Externí sdílení v Office 365
Jak název článku napovídá, budeme se zabývat sdílením, konkrétně externím sdílením. Jistě jste o možnostech externího sdílení v Office 365 již slyšeli, dost možná jste jej dokonce i použili. A možná jste kvůli této možnosti externího sdílení předplatné Office 365 dokonce kupovali. A nebo jste se díky možnosti externího sdílení dostali k hybridnímu scénáři využití SharePoint. Právě externí sdílení je totiž jedna z možností, kterou nelze provozovat samostatně v On Premises prostředí.
Na první pohled se zdá vše poměrně jednoduché, ale protože každé změny mají své souvislosti, v následujícím článku si v možnostech externího sdílení zkusíme udělat trochu jasno.
Na konci článku je odkaz na Skype meeting, který proběhne 19. 10. 2017 ve 14:30, kde se budete moci dozvědět další zajímavosti, nebo se zeptat na Vaše dotazy.
Sdílení je jednoduché….
Ano i ne. Vlastní sdílení je skutečně poměrně jednoduché - vyberete dokument nebo složku, kliknete na sdílení a napíšete emailovou adresu externího uživatele, se kterým chcete dokument sdílet. Vyberete oprávnění a odešlete pozvánku. Voilà, a je to.
Článek by takto pozitivně mohl skončit, pokud by ovšem nebylo několik ale, které je dobré při používání externího sdílení vědět a dopředu zvážit. Kupříkladu takové zajímavé téma, jako je bezpečnost.
Následující informace jsou určené spíše pro správce prostředí Office 365, SharePoint Online, OneDrive for Business nebo Office 365 Groups, ale informace budou jistě zajímat také osobu zodpovědnou za bezpečnost.
….ale také nebezpečné
Možná právě u jednoduchého formuláře sdílení pro některé uživatele začíná kámen úrazu. Výchozí nastavení tenantu není příliš bezpečné. Výchozí nastavení je především flexibilní pro uživatele. A to znamená ne příliš bezpečné - budeme tedy říkat raději benevolentní. Na jedné misce vah je flexibilita, na druhé bezpečnost. Obojí mít bohužel nelze, u bezpečnosti se často hledá přijatelný kompromis. V případě výchozího nastavení externího sdílení v Office 365 je preferována spíše uživatelská flexibilita.
Pro bezpečnější způsob využití externího sdílení je potřeba splnit navíc jeden předpoklad – příjemce musí vlastnit Microsoft Account, nebo jiný Office 365 Account. Myslíte, že uživatelé vždy vědí zda takový účet mají?
Úrovně sdílení
Nejdříve si pojďme krátce zrekapitulovat, jaké možnosti sdílení jsou k dispozici. Následující možnosti jsou převzaty z webu support.office.com.
- Bez externího sdílení – weby a dokumenty je možné sdílet jenom s interními uživateli předplatného Office 365.
- Sdílení jen s externími uživateli v adresáři – weby, složky a dokumenty můžete sdílet jenom s externími uživateli, kteří jsou v adresáři uživatelů Office 365. Mohou to být třeba uživatelé, kteří přijali pozvání ke sdílení, nebo uživatelé, kteří byli naimportováni z jiného tenanta Office 365 nebo Azure Active Directory.
- Sdílení s ověřenými externími uživateli – weby, složky a dokumenty můžete sdílet s externími uživateli, kteří mají účet Microsoft, případně pracovní nebo školní účet z jiného předplatného Office 365 nebo z předplatného Azure Active Directory.
- Sdílení s anonymními uživateli – dokumenty a složky (nikoli weby) můžete sdílet prostřednictvím anonymního odkazu. Každý, kdo má odkaz, může dokument zobrazit, upravit nebo nahrát do složky.
Výchozí nastavení sdílení
Možnosti sdílení jsme si popsali v kostce výše, ale jaké je výchozí nastavení tenantu? Jak bylo zmíněno výše, není příliš bezpečné, resp. chtěli jsme vlastně říkat benevolentnější.
- Root site kolekce – Povoleno anonymní sdílení
- OneDrive for Business – Povoleno anonymní sdílení
- Přeposlání pozvánky – Povoleno
- Výchozí možnost sdílení – Anonymní sdílení
- Expirace anonymních odkazů – Není nastavena
- Povolené oprávnění – Zobrazit a editovat
- Umožnit ne-vlastníkům dokumenty sdílet dále – Povoleno
Veškeré výše uvedené odrážky představují určité riziko a proto byste měli vědět, co se za tímto nastavením skrývá. A v případě potřeby umět toto nastavení změnit. Vězte, že vše z uvedeného nastavení lze provádět buď z centrální správy OneDrive (admin.onedrive.com), centrální správy SharePoint, portálu Office 365, nebo také s pomocí PowerShellu.
