格) - 無法邀請這些網域以外的任何使用者
Teams 中的外部使用者和來賓使用者
Teams 區分外部使用者(組織外部)和來賓使用者(來賓帳戶)。 您可以在全組織設定下的 Microsoft Teams 系統管理中心管理共同作業設定。 需要授權的帳戶認證才能登入 Teams 管理員 入口網站。
- 外部存取 - Teams 預設允許外部存取。 組織可以與所有外部網域通訊
- 使用外部存取設定來限制或允許網域
- 來賓存取 - 在 Teams 中管理來賓存取
深入瞭解: 使用來賓存取和外部存取,與組織外部人員共同作業。
Microsoft Entra ID 中的外部身分識別共同作業功能會控制許可權。 您可以在 Teams 中增加限制,但限制不能低於 Microsoft Entra 設定。
深入了解:
在 SharePoint 和 OneDrive 中控管存取權
SharePoint 系統管理員可以在 SharePoint 系統管理中心找到整個組織的設定。 建議全組織設定是最低安全性層級。 視需要增加某些網站上的安全性。 例如,針對高風險專案,將使用者限制為特定網域,以及停用邀請來賓的成員。
深入了解:
- SharePoint 系統管理中心 - 需要訪問許可權
- 開始使用 SharePoint 系統管理中心
- 外部共用概觀
整合 SharePoint 和 OneDrive 與 Microsoft Entra B2B
作為管理外部共同作業策略的一部分,建議您啟用 SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合。 Microsoft Entra B2B 具有來賓用戶驗證和管理。 透過 SharePoint 和 OneDrive 整合,使用單次密碼來共用檔案、資料夾、清單專案、文檔庫和網站。
深入了解:
如果您啟用 Microsoft Entra B2B 整合,SharePoint 和 OneDrive 共用會受限於 Microsoft Entra 組織關聯性設定,例如 成員可以邀請 和 來賓可以邀請。
SharePoint 和 OneDrive 中的共享原則
在 Azure 入口網站 中,您可以使用 SharePoint 和 OneDrive 的外部共用設定來協助設定共享原則。 OneDrive 限制不能比 SharePoint 設定更寬鬆。
深入瞭解: 外部共用概觀
外部共用設定建議
設定外部共用時,請使用本節中的指引。
- 任何人 - 不建議使用。 如果啟用,不論整合狀態為何,都未針對此連結類型套用任何 Azure 原則。
- 請勿針對受控的共同作業啟用此功能
- 將它用於個別網站上的限制
- 新增和現有的來賓 - 如果已啟用整合,建議使用
- 已啟用 Microsoft Entra B2B 整合:新的和目前的來賓具有 Microsoft Entra B2B 來賓帳戶,您可以使用 Microsoft Entra 原則來管理
- 未啟用 Microsoft Entra B2B 整合:新來賓沒有 Microsoft Entra B2B 帳戶,且無法從 Microsoft Entra 標識符進行管理
- 來賓有 Microsoft Entra B2B 帳戶,視來賓建立方式而定
- 現有來賓 - 如果您未啟用整合,建議使用
- 啟用此選項後,使用者可以與目錄中的其他用戶共用
- 只有貴組織中的 人員 - 不建議外部使用者共同作業
- 不論整合狀態為何,使用者可以與組織中的其他用戶共用
- 依網域 限制外部共用 - 根據預設,SharePoint 允許外部存取。 允許與外部網域共用。
- 使用此選項來限制或允許 SharePoint 的網域
- 只允許特定安全組中的使用者外部 共用 - 使用此設定來限制誰共用 SharePoint 和 OneDrive 中的內容。 Microsoft Entra ID 中的設定適用於所有應用程式。 使用限制來指示用戶訓練安全共用。 完成是將它們新增至共用安全組的訊號。 如果選取此設定,且使用者無法成為已核准的共用者,他們可能會發現未核准的共用方式。
- 允許來賓共享他們不擁有 的專案 - 不建議使用。 指引是停用此功能。
- 人員 使用驗證碼的人員必須在這幾天后重新驗證 (預設值為 30) - 建議
存取控制
訪問控制設定會影響組織中的所有使用者。 因為您可能無法控制外部使用者是否有符合規範的裝置,因此本文不會解決這些控件。
- 閑置工作階段註銷 - 建議
- 使用此選項可在非受控裝置上警告和註銷使用者,在閑置一段時間后
- 您可以設定閑置期間和警告
- 網路位置 - 設定此控制項以允許從貴組織擁有的IP位址進行存取。
- 針對外部共同作業,如果您的外部合作夥伴在網路或虛擬專用網 (VPN) 中存取資源,請設定此控制件。
檔案和資料夾連結
在 SharePoint 系統管理中心,您可以設定檔案和資料夾連結的共用方式。 您可以設定每個月台的設定。
啟用 Microsoft Entra B2B 整合後,與組織外部的使用者共用檔案和資料夾會導致建立 B2B 使用者。
- 針對 [ 選擇使用者共用 SharePoint 和 OneDrive 中的檔案和資料夾時預設選取的連結類型],選取 [僅貴組織中的人員]。
- 針對 [ 選擇預設為共用連結選取的許可權],選取 [ 編輯]。
您可以針對每個網站預設值自定義此設定。
任何人連結
不建議啟用任何人連結。 如果您啟用它,請設定到期日,並限制用戶檢視許可權。 如果您選取 [僅檢視檔案或資料夾的許可權],使用者就無法變更 [任何人] 連結以包含編輯許可權。
深入了解:
下一步
使用下列一系列文章來瞭解如何保護資源的外部存取。 建議您遵循列出的順序。
使用 Microsoft Entra ID 保護 Microsoft Teams、SharePoint 和 商務用 OneDrive 的外部存取權(您在這裡)
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應