Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive con Microsoft Entra ID

Usare questo articolo per determinare e configurare la collaborazione esterna dell'organizzazione utilizzando Microsoft Teams, OneDrive for Business e SharePoint. Una sfida comune consiste nel bilanciare la sicurezza e la facilità di collaborazione per gli utenti finali e quelli esterni. Se un metodo di collaborazione approvato viene percepito come restrittivo e oneroso, gli utenti finali eludono il metodo approvato. Gli utenti finali potrebbero inviare tramite e-mail contenuti non protetti, oppure configurare processi e applicazioni esterni, ad esempio i servizi Dropbox o OneDrive personali.

Operazioni preliminari

Questo articolo è il numero 9 di una serie di 10 articoli. Si consiglia di esaminare gli articoli seguendo il loro ordine. Passare alla sezione Passaggi successivi per visualizzare l'intera serie.

Impostazioni identità esterne e Microsoft Entra ID

La condivisione in Microsoft 365 è parzialmente governata dalle impostazioni di identità esterne, collaborazione esterna in Microsoft Entra ID. Se la condivisione esterna è disabilitata o limitata in Microsoft Entra ID, ignora le impostazioni di condivisione configurate in Microsoft 365. Si verifica un’eccezione nel caso in cui l'integrazione di Microsoft Entra B2B non sia abilitata. È possibile configurare SharePoint e OneDrive per supportare la condivisione ad hoc tramite password monouso (OTP). Lo screenshot seguente mostra la finestra di dialogo Identità esterne, impostazioni di collaborazione esterna.

Altre informazioni:

• Interfaccia di amministrazione di Microsoft Entra
• Identità esterne in Microsoft Entra ID

Accesso Utente guest

Gli utenti guest sono invitati ad accedere alle risorse.

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
2. Passare a Identità>Identità esterne>Impostazioni di collaborazione esterna.
3. Trovare le opzioni di accesso utente guest.
4. Per impedire l'accesso degli utenti guest ad altri dettagli di utente guest e per impedire l'enumerazione dell'appartenenza al gruppo, selezionare Gli utenti guest hanno accesso limitato alle proprietà e alle appartenenze degli oggetti directory.

Impostazioni per l'invito di guest

Le impostazioni dell'invito agli utenti guest determinano chi invita gli utenti guest e come vengono invitati. Le impostazioni sono abilitate se è abilitata l'integrazione B2B. È consigliabile che amministratori e utenti possano invitare nel ruolo Mittente dell'invito guest. Questa impostazione consente la configurazione di processi di collaborazione controllati. Ad esempio:

• Il proprietario del team invia un ticket con richiesta di assegnazione al ruolo Mittente dell'invito guest:

  • Responsabile per gli inviti guest
  • Accetta di non aggiungere utenti a SharePoint
  • Esegue normali verifiche di accesso
  • Revoca l'accesso in base alle esigenze

• Il team IT:

  • Al termine del training, il team IT concede il ruolo di Mittente dell'invito guest
  • Assicura che vi siano sufficienti licenze di Microsoft Entra ID P2 disponibili per i proprietari del gruppo di Microsoft 365 che eseguiranno la revisione
  • Crea una verifica di accesso al gruppo di Microsoft 365
  • Conferma che siano effettuate le verifiche di accesso
  • Rimuove gli utenti che sono stati aggiunti a SharePoint

1. Selezionare il banner per Inviare tramite e-mail passcode monouso per utenti guest.
2. Per Abilita l'iscrizione self-service per guest tramite flussi utente, selezionare Sì.

Restrizioni di collaborazione

Per l'opzione Restrizioni di collaborazione, i requisiti aziendali dell'organizzazione dettano la scelta dell'invito.

• Consentire l'invio di inviti a qualsiasi dominio (più inclusivo): qualsiasi utente può essere invitato
• Rifiutare gli inviti ai domini specificati: qualsiasi utente esterno a tali domini può essere invitato
• Consenti inviti solo ai domini specificati (più restrittivi): qualsiasi utente esterno a tali domini non può essere invitato

Utenti esterni e utenti guest in Teams

Teams distingue tra utenti esterni (esterni all'organizzazione) e utenti guest (account Guest). È possibile gestire le impostazioni di collaborazione nell'interfaccia di amministrazione di Microsoft Teams in Impostazioni a livello di organizzazione. Per accedere al portale di amministrazione di Teams sono necessarie le credenziali di account autorizzato.

