Řízení přístupu ve skupinách Microsoft 365, Teams a SharePointu
Existuje mnoho ovládacích prvků, které umožňují řídit, jak lidé přistupují k prostředkům ve skupinách, týmech a SharePointu. Projděte si tyto možnosti a zvažte, jak se mapují na vaše obchodní potřeby, citlivost vašich dat a rozsah lidí, se kterými uživatelé potřebují spolupracovat.
Následující tabulka obsahuje stručné referenční informace o řízení přístupu, které jsou k dispozici v Microsoftu 365. Další informace najdete v následujících částech.
| Kategorie | Popis | Odkazy |
|---|---|---|
| Členství | ||
| Dynamické členství ve skupinách založené na pravidlech | Vytvoření nebo aktualizace dynamické skupiny v ID Microsoft Entra | |
| Určuje, kdo může sdílet soubory, složky a weby. | Nastavení a správa žádostí o přístup | |
| Podmíněný přístup | ||
| Vícefaktorové ověřování | Microsoft Entra vícefaktorové ověřování | |
| Řízení přístupu zařízení na základě citlivosti na skupinu, tým nebo web. | Použití popisků citlivosti k ochraně obsahu v Microsoft Teams, skupinách Microsoft 365 a sharepointových webech | |
| Omezte přístup k webu pro nespravovaná zařízení. | Řízení přístupu k SharePointu z nespravovaných zařízení | |
| Řízení přístupu k webu na základě umístění | Řízení přístupu k datům SharePointu a OneDrivu na základě umístění v síti | |
| Vynucujte přísnější podmínky přístupu při přístupu uživatelů k webům SharePointu. | Zásady podmíněného přístupu pro sharepointové weby a OneDrive | |
| Přístup hostů | ||
| Povolí nebo zablokuje sdílení SharePointu ze zadaných domén. | Omezení sdílení obsahu SharePointu a OneDrivu podle domény | |
| Povolit nebo zablokovat členství v týmu nebo skupině ze zadaných domén. | Povolení nebo blokování pozvánek uživatelům B2B z konkrétních organizací | |
| Zabránit anonymnímu sdílení | Vypnout odkazy Kdokoli | |
| Řízení oprávnění pro anonymní přístupové odkazy | Nastavení oprávnění k propojení pro odkazy Kdokoli | |
| Řídí vypršení platnosti anonymních odkazů ke sdílení. | Nastavení data vypršení platnosti pro odkazy Kdokoli | |
| Ve výchozím nastavení můžete řídit typ odkazu pro sdílení, který se uživatelům zobrazuje. | Změna výchozího typu odkazu pro web | |
| Omezit externí sdílení na konkrétní lidi. | Omezení externího sdílení na zadané skupiny zabezpečení | |
| Řízení přístupu hostů ke skupině, týmu nebo webu na základě citlivosti informací | Použití popisků citlivosti k ochraně obsahu v Microsoft Teams, skupinách Microsoft 365 a sharepointových webech | |
| Vypněte možnosti sdílení. | Omezení sdílení v Microsoftu 365 | |
| Správa uživatelů | ||
| Pravidelně kontrolujte členství v týmu a skupině. | Co jsou Microsoft Entra kontroly přístupu? | |
| Automatizujte správu přístupu pro skupiny a týmy. | Co je správa nároků Microsoft Entra? | |
| Omezte přístup k OneDrivu na členy konkrétní skupiny zabezpečení. | Omezení přístupu k OneDrivu podle skupiny zabezpečení | |
| Omezení přístupu k týmům nebo webu na členy skupiny | Omezení přístupu k webu SharePointu na členy skupiny | |
| Klasifikace informací | ||
| Klasifikace skupin a týmů | Použití popisků citlivosti k ochraně obsahu v Microsoft Teams, skupinách Microsoft 365 a sharepointových webech | |
| Automatická klasifikace citlivého obsahu | Automatické použití popisku citlivosti u obsahu | |
| Šifrování citlivého obsahu | Omezení přístupu k obsahu použitím šifrování pomocí popisků citlivosti | |
| Segmentace uživatelů | ||
| Omezení komunikace mezi segmenty uživatelů | Informační bariéry | |
| Rezidence dat | ||
| Ukládání dat v konkrétních geografických umístěních | Microsoft 365 Multi-Geo |
Členství
Členství ve skupině nebo týmu můžete spravovat dynamicky na základě určitých kritérií, jako je například oddělení. V takovém případě nemůžou členové a vlastníci zvát lidi do týmu. Dynamické skupiny používají metadata, která definujete v Microsoft Entra ID, aby bylo možné určit, kdo je členem skupiny. Ujistěte se, že jsou metadata, která používáte, úplná a aktuální, protože nesprávná metadata můžou vést k tomu, že uživatelé nebudou mít žádné skupiny nebo se přidají nesprávní uživatelé.
