使用 Microsoft Entra ID 保護對 Microsoft Teams、SharePoint 和 OneDrive 的外部存取
使用本文,以使用 Microsoft Teams、商務用 OneDrive 和 SharePoint,來確定和設定貴組織的外部共同作業。 常見的挑戰是為終端使用者和外部使用者平衡其共同作業的安全性和便利性。 如果核准的共同作業方法被視為具有限制性且繁重,則終端使用者會迴避核准的方法。 終端使用者可能會透過電子郵件寄送不安全的內容,或設定外部流程和應用程式,例如個人Dropbox 或 OneDrive。
開始之前
本文是 10 篇文章系列中的第 9 篇。 建議您依序檢閱文章。 移至 [後續步驟] 一節,以查看整個系列。
外部身分識別設定和 Microsoft Entra ID
在 Microsoft 365 中共用是由 Microsoft Entra ID 中的 [外部身分識別、外部共同作業設定] 局部控管。 如果 Microsoft Entra ID 中停用或限制外部共用,其會覆寫 Microsoft 365 中設定的共用設定。 例外狀況是若未啟用 Microsoft Entra B2B 整合。 您可以設定 SharePoint 和 OneDrive,以支援透過一次性密碼 (OTP) 進行臨時共用。 下列螢幕擷取畫面顯示 [外部身分識別、外部共同作業設定] 對話方塊。
![[外部身分識別、外部共同作業設定] 底下的選項和項目螢幕擷取畫面。](media/secure-external-access/9-external-collaboration-settings-new.png)
深入了解:
來賓使用者存取
來賓使用者受邀存取資源。
- 登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [身分識別]>[外部身分識別]>[外部共同作業設定]。
- 尋找 [來賓使用者存取] 選項。
- 若要防止來賓使用者存取其他來賓使用者的詳細資料,並防止列舉群組成員資格,請選取 [來賓使用者對目錄物件的屬性和成員資格存取權受到限制]。
來賓邀請集合
來賓邀請設定會決定邀請來賓的人員,以及邀請來賓的方式。 如果已啟用 B2B 整合,則會啟用這些設定。 建議讓來賓邀請者角色中的管理員和使用者可以邀請。 此設定允許設定受控制的共同作業流程。 例如:
團隊擁有者會提交一個票證,要求指派給來賓邀請者角色:
- 負責來賓邀請
- 同意不將使用者新增至 SharePoint
- 執行一般存取檢閱
- 視需要撤銷存取
IT 團隊:
- 訓練完成後,IT 團隊會授與來賓邀請者角色
- 確保將檢閱的 Microsoft 365 群組擁有者有足夠的 Microsoft Entra ID P2 授權
- 建立 Microsoft 365 群組存取檢閱
- 確認存取檢閱發生
- 移除新增至 SharePoint 的使用者
- 選取 [透過電子郵件將一次性密碼寄給來賓] 的橫幅。
- 針對 [允許來賓透過使用者流程進行自助式註冊],選取 [是]。
共同作業限制
針對 [共同作業限制] 選項,組織的商務需求會決定邀請的選擇。
- 允許將邀請傳送至任何網域 (包容性最高) - 可以邀請任何使用者
- 拒絕邀請指定的網域 - 可以邀請這些網域以外的任何使用者
- 僅允許邀請指定的網域 (限制性最高) - 無法邀請這些網域以外的任何使用者
Teams 中的外部使用者和來賓使用者
Teams 會區別外部使用者 (組織外的使用者) 與來賓使用者 (來賓帳戶)。 您可以在 Microsoft Teams 系統管理中心的全組織設定下管理共同作業設定。 需要授權的帳戶認證才能登入 Teams 系統管理入口網站。
- 外部存取 - Teams 預設允許外部存取。 組織可以與所有外部網域進行通訊
- 使用外部存取設定來限制或允許網域
- 來賓存取 - 在 Teams 中管理來賓存取
深入了解:使用來賓存取和外部存取,與組織外的人員共同作業。
Microsoft Entra ID 控制權限中的外部身分識別共同作業功能。 您可以在 Teams 中增加限制,但這些限制不能低於 Microsoft Entra 設定。
深入了解:
治理 SharePoint 和 OneDrive 中的存取
SharePoint 管理員可以在 SharePoint 系統管理中心找到全組織設定。 建議您的全組織設定是最低安全性層級。 視需要增加某些網站上的安全性。 例如,針對高風險專案,將使用者限制在某些網域中,並停用成員邀請來賓的能力。
