Styring af adgang i Microsoft 365-grupper, Teams og SharePoint
Der er mange kontrolelementer, der giver dig mulighed for at styre, hvordan personer får adgang til ressourcer i grupper, teams og SharePoint. Gennemse disse indstillinger, og overvej, hvordan de knyttes til dine forretningsbehov, følsomheden af dine data og omfanget af personer, som dine brugere skal samarbejde med.
Følgende tabel indeholder en hurtig reference til de adgangskontrolelementer, der er tilgængelige i Microsoft 365. Du kan finde flere oplysninger i følgende afsnit.
| Kategori | Beskrivelse | Reference |
|---|---|---|
| Medlemskab | ||
| Dynamisk gruppemedlemskab baseret på regler | Opret eller opdater en dynamisk gruppe i Microsoft Entra-id | |
| Styr, hvem der kan dele filer, mapper og websteder. | Konfigurer og administrer adgangsanmodninger | |
| Betinget adgang | ||
| Multifaktorgodkendelse | godkendelse af Microsoft Entra multifaktor | |
| Kontrollér enhedsadgang baseret på gruppe-, team- eller webstedsfølsomhed. | Brug følsomhedsmærkater til at beskytte indhold i Microsoft Teams, Microsoft 365-grupper og SharePoint-websteder | |
| Begræns webstedsadgang for ikke-administrerede enheder. | Kontrollér SharePoint-adgang fra ikke-administrerede enheder | |
| Kontrollér webstedsadgang baseret på placering | Kontrollér adgang til SharePoint- og OneDrive-data baseret på netværksplacering | |
| Gennemtving strengere adgangsbetingelser, når brugerne får adgang til SharePoint-websteder. | Politik for betinget adgang for SharePoint-websteder og OneDrive | |
| Gæsteadgang | ||
| Tillad eller bloker SharePoint-deling fra angivne domæner. | Begræns deling af SharePoint- og OneDrive-indhold efter domæne | |
| Tillad eller bloker team- eller gruppemedlemskab fra angivne domæner. | Tillad eller bloker invitationer til B2B-brugere fra bestemte organisationer | |
| Undgå anonym deling. | Slå alle links fra | |
| Kontrollér tilladelserne for anonyme adgangslinks. | Angiv linktilladelser for alle links | |
| Kontrollér udløb af anonyme delingslinks. | Angiv en udløbsdato for links til alle | |
| Kontrollér den type delingslink, der vises for brugerne som standard. | Skift standardlinktypen for et websted | |
| Begræns ekstern deling til bestemte personer. | Begræns ekstern deling til angivne sikkerhedsgrupper | |
| Kontrollér gæsteadgangen til en gruppe, et team eller et websted baseret på følsomhed over for oplysninger. | Brug følsomhedsmærkater til at beskytte indhold i Microsoft Teams, Microsoft 365-grupper og SharePoint-websteder | |
| Slå delingsindstillinger fra. | Begræns deling i Microsoft 365 | |
| Brugeradministration | ||
| Gennemse team- og gruppemedlemskab regelmæssigt. | Hvad er Microsoft Entra adgangsgennemgange? | |
| Automatiser adgangsstyring til grupper og teams. | Hvad er Microsoft Entra rettighedsstyring? | |
| Begræns OneDrive-adgang til medlemmer af en bestemt sikkerhedsgruppe. | Begræns Adgang til OneDrive efter sikkerhedsgruppe | |
| Begræns teams eller webstedsadgang til medlemmer af en gruppe. | Begræns SharePoint-webstedets adgang til medlemmer af en gruppe | |
| Informationsklassificering | ||
| Klassificer grupper og teams | Brug følsomhedsmærkater til at beskytte indhold i Microsoft Teams, Microsoft 365-grupper og SharePoint-websteder | |
| Klassificer automatisk følsomt indhold | Anvend automatisk en følsomhedsmærkat på indhold | |
| Kryptér følsomt indhold | Begræns adgangen til indhold ved at bruge følsomhedsmærkater til at anvende kryptering | |
| Brugersegmentering | ||
| Begræns kommunikationen mellem brugersegmenter | Informationsbarrierer | |
| Dataopbevaring | ||
| Gem data på bestemte geografiske placeringer | Microsoft 365 Multi-Geo |
Medlemskab
Du kan administrere medlemskab af en gruppe eller et team dynamisk baseret på nogle kriterier, f.eks. afdeling. I dette tilfælde kan medlemmer og ejere ikke invitere personer til teamet. Dynamiske grupper bruger metadata, som du definerer i Microsoft Entra id, til at styre, hvem der er medlem af gruppen. Sørg for, at de metadata, du bruger, er fuldført og opdateret, da forkerte metadata kan føre til, at brugerne bliver udeladt af grupper, eller at der tilføjes forkerte brugere.