Sharepointové weby umožňují přidávat vlastníky, členy a návštěvníky kromě členství ve skupině nebo v týmu. V závislosti na vašich požadavcích můžete chtít omezit, kdo může pozvat lidi na web. V závislosti na citlivosti informací na daném webu můžete také chtít omezit, kdo může sdílet soubory a složky. Tato omezení konfiguruje tým, skupina nebo vlastník webu:
Podmíněný přístup
S Microsoftem 365 můžete vyžadovat vícefaktorové ověřování pro lidi ve vaší organizaci i mimo ni. Existuje mnoho možností pro okolnosti, kdy jsou lidé vyzváni k druhému faktoru ověřování. Důrazně doporučujeme nasadit vícefaktorové ověřování pro vaši organizaci:
Pokud máte v některých skupinách a týmech citlivé informace, můžete vynutit zásady správy zařízení na základě popisku citlivosti skupiny nebo týmu. Přístup můžete zcela zablokovat z nespravovaných zařízení nebo povolit omezený přístup pouze z webu:
V SharePointu můžete omezit přístup k webům z určených síťových umístění.
Další zdroje informací:
Přístup hostů
Hosty můžete omezit na základě domény jejich e-mailové adresy. SharePoint nabízí nastavení omezení domény pro celou organizaci a pro konkrétní web. Skupiny a Teams používají seznamy povolených domén nebo blokované seznamy v id Microsoft Entra. Nezapomeňte nakonfigurovat obě nastavení, abyste se vyhnuli nežádoucímu sdílení a zajistili konzistentní uživatelské prostředí:
Microsoft 365 umožňuje anonymní sdílení souborů a složek pomocí odkazů sdílení kdokoli . Odkazy se dají přeposlat komukoli a každý, kdo má odkaz, má přístup ke sdílené položce. V závislosti na citlivosti vašich dat zvažte, jak se budou odkazy Kdokoli používat – včetně jejich úplné vypnutí, omezení oprávnění k odkazům jen pro čtení nebo nastavení doby vypršení jejich platnosti:
Při sdílení souborů nebo složek mají uživatelé na výběr z několika typů odkazů. Pokud chcete snížit riziko náhodného nevhodného sdílení, můžete změnit výchozí typ odkazu, který se uživatelům zobrazí při sdílení. Například změna výchozího nastavení z odkazů Kdokoli, které umožňují anonymní přístup, na Lidé v odkazech vaší organizace může snížit riziko nežádoucího externího sdílení citlivých informací:
Pokud má vaše organizace citlivá data, která potřebujete sdílet s hosty, ale máte obavy z nevhodného sdílení, můžete externí sdílení souborů a složek omezit na členy určených skupin zabezpečení. Tímto způsobem můžete externí sdílení omezit na konkrétní skupinu lidí nebo vyžadovat, aby uživatelé před přidáním do skupiny zabezpečení absolvovali školení týkající se vhodného externího sdílení:
Skupiny a Teams mají nastavení na úrovni organizace, která povolují nebo zakazují přístup hostů. Přístup hostů můžete omezit na konkrétní týmy nebo skupiny pomocí Microsoft PowerShellu, ale doporučujeme to udělat pomocí popisku citlivosti. Pomocí popisků citlivosti můžete automaticky povolit nebo odepřít přístup hosta na základě použitého popisku:
V prostředí, kde často zvoute hosty do skupin a týmů, zvažte nastavení pravidelně plánovaných kontrol přístupu hostů. Vlastníkům se může zobrazit výzva, aby zkontrolovali hosty ve svých skupinách a týmech a schválili nebo odepřeli přístup.
