Udostępnij za pośrednictwem

Zarządzanie dostępem w grupach platformy Microsoft 365, aplikacjach Teams i SharePoint

  • Artykuł

Istnieje wiele mechanizmów kontroli, które umożliwiają zarządzanie sposobem, w jaki użytkownicy uzyskują dostęp do zasobów w grupach, zespołach i programie SharePoint. Przejrzyj te opcje i zastanów się, jak są one mapowane na potrzeby biznesowe, poufność danych i zakres osób, z którymi użytkownicy muszą współpracować.

Poniższa tabela zawiera krótkie informacje dotyczące mechanizmów kontroli dostępu dostępnych na platformie Microsoft 365. Dalsze informacje znajdują się w poniższych sekcjach.

Kategoria Opis Odwołanie
Członkostwa
Dynamiczne członkostwo w grupach na podstawie reguł Tworzenie lub aktualizowanie grupy dynamicznej w Microsoft Entra identyfikatorze
Kontroluj, kto może udostępniać pliki, foldery i witryny. Konfigurowanie żądań dostępu i zarządzanie nimi
Dostęp warunkowy
Uwierzytelnianie wieloskładnikowe uwierzytelnianie wieloskładnikowe Microsoft Entra
Kontrolowanie dostępu do urządzenia na podstawie poufności grupy, zespołu lub witryny. Używanie etykiet poufności do ochrony zawartości w aplikacjach Microsoft Teams, grupach platformy Microsoft 365 i witrynach programu SharePoint
Ogranicz dostęp do lokacji dla urządzeń niezarządzanych. Kontrolowanie dostępu do programu SharePoint z urządzeń niezarządzanych
Kontrolowanie dostępu do lokacji na podstawie lokalizacji Kontrolowanie dostępu do danych programu SharePoint i usługi OneDrive na podstawie lokalizacji sieciowej
Wymuszaj bardziej rygorystyczne warunki dostępu, gdy użytkownicy uzyskują dostęp do witryn programu SharePoint. Zasady dostępu warunkowego dla witryn programu SharePoint i usługi OneDrive
Dostęp gościa
Zezwalaj na udostępnianie programu SharePoint lub blokuj je z określonych domen. Ograniczanie udostępniania zawartości programu SharePoint i usługi OneDrive według domeny
Zezwalaj lub blokuj członkostwo zespołu lub grupy z określonych domen. Zezwalanie na zaproszenia dla użytkowników B2B z określonych organizacji lub blokowanie ich
Zapobiegaj udostępnianiu anonimowemu. Wyłączanie linków Dla wszystkich
Kontroluj uprawnienia dla linków dostępu anonimowego. Ustawianie uprawnień do linków dla linków Dowolna osoba
Kontrolowanie wygaśnięcia anonimowych linków do udostępniania. Ustawianie daty wygaśnięcia dla linków Anyone
Domyślnie kontroluj typ linku udostępniania wyświetlany użytkownikom. Zmiana domyślnego typu linku dla witryny
Ograniczanie udostępniania zewnętrznego do określonych osób. Ograniczanie udostępniania zewnętrznego do określonych grup zabezpieczeń
Kontroluj dostęp gościa do grupy, zespołu lub witryny na podstawie poufności informacji. Używanie etykiet poufności do ochrony zawartości w aplikacjach Microsoft Teams, grupach platformy Microsoft 365 i witrynach programu SharePoint
Wyłącz opcje udostępniania. Ograniczanie udostępniania na platformie Microsoft 365
Zarządzanie użytkownikami
Regularnie przeglądaj członkostwo w zespołach i grupach. Co to są Microsoft Entra przeglądy dostępu?
Automatyzowanie zarządzania dostępem do grup i zespołów. Co to jest zarządzanie uprawnieniami Microsoft Entra?
Ogranicz dostęp usługi OneDrive do członków określonej grupy zabezpieczeń. Ograniczanie dostępu do usługi OneDrive według grupy zabezpieczeń
Ograniczanie dostępu zespołów lub witryny do członków grupy. Ograniczanie dostępu witryny programu SharePoint do członków grupy
Klasyfikacja informacji
Klasyfikowanie grup i zespołów Używanie etykiet poufności do ochrony zawartości w aplikacjach Microsoft Teams, grupach platformy Microsoft 365 i witrynach programu SharePoint
Automatyczne klasyfikowanie poufnej zawartości Automatyczne stosowanie etykiety poufności do zawartości
Szyfrowanie poufnej zawartości Ogranicz dostęp do zawartości przy użyciu etykiet poufności w celu zastosowania szyfrowania
Segmentacja użytkowników
Ograniczanie komunikacji między segmentami użytkowników Bariery informacyjne
Miejsce przechowywania danych
Przechowywanie danych w określonych lokalizacjach geograficznych Microsoft 365 Multi-Geo