SharePoint-websteder giver mulighed for at tilføje ejere, medlemmer og besøgende bortset fra gruppe- eller teammedlemskab. Afhængigt af dine krav kan det være en god idé at begrænse, hvem der kan invitere personer til webstedet. Afhængigt af følsomheden af oplysningerne på et givet websted kan det også være en god idé at begrænse, hvem der kan dele filer og mapper. Disse begrænsninger er konfigureret af teamet, gruppen eller webstedets ejer:
Betinget adgang
Med Microsoft 365 kan du kræve multifaktorgodkendelse for både personer i og uden for din organisation. Der er mange muligheder for omstændighederne, når folk bliver bedt om at angive en anden godkendelsesfaktor. Vi anbefaler på det kraftigste, at du udruller multifaktorgodkendelse for din organisation:
Hvis du har følsomme oplysninger i nogle af dine grupper og teams, kan du gennemtvinge politikker for enhedshåndtering baseret på en gruppes eller teamets følsomhedsmærkat. Du kan blokere adgang helt fra ikke-administrerede enheder eller tillade begrænset webadgang:
I SharePoint kan du begrænse adgangen til websteder fra angivne netværksplaceringer.
Flere ressourcer:
Gæsteadgang
Du kan begrænse gæster baseret på domænet for deres mailadresse. SharePoint tilbyder indstillinger for domænebegrænsning for hele organisationen og webstedsspecifikke indstillinger. Grupper og Teams bruger domænetilladelser eller blokeringslister i Microsoft Entra-id. Sørg for at konfigurere begge indstillinger for at undgå uønsket deling og sikre en ensartet brugeroplevelse:
Begræns deling af SharePoint- og OneDrive-indhold efter domæne
Tillad eller bloker invitationer til B2B-brugere fra bestemte organisationer
Microsoft 365 tillader anonym deling af filer og mapper ved hjælp af alle, der deler links. Alle links kan videresendes, og alle med linket kan få adgang til det delte element. Afhængigt af dataenes følsomhed bør du overveje at styre, hvordan alle links bruges – herunder at deaktivere dem helt, begrænse linktilladelser til skrivebeskyttet eller angive en udløbstid for dem:
Når du deler filer eller mapper, har brugerne flere linktyper at vælge imellem. Hvis du vil reducere risikoen for utilsigtet upassende deling, kan du ændre den standardlinktype, der vises for brugerne, når de deler. Hvis du f.eks. ændrer standardindstillingen fra Alle-links – som tillader anonym adgang – til Mennesker i din organisation, kan links reducere risikoen for uønsket ekstern deling af følsomme oplysninger:
Hvis din organisation har følsomme data, som du skal dele med gæster, men du er bekymret for upassende deling, kan du begrænse ekstern deling af filer og mapper til medlemmerne af de angivne sikkerhedsgrupper. På denne måde kan du begrænse deling eksternt til en bestemt gruppe af personer eller kræve, at dine brugere træner omkring passende ekstern deling, før de føjes til sikkerhedsgruppen:
Grupper og Teams har indstillinger på organisationsniveau, der tillader eller nægter gæsteadgang. Selvom du kan begrænse gæsteadgangen til bestemte teams eller grupper ved hjælp af Microsoft PowerShell, anbefaler vi, at du gør dette ved hjælp af en følsomhedsmærkat. Med følsomhedsmærkater kan du automatisk tillade eller nægte gæsteadgang baseret på den anvendte mærkat:
I et miljø, hvor du ofte inviterer gæster til grupper og teams, kan du overveje at konfigurere regelmæssigt planlagte anmeldelser af gæsteadgang. Ejere kan blive bedt om at gennemse gæster i deres grupper og teams og godkende eller nægte adgang.