Microsoft 365 nabízí mnoho různých způsobů sdílení informací. Pokud máte citlivé informace a chcete omezit způsob jejich sdílení, projděte si možnosti omezení sdílení:
Další zdroje informací:
Osvědčené postupy pro sdílení souborů a složek s neověřenými uživateli
Omezení náhodného vystavení souborům při sdílení s lidmi mimo vaši organizaci
Povolit externí spolupráci B2B a spravovat, kdo může zvát hosty
Správa uživatelů
S tím, jak se skupiny a týmy ve vaší organizaci vyvíjejí, je dobrým postupem pravidelně kontrolovat členství v týmu a ve skupinách. To může být užitečné zejména pro týmy a skupiny s měnícím se členstvím, ty, které obsahují citlivé informace, nebo ty, které zahrnují hosty. Zvažte nastavení kontrol přístupu pro tyto týmy a skupiny:
Mnoho organizací má obchodní partnerství s jinými organizacemi nebo klíčovými dodavateli, se kterými úzce spolupracují. Správa uživatelů a přístupu k prostředkům může být v těchto scénářích náročná. Zvažte automatizaci některých úloh správy uživatelů a dokonce i převod některých z nich do partnerské organizace:
Soukromé kanály v Teams umožňují konverzace s vymezeným oborem a sdílení souborů mezi podmnožinou členů týmu. V závislosti na konkrétních obchodních potřebách můžete chtít tuto funkci povolit nebo zablokovat.
Sdílené kanály umožňují zvát lidi, kteří nejsou členy týmu nebo mimo organizaci. V závislosti na konkrétních obchodních potřebách a zásadách externího sdílení můžete chtít tuto funkci povolit nebo zablokovat.
OneDrive poskytuje uživatelům snadný způsob, jak ukládat a sdílet obsah, na kterém pracují. V závislosti na potřebách vaší firmy můžete chtít omezit přístup k tomuto obsahu na zaměstnance společnosti nebo jiné skupiny v rámci společnosti na plný úvazek. Pokud ano, můžete přístup k obsahu OneDrivu omezit na členy skupiny zabezpečení.
U některých citlivějších týmů nebo webů můžete chtít omezit přístup k obsahu týmu nebo webu na členy týmu nebo na členy skupiny zabezpečení.
Další zdroje informací:
Klasifikace informací
Pomocí popisků citlivosti můžete řídit přístup hostů, ochranu osobních údajů skupin a týmů a přístup nespravovaných zařízení pro skupiny a týmy. Když uživatel použije popisek, tato nastavení se automaticky nakonfigurují podle nastavení popisku.
Microsoft 365 můžete nakonfigurovat tak, aby automaticky použil popisky citlivosti u souborů a e-mailů na základě zadaných kritérií, včetně zjišťování typů citlivých informací nebo porovnávání vzorů pomocí vytrénovatelných klasifikátorů.
K šifrování souborů můžete použít popisky citlivosti a dešifrovat je a číst jenom ti, kdo mají oprávnění.
Další zdroje informací:
Segmentace uživatelů
Díky informačním bariérám můžete segmentovat data a uživatele, abyste omezili nežádoucí komunikaci a spolupráci mezi skupinami a vyhnuli se konfliktům zájmů ve vaší organizaci. Informační bariéry umožňují vytvářet zásady, které povolí nebo zabrání spolupráci na souborech, chatování, volání nebo pozvání na schůzku mezi skupinami lidí ve vaší organizaci.
Rezidence dat
S Microsoft 365 Multi-Geo můžete zřizovat a ukládat neaktivní uložená data v geografických umístěních, která jste zvolili pro splnění požadavků na rezidenci dat. V prostředí Multi-Geo se váš tenant Microsoftu 365 skládá z centrálního umístění (kde bylo původně zřízeno vaše předplatné Microsoftu 365) a jednoho nebo více satelitních umístění, kde můžete ukládat data.
Související témata
Doporučení k plánování zásad správného řízení pro spolupráci
Vytvoření plánu zásad správného řízení pro spolupráci
Zabezpečení a dodržování předpisů v Microsoft Teams