• Accesso esterno: per impostazione predefinita Teams consente l'accesso esterno. L'organizzazione può comunicare con tutti i domini esterni
  • Usare l'impostazione Accesso esterno per limitare o consentire domini
• Accesso guest: gestire l'accesso guest in Teams

Altre informazioni: Usare l'accesso guest e l'accesso esterno per collaborare con persone esterne all'organizzazione.

La funzionalità Collaborazione identità esterne in Microsoft Entra ID controlla le autorizzazioni. È possibile aumentare le restrizioni in Teams, ma queste non possono essere inferiori alle impostazioni di Microsoft Entra.

Altre informazioni:

• Gestire riunioni esterne e chat in Microsoft Teams
• Passaggio 1: Determinare il modello di identità cloud
• Modelli di identità e autenticazione per Microsoft Teams
• Etichette di riservatezza per Microsoft Teams

Gestire l'accesso in SharePoint e OneDrive

Gli amministratori di SharePoint possono trovare le impostazioni a livello di organizzazione nell'interfaccia di amministrazione di SharePoint. È consigliabile che le impostazioni a livello di organizzazione dispongano dei livelli di sicurezza minimi. Per alcuni siti, aumentare la sicurezza, secondo le esigenze. Ad esempio, per un progetto ad alto rischio, limitare gli utenti a determinati domini e disabilitare i membri dall'invito di utenti guest.

Altre informazioni:

• Interfaccia di amministrazione di SharePoint: sono necessarie le autorizzazioni di accesso
• Attività iniziali con l'interfaccia di amministrazione di SharePoint
• Panoramica della condivisione esterna

Integrazione di SharePoint e OneDrive con Microsoft Entra B2B

Come parte della strategia per gestire la collaborazione esterna, è consigliabile abilitare l'integrazione di SharePoint e OneDrive in Microsoft Entra B2B. Microsoft Entra B2B dispone di autenticazione e gestione degli utenti guest. Per l'integrazione di SharePoint e OneDrive, usare passcode monouso per la condivisione esterna di file, cartelle, elementi di elenco, raccolte documenti e siti.

Altre informazioni:

• Inviare tramite e-mail autenticazione con passcode monouso
• Integrazione di SharePoint e OneDrive con Microsoft Entra B2B
• Panoramica della collaborazione B2B

Se si abilita l'integrazione di Microsoft Entra B2B, la condivisione di SharePoint e OneDrive è soggetta alle impostazioni delle relazioni organizzative di Microsoft Entra, ad esempio I membri possono invitare e Gli utenti guest possono invitare.

Condivisione dei criteri in SharePoint e OneDrive

Nel portale di Azure è possibile usare le impostazioni di condivisione esterna per SharePoint e OneDrive, per configurare i criteri di condivisione. Le restrizioni di OneDrive non possono essere più permissive delle impostazioni di SharePoint.

Altre informazioni: Panoramica della condivisione esterna

Elementi consigliati per le impostazioni di condivisione esterna

Durante la configurazione della condivisione esterna, usare il materiale sussidiario di questa sezione.

• Chiunque - Non consigliato. Se abilitata, indipendentemente dallo stato di integrazione, per questo tipo di collegamento non vengono applicati criteri di Azure.
  • Non abilitare questa funzionalità per la collaborazione regolamentata
  • Usarla per le restrizioni su singoli siti
• Utenti guest nuovi ed esistenti: consigliato, se è abilitata l'integrazione
  • Integrazione di Microsoft Entra B2B abilitata: gli utenti guest nuovi e correnti hanno un account Guest Microsoft Entra B2B che è possibile gestire con i criteri di Microsoft Entra
  • Integrazione di Microsoft Entra B2B non abilitata: gli utenti guest nuovi non hanno un account Microsoft Entra B2B e non possono essere gestiti da Microsoft Entra ID
  • Gli utenti guest hanno un account Microsoft Entra B2B, a seconda della modalità di creazione dell’utente guest
• Utenti guest esistenti: consigliato, se non è abilitata l'integrazione
  • Se questa opzione è abilitata, gli utenti possono eseguire la condivisione con altri utenti nella directory
• Solo le persone dell'organizzazione: non consigliato con la collaborazione con utenti esterni
  • Indipendentemente dallo stato di integrazione, gli utenti possono condividere con gli altri utenti dell'organizzazione
• Limitare la condivisione esterna per dominio: per impostazione predefinita, SharePoint consente l'accesso esterno. La condivisione è consentita con i domini esterni.
  • Usare questa opzione per limitare o consentire i domini per SharePoint
• Consenti solo agli utenti di gruppi di sicurezza specifici di condividere esternamente: usare questa impostazione per limitare gli utenti che condividono il contenuto in SharePoint e OneDrive. L'impostazione in Microsoft Entra ID è valida per tutte le applicazioni. Usare la restrizione per indirizzare gli utenti al training sulla condivisione sicura. Il completamento è il segnale per aggiungerli a un gruppo di sicurezza di condivisione. Se questa impostazione è selezionata e gli utenti non possono diventare partecipanti di condivisione approvati, potrebbero trovare modi di condivisione non approvati.
• Consenti agli utenti guest di condividere elementi che non possiedono - Non consigliato. Il materiale sussidiario consiste nel disabilitare questa funzionalità.
• Gli utenti che usano un codice di verifica devono ripetere l'autenticazione dopo questo numero di giorni (numero predefinito è 30) - Consigliato

