使用本文,使用 Microsoft Teams、商務用 OneDrive 和 SharePoint 來判斷及設定貴組織的外部共同作業。 常見的挑戰是平衡使用者和外部使用者共同作業的安全性和便利性。 如果核准的共同作業方法被視為限制性且繁重,則終端使用者會避開核准的方法。 使用者可能會傳送不安全的內容電子郵件,或設定外部程序和應用程式,例如個人 Dropbox 或 OneDrive。
開始之前
本文是一系列 10 篇文章中的第 9 個。 建議您依序檢閱文章。 移至 [後續步驟] 一節,以查看整個系列。
外部身分識別設定和Microsoft Entra ID
Microsoft 365 中的共用部分受 外部身分識別、 Microsoft Entra 標識碼中的外部共同作業設定所控管。 如果在 Microsoft Entra ID 中已停用或限制外部共享,則會覆蓋在 Microsoft 365 中設定的共享設定。 如果 Microsoft Entra B2B 整合未啟用,那就例外。 您可以設定 SharePoint 和 OneDrive,以支援透過一次性密碼 (OTP) 進行臨機作共用。 下列螢幕快照顯示 [外部身分識別]、[外部共同作業設定] 對話框。
![[外部身分識別]、[外部共同作業設定] 底下的選項和項目螢幕快照。](media/secure-external-access/9-external-collaboration-settings-new.png)
瞭解更多資訊:
來賓使用者存取
邀請來賓使用者存取資源。
- 登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>外部身分識別>外部合作設定。
- 尋找 來賓使用者存取 選項。
- 若要防止來賓使用者存取其他來賓用戶詳細數據,以及防止列舉群組成員資格,請選取 [來賓使用者對目錄物件屬性和成員資格的有限存取權]。
來賓邀請設定
來賓邀請設定會決定邀請來賓的人員,以及邀請來賓的方式。 如果已啟用 B2B 整合,則會啟用設定。 建議系統管理員和擔任來賓邀請者角色的使用者可以進行邀請。 此設定允許設定受控制的共同作業程式。 例如:
團隊擁有者提交要求分配至來賓邀請者角色的票證。
- 負責來賓邀請
- 同意不要將使用者新增至 SharePoint
- 執行定期存取檢閱
- 視需要撤銷存取權
IT 小組:
- 訓練完成後,IT 團隊會賦予來賓邀請者的角色
- 確保將審核的 Microsoft 365 群組擁有者有足夠的 Microsoft Entra ID P2 授權。
- 建立 Microsoft 365 群組存取權審查
- 確認存取權審核進行
- 拿掉新增至 SharePoint 的使用者
- 選取「來賓電子郵件一次性密碼」的橫幅。
- 針對 [透過使用者流程啟用來賓自助式註冊],選取 [ 是]。
共同作業限制
針對 [共同作業限制] 選項,組織的商務需求會決定邀請的選擇。
- 允許邀請發送至任何域名(最具包容性) - 邀請可發送給任何使用者
- 拒絕對指定網域的邀請 - 可以邀請這些網域以外的任何使用者
- 只允許對指定網域的邀請 (限制最嚴格) - 無法邀請這些網域以外的任何使用者
Teams 中的外部使用者和來賓使用者
Teams 區分外部使用者(組織外部)和來賓使用者(來賓帳戶)。 您可以在全組織設定下的 Microsoft Teams 系統管理中心 管理共同作業設定。 需要授權的帳戶認證才能登入 Teams 系統管理入口網站。
-
外部存取 - Teams 預設允許外部存取。 組織可以與所有外部網域通訊
- 使用外部存取設定來限制或允許網域
- 來賓存取 - 在 Teams 中管理來賓存取
深入瞭解: 使用來賓存取和外部存取,與組織外部人員共同作業。
微软 Entra ID 的外部身份识别协作功能可控制权限。 您可以在 Teams 中增加限制,但限制不能低於 Microsoft Entra 設定。
瞭解更多資訊:
在 SharePoint 和 OneDrive 中控管存取權
SharePoint 系統管理員可以在 SharePoint 系統管理中心找到整個組織的設定。 建議全組織設定是最低安全性層級。 視需要增加某些網站上的安全性。 例如,針對高風險專案,將使用者限制於某些網域,並停用專案中的成員邀請來賓的功能。
瞭解更多資訊:
- SharePoint 系統管理中心 - 需要訪問許可權
