本文介绍如何使用 Microsoft Teams、OneDrive for Business 和 SharePoint 来确定和配置组织的外部协作。 一个常见的挑战是平衡最终用户和外部用户的安全性和轻松协作。 如果批准的协作方法被视为限制性且繁重,则最终用户会逃避批准的方法。 最终用户可能会通过电子邮件发送不安全的内容,或设置外部进程和应用程序,例如个人 Dropbox 或 OneDrive。
在您开始之前
本文是一系列 10 篇文章中的第 9 个。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。
外部身份设置和 Microsoft Entra ID
在 Microsoft 365 中,共享部分是由 Microsoft Entra ID 中的外部标识和外部协作设置进行管理的。 如果在 Microsoft Entra ID 中禁用或限制外部共享,则会替代在 Microsoft 365 中配置的共享设置。 例外情况是,如果未启用 Microsoft Entra B2B 集成。 可以将 SharePoint 和 OneDrive 配置为支持通过一次性密码(OTP)进行即席共享。 以下屏幕截图显示了“外部标识,外部协作设置”对话框。
了解详细信息:
来宾用户访问
来宾用户获邀访问资源。
- 登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>外部身份>外部协作设置。
- 查找 来宾用户访问 选项。
- 若要防止来宾用户访问其他来宾用户详细信息,以及为了防止枚举组成员身份,请选择 “来宾用户”对目录对象的属性和成员身份具有有限的访问权限。
来宾邀请设置
来宾邀请设置确定谁邀请来宾以及如何邀请来宾。 启用了 B2B 集成后,设置将被启用。 建议扮演来宾邀请者角色的管理员和用户可以进行邀请。 此设置允许设置受控协作过程。 例如:
团队所有者提交了一张工单,请求分配来宾邀请者角色。
- 负责来宾邀请
- 同意不将用户添加到 SharePoint
- 执行定期访问审核
- 根据需要撤销访问权限
IT 团队:
- 培训完成后,IT 团队将授予来宾邀请者角色
- 确保将要进行审核的Microsoft 365组所有者拥有足够的Microsoft Entra ID P2许可证。
- 创建 Microsoft 365 组 访问审查
- 已确认进行访问审查
- 删除添加到 SharePoint 的用户
- 选择访客电子邮件一次性密码的横幅。
- 对于 通过用户流启用来宾自助注册,请选择“ 是”。
协作限制
对于“协作限制”选项,组织的业务需求决定了邀请的选择。
- 允许将邀请发送到任何域(最大程度包容) - 可以邀请所有用户
- 拒绝对指定域的邀请 - 可以邀请这些域以外的任何用户
- 仅允许对指定域发出邀请(限制最严格) - 无法邀请这些域以外的任何用户
Teams 中的外部用户和来宾用户
Teams 区分外部用户(组织外部)和来宾用户(来宾帐户)。 可以在 Microsoft Teams 管理中心 的组织范围设置中管理协作设置。 需要经过授权的帐户凭据才能登录到 Teams 管理门户。
-
外部访问 - Teams 默认允许外部访问。 组织可以与所有外部域通信
- 使用外部访问设置限制或允许域
- 来宾访问 - 在 Teams 中管理来宾访问
了解详细信息: 使用来宾访问权限和外部访问权限与组织外部人员协作。
Microsoft Entra ID 中的外部标识协作功能用于控制权限。 可以在 Teams 中增加限制,但限制不能低于 Microsoft Entra 设置。
了解详细信息:
控制 SharePoint 和 OneDrive 中的访问
SharePoint 管理员可以在 SharePoint 管理中心中找到组织范围的设置。 建议组织范围内的设置至少达到最低安全级别。 根据需要提高某些站点的安全性。 例如,对于高风险项目,将用户限制为某些域,并禁用成员邀请来宾。
了解详细信息:
- SharePoint 管理中心 - 需要访问权限
- SharePoint 管理中心入门
- 外部共享概述
将 SharePoint 和 OneDrive 与 Microsoft Entra B2B 集成
