與未驗證使用者共用檔案和資料夾的最佳做法

  • 發行項

未驗證共用 (任何人連結) 在許多案例下都相當方便。 任何人連結為共用最簡單的方式:人員可以不經驗證就開啟連結,且可隨意將它傳送給其他人。

一般來說,並非組織中的所有內容都適合進行未驗證共用。 本文涵蓋可協助您建立一個環境的選項,您的使用者能夠在該環境中未驗證共用檔案和資料夾,但在其中有一些既有措施可協助保護組織內容的安全。

注意事項

若要讓未驗證共用運作,您必須為組織以及您將使用的個別網站或小組啟用該功能。 如需您要啟用的案例,請參閱與組織外部人員共同作業

檔案通常會長時間儲存在網站、群組和小組。 有時候,有一些資料保留原則會要求將檔案保留數年。 如果將這類檔案與未驗證的人員共用,可能導致未來非預期地存取和變更這些檔案。 若要降低此可能性,您可以為任何人連結設定到期時間。

任何人連結到期後,就無法再用來存取內容。

設定組織中任何人的連結到期日。

  1. 開啟 SharePoint 系統管理中心,展開 [原則],然後選取 [共用]
  2. [選擇任何人連結的到期日和許可權選項]下,選取 [ 這些連結必須在這幾天內過期 ] 核取方塊。
    SharePoint 組織層級任何人連結到期設定的螢幕擷取畫面。
  3. 在方塊中輸入天數,然後選取 [ 儲存]

如果您變更到期時間,如果新設定時間較長,現有的連結會保留其目前的到期時間,如果新設定時間較短,則會更新為新的設定。

在特定網站上,設定任何人連結的到期日

  1. 開啟 SharePoint 系統管理中心,展開 [網站],然後選取 [使用中網站]
  2. 選取要變更的網站,然後選取 [共用]
  3. 在 [ 任何人連結的進階設定] 底下,于 [ 任何人連結的到期日] 下,清除 [ 與組織層級設定相同] 複 選框。
    SharePoint 網站層級任何人連結到期設定的螢幕擷取畫面。
  4. 選取 [這些連結必須在此天數內過期] 選項,然後在方塊中輸入天數。
  5. 選取 [儲存]

請注意,一旦 Anyone 連結過期,檔案或資料夾就可以使用新的 [任何人 ] 連結重新共用。

您可以使用 Set-SPOSite,為特定網站設定 任何人 連結到期日。

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/marketing -OverrideTenantAnonymousLinkExpirationPolicy $true -AnonymousLinkExpirationInDays 15

根據預設,檔案的任何人連結會允許人員編輯檔案,而資料夾的任何人連結則會允許人員編輯和檢視檔案,以及上傳新檔案到資料夾。 您可以將檔案和資料夾的這些許可權獨立變更為僅供檢視。

如果您想要允許未驗證共用,但擔心未驗證的人員修改組織的內容,請考慮將檔案和資料夾權限設定為 [檢視]

設定組織中任何人連結的權限。

  1. 開啟 SharePoint 系統管理中心,然後選取 [共用]
  2. [選擇任何人連結的到期日和許可權選項]下,選取您要使用的檔案和資料夾許可權。
    SharePoint 組織層級 [任何人] 連結許可權設定的螢幕擷取畫面。

任何人連結設為 [檢視] 時,使用者仍然可以與來賓共用檔案和資料夾,並使用特定人員連結提供編輯權限。 特定人員 連結需要組織外部的人員以來賓身分進行驗證,而且您可以追蹤和稽核與這些連結共用之檔案和資料夾上的來賓活動。

為組織啟用任何人共用時,預設的共用連結一般會設定為任何人。 雖然這對使用者而言很方便,但可能會增加無意間未驗證共用的風險。 如果使用者在共用機密文件時忘記變更連結類型,他們可能會意外建立不需要驗證的共用連結。

您可以透過將預設連結設定變更為僅適用組織內部人員的連結,來降低此風險。 這麼一來,想要進行未驗證共用的使用者,必須特別選取該選項。

若要為組織設定預設的檔案和資料夾共用連結:

  1. 開啟 SharePoint 系統管理中心,然後選取 [共用]

  2. [檔案與資料夾連結] 下,選取 [只有貴組織中的人員]

    SharePoint 預設連結類型設定的螢幕擷取畫面。

  3. 選取 [儲存]

