Acceso externo seguro a Microsoft Teams, SharePoint y OneDrive con Microsoft Entra ID
Use este artículo para determinar y configurar la colaboración externa de su organización mediante Microsoft Teams, OneDrive para la Empresa y SharePoint. Uno de los desafíos comunes consiste en equilibrar la seguridad y la facilidad de colaboración para los usuarios finales y los usuarios externos. Si un método de colaboración aprobado se percibe como restrictivo y pesado, los usuarios finales eludirán el método aprobado. Los usuarios finales podrían enviar por correo electrónico contenido no seguro o configurar procesos y aplicaciones externos, como Dropbox o OneDrive personales.
Antes de empezar
Este artículo es el número 9 de una serie de 10 artículos. Se recomienda leer los artículos en orden. Vaya a la sección Pasos siguientes para ver toda la serie.
Configuración de External Identities y Microsoft Entra ID
El uso compartido en Microsoft 365 se rige parcialmente por la configuración de External Identities, Colaboración externa en Microsoft Entra ID. Si el uso compartido externo está deshabilitado o restringido en Microsoft Entra ID, anula los ajustes de uso compartido configurados en Microsoft 365. Una excepción es si la integración Microsoft Entra B2B no está habilitada. Puede configurar SharePoint y OneDrive para admitir el uso compartido ad hoc a través de una contraseña de un solo uso (OTP). En la captura de pantalla siguiente se muestra el cuadro de diálogo de la configuración de Colaboración externa de External Identities.
Más información:
Acceso de usuario invitado
Se invita a los usuarios invitados a tener acceso a los recursos.
- Inicie sesión en el centro de administración de Microsoft Entra.
- Explore Identidad>External Identities>Configuración de colaboración externa.
- Busque la opción Acceso de usuario invitado.
- Para evitar el acceso de los usuarios invitados a otros detalles del usuario invitado y evitar la enumeración de pertenencia a grupos, seleccione Los usuarios invitados tienen acceso limitado a las propiedades y a las pertenencias de objetos de directorio.
Configuración de la invitación de usuarios
La configuración de invitación de invitados determina quién puede invitar a los invitados y cómo hacerlo. La configuración está habilitada si la integración B2B está habilitada. Se recomienda que los administradores y los usuarios, en el rol Invitador de invitados, puedan invitar. Este ajuste permite la configuración de procesos de colaboración controlados. Por ejemplo:
El propietario del equipo envía un vale solicitando la asignación al rol de Invitador de invitados:
- Responsable de las invitaciones de invitado
- Acuerda no agregar usuarios a SharePoint
- Realiza revisiones de acceso periódicas
- Revoca el acceso según sea necesario
El equipo de TI:
- Una vez completado el entrenamiento, el equipo de TI concede el rol de Invitador de invitados
- Garantiza que haya suficientes licencias de Microsoft Entra ID P2 para los propietarios de grupo de Microsoft 365 que revisarán
- Crea una revisión de acceso del grupo de Microsoft 365
- Confirma que se produzcan revisiones de acceso
- Quita los usuarios agregados a SharePoint
- Seleccione el banner para Códigos de acceso de un solo uso por correo electrónico para los invitados.
- En Habilitar el registro de autoservicio de invitados mediante flujos de usuario, selecciones Sí.
Restricciones de colaboración
Para la opción Restricciones de colaboración, los requisitos empresariales de la organización dictan la elección de la invitación.
- Permitir que se envíen invitaciones a cualquier dominio (más inclusivo): se puede invitar a cualquier usuario
- Denegar invitaciones a los dominios especificados: significa que cualquier usuario ajeno a esos dominios especificados puede ser invitado
- Permitir invitaciones solo a los dominios especificados (más restrictivo): ningún usuario ajeno a esos dominios especificados puede ser invitado
Usuarios externos y usuarios invitados en Teams
Teams diferencia entre usuarios externos (fuera de la organización) y usuarios invitados (cuentas de invitado). Puede administrar la configuración de colaboración en el centro de administración de Microsoft Teams en la configuración de toda la organización. Se requieren credenciales de cuenta autorizadas para iniciar sesión en el Portal del administrador de Teams.