- 開始使用 SharePoint 系統管理中心
- 外部共用概觀
整合 SharePoint 和 OneDrive 與 Microsoft Entra B2B
作為管理外部共同作業策略的一部分,建議您啟用 SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合。 Microsoft Entra B2B 具有來賓用戶驗證和管理。 透過 SharePoint 和 OneDrive 整合,使用單次密碼來共用檔案、資料夾、清單專案、文檔庫和網站。
瞭解更多資訊:
如果您啟用Microsoft Entra B2B整合,SharePoint 和 OneDrive 共用會受限於Microsoft Entra 組織關聯性設定,例如 成員可以邀請 和 來賓可以邀請。
SharePoint 和 OneDrive 中的共享原則
在 Azure 入口網站中,您可以使用 SharePoint 和 OneDrive 的外部共用設定來協助設定共享原則。 OneDrive 限制不能比 SharePoint 設定更寬鬆。
深入瞭解: 外部共用概觀
外部共用設定建議
設定外部共用時,請使用本節中的指引。
-
任何人 - 不建議。 如果啟用,不論整合狀態為何,都未針對此連結類型套用任何 Azure 原則。
- 請勿針對受控的共同作業啟用此功能
- 用於限制個別網站
-
新客戶和現有客戶 - 如果整合已啟用,推薦使用
- Microsoft Entra B2B 整合已啟用:新的和現有的來賓將擁有 Microsoft Entra B2B 來賓帳戶,您可以使用 Microsoft Entra 原則來管理。
- Microsoft Entra B2B 整合未啟用:新的來賓沒有Microsoft Entra B2B 帳戶,且無法從Microsoft Entra 標識符進行管理
- 來賓擁有 Microsoft Entra B2B 帳戶,這取決於建立該來賓的方式。
-
現有來賓 - 如果您尚未啟用整合,建議這個選項
- 啟用此選項後,使用者可以與目錄中的其他用戶共用
-
只有貴組織中的人員 - 不建議外部使用者共同作業
- 不論整合狀態為何,使用者可以與組織中的其他用戶共用
-
依網域限制外部共用 - 根據預設,SharePoint 允許外部存取。 允許與外部網域共用。
- 使用此選項來限制或允許 SharePoint 的網域
- 只允許特定安全組中的使用者外部共用 - 使用此設定來限制誰共用 SharePoint 和 OneDrive 中的內容。 Microsoft Entra ID 中的設定會套用至所有應用程式。 使用限制來引導用戶參加安全共用培訓。 完成是將它們新增至共享安全群組的信號。 如果選取此設定,且使用者無法成為已核准的共用者,他們可能會發現未核准的共用方式。
- 允許來賓分享他們不擁有的物品 - 不建議。 指引是停用此功能。
- 使用驗證碼的人員必須在這幾天后重新驗證 (預設值為 30) - 建議
存取控制
訪問控制設定會影響組織中的所有使用者。 因為您可能無法控制外部使用者是否有符合規範的裝置,因此本文不會解決這些控件。
-
閑置工作階段註銷 - 建議
- 使用此選項可在非受控裝置上警告和註銷使用者,在閑置一段時間后
- 您可以設定閑置期間和警告
-
網路位置 - 設定此控制項以允許從貴組織擁有的IP位址進行存取。
- 針對外部共同作業,如果您的外部合作夥伴在網路或虛擬專用網 (VPN) 中存取資源,請設定此控制件。
檔案與資料夾連結
在 SharePoint 系統管理中心,您可以設定檔案和資料夾連結的共用方式。 您可以設定每個月台的設定。
啟用 Microsoft Entra B2B 整合之後,與組織外部的使用者共用檔案和資料夾將會建立 B2B 使用者。
- 針對 [ 選擇使用者共用 SharePoint 和 OneDrive 中的檔案和資料夾時預設選取的連結類型],選取 [僅貴組織中的人員]。
- 針對 [選擇共用連結時預設的許可權],選取 [編輯]。
您可以針對每個網站預設值自定義此設定。
任何人連結
不建議啟用任何人連結。 如果您啟用它,請設定到期日,並限制用戶檢視許可權。 如果您選取 [僅檢視檔案或資料夾的許可權],使用者就無法變更 [任何人] 連結以包含編輯許可權。
瞭解更多資訊:
後續步驟
使用下列系列文章來了解如何保護對資源的外部存取。 建議您遵循列出的順序。