深入了解:
將 SharePoint 和 OneDrive 與 Microsoft Entra B2B 整合
作為控管外部共同作業的策略一部分,建議您啟用 SharePoint 和 OneDrive 與 Microsoft Entra B2B 的整合。 Microsoft Entra B2B 具有來賓使用者驗證和管理。 搭配 SharePoint 與 OneDrive 整合,將一次性密碼用於檔案、資料夾、清單項目、文件庫和網站的外部共用。
深入了解:
如果您啟用 Microsoft Entra B2B 整合,則 SharePoint 和 OneDrive 共用會受限於 Microsoft Entra 組織關聯性設定,例如 [成員可以邀請] 和 [來賓可以邀請]。
SharePoint 和 OneDrive 中的共用原則
在 Azure 入口網站中,您可以使用 SharePoint 和 OneDrive 的外部共用設定來協助設定共用原則。 OneDrive 限制不能比 SharePoint 設定更寬鬆。
深入了解:外部共用概觀
外部共用設定建議
設定外部共用時,請使用本節中的指引。
- 任何人 - 不建議使用。 如果啟用,則不論整合狀態為何,都不會針對此連結類型套用任何 Azure 原則。
- 請不要針對控管的共同作業啟用這項功能
- 將其用於個別網站上的限制
- 新的和現有的來賓 - 如果已啟用整合,則建議使用
- 已啟用 Microsoft Entra B2B 整合:新的和目前的來賓具有 Microsoft Entra B2B 來賓帳戶,您可以使用 Microsoft Entra 原則來管理此來賓帳戶
- 未啟用 Microsoft Entra B2B 整合:新的來賓沒有 Microsoft Entra B2B 帳戶,且無法從 Microsoft Entra ID 進行管理
- 來賓具有 Microsoft Entra B2B 帳戶,取決於來賓的建立方式
- 現有的來賓 - 如果您未啟用整合,則建議使用
- 啟用選項後,使用者可與您目錄中的其他使用者共用
- 僅限組織中的人員 - 不建議與外部使用者共同作業搭配
- 不論整合狀態為何,使用者都可與您組織中的其他使用者共用
- 依網域限制外部共用 - 根據預設,SharePoint 允許外部存取。 允許與外部網域共用。
- 使用此選項來限制或允許 SharePoint 的網域
- 僅允許特定安全性群組中的使用者外部共用 - 使用此設定來限制 SharePoint 和 OneDrive 中共用內容的人員。 Microsoft Entra ID 中的設定會套用至所有應用程式。 使用限制來引導使用者進行有關安全共用的訓練。 完成是將其新增至共用安全性群組的信號。 如果選取此設定,且使用者無法成為核准的共用者,則其可能會發現未核准的共用方式。
- 允許來賓共用其未擁有的項目 - 不建議使用。 指引是停用此功能。
- 使用驗證碼的人員必須在此天數 (預設值為 30 天) 後重新驗證 - 建議使用
存取控制
存取控制設定會影響您組織中的所有使用者。 因為您可能無法控制外部使用者是否有符合規範的裝置,因此本文不會討論這些控制。
- 閒置工作階段登出 - 建議使用
- 使用此選項可在閒置一段時間後,於非受控裝置上警告和登出使用者
- 您可以設定閒置期間和警告
- 網路位置 - 設定此控制項以允許從貴組織擁有的 IP 位址進行存取。
- 針對外部共同作業,如果您的外部合作夥伴在位於您的網路時或使用您的虛擬私人網路 (VPN) 存取資源,請設定此控制項。
檔案和資料夾連結
在 SharePoint 系統管理中心,您可以設定檔案和資料夾連結的共用方式。 您可以針對每個網站設定此設定。
啟用 Microsoft Entra B2B 整合後,與組織外的使用者共用檔案和資料夾會導致建立 B2B 使用者。
- 針對 [選擇當使用者在 SharePoint 和 OneDrive 共用檔案和資料夾時根據預設選取的連結類型],選取 [僅限貴組織中的人員]。
- 針對 [選擇預設針對共用連結選取的權限],選取 [編輯]。
您可以針對每個網站預設值自訂此設定。
任何人連結
不建議啟用任何人連結。 如果啟用,請設定到期日,並限制使用者只有檢視權限。 如果您選取 [檔案或資料夾的僅檢視權限],使用者無法變更任何人連結,以包括編輯權限。
深入了解:
下一步
使用以下一系列文章來了解如何保護資源的外部存取。 建議您遵循列出的順序。