Controlli di accesso

L'impostazione dei controlli di accesso influisce su tutti gli utenti dell'organizzazione. Poiché potrebbe non essere possibile controllare se gli utenti esterni dispongono di dispositivi conformi, questo articolo non tratterà i controlli.

• Disconnessione sessione inattiva - Consigliato
  • Usare questa opzione per avvisare e disconnettere gli utenti su dispositivi non gestiti, dopo un periodo di inattività
  • È possibile configurare il periodo di inattività e l'avviso
• Percorso di rete: impostare questo controllo per consentire l'accesso da indirizzi IP di proprietà dell'organizzazione.
  • Per la collaborazione esterna, impostare questo controllo se i partner esterni accedono alle risorse quando si trovano nella rete o con rete privata virtuale (VPN).

Collegamenti a file e cartelle

Nell'interfaccia di amministrazione di SharePoint è possibile impostare le modalità di condivisione dei collegamenti di file e cartelle. L'impostazione è configurabile per ogni sito.

Con l'integrazione di Microsoft Entra B2B abilitata, la condivisione di file e cartelle con utenti esterni all'organizzazione comporta la creazione di un utente B2B.

1. Per Scegliere il tipo di collegamento selezionato per impostazione predefinita quando gli utenti condividono file e cartelle in SharePoint e OneDrive, selezionare Solo persone dell'organizzazione.
2. Per Scegliere l'autorizzazione selezionata per impostazione predefinita per i collegamenti di condivisione, selezionare Modifica.

Questa impostazione può essere personalizzata per un valore predefinito per sito.

Collegamenti Chiunque

L'abilitazione dei collegamenti Chiunque non è consigliata. Se si abilita, impostare una scadenza e limitare gli utenti a visualizzare le autorizzazioni. Se si seleziona Visualizza solo autorizzazioni per file o cartelle, gli utenti non possono modificare i collegamenti Chiunque per includere privilegi di modifica.

Altre informazioni:

• Panoramica della condivisione esterna
• Integrazione di SharePoint e OneDrive con Microsoft Entra B2B

Passaggi successivi

La serie di articoli seguente offre informazioni sulla protezione dell'accesso esterno alle risorse. È consigliabile seguire l'ordine dell’elenco.

1. Determinare la postura di sicurezza per l'accesso esterno con Microsoft Entra ID

2. Individuare lo stato corrente della collaborazione esterna nell'organizzazione

3. Creare un piano di sicurezza per l'accesso esterno alle risorse

4. Proteggere l'accesso esterno con i gruppi in Microsoft Entra ID e Microsoft 365

5. Transizione alla collaborazione regolamentata con la Collaborazione B2B di Microsoft Entra

6. Gestire l'accesso esterno con la gestione entitlement di Microsoft Entra

7. Gestire l'accesso esterno alle risorse con i criteri di accesso condizionale

8. Controllare l'accesso esterno alle risorse in Microsoft Entra ID con le etichette di riservatezza

9. Proteggere l'accesso esterno a Microsoft Teams, SharePoint e OneDrive Business con Microsoft Entra ID (qui)

10. Convertire gli account guest locali in account guest Microsoft Entra B2B