Tworzenie bezpieczniejszeego środowiska udostępniania gościa
W tym artykule przedstawiono różne opcje tworzenia bezpieczniejszeego środowiska udostępniania gościa na platformie Microsoft 365. Oto przykłady umożliwiające wyobrażenie o dostępnych opcjach. Tych procedur można używać w różnych kombinacjach, aby spełnić wymagania organizacji dotyczące zabezpieczeń i zgodności.
Ten artykuł zawiera:
- Konfigurowanie uwierzytelniania wieloskładnikowego dla gości.
- Konfigurowanie warunków użytkowania dla gości.
- Konfigurowanie kwartalnych przeglądów dostępu gościa w celu okresowego sprawdzania, czy goście nadal potrzebują uprawnień do zespołów i witryn.
- Ograniczanie gości do dostępu tylko do Internetu dla urządzeń niezarządzanych.
- Konfigurowanie zasad limitu czasu sesji w celu zapewnienia, że goście będą się codziennie uwierzytelniać.
- Tworzenie poufnego typu informacji dla wysoce wrażliwego projektu.
- Automatyczne przypisywanie etykiety poufności do dokumentów zawierających typ informacji poufnych.
- Automatyczne usuwanie dostępu gościa z plików z etykietą poufności.
Niektóre opcje omówione w tym artykule wymagają, aby goście mieli konto w Microsoft Entra identyfikatorze. Aby upewnić się, że goście są dołączane do katalogu podczas udostępniania im plików i folderów, użyj integracji programu SharePoint i usługi OneDrive z usługą Microsoft Entra B2B Preview.
Pamiętaj, że nie omawiamy włączania ustawień udostępniania gościa w tym artykule. Aby uzyskać szczegółowe informacje na temat włączania udostępniania gości w różnych scenariuszach, zobacz Współpraca z osobami spoza organizacji .
Konfigurowanie uwierzytelniania wieloskładnikowego dla gości
Uwierzytelnianie wieloskładnikowe znacznie zmniejsza prawdopodobieństwo naruszenia zabezpieczeń konta. Ponieważ goście mogą korzystać z osobistych kont e-mail, które nie są zgodne z żadnymi zasadami ładu lub najlepszymi rozwiązaniami, szczególnie ważne jest wymaganie uwierzytelniania wieloskładnikowego dla gości. W przypadku kradzieży nazwy użytkownika i hasła gościa wymaganie drugiego czynnika uwierzytelniania znacznie zmniejsza prawdopodobieństwo uzyskania dostępu do witryn i plików przez nieznane strony.
W tym przykładzie skonfigurujemy uwierzytelnianie wieloskładnikowe dla gości przy użyciu zasad dostępu warunkowego w Microsoft Entra identyfikatorze.
Aby skonfigurować uwierzytelnianie wieloskładnikowe dla gości
- Otwórz centrum administracyjne Microsoft Entra.
- Rozwiń węzeł Ochrona, a następnie wybierz pozycję Dostęp warunkowy.
- W dostępie warunkowym | Strona Przegląd wybierz pozycję Utwórz nowe zasady.
- W polu Nazwa wpisz nazwę.
- Wybierz link Użytkownicy .
- Wybierz pozycję Wybierz użytkowników i grupy, a następnie zaznacz pole wyboru Gość lub użytkownicy zewnętrzni .
- Na liście rozwijanej wybierz pozycję Użytkownicy-goście współpracy B2B i użytkownicy będący członkami współpracy B2B.
- Wybierz link Zasoby docelowe .
- Wybierz pozycję Wszystkie aplikacje w chmurze na karcie Dołącz .
- Wybierz link Udziel .
- W bloku Udzielanie zaznacz pole wyboru Wymagaj uwierzytelniania wieloskładnikowego , a następnie kliknij pozycję Wybierz.
- W obszarze Włącz zasady wybierz opcjęWłącz, a następnie wybierz pozycję Utwórz.
Teraz goście muszą zarejestrować się w uwierzytelnianiu wieloskładnikowym, aby mogli uzyskać dostęp do udostępnionej zawartości, witryn lub zespołów.
Więcej informacji
Planowanie wdrożenia uwierzytelniania wieloskładnikowego Microsoft Entra
Konfigurowanie warunków użytkowania dla gości
W niektórych sytuacjach goście mogą nie mieć podpisanych umów o zachowaniu poufności ani innych umów prawnych z Organizacją. Przed uzyskaniem dostępu do udostępnionych plików goście mogą wymagać zgody na warunki użytkowania. Warunki użytkowania mogą być wyświetlane przy pierwszej próbie uzyskania dostępu do udostępnionego pliku lub witryny.