若要為特定網站設定預設的檔案和資料夾共用連結:

  1. 開啟 SharePoint 系統管理中心,展開 [網站],然後選取 [使用中網站]

  2. 選取要變更的網站,然後選取 [共用]

  3. [預設共用連結類型] 下,清除 [ 與組織層級設定相同] 複選 框。

    SharePoint 網站層級預設連結類型設定的螢幕擷取畫面。

  4. 選取 [只有貴組織的人員] 選項,然後選取 [儲存]

防止未經驗證的敏感性內容共用

您可以使用 Microsoft Purview 資料外洩防護 (DLP) 以防止未經驗證的敏感性內容共用。 資料外洩防護可根據檔案的敏感度標籤、保留標籤或檔案本身的敏感性資訊採取行動。

若要建立 DLP 規則:

  1. Microsoft Purview 系統管理中心中,展開 [資料外泄防護],然後選取 [ 原則]

  2. 選取 [建立原則]

  3. 選擇 [自訂],選取 [ 自訂原則], 然後選取 [ 下一步]

  4. 輸入原則的名稱,然後選取 [ 下一步]

  5. 在 [ 指派系統管理單位] 頁面上,選取 [ 下一步]

  6. 在 [ 要套用原則的位置 ] 頁面上,關閉 SharePoint 網站OneDrive 帳戶以外的所有設定,然後選取 [ 下一步]

  7. 在 [ 定義原則設定] 頁面上,選取 [ 下一步]

  8. 在 [ 自訂進階 DLP 規則 ] 頁面上,選取 [ 建立規則 ] 並輸入規則的名稱。

  9. 在 [ 條件] 底下,選取 [新增條件],然後選擇 [ 內容包含]

  10. 選取 [新增 ],然後選擇您要防止未經驗證共用的資訊類型。

  11. 在 [ 動作 ] 底下,選 取 [新增動作] ,然後選擇 [ 限制存取或加密 Microsoft 365 位置中的內容]

  12. 選擇 [ 僅封鎖透過 [具有連結的任何人] 選項取得內容存取權的人員

    DLP 規則動作選項的螢幕擷取畫面。

  13. 選取 [儲存 ],然後選取 [ 下一步]

  14. 選擇您的測試選項,然後選取 [ 下一步]

  15. 選取 [提交],然後選取 [ 完成]

防範惡意檔案

允許匿名使用者上傳檔案時,可能會增加某人上傳惡意檔案的風險。 您可以使用 [安全附件 ] 功能,在將電子郵件附件傳遞給收件者並隔離發現不安全的檔案之前,先檢查虛擬環境中的電子郵件附件。 如需詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的安全附件

您也可以使用[安全檔]功能,在受保護的檢中掃描開啟的 Office 檔,或在 Office 應用程式防護中掃描開啟的 Office檔。 如需詳細資訊,請參閱 Microsoft 365 A5 或 E5 安全性中的安全文件

如果您在 Microsoft Purview 系統管理中心使用敏感度標籤,您可以在標籤中設定 內容標記 ,以自動將浮水印或頁首或頁尾新增至組織的 Office 檔。 這麼一來,您就可以確定共用的檔案包含著作權或其他擁有權資訊。

新增頁尾至標籤的檔案

  1. 開啟 Microsoft Purview 系統管理中心
  2. 在左側導覽的 [ 解決方案]下方,展開 [ 資訊保護 ],然後選取 [ 標籤]
  3. 選取您要新增內容標記的標籤,然後選取 [ 編輯標籤]
  4. 取 [下一步 ] 以觸達 [ 選擇標籤專案的保護設定 ] 頁面,然後選取 [ 套用內容標記]。 選取 [下一步]
  5. 在 [ 內容標記] 頁面上,將 [ 內容標記] 設定為 [開啟]
  6. 選取您要新增之文字類型的核取方塊,然後選取 [自訂文字]
  7. 輸入您要新增至檔的文字,選取您想要的文字選項,然後選取 [ 儲存]
    敏感度標籤內容標記設定的螢幕擷取畫面。
  8. 取 [下一步 ] 以到達精靈結尾,然後選取 [ 儲存標籤]
  9. 選取 [完成]

為標籤啟用內容標示後,當使用者套用該標籤,您指定的文字就會新增至 Office 文件中。

了解敏感度標籤

在與組織外的人員共用檔案時,限制資訊意外暴露

建立更加安全的來賓共用環境