在 Microsoft 365 群組、Teams 和 SharePoint 中管理存取

  • 發行項

有許多控制項可讓您控管人員如何存取群組、小組和 SharePoint 中的資源。 檢閱這些選項,並考慮它們如何對應至您的商務需求、資料的敏感度,以及使用者需要共同作業的人員範圍。

下表提供 Microsoft 365 中可用存取控制的快速參考。 下列各節提供進一步的資訊。

類別 描述 參考
[成員資格]
根據規則的動態群組成員資格 在Microsoft Entra識別碼中建立或更新動態群組
控制誰可以共用檔案、資料夾和網站。 設定及管理存取要求
條件式存取
多重要素驗證 Microsoft Entra多重要素驗證
根據群組、小組或網站敏感度來控制裝置存取。 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容
限制非受控裝置的網站存取。 控制來自非受控裝置的 SharePoint 存取
根據位置控制網站存取 根據網路位置控制對 SharePoint 和 OneDrive 資料的存取
當使用者存取 SharePoint 網站時,強制執行更嚴格的存取條件。 SharePoint 網站和 OneDrive 的條件式存取原則
來賓存取
允許或封鎖來自指定網域的 SharePoint 共用。 依網域限制 SharePoint 和 OneDrive 內容的共用
允許或封鎖來自指定網域的小組或群組成員資格。 允許或封鎖邀請來自特定組織的 B2B 使用者
防止匿名共用。 關閉 [任何人] 連結
控制匿名存取連結的許可權。 設定任何人連結的連結許可權
控制匿名共用連結的到期日。 設定任何人連結的到期日
控制預設顯示給使用者的共用連結類型。 變更網站的預設連結類型
將外部共用限制為特定人員。 將外部共用限制為指定的安全性群組
根據資訊敏感度,控制來賓對群組、小組或網站的存取。 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容
關閉共用選項。 在 Microsoft 365 中限制共用
使用者管理
定期檢閱小組和群組成員資格。 什麼是Microsoft Entra存取權檢閱?
自動管理群組和小組的存取權。 什麼是Microsoft Entra權利管理?
限制 OneDrive 存取特定安全性群組的成員。 依安全性群組限制 OneDrive 存取
限制小組或網站存取群組的成員。 限制 SharePoint 網站存取群組的成員
資訊分類
分類群組和小組 使用敏感度標籤來保護 Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容
自動分類敏感性內容 自動將敏感度標籤套用到內容
加密敏感性內容 使用敏感度標籤來套用加密以限制存取內容
使用者區隔
限制使用者區段之間的通訊 資訊屏障
資料落地
將資料儲存在特定地理位置 Microsoft 365 多地理位置

[成員資格]

您可以根據某些準則動態管理群組或小組的成員資格,例如部門。 在此情況下,成員和擁有者無法邀請人員加入小組。 動態群組會使用您在Microsoft Entra識別碼中定義的中繼資料來控制群組的成員。 請確定您使用的中繼資料已完成且為最新狀態,因為不正確的中繼資料可能會導致使用者被排除在群組外,或新增了不正確的使用者。

SharePoint 網站提供除了群組或小組成員資格之外,新增擁有者、成員和訪客的能力。 根據您的需求,您可能會想要限制誰可以邀請人員加入網站。 此外,根據指定網站中資訊的敏感度,您可能想要限制誰可以共用檔案和資料夾。 這些限制是由小組、群組或網站擁有者所設定:

條件式存取

使用 Microsoft 365,您可以為組織內外的人員要求多重要素驗證。 當系統提示人員進行第二個驗證因素時,有許多選項可供使用。 強烈建議您為組織部署多重要素驗證:

如果您的某些群組和小組中有敏感性資訊,您可以根據群組或小組的敏感度標籤來強制執行裝置管理原則。 您可以完全封鎖來自非受控裝置的存取,或允許受限的僅限 Web 存取:

在 SharePoint 中,您可以限制從指定的網路位置存取網站。

其他資源:

來賓存取

您可以根據來賓的電子郵件地址網域來限制來賓。 SharePoint 提供全組織和網站特定網域限制設定。 群組和 Teams 會使用網域允許清單或Microsoft Entra識別碼中的封鎖清單。 請務必設定這兩個設定,以避免不必要的共用,並確保使用者體驗一致:

