本文介绍如何使用 Microsoft Teams、OneDrive for Business 和 SharePoint 来确定和配置组织的外部协作。 一个常见的挑战是平衡最终用户和外部用户的安全性和轻松协作。 如果批准的协作方法被视为限制性且繁重,则最终用户会逃避批准的方法。 最终用户可能会通过电子邮件发送不安全的内容,或设置外部进程和应用程序,例如个人 Dropbox 或 OneDrive。
在您开始之前
本文是一系列 10 篇文章中的第 9 个。 建议按顺序查看文章。 转到“后续步骤”部分查看整个系列。
外部标识设置和Microsoft Entra ID
Microsoft 365 中的共享部分受 外部标识、Microsoft Entra ID 中的外部协作设置的约束。 如果在 Microsoft Entra ID 中禁用或限制外部共享,则会替代在 Microsoft 365 中配置的共享设置。 异常是,如果未启用 Microsoft Entra B2B 集成。 可以将 SharePoint 和 OneDrive 配置为支持通过一次性密码(OTP)进行即席共享。 以下屏幕截图显示了“外部标识,外部协作设置”对话框。
了解详细信息:
来宾用户访问
邀请来宾用户有权访问资源。
- 登录到 Microsoft Entra 管理中心。
- 浏览到 “标识>外部标识>外部协作”设置。
- 查找 来宾用户访问 选项。
- 若要防止来宾用户访问其他来宾用户详细信息,以及为了防止枚举组成员身份,请选择 “来宾用户”对目录对象的属性和成员身份具有有限的访问权限。
来宾邀请设置
来宾邀请设置确定谁邀请来宾以及如何邀请来宾。 如果启用了 B2B 集成,则启用设置。 建议管理员和用户在来宾邀请者角色中可以邀请。 此设置允许设置受控协作过程。 例如:
团队所有者向来宾邀请者角色提交请求分配的票证:
- 负责来宾邀请
- 同意不将用户添加到 SharePoint
- 执行常规访问评审
- 根据需要撤销访问权限
IT 团队:
- 培训完成后,IT 团队将授予来宾邀请者角色
- 确保Microsoft 365 组所有者拥有足够的Microsoft Entra ID P2 许可证
- 创建Microsoft 365 组访问评审
- 确认访问评审发生
- 删除添加到 SharePoint 的用户
协作限制
对于“协作限制”选项,组织的业务需求决定了邀请的选择。
- 允许将邀请发送到任何域(最含) - 可以邀请任何用户
- 拒绝对指定域的邀请 - 可以邀请这些域以外的任何用户
- 仅允许对指定域发出邀请(限制最严格) - 无法邀请这些域以外的任何用户
Teams 中的外部用户和来宾用户
Teams 区分外部用户(组织外部)和来宾用户(来宾帐户)。 可以在组织范围的设置下的 Microsoft Teams 管理中心 管理协作设置。 需要经过授权的帐户凭据才能登录到 Teams 管理门户。
-
外部访问 - Teams 默认允许外部访问。 组织可以与所有外部域通信
- 使用外部访问设置限制或允许域
- 来宾访问 - 在 Teams 中管理来宾访问
了解详细信息: 使用来宾访问权限和外部访问权限与组织外部人员协作。
Microsoft Entra ID 控制权限中的外部标识协作功能。 可以在 Teams 中增加限制,但限制不能低于 Microsoft Entra 设置。
了解详细信息:
控制 SharePoint 和 OneDrive 中的访问
SharePoint 管理员可以在 SharePoint 管理中心中找到组织范围的设置。 建议组织范围内的设置是最低安全级别。 根据需要提高某些站点的安全性。 例如,对于高风险项目,将用户限制为某些域,并禁用成员邀请来宾。
了解详细信息:
- SharePoint 管理中心 - 需要访问权限
- SharePoint 管理中心入门
- 外部共享概述
将 SharePoint 和 OneDrive 与 Microsoft Entra B2B 集成