S čím začít?
Začněme postupně. A pěkně seshora.
1. Office 365
- Na úrovni Office 365 lze možnosti sdílení nastavit v sekci „Sdílení“. Tam se dostanete přes „Nastavení“ > „Zabezpečení a soukromí“ > „Sdílení“.
- Zde můžete zakázat možnost zvát nové hosty do tenantu. Tzn., fakticky zabránit přidávání nových externích účtů z úrovně SharePoint, OneDrive nebo Office 365.
- Přidávání nových externích účtů z portálu Azure bude možné stále a také bude nadále možné vytvářet sdílení na již existující externí účty.
Nenechte se zmást, nastavení na více úrovních se může zdát na první pohled matoucí, ale dává smysl.
2. OneDrive for Business a SharePoint Online
Projděte si také nastavení služeb SharePoint Online a OneDrive for Business.
- SharePoint Online a OneDrive for Business mají své nastavení na adresách https://admin.onedrive.com/?v=SharingSettings a https://tenant-admin.sharepoint.com.
- Na těchto adresách najdete nastavení externího sdílení v konsolidované podobě pro obě služby.
3. Office 365 Groups
- Nastavení sdílení pro Office 365 skupiny se provádí na úrovni portálu Office 365 v sekci „Nastavení“ > „Služby a doplňky“ > „Skupiny Office 365“.
- Abych nastavení špatně neinterpretoval, přikládám raději přesný výpis nastavení.
- Umožnit přístup k obsahu skupiny i členům skupiny mimo naši organizaci – výchozí nastavení Zapnuto
- Když tuto možnost vypnete, budou hosté dál uvádění jako členové skupiny, ale nebudou z ní dostávat e-maily a nebudou mít přístup k jejímu obsahu. Dostanou se jenom k jednotlivým souborům skupiny, které jim někdo přímo nasdílí.
- Umožnit vlastníkům skupin přidávat lidi mimo naši organizaci do skupin – výchozí nastavení Zapnuto
- I když tuto možnost vypnete, budou mít hosté, kteří už jsou členy skupin, dál přístup k obsahu daných skupin. Hosté, kteří už jsou členy skupiny, budou pořád přístup k prostředkům skupiny.
- Umožnit přístup k obsahu skupiny i členům skupiny mimo naši organizaci – výchozí nastavení Zapnuto
Mám tedy něco změnit?
Zatím samé otázky, že? Jistě, bavíme se přece o bezpečnosti.
Anonymní sdílení
Anonymní sdílení je ten typ sdílení, kdy lze vygenerovat jednoznačnou URL pro daný dokument, případně složku a ten odeslat příjemci. Příjemce tuto URL může libovolně sdílet dále.
- Nejdříve byste se měli rozhodnout, zda chcete vůbec anonymní sdílení ve Vašem prostředí povolit. Máte možnost se rozhodnout selektivně zvlášť pro SharePoint nebo OneDrive for Business.
- Protože si je Microsoft vědom nebezpečí plynoucího z tohoto typu sdílení, na letošní konferenci Microsoft Ignite bylo představeno (kromě mnoha dalších novinek) vylepšení, které zajistí, že příjemce anonymního odkazu musí dalším emailem potvrdit, že je vlastníkem emailové schránky, na kterou byl anonymní odkaz původně vygenerován.
- Funguje to tak, že uživatel sdílí dokument anonymně a odesílá tuto pozvánku na libovolnou emailovou adresu příjemce.
- Příjemce klikne na dokument a zobrazí se mu varování, že musí vložit ještě bezpečnostní kód. Ten je mu vzápětí odeslán do stejné emailové schránky.
- Tímto postupem je ověřeno, že anonymní sdílení používá pouze ten uživatel, komu byla pozvánka odeslána. Doposud totiž bylo možné tento URL odkaz poslat naprosto komukoliv, což jistě nelze považovat za bezpečné externí sdílení. Tedy pokud jste neměli implementovanou technologii RMS. Ale to je úplně jiná hra. Vlastně je to hra na úplně jiném hřišti.
- Aktuálně se toto rozšíření bezpečnostního kódu implementuje do Office 365 pro „First Relase“ a není stále ještě k dispozici plošně. Více o této novince najdete na webu techcommunity.microsoft.com.