- Acceso externo: Teams permite el acceso externo de forma predeterminada. La organización puede comunicarse con todos los dominios externos
- Usar la configuración de acceso externo para restringir o permitir dominios
- Acceso de invitado: administrar el acceso de invitado en Teams
Más información: Uso del acceso de invitado y el acceso externo para colaborar con personas ajenas a la organización.
La función de colaboración de External Identities en Microsoft Entra ID controla los permisos. Puede aumentar las restricciones en Teams, pero las restricciones no pueden ser inferiores a la configuración de Microsoft Entra.
Más información:
- Administrar reuniones externas y chat en Microsoft Teams
- Paso 1. Determinación del modelo de identidad en la nube
- Modelos de identidad y autenticación para Microsoft Teams
- Etiquetas de confidencialidad para Microsoft Teams
Control del acceso en SharePoint y OneDrive
Los administradores de SharePoint pueden encontrar la configuración de toda la organización en el Centro de administración de SharePoint. Se recomienda que la configuración de toda la organización sea el nivel de seguridad mínimo. Aumente la seguridad en algunos sitios, según sea necesario. Por ejemplo, para un proyecto de alto riesgo, puede que desee restringir a los usuarios a determinados dominios y deshabilitar la capacidad de los miembros para invitar invitados.
Más información:
- Centro de administración de SharePoint: se requieren permisos de acceso
- Introducción al Centro de administración de SharePoint
- Información general sobre el uso compartido externo
Integración de SharePoint y OneDrive con Microsoft Entra B2B
Como parte de su estrategia para gobernar la colaboración externa, se recomienda habilitar la integración de SharePoint y OneDrive con Microsoft Entra B2B. Microsoft Entra B2B dispone de autenticación y administración de usuarios invitados. Con la integración de SharePoint y OneDrive, use los códigos de acceso de un solo uso para el uso compartido externo de archivos, carpetas, elementos de lista, bibliotecas de documentos y sitios.
Más información:
- Autenticación con código de acceso de un solo uso por correo electrónico
- Integración de SharePoint y OneDrive con Microsoft Entra B2B
- Introducción a la colaboración B2B
Si habilita la integración B2B de Microsoft Entra, el uso compartido de SharePoint y OneDrive está sujeto a la configuración de las relaciones organizativas de Microsoft Entra, como Miembros pueden invitar e Invitados pueden invitar.
Uso compartido de directivas en SharePoint y OneDrive
En Azure Portal, puede usar la configuración de uso compartido externo para SharePoint y OneDrive para ayudar a configurar las directivas de uso compartido. Las restricciones de OneDrive no pueden ser más permisivas que la configuración de SharePoint.
Más información: Información general sobre el uso compartido
Recomendaciones de configuración de uso compartido externo
Use las instrucciones de esta sección al configurar el uso compartido externo.
- Cualquiera: No recomendado. Si está habilitado, independientemente del estado de integración, no se aplicará ninguna directiva de Azure para este tipo de vínculo.
- No habilite esta funcionalidad para la colaboración regulada
- Úsela para restricciones en sitios individuales
- Invitados nuevos y existentes: Recomendado si la integración está habilitada
- Integración Microsoft Entra B2B habilitada: los invitados nuevos y actuales tienen una cuenta de invitado Microsoft Entra B2B que puede administrar con las directivas de Microsoft Entra
- Integración Microsoft Entra B2B no habilitada: los nuevos invitados no tienen una cuenta Microsoft Entra B2B, y no pueden ser administrados desde Microsoft Entra ID
- Los invitados tienen una cuenta Microsoft Entra B2B, dependiendo de cómo se creó el invitado
- Invitados existentes: Recomendado si no tiene habilitada la integración
- Con esta opción habilitada, los usuarios solo pueden compartir con otros usuarios que ya estén en el directorio
- Solo personas de su organización: No se recomienda con la colaboración de usuarios externos
- Independientemente del estado de integración, los usuarios pueden compartir con otros usuarios de la organización
- Limitar el uso compartido externo por dominio: De forma predeterminada, SharePoint permite el acceso externo. El uso compartido se permite con dominios externos.