作为管理外部协作的策略的一部分,建议启用 SharePoint 和 OneDrive 与 Microsoft Entra B2B 的集成。 Microsoft Entra B2B 具有来宾用户身份验证和管理。 通过 SharePoint 和 OneDrive 集成,使用一次性密码进行文件、文件夹、列表项、文档库和网站的外部共享。
了解详细信息:
如果启用 Microsoft Entra B2B 集成,则 SharePoint 和 OneDrive 共享受 Microsoft Entra 组织关系设置的约束,例如,成员可以邀请 和 来宾可以邀请。
SharePoint 和 OneDrive 中的共享策略
在 Azure 门户中,可以使用 SharePoint 和 OneDrive 的外部共享设置来帮助配置共享策略。 OneDrive 限制不能比 SharePoint 设置更宽松。
了解详细信息: 外部共享概述
外部共享设置建议
配置外部共享时,请使用本节中的指南。
-
任何人 - 不建议。 如果启用,而不考虑集成状态,则不会为此链接类型应用任何 Azure 策略。
- 不要为受管理协作启用此功能
- 将其用于对各个网站的限制
-
新来宾和现有来宾 - 如果启用了集成,则推荐
- Microsoft Entra B2B 集成已启用:新来宾和当前来宾都有 Microsoft Entra B2B 来宾帐户,您可以通过 Microsoft Entra 策略进行管理。
- Microsoft Entra B2B 集成未启用:新来宾没有Microsoft Entra B2B 帐户,并且无法从 Microsoft Entra ID 进行管理
- 来宾具有Microsoft Entra B2B 帐户,具体取决于来宾的创建方式
-
现有用户 - 如果没有启用集成,推荐使用
- 启用此选项后,用户可以与目录中的其他用户共享
-
仅组织中的人员 - 不推荐与外部用户协作
- 无论集成状态如何,用户都可以与组织中的其他用户共享
-
按域限制外部共享 - 默认情况下,SharePoint 允许外部访问。 允许与外部域共享。
- 使用此选项可对 SharePoint 的域进行限制或允许
- 仅允许特定安全组中的用户外部共享 - 使用此设置限制在 SharePoint 和 OneDrive 中共享内容的用户。 Microsoft Entra ID 中的设置适用于所有应用程序。 使用限制将用户定向到有关安全共享的培训。 完成后,即表明可以将他们添加到共享安全组中。 如果选择此设置,并且用户无法成为批准的共享者,他们可能会发现未批准的共享方式。
- 允许来宾共享他们不拥有的项目 - 不建议这样做。 建议禁用此功能。
- 使用此验证码的用户必须在此多天后重新进行身份验证(默认值为 30) - 建议
访问控制
访问控制设置会影响组织中的所有用户。 由于你可能无法控制外部用户是否具有合规的设备,因此本文中不会解决这些控件的问题。
-
空闲会话注销 - 建议
- 使用此选项可在非托管设备上在处于非活动状态的时间段后警告和注销用户
- 可以配置非活动期和警告
-
网络位置 - 设置此控件以允许从组织拥有的 IP 地址进行访问。
- 对于外部协作,如果您的外部合作伙伴在您的网络或通过虚拟专用网络(VPN)访问资源,请配置此控制。
文件和文件夹链接
在 SharePoint 管理中心,可以设置文件和文件夹链接的共享方式。 可以为每个站点配置设置。
启用Microsoft Entra B2B 集成后,与组织外部的用户共享文件和文件夹会导致创建 B2B 用户。
- 对于 当用户在 SharePoint 和 OneDrive 中共享文件和文件夹时默认选择的链接类型,请选择 “仅组织中的人员”。
- 对于选择用于共享链接的默认权限,请选择编辑。
可以为每个站点的默认值自定义此设置。
任何人都可以访问的链接
不建议启用“任何人可以访问的”链接。 如果启用它,请设置过期时间,并限制用户查看权限。 如果选择“仅查看文件或文件夹的权限”,则用户无法更改“任何人”链接以包括编辑权限。
了解详细信息:
后续步骤
请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。