- Dobrá zpráva je, že máte možnost nastavení anonymního sdílení omezit také na úrovni konkrétních site kolekcí.
- V praxi bývá proto vhodné, pokud chcete tuto možnost používat, povolit anonymní sdílení pouze na dedikované site kolekci a nepovolovat tuto mo6nost plošně.
Přeposílání pozvánek
Ať již anonymní sdílení povolíte nebo ne, dále byste měli zvážit, zda chcete umožnit uživatelům pozvánku přeposlat na jinou identitu.
- Ve výchozím nastavení je umožněno, aby uživatel přeposlal pozvánku někomu jinému. Pozor, nyní se bavíme se o klasické pozvánce odesílané na identitu (nikoliv anonymní URL).
- Pokud je toto nastavení povoleno, příjemce pozvánky se totiž může rozhodnou, že takovou pozvánku nevyužije a přepošle ji dalšímu kolegovi.
- Ani toto není příliš bezpečné, protože pozvánku tak může původní příjemce poslat opět komukoliv. (pokud nebyla pozvánka již použita).
- Pro tento typ pozvánky je již potřeba vlastnit buď Microsoft Account nebo Office 365 Account, ale toto nastavení velmi pravděpodobně také nebude chtít nechat ve výchozím stavu.
Výchozí možnost sdílení
Dalším nastavením hodným revize by mohlo být například výchozí možnost sdílení. Toto nastavení určuje, jaká volba se uživateli zobrazí jako první (default)
- Když už máte anonymní odkazy na definované site kolekci povolené, pravděpodobně nechcete, aby se tato volba nabízela ve výchozím stavu jako první.
- Nejbezpečnějším nastavením je zde „Internal“
- Toto nastavení se liší pro OneDrive for Business a SharePoint. Pro SharePoint se spravuje v centrální administraci SharePoint.
- Dobrá zpráva je, že pro SharePoint je výchozí nastavení „Internal“.
Platnost anonymního odkazu
V případě povolení anonymního sdílení, můžete dále nastavit platnost URL odkazu a úroveň možného oprávnění.
- Na obrázku z rozhraní https://admin.onedrive.com je vidět výchozí nastavení 0 – to znamená, že nebudete omezovat platnost a odkazy budou trvalé, dokud je někdo neodstraní. Zajímavé je, že na úrovni portálu správy Office 365 je uvedeno číslo 30. Nenechte se však mást, platí 0, resp. to ukazuje PowerShell pomocí Get-SPOTenant.
- Můžete také nastavit úroveň oprávnění – a to zvlášť pro soubory a zvlášť pro složky. Opět selektivně pro SharePoint a OneDrive for Business.
Re-sharing
Re-share česky moc výstižně přeložit nejde. V zásadě jde o možnost sdílet dále to, co se mnou někdo sílí. Tj. umožnit ne-vlastníkům dokumenty sdílet dalším uživatelům.
- Tato volba umožňuje, zda uživatelé, kteří mají díky pozvánce přístup k dokumentu, mohou tento dokument sdílet dále.
Neanonymní sdílení - sdílení na účet
Bez ohledu na nastavení externího sdílení, pokud již nějaké externí budete chtít vůbec využívat, bezpečnější neanonymní sdílení budete pravděpodobně využívat také.
- Jedním z předpokladů pro toto neanonymní sdílení je existence Office 365 nebo Microsoft účtu na straně příjemce (také známý jako Live ID).
- Pokud příjemce takový účet nemá, musí si jej založit.
- To může být někdy pro zcela běžného uživatele mírně problematické.
- Zvlášť matoucí pro uživatele může být situace, kdy jde například o existující Google Account, kde má uživatel již založenou emailovou schránku.
- Uživateli se těžko vysvětluje, že jeho soukromý Google Account může být také Microsoft Account. A možná již registrovaný jako Microsoft Account dokonce je. Ale to uživatel, který odesílá pozvánku neví. Může sice příjemce kontaktovat, ale ne vždy na tuto otázku příjemce bude znát odpověď.
- Praxe ukazuje, že právě neznalost, zda uživatel má nebo nemá Microsoft Account, bývá nejčastějším „problémem“.
Jaký účet lze pro neanonymní sdílení využít?