- Use esta opción para restringir o permitir dominios para SharePoint
- Permitir que solo los usuarios de grupos de seguridad específicos compartan externamente: Use esta configuración para restringir quién comparte contenido en SharePoint y OneDrive. La configuración en Microsoft Entra ID se aplica a todas las aplicaciones. Use la restricción para indicar a los usuarios que hagan el entrenamiento sobre el uso compartido seguro. La finalización del entrenamiento es la señal para agregarlos a un grupo de seguridad de uso compartido. Si se selecciona esta configuración y los usuarios no pueden convertirse en usuarios que comparten aprobados, es posible que encuentren formas no aprobadas de compartir.
- Permitir a los invitados compartir elementos que no son de su propiedad: No se recomienda. La instrucción es deshabilitar esta característica.
- Las personas que usan un código de verificación deben volver a autenticarse después de un número de días (el valor predeterminado es 30): Recomendado
Controles de acceso
La configuración de los controles de acceso afectará a todos los usuarios de la organización. Debido a que es posible que no pueda controlar si los usuarios externos tienen dispositivos compatibles, no se abordarán los controles en este artículo.
- Cierre de sesión inactivo: Recomendado
- Use esta opción para advertir y cerrar la sesión de los usuarios en dispositivos no administrados después de un período de inactividad
- Puede configurar el período de inactividad y la advertencia
- Ubicación de red: Establezca este control para permitir el acceso desde las direcciones IP que posea su organización.
- Para la colaboración externa, establezca este control si los asociados externos acceden a los recursos cuando están en la red o con la red privada virtual (VPN).
Vínculos de archivos y carpetas
En el Centro de administración de SharePoint, también puede establecer el modo en que se comparten los vínculos de archivos y carpetas. También puede configurar estas opciones para cada sitio.
Con la integración B2B de Microsoft Entra habilitada, compartir archivos y carpetas con usuarios fuera de la organización resulta en la creación de un usuario B2B.
- Para Elegir el tipo de vínculo seleccionado de forma predeterminada cuando los usuarios comparten archivos y carpetas en SharePoint y OneDrive, seleccione Solo personas de la organización.
- En Elegir el permiso seleccionado de forma predeterminada para compartir vínculos, seleccione Editar.
Puede personalizar esta configuración para un valor predeterminado por sitio.
Vínculos Cualquiera
No se recomienda habilitar Vínculos cualquiera. Si lo habilita, establezca una expiración y restrinja a los usuarios para ver los permisos. Si selecciona los permisos de Solo vista para archivos o carpetas, los usuarios no podrán cambiar los Vínculos cualquiera para incluir privilegios de edición.
Más información:
- Información general sobre el uso compartido externo
- Integración de SharePoint y OneDrive con Microsoft Entra B2B
Pasos siguientes
Use la siguiente serie de artículos para obtener más información sobre cómo proteger el acceso externo a los recursos. Se recomienda seguir el orden indicado.
Determinación de la posición de seguridad para el acceso externo con Microsoft Entra ID
Detección del estado actual de la colaboración externa en su organización
Protección del acceso externo con grupos en Microsoft Entra ID y Microsoft 365
Transición a la colaboración controlada con la colaboración B2B de Microsoft Entra
Administración del acceso externo con la administración de derechos de Microsoft Entra
Administración del acceso externo a los recursos mediante directivas de acceso condicional
Proteger el acceso externo a Microsoft Teams, SharePoint y OneDrive para la Empresa con Microsoft Entra ID (se encuentra aquí)
Conversión de cuentas de invitado locales en cuentas de invitado B2B de Microsoft Entra