使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive

本文介绍如何使用 Microsoft Teams、OneDrive for Business 和 SharePoint 确定和配置组织的外部协作。 一个常见的难题是平衡最终用户和外部用户的安全性和协作便利性。 如果已批准的协作方法被视为具有限制性且繁重,则最终用户会逃避已批准的方法。 最终用户可能会通过电子邮件发送不安全的内容,或安排外部进程和应用程序,例如个人 DropBox 或 OneDrive。

准备阶段

本文是 10 篇系列文章中的第 9 篇。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。

外部标识设置和 Microsoft Entra ID

Microsoft 365 中的共享功能有一部分是通过 Microsoft Entra ID 中的外部标识、外部协作设置管理的。 如果外部共享在 Microsoft Entra ID 中被禁用或限制,则它会替代 Microsoft 365 中配置的共享设置。 如果未启用 Microsoft Entra B2B 集成,则不会出现这种情况。 可以将 SharePoint 和 OneDrive 配置为支持通过一次性密码 (OTP) 进行临时共享。 以下屏幕截图显示了“外部标识、外部协作”设置对话框。

Screenshot of options and entries under External Identities, External collaboration settings.

了解详细信息:

来宾用户访问权限

来宾用户受邀获取访问资源的权限。

  1. 登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“外部标识”>“外部协作设置”。
  3. 查找“来宾用户访问”选项。
  4. 若要阻止来宾用户访问其他来宾用户详细信息,并防止枚举组成员身份,请选择“来宾用户对目录对象的属性和成员身份具有受限访问权限”。

来宾邀请设置

来宾邀请设置确定谁可以邀请来宾以及如何邀请来宾。 如果启用了 B2B 集成,此设置即会启用。 建议具有“来宾邀请者”角色的管理员和用户可以邀请。 此设置允许设置受控协作过程。 例如:

  • 团队所有者提交票证,请求分配到来宾邀请者角色:

    • 负责来宾邀请
    • 同意不向 SharePoint 添加用户
    • 执行定期访问评审
    • 根据需要撤销访问权限
  • IT 团队:

    • 训练完成后,IT 团队授予“来宾邀请者”角色
    • 确保向将进行审阅的 Microsoft 365 组所有者提供足够的 Microsoft Entra ID P2 许可证
    • 创建 Microsoft 365 组访问评审
    • 确认进行访问评审
    • 删除添加到 SharePoint 的用户

协作限制

对于协作限制选项,组织的业务需求决定了邀请的选择。

  • 允许将邀请发送到任何域(最具包容性)- 可以邀请任何用户
  • 拒绝向指定域发送邀请–可以邀请这些域以外的任何用户
  • 仅允许向指定域发送邀请(最具限制性)- 无法邀请这些域以外的任何用户

Teams 中的外部用户和来宾用户

Teams 区分外部用户(组织外部)和来宾用户(来宾帐户)。 可以在 Microsoft Teams 管理中心内的组织级设置下管理协作设置。 登录 Teams 管理员门户需要经过授权的帐户凭据。

  • 外部访问 - 默认情况下,Teams 允许外部访问。 组织可以与所有外部域通信
    • 使用外部访问设置限制或允许域
  • 来宾访问 - 在 Teams 中管理来宾访问

了解详细信息:使用来宾访问和外部访问与组织外部的人协作

Microsoft Entra ID 中的外部标识协作功能将控制权限。 可以在 Teams 中提高限制,但限制不能低于 Microsoft Entra 设置。

了解详细信息:

外部共享设置建议

配置外部共享时,请使用本部分中的指南。

  • 任何人 - 不建议使用。 如果启用,无论集成状态如何,都不会为此链接类型应用任何 Azure 策略。
    • 不要为受治理的协作启用此功能
    • 将其用于对单个网站的限制
  • 新来宾和现有来宾 - 如果启用了集成,建议使用此选项
    • 已启用 Microsoft Entra B2B 集成:新来宾和当前来宾都拥有你可以使用 Microsoft Entra 策略进行管理的 Microsoft Entra B2B 来宾帐户
    • 未启用 Microsoft Entra B2B 集成:新来宾没有 Microsoft Entra B2B 帐户,并且无法通过 Microsoft Entra ID 进行管理
    • 来宾拥有 Microsoft Entra B2B 帐户,具体取决于来宾的创建方式
  • 现有来宾 - 如果未启用集成,建议使用此选项
    • 启用此选项后,用户可以与你的目录中的其他用户共享
  • 仅组织内部人员 - 建议不要用于外部用户协作
    • 无论集成状态如何,用户都可以与组织中的其他用户共享
  • 按域限制外部共享 - 默认情况下,SharePoint 允许外部访问。 允许与外部域共享。
    • 可使用此选项为 SharePoint 限制或允许域
  • 仅允许特定安全组中的用户进行外部共享 - 可使用此设置限制 SharePoint 和 OneDrive 中共享内容的人员。 Microsoft Entra ID 中的设置将应用于所有应用程序。 使用限制引导用户进行安全共享培训。 完成培训是将他们添加到共享安全组的信号。 如果选择此设置,并且用户无法成为受批准的共享者,他们可能会使用未经批准的共享方式。
  • 允许来宾共享不归其拥有的项–不推荐。 指南的建议是禁用此功能。
  • 使用验证码的用户在此天数(默认为 30)后必须重新进行身份验证–推荐

访问控制

访问控制设置会影响你的组织中的所有用户。 由于你可能无法控制外部用户是否具有合规的设备,本文中不会讨论这些控制措施。

  • 闲置会话注销 - 推荐
    • 在处于非活动状态一段时间后,使用此选项对非管理的设备上的用户发出警告并将他们注销
    • 你可以配置不活动时段和警告
  • 网络位置 - 设置此控制措施以允许从组织拥有的 IP 地址进行访问。
    • 对于外部协作,如果外部合作伙伴在你的网络中访问资源,或者通过虚拟专用网络 (VPN) 访问资源,请设置此控制。

在 SharePoint 管理中心内,你可以设置如何共享文件和文件夹链接。 你可以为每个站点配置设置。

Screenshot of File and folder links options.

启用 Microsoft Entra B2B 集成后,与组织外部用户共享文件和文件夹会导致创建 B2B 用户。

  1. 对于“选择当用户在 SharePoint 和 OneDrive 中共享文件和文件夹时默认选择的链接类型”,选择“仅限组织中的人员”。
  2. 对于“选择默认为共享链接选择的权限”,选择“编辑”。

可以自定义此设置,确定按站点的默认值。

不建议启用“任何人”链接。 如果启用它,请设置过期时间,并限制用户对权限的查看。 如果你对文件或文件夹的权限选择了“仅查看”,则用户将无法更改“任何人”链接来包含编辑权限。

了解详细信息:

后续步骤

请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。

  1. 使用 Microsoft Entra ID 确定外部访问的安全态势

  2. 发现组织中外部协作的当前状态

  3. 为外部资源访问创建安全性计划

  4. 使用 Microsoft Entra ID 和 Microsoft 365 中的组来保护外部访问

  5. 通过 Microsoft Entra B2B 协作过渡到受监管协作

  6. 使用 Microsoft Entra 权利管理来管理外部访问

  7. 使用条件访问策略管理对资源的外部访问

  8. 使用敏感度标签控制对 Microsoft Entra ID 中资源的外部访问

  9. 使用 Microsoft Entra ID 安全地从外部访问 Microsoft Teams、SharePoint 和 OneDrive for Business(本文)

  10. 将本地来宾帐户转换为 Microsoft Entra B2B 来宾帐户