Aby utworzyć warunki użytkowania, należy najpierw utworzyć dokument w Word lub innym programie do tworzenia, a następnie zapisać go jako plik .pdf. Ten plik można następnie przekazać do Microsoft Entra identyfikatora.
Aby utworzyć warunki użytkowania Microsoft Entra
Rozwiń węzeł Ochrona, a następnie wybierz pozycję Dostęp warunkowy.
Wybierz pozycję Warunki użytkowania.
Wybierz pozycję Nowe terminy.
Wpisz nazwę.
W obszarze Dokument warunków użytkowania przejdź do utworzonego pliku pdf i wybierz go.
Wybierz język dokumentu warunków użytkowania.
Wpisz nazwę wyświetlaną.
Ustaw opcję Wymagaj od użytkowników, aby rozszerzyć warunki użytkowania na Włączone.
W obszarze Dostęp warunkowy na liście Szablon zasad wymuszania przy użyciu dostępu warunkowego wybierz pozycję Utwórz zasady dostępu warunkowego później.
Wybierz pozycję Utwórz.
Po utworzeniu warunków użytkowania następnym krokiem jest utworzenie zasad dostępu warunkowego, które wyświetlają warunki użytkowania gościom.
Aby utworzyć zasady dostępu warunkowego
- W centrum administracyjnym Microsoft Entra w obszarze Ochrona wybierz pozycję Dostęp warunkowy.
- W dostępie warunkowym | Strona Przegląd wybierz pozycję Utwórz nowe zasady.
- W polu Nazwa wpisz nazwę.
- Wybierz link Użytkownicy .
- Wybierz pozycję Wybierz użytkowników i grupy, a następnie zaznacz pole wyboru Gość lub użytkownicy zewnętrzni .
- Na liście rozwijanej wybierz pozycję Użytkownicy-goście współpracy B2B i użytkownicy będący członkami współpracy B2B.
- Wybierz link Zasoby docelowe .
- Na karcie Dołączanie wybierz pozycję Wybierz aplikacje, a następnie kliknij link Wybierz .
- W bloku Wybierz wybierz pozycję Office 365, a następnie kliknij pozycję Wybierz.
- Wybierz link Udziel .
- W bloku Udzielanie zaznacz pole wyboru dla utworzonych warunków użytkowania, a następnie kliknij pozycję Wybierz.
- W obszarze Włącz zasady wybierz opcjęWłącz, a następnie wybierz pozycję Utwórz.
Teraz, gdy gość po raz pierwszy próbuje uzyskać dostęp do zawartości, zespołu lub witryny w organizacji, będzie musiał zaakceptować warunki użytkowania.
Więcej informacji
Microsoft Entra warunków użytkowania
Omówienie programu Microsoft SharePoint eSignature
Konfigurowanie przeglądów dostępu gościa
Przeglądy dostępu w Microsoft Entra identyfikatorze umożliwiają automatyzację okresowego przeglądu dostępu użytkowników do różnych zespołów i grup. Wymagając przeglądu dostępu dla gości, możesz pomóc w zapewnieniu, że goście nie zachowają dostępu do poufnych informacji organizacji dłużej niż jest to konieczne.
Aby skonfigurować przegląd dostępu gościa
Rozwiń pozycję Zarządzanie tożsamościami i wybierz pozycję Przeglądy dostępu.
Wybierz pozycję Nowy przegląd dostępu.
Wybierz opcję Teams + Groups (Zespoły i grupy ).
Wybierz opcję Wszystkie grupy platformy Microsoft 365 z użytkownikami-gośćmi . Kliknij pozycję Wybierz grupy, aby wykluczyć , jeśli chcesz wykluczyć dowolne grupy.
Wybierz opcję Tylko użytkownicy-goście , a następnie wybierz pozycję Dalej: Recenzje.
W obszarze Wybierz recenzentów wybierz pozycję Właściciele grupy.
Kliknij pozycję Wybierz rezerwowych recenzentów, wybierz, kto powinien być rezerwowym recenzentem, a następnie kliknij pozycję Wybierz.
Wybierz czas trwania (w dniach), aby przegląd był otwarty dla komentarzy.
W obszarze Określ cykl przeglądu wybierz pozycję Kwartalne.
Wybierz datę rozpoczęcia i czas trwania.
W polu Koniec wybierz pozycję Nigdy, a następnie wybierz pozycję Dalej: Ustawienia.
Na karcie Ustawienia przejrzyj ustawienia zgodności z regułami biznesowymi.
Wybierz pozycję Dalej: Przejrzyj i utwórz.
Wpisz nazwę przeglądu i przejrzyj ustawienia.