Microsoft 365 允許使用 任何人 共用連結來匿名共用檔案和資料夾。 任何人都 可以轉送連結,且具有連結的任何人都可以存取共用專案。 根據資料的敏感度,請考慮控管 任何人 連結的使用方式,包括完全關閉連結、將連結許可權限制為唯讀,或設定其到期時間:

共用檔案或資料夾時,使用者有數個連結類型可供選擇。 若要降低意外不當共用的風險,您可以變更使用者共用時所呈現的預設連結類型。 例如,將預設值從[任何人] 連結變更為 [允許匿名存取] ,以人員組織中的連結,可降低不必要的外部共用敏感性資訊的風險:

如果您的組織有需要與來賓共用的敏感性資料,但您擔心不適當的共用,您可以將檔案和資料夾的外部共用限制為指定安全性群組的成員。 如此一來,您可以將外部共用限制為特定的人員群組,或要求您的使用者在將使用者新增至安全性群組之前,先進行適當的外部共用訓練:

群組和 Teams 具有允許或拒絕來賓存取的組織層級設定。 雖然您可以 使用 Microsoft PowerShell 來限制特定小組或群組的來賓存取,但建議您透過敏感度標籤來執行此動作。 使用敏感度標籤,您可以根據套用的標籤自動允許或拒絕來賓存取:

在您經常邀請來賓加入群組和小組的環境中,請考慮設定定期排程的來賓存取權檢閱。 系統會提示擁有者檢閱其群組和小組中的來賓,並核准或拒絕存取權。

Microsoft 365 提供許多不同的方法來共用資訊。 如果您有敏感性資訊,而且想要限制其共用方式,請檢閱限制共用的選項:

其他資源:

使用者管理

隨著您組織中的群組和團隊不斷演進,最佳做法是定期檢閱小組和群組成員資格。 這對成員資格變更的小組和群組、包含敏感性資訊的小組和群組,或包含來賓的團隊和群組,可能特別有用。 請考慮設定這些小組和群組的存取權檢閱:

許多組織與其他組織或主要廠商有業務合作關係,而這些組織或主要廠商會與其進行深度共同作業。 在這些案例中,使用者管理和資源存取可能很難管理。 請考慮將一些使用者管理工作自動化,甚至將其中一些工作轉換到您的夥伴組織:

Teams 中的私人頻道允許在小組成員子集之間進行範圍交談和檔案共用。 根據您的特定商務需求,您可能會想要允許或封鎖這項功能。

共用頻道可讓您邀請團隊外部或組織外部的人員。 根據您的特定商務需求和外部共用原則,您可能會想要允許或封鎖這項功能。

OneDrive 可讓使用者輕鬆地儲存及共用正在處理的內容。 視您的業務需求而定,您可能想要將此內容的存取限制為公司內的全職公司員工或其他群組。 如果是,您可以將 OneDrive 內容的存取限制為安全性群組的成員。

對於一些更敏感的小組或網站,您可能會想要將小組或網站內容的存取限制為小組成員或安全性群組的成員。

其他資源:

資訊分類

您可以使用敏感度標籤來控管來賓存取、群組和小組隱私權,以及由非受控裝置存取群組和小組。 當使用者套用標籤時,這些設定會自動設定為標籤設定所指定。

您可以設定 Microsoft 365 根據您指定的準則,將敏感度標籤自動套用至檔案和電子郵件,包括偵測敏感性資訊類型或與可訓練分類器的模式比對。

您可以使用敏感度標籤來加密檔案,只允許具有解密和讀取權限的檔案。

其他資源:

使用者區隔

利用資訊屏障,您可以區隔資料和使用者,以限制群組之間的不想要的通訊和共同作業,並避免組織中感興趣的衝突。 資訊屏障可讓您建立原則,以允許或防止組織中的人員群組之間的檔案共同作業、聊天、通話或會議邀請。

資料落地

使用 Microsoft 365 多地理位置,您可以在您選擇要符合資料落地需求的地理位置中布建和儲存待用資料。 在多地理位置環境中,您的 Microsoft 365 租使用者是由 Microsoft 365 訂用帳戶最初布建) 的中央位置 (,以及一或多個可儲存資料的衛星位置。

共同作業治理規劃建議

建立共同作業治理計畫

Microsoft Teams 中的安全性與合規性

在 SharePoint 中管理共用設定

為 Teams 設定三層保護