作为管理外部协作的策略的一部分,建议启用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成。 Microsoft Entra B2B 具有来宾用户身份验证和管理。 通过 SharePoint 和 OneDrive 集成,使用一次性密码进行文件、文件夹、列表项、文档库和网站的外部共享。
了解详细信息:
如果启用Microsoft Entra B2B 集成,则 SharePoint 和 OneDrive 共享受Microsoft Entra 组织关系设置的约束,例如 成员可以邀请 和 来宾可以邀请。
SharePoint 和 OneDrive 中的共享策略
在 Azure 门户中,可以使用 SharePoint 和 OneDrive 的外部共享设置来帮助配置共享策略。 OneDrive 限制不能比 SharePoint 设置更宽松。
了解详细信息: 外部共享概述
外部共享设置建议
配置外部共享时,请使用本节中的指南。
-
任何人 - 不建议。 如果启用,而不考虑集成状态,则不会为此链接类型应用任何 Azure 策略。
- 不要为受管理协作启用此功能
- 将其用于对各个网站的限制
-
新来宾和现有来宾 - 如果启用了集成,则建议使用
- 已启用 entra B2B 集成Microsoft:新来宾和当前来宾具有可以使用 Microsoft Entra 策略管理的 Microsoft Entra B2B 来宾帐户
- Microsoft Entra B2B 集成未启用:新来宾没有Microsoft Entra B2B 帐户,并且无法从 Microsoft Entra ID 进行管理
- 来宾具有Microsoft Entra B2B 帐户,具体取决于来宾的创建方式
-
现有来宾 - 如果尚未启用集成,建议使用
- 启用此选项后,用户可以与目录中的其他用户共享
-
仅组织中的人员 - 不建议使用外部用户协作
- 无论集成状态如何,用户都可以与组织中的其他用户共享
-
按域限制外部共享 - 默认情况下,SharePoint 允许外部访问。 允许与外部域共享。
- 使用此选项可限制或允许 SharePoint 域
- 仅允许特定安全组中的用户外部共享 - 使用此设置限制在 SharePoint 和 OneDrive 中共享内容的用户。 Microsoft Entra ID 中的设置适用于所有应用程序。 使用限制将用户定向到有关安全共享的培训。 完成是将其添加到共享安全组的信号。 如果选择此设置,并且用户无法成为批准的共享者,他们可能会发现未批准的共享方式。
- 允许来宾共享他们不拥有的项目 - 不建议这样做。 指导是禁用此功能。
- 使用此验证码的用户必须在此多天后重新进行身份验证(默认值为 30) - 建议
访问控制
访问控制设置会影响组织中的所有用户。 由于你可能无法控制外部用户是否具有合规的设备,因此本文中不会解决这些控件的问题。
-
空闲会话注销 - 建议
- 使用此选项可在非托管设备上在处于非活动状态的时间段后警告和注销用户
- 可以配置非活动期和警告
-
网络位置 - 设置此控件以允许从组织拥有的 IP 地址进行访问。
- 对于外部协作,请在网络或虚拟专用网络(VPN)中访问资源时设置此控制。
文件和文件夹链接
在 SharePoint 管理中心,可以设置文件和文件夹链接的共享方式。 可以为每个站点配置设置。
启用Microsoft Entra B2B 集成后,与组织外部的用户共享文件和文件夹会导致创建 B2B 用户。
- 对于 当用户在 SharePoint 和 OneDrive 中共享文件和文件夹时默认选择的链接类型,请选择 “仅组织中的人员”。
- 对于 “选择默认为共享链接选择的权限”,请选择“ 编辑”。
可以为每个站点的默认值自定义此设置。
任何人链接
不建议启用“任何人”链接。 如果启用它,请设置过期时间,并限制用户查看权限。 如果选择“仅查看文件或文件夹的权限”,则用户无法更改“任何人”链接以包括编辑权限。
了解详细信息:
后续步骤
请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。