Wybierz pozycję Utwórz.
Więcej informacji
Zarządzanie dostępem gościa za pomocą przeglądów dostępu
Tworzenie przeglądu dostępu grup i aplikacji w Microsoft Entra identyfikatorze
Konfigurowanie dostępu tylko do Internetu dla gości z urządzeniami niezarządzanymi
Jeśli Goście korzystają z urządzeń, które nie są zarządzane przez organizację lub inną organizację, z którymi masz relację zaufania, możesz wymagać od nich dostępu do zespołów, witryn i plików tylko za pomocą przeglądarki internetowej. Zmniejsza to prawdopodobieństwo pobrania poufnych plików i pozostawienia ich na niezarządzanym urządzeniu. Jest to również przydatne podczas udostępniania środowiskom korzystającym z urządzeń udostępnionych.
W przypadku Grupy Microsoft 365 i aplikacji Teams odbywa się to przy użyciu zasad dostępu warunkowego Microsoft Entra. W przypadku programu SharePoint jest to skonfigurowane w centrum administracyjnym programu SharePoint. (Możesz również użyć etykiet poufności, aby ograniczyć gościom dostęp tylko do Internetu).
Aby ograniczyć gościom dostęp tylko do Internetu dla grup i aplikacji Teams:
Rozwiń węzeł Ochrona, a następnie wybierz pozycję Dostęp warunkowy.
W dostępie warunkowym | Strona Przegląd wybierz pozycję Utwórz nowe zasady.
W polu Nazwa wpisz nazwę.
Wybierz link Użytkownicy .
Wybierz pozycję Wybierz użytkowników i grupy, a następnie zaznacz pole wyboru Gość lub użytkownicy zewnętrzni .
Na liście rozwijanej wybierz pozycję Użytkownicy-goście współpracy B2B i użytkownicy będący członkami współpracy B2B.
Wybierz link Zasoby docelowe .
Na karcie Dołączanie wybierz pozycję Wybierz aplikacje, a następnie kliknij link Wybierz .
W bloku Wybierz wybierz pozycję Office 365, a następnie kliknij pozycję Wybierz.
Wybierz link Warunki .
W bloku Warunki wybierz link Aplikacje klienckie .
W bloku Aplikacje klienckie wybierz pozycję Tak dla pozycji Konfiguruj, a następnie wybierz ustawienia Aplikacje mobilne i klienci klasyczni, Exchange ActiveSync klientów i Inni klienci. Wyczyść pole wyboru Przeglądarka .
Wybierz pozycję Gotowe.
Wybierz link Udziel .
W bloku Udzielanie wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne i Wymagaj Microsoft Entra urządzenia przyłączonego hybrydowo.
W obszarze Dla wielu kontrolek wybierz pozycję Wymagaj jednej z wybranych kontrolek, a następnie kliknij pozycję Wybierz.
W obszarze Włącz zasady wybierz opcjęWłącz, a następnie wybierz pozycję Utwórz.
Więcej informacji
Kontrolki dostępu urządzeń niezarządzanych w programach SharePoint i OneDrive
Konfigurowanie limitu czasu sesji dla gości
Wymaganie od gości regularnego uwierzytelniania może zmniejszyć możliwość uzyskania przez nieznanych użytkowników dostępu do zawartości organizacji, jeśli urządzenie gościa nie jest zabezpieczone. Zasady dostępu warunkowego limitu czasu sesji można skonfigurować dla gości w Microsoft Entra identyfikatorze.
Aby skonfigurować zasady limitu czasu sesji gościa
- Otwórz centrum administracyjne Microsoft Entra.
- Rozwiń węzeł Ochrona, a następnie wybierz pozycję Dostęp warunkowy.
- W dostępie warunkowym | Strona Przegląd wybierz pozycję Utwórz nowe zasady.
- W polu Nazwa wpisz nazwę.
- Wybierz link Użytkownicy .
- Wybierz pozycję Wybierz użytkowników i grupy, a następnie zaznacz pole wyboru Gość lub użytkownicy zewnętrzni .
- Na liście rozwijanej wybierz pozycję Użytkownicy-goście współpracy B2B i użytkownicy będący członkami współpracy B2B.
- Wybierz link Zasoby docelowe .
- Na karcie Dołączanie wybierz pozycję Wybierz aplikacje, a następnie kliknij link Wybierz .
- W bloku Wybierz wybierz pozycję Office 365, a następnie kliknij pozycję Wybierz.
- Wybierz link Sesja .
- W bloku Sesja wybierz pozycję Częstotliwość logowania.
- Wybierz 1 i dni dla okresu, a następnie kliknij pozycję Wybierz.