- Nový osobní Microsoft Account
- Existující Microsoft Account
- Existující Office 365 Account
- Nový Microsoft Account vytvořený přes Azure B2B
Azure B2B
Pokud externí sdílení již využíváte nebo plánujete využívat, měli byste vědět i tuto poměrně neznámou možnost - využití Azure B2B.
Z pohledu externího sdílení nejde vlastně o nic jiného, než o usnadnění vytvoření účtu typu Microsoft Account. Samozřejmě, služba Azure B2B poskytuje mnohem více dalších možností, ale nás nyní zajímá externí sdílení.
V tomto případě budete sice potřebovat zapojit správce Azure Active Directory, ale na druhou stranu odbouráte problémy na straně příjemce, kdy nevíte, zda má nebo nemá Microsoft Account.
Azure B2B umožňuje vytvoření účtu typu host (Guest). Tyto účty lze zobrazit i z portálu Office 365, bohužel tam je nelze ale vytvářet.
- Vytváření Azure B2B účtů je možné pouze z portálu Azure.
- V části „Azure Active Directory“ vidíte veškeré Vaše účty z Office 365 a navíc zde máte možnost vytvořit tzv. „Guest account“.
- Jediné, co potřebujete znát, je emailová adresa uživatele. Ano emailová adresa. Nemusíte vědět nic dalšího.
- Pokud Vám uživatel poskytne email, který již Microsoft Account používá, nevadí.
Jak na Azure B2B
- V Azure portálu se navigujte do správy služby Azure Active Directory.
- Vyberte záložku „Users and Groups“ a dále „All Users“.
- Zde můžete přidávat nové účty typu „Guest“ pomocí akce „New Guest User“.
- Do dialogového okna napíšete emailovou adresu a případně vložíte text k pozvánce.
- Na uvedenou emailovou adresu je odeslána pozvánka, která vypadá viz obrázek. Obsahuje název organizace (tenantu) a Vámi vložený text a identifikaci, kdo ji odesílal.
- Příjemce je kliknutím na odkaz „Get Started“ v emailové zprávě přesměrován na stránku, kde potvrdí pozvánku ještě jednou kliknutím na „Next“ a následně je přesměrován do portálu „Azure MyApps“ a je mu vytvořen účet typu „Guest“ ve Vaší Azure Active Directory.
- Na obrázku níže je vidět, že pozvánka byla odeslána na Gmail účet.
- Právě zde nastává kouzlo - tento účet prochází procesem registrace jako Microsoft Account. To znamená, že majitel Gmail účtu je jednoduše proveden procesem vytváření Microsoft Accountu. Uživatel je během tohoto procesu požádán o vytvoření hesla, které zná pouze on.
- Při této registraci se ještě odesláním kódu ověřuje, zda je uživatel vůbec držitelem emailové schránky a následně také bezpečnostním kódem, který obdrží pomocí SMS (jako u jiných služeb, i zde je při registraci Microsoft Account potřeba vložit telefonní číslo).
- Po tomto ověření je vytvořen účet Microsoft Account s emailovou adresou Gmailu.
- Uživatele možná trochu překvapí, že po prvním přihlášení bude přesměrován do portálu „MyApps“, kde vlastně nic neuvidí, ale důležité je, že v tuto chvíli je jeho účet připraven.
- Posledním krokem je nastavení sdílení z úrovně SharePoint nebo OneDrive for Business. Příjemci pak odejde standartní pozvánka do emailu, kterou přijme a dostane se na sdílený obsah.
- Zde je proces již stejný, jako při odesílání pozvánky na Microsoft Account. Uživateli se zobrazí výběrové okno, zda jde o účet „Microsoft Account“ nebo „Organization Account“. U takto vytvořených účtů je jedno, co uživatel vybere.
Možné problémy externího sdílení
Problémy mohou nastat v případě využití téměř jakékoliv technologie.
A externí sdílení není výjimkou. Chce vědět, jak tyto problémy řešit? Chtěli byste se dozvědět více? Chtěli byste vidět ukázky jak externí sdílení funguje? Jak se nastavuje? Jak lze uvedené možnosti nastavit z PowerShellu? Chtěli byste mít možnost se něco zeptat?
Nejen o tom je pro Vás připraven Skype Meeting, který proběhne 19. 10. 2017 ve 14:30.
Chcete se zúčastnit? Je to jednoduché, připojte se na Skype!
- Jakub Urban
→ Join Skype Meeting
Trouble Joining? Try Skype Web App
Join by phone
Toll number: +420234715804, access code: 18311514 (Dial-in Number) Czech (Czechia)
Conference ID: 18311514 (same as access code above)