Microsoft 365 tilbyder mange forskellige metoder til deling af oplysninger. Hvis du har følsomme oplysninger, og du vil begrænse, hvordan de deles, skal du gennemse mulighederne for at begrænse deling:
Flere ressourcer:
Bedste praksis for deling af filer og mapper med ikke-godkendte brugere
Begræns utilsigtet eksponering af filer, når der deles med personer uden for din organisation
Aktivér eksternt B2B-samarbejde, og administrer, hvem der kan invitere gæster
Brugeradministration
I takt med at grupper og teams udvikler sig i din organisation, er det en god idé at gennemgå team- og gruppemedlemskab regelmæssigt. Dette kan være særligt nyttigt for teams og grupper med et skiftende medlemskab, dem, der indeholder følsomme oplysninger, eller dem, der omfatter gæster. Overvej at konfigurere adgangsgennemgange for disse teams og grupper:
Mange organisationer har forretningspartnerskaber med andre organisationer eller nøgleleverandører, som de samarbejder i dybden med. Det kan være en udfordring at administrere brugeradministration og adgang til ressourcer i disse scenarier. Overvej at automatisere nogle af brugeradministrationsopgaverne og endda overføre nogle af dem til din partnerorganisation:
Private kanaler i Teams giver mulighed for omfangserede samtaler og fildeling mellem et undersæt af teammedlemmer. Afhængigt af dine specifikke forretningsbehov kan det være en god idé at tillade eller blokere denne funktion.
Delte kanaler giver dig mulighed for at invitere personer uden for teamet eller uden for organisationen. Afhængigt af dine specifikke forretningsbehov og eksterne delingspolitikker kan det være en god idé at tillade eller blokere denne funktion.
OneDrive gør det nemt for brugerne at gemme og dele indhold, som de arbejder på. Afhængigt af dine forretningsbehov kan det være en god idé at begrænse adgangen til dette indhold til fuldtidsansatte virksomhedsmedarbejdere eller andre grupper i virksomheden. Hvis det er tilfældet, kan du begrænse adgangen til OneDrive-indhold til medlemmer af en sikkerhedsgruppe.
For nogle mere følsomme teams eller websteder kan det være en god idé at begrænse adgangen til team- eller webstedsindhold til medlemmer af teamet eller til medlemmer af en sikkerhedsgruppe.
Flere ressourcer:
Informationsklassificering
Du kan bruge følsomhedsmærkater til at styre gæsteadgang, gruppe- og teambeskyttelse og adgang for ikke-administrerede enheder for grupper og teams. Når en bruger anvender mærkaten, konfigureres disse indstillinger automatisk som angivet i etiketindstillingerne.
Du kan konfigurere Microsoft 365 til automatisk at anvende følsomhedsmærkater på filer og mails baseret på de kriterier, du angiver, herunder registrering af følsomme informationstyper eller mønster, der matcher med klassificeringer, der kan oplæres.
Du kan bruge følsomhedsmærkater til at kryptere filer, så det kun er dem, der har tilladelse til at dekryptere og læse dem.
Flere ressourcer:
Brugersegmentering
Med informationsbarrierer kan du segmentere dine data og brugere for at begrænse uønsket kommunikation og samarbejde mellem grupper og undgå interessekonflikter i din organisation. Med informationsbarrierer kan du oprette politikker, der tillader eller forhindrer filsamarbejde, chat, opkald eller mødeinvitationer mellem grupper af personer i din organisation.
Dataopbevaring
Med Microsoft 365 Multi-Geo kan du klargøre og gemme inaktive data på de geografiske placeringer, du har valgt at opfylde kravene til dataopbevaring. I et Multi-Geo-miljø består din Microsoft 365-lejer af en central placering (hvor dit Microsoft 365-abonnement oprindeligt er klargjort) og en eller flere satellitplaceringer, hvor du kan gemme data.
Relaterede emner
Anbefalinger til planlægning af styring af samarbejde
Opret din plan for styring af samarbejde
Sikkerhed og overholdelse af angivne standarder i Microsoft Teams