- W obszarze Włącz zasady wybierz opcjęWłącz, a następnie wybierz pozycję Utwórz.
Tworzenie poufnego typu informacji dla wysoce wrażliwego projektu
Typy informacji poufnych to wstępnie zdefiniowane ciągi, których można używać w przepływach pracy zasad w celu wymuszania wymagań dotyczących zgodności. Portal zgodności Microsoft Purview zawiera ponad sto poufnych typów informacji, w tym numery praw jazdy, numery kart kredytowych, numery kont bankowych itp.
Możesz tworzyć niestandardowe typy informacji poufnych, aby ułatwić zarządzanie zawartością specyficzną dla organizacji. W tym przykładzie utworzymy niestandardowy typ informacji poufnych dla wysoce wrażliwego projektu. Następnie możemy użyć tego typu informacji poufnych, aby automatycznie zastosować etykietę poufności.
Aby utworzyć typ informacji poufnych
- W portal zgodności Microsoft Purview w obszarze nawigacji po lewej stronie rozwiń węzeł Klasyfikacja danych, a następnie wybierz pozycję Klasyfikatory.
- wybierz kartę Typy informacji poufnych .
- Wybierz pozycję Utwórz typ informacji poufnych.
- W polu Nazwa i opis wpisz Project Saturn, a następnie wybierz pozycję Dalej.
- Wybierz pozycję Utwórz wzorzec.
- Na panelu Nowy wzorzec wybierz pozycję Dodaj element podstawowy, a następnie wybierz pozycję Lista słów kluczowych.
- Wpisz identyfikator , taki jak Project Saturn.
- W polu Bez uwzględniania wielkości liter wpisz Project Saturn, Saturn, a następnie wybierz pozycję Gotowe.
- Wybierz pozycję Utwórz, a następnie wybierz pozycję Dalej.
- Wybierz poziom ufności, a następnie wybierz pozycję Dalej.
- Wybierz pozycję Utwórz.
- Wybierz pozycję Gotowe.
Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o typach informacji poufnych.
Tworzenie zasad automatycznego etykietowania w celu przypisania etykiety poufności na podstawie typu informacji poufnych
Jeśli używasz etykiet poufności w organizacji, możesz automatycznie zastosować etykietę do plików zawierających zdefiniowane typy informacji poufnych.
Aby utworzyć zasady automatycznego etykietowania
- Otwórz centrum administracyjne usługi Microsoft Purview.
- W obszarze nawigacji po lewej stronie rozwiń węzeł Ochrona informacji i wybierz pozycję Automatyczne etykietowanie.
- Wybierz pozycję Utwórz zasady automatycznego etykietowania.
- Na stronie Wybierz informacje, do których ma zostać zastosowana ta etykieta , wybierz pozycję Niestandardowe , a następnie wybierz pozycję Zasady niestandardowe.
- Wybierz pozycję Dalej.
- Wpisz nazwę i opis zasad, a następnie wybierz pozycję Dalej.
- Na stronie Przypisywanie jednostek administracyjnych wybierz pozycję Dalej.
- Na stronie Wybieranie lokalizacji, w których chcesz zastosować etykietę , wybierz pozycję Witryny programu SharePoint i opcjonalnie wybierz pozycję Edytuj , aby wybrać witryny.
- Wybierz pozycję Dalej.
- Na stronie Konfigurowanie typowych lub zaawansowanych reguł wybierz pozycję Typowe reguły i wybierz pozycję Dalej.
- Na stronie Definiowanie reguł zawartości we wszystkich lokalizacjach wybierz pozycję Nowa reguła.
- Na stronie Nowa reguła nadaj regule nazwę, wybierz pozycję Dodaj warunek, a następnie wybierz pozycję Zawartość zawiera.
- Wybierz pozycję Dodaj, wybierz pozycję Typy informacji poufnych, wybierz typy informacji poufnych, których chcesz użyć, wybierz pozycję Dodaj, a następnie wybierz pozycję Zapisz.
- Wybierz pozycję Dalej.
- Wybierz pozycję Wybierz etykietę, wybierz etykietę, która ma być używana, a następnie wybierz pozycję Dodaj.
- Wybierz pozycję Dalej.
- Pozostaw zasady w trybie symulacji i wybierz, czy mają być automatycznie włączone.
- Wybierz pozycję Dalej.
- Wybierz pozycję Utwórz zasady, a następnie wybierz pozycję Gotowe.
Gdy zasady zostaną wprowadzone, gdy użytkownik wpisze ciąg "Project Saturn" do dokumentu, zasady automatycznego etykietowania automatycznie zastosują określoną etykietę podczas skanowania pliku.
Aby uzyskać więcej informacji na temat automatycznego etykietowania, zobacz Automatyczne stosowanie etykiety poufności do zawartości.
Więcej informacji
Konfigurowanie domyślnej etykiety poufności dla biblioteki dokumentów programu SharePoint
Tworzenie zasad DLP w celu usunięcia dostępu gościa do wysoce poufnych plików
Możesz użyć Ochrona przed utratą danych w Microsoft Purview (DLP), aby zapobiec niepożądanemu udostępnianiu przez gości poufnej zawartości. Zapobieganie utracie danych może podjąć działania na podstawie etykiety poufności pliku i usunąć dostęp gościa.
Aby utworzyć regułę DLP
W obszarze nawigacji po lewej stronie rozwiń węzeł Zapobieganie utracie danych i wybierz pozycję Zasady.
Wybierz pozycję Utwórz zasady.
Wybierz pozycję Zasady niestandardowe , a następnie Zasady niestandardowe.
Wybierz pozycję Dalej.
Wpisz nazwę zasad i wybierz pozycję Dalej.
Na stronie Przypisywanie jednostek administracyjnych wybierz pozycję Dalej.
Na stronie Lokalizacje do zastosowania zasad wyłącz wszystkie ustawienia z wyjątkiem witryn programu SharePoint i kont usługi OneDrive, a następnie wybierz pozycję Dalej.
Na stronie Definiowanie ustawień zasad wybierz pozycję Dalej.
Na stronie Dostosowywanie zaawansowanych reguł DLP wybierz pozycję Utwórz regułę i wpisz nazwę reguły.
W obszarze Warunki wybierz pozycję Dodaj warunek, a następnie wybierz pozycję Zawartość jest udostępniana z platformy Microsoft 365.
Na liście rozwijanej wybierz osoby spoza mojej organizacji.
W obszarze Warunki wybierz pozycję Dodaj warunek i wybierz pozycję Zawartość zawiera.
Wybierz pozycję Dodaj, wybierz pozycję Etykiety poufności, wybierz etykiety, których chcesz użyć, a następnie wybierz pozycję Dodaj.
W obszarze Akcje wybierz pozycję Dodaj akcję i wybierz pozycję Ogranicz dostęp lub zaszyfruj zawartość w lokalizacjach platformy Microsoft 365.
Wybierz opcję Blokuj tylko osoby spoza organizacji .
Włącz powiadomienia użytkownika, a następnie zaznacz pole wyboru Powiadom użytkowników w usłudze Office 365 z poradą dotyczącą zasad.
Wybierz pozycję Zapisz, a następnie wybierz pozycję Dalej.
Wybierz opcje testu i wybierz pozycję Dalej.
Wybierz pozycję Prześlij, a następnie wybierz pozycję Gotowe.
Należy pamiętać, że te zasady nie usuwają dostępu, jeśli gość jest członkiem witryny lub całego zespołu. Jeśli planujesz mieć wysoce poufne dokumenty w witrynie lub zespole z członkami-gośćmi, rozważ następujące opcje:
- Używaj kanałów prywatnych i zezwalaj tylko członkom organizacji w kanałach prywatnych.
- Współużytkuj kanały udostępnione, aby współpracować z osobami spoza organizacji, mając tylko osoby z Twojej organizacji w samym zespole.
Opcje dodatkowe
Istnieją pewne dodatkowe opcje w usłudze Microsoft 365 i identyfikatorze Microsoft Entra, które mogą pomóc w zabezpieczeniu środowiska udostępniania gościa.
- Możesz utworzyć listę dozwolonych lub niedozwolonych domen udostępniania, aby ograniczyć liczbę użytkowników, którzy mogą udostępniać. Aby uzyskać więcej informacji, zobacz Ograniczanie udostępniania zawartości programu SharePoint i usługi OneDrive według domeny oraz Zezwalaj lub blokuj zaproszenia dla użytkowników B2B z określonych organizacji .
- Możesz ograniczyć inne dzierżawy Microsoft Entra, z którymi użytkownicy mogą się łączyć. Aby uzyskać informacje , zobacz Ograniczanie dostępu do dzierżawy .
- Możesz utworzyć środowisko zarządzane, w którym partnerzy mogą pomóc w zarządzaniu kontami gości. Aby uzyskać informacje , zobacz Tworzenie ekstranetu B2B z zarządzanymi gośćmi .
Artykuły pokrewne
Ograniczanie przypadkowego narażenia na pliki podczas udostępniania gościom
Najlepsze rozwiązania dotyczące udostępniania plików i folderów nieuwierzytelnionym użytkownikom