Członkostwa

Członkostwem w grupie lub zespole można zarządzać dynamicznie na podstawie pewnych kryteriów, takich jak dział. W takim przypadku członkowie i właściciele nie mogą zapraszać osób do zespołu. Grupy dynamiczne używają metadanych zdefiniowanych w Microsoft Entra identyfikatorze, aby kontrolować, kto jest członkiem grupy. Upewnij się, że metadane, których używasz, są kompletne i aktualne, ponieważ nieprawidłowe metadane mogą prowadzić do tego, że użytkownicy nie mają grup lub są dodawani niepoprawni użytkownicy.

Witryny programu SharePoint zapewniają możliwość dodawania właścicieli, członków i odwiedzających poza członkostwem w grupie lub zespole. W zależności od wymagań możesz ograniczyć liczbę osób, które mogą zapraszać osoby do witryny. Ponadto, w zależności od poufności informacji w danej witrynie, można ograniczyć, kto może udostępniać pliki i foldery. Te ograniczenia są konfigurowane przez zespół, grupę lub właściciela witryny:

Dostęp warunkowy

Platforma Microsoft 365 umożliwia wymaganie uwierzytelniania wieloskładnikowego zarówno dla osób w organizacji, jak i poza nią. Istnieje wiele opcji sytuacji, w których osoby są monitowane o drugi czynnik uwierzytelniania. Zdecydowanie zalecamy wdrożenie uwierzytelniania wieloskładnikowego dla organizacji:

Jeśli masz poufne informacje w niektórych grupach i zespołach, możesz wymusić zasady zarządzania urządzeniami na podstawie etykiety poufności grupy lub zespołu. Możesz całkowicie zablokować dostęp z urządzeń niezarządzanych lub zezwolić na ograniczony dostęp tylko do Internetu:

W programie SharePoint można ograniczyć dostęp do witryn z określonych lokalizacji sieciowych.

Dodatkowe zasoby:

Dostęp gościa

Możesz ograniczyć gości na podstawie domeny ich adresu e-mail. Program SharePoint oferuje ustawienia ograniczeń domeny specyficzne dla całej organizacji i witryny. Grupy i zespoły używają list dozwolonych domeny lub list zablokowanych w Microsoft Entra identyfikatorze. Pamiętaj, aby skonfigurować oba ustawienia, aby uniknąć niepożądanego udostępniania i zapewnić spójne środowisko użytkownika:

Platforma Microsoft 365 umożliwia anonimowe udostępnianie plików i folderów przy użyciu linków udostępnianych przez dowolną osobę . Wszystkie linki mogą być przekazywane dalej, a każda osoba z linkiem może uzyskać dostęp do udostępnionego elementu. W zależności od poufności danych rozważ określenie sposobu używania linków Dla wszystkich — w tym całkowite wyłączenie ich, ograniczenie uprawnień linku do tylko do odczytu lub ustawienie dla nich czasu wygaśnięcia:

Podczas udostępniania plików lub folderów użytkownicy mają do wyboru kilka typów łączy. Aby zmniejszyć ryzyko przypadkowego niewłaściwego udostępniania, możesz zmienić domyślny typ linku prezentowany użytkownikom podczas udostępniania. Na przykład zmiana wartości domyślnej z linków Każdy — które zezwalają na dostęp anonimowy — do Osoby w linkach organizacji może zmniejszyć ryzyko niepożądanego zewnętrznego udostępniania informacji poufnych:

Jeśli Twoja organizacja ma poufne dane, które należy udostępnić gościom, ale obawiasz się niewłaściwego udostępniania, możesz ograniczyć zewnętrzne udostępnianie plików i folderów do członków określonych grup zabezpieczeń. W ten sposób można ograniczyć udostępnianie zewnętrznie do określonej grupy osób lub wymagać od użytkowników trenowania odpowiedniego udostępniania zewnętrznego przed dodaniem ich do grupy zabezpieczeń:

Grupy i zespoły mają ustawienia na poziomie organizacji, które zezwalają na dostęp gościa lub odmawiają go. Chociaż można ograniczyć dostęp gościa do określonych zespołów lub grup przy użyciu programu Microsoft PowerShell, zalecamy to za pomocą etykiety poufności. Dzięki etykietom poufności można automatycznie zezwalać na dostęp gościa lub odmawiać go na podstawie zastosowanej etykiety:

W środowisku, w którym często zapraszasz gości do grup i zespołów, rozważ skonfigurowanie regularnie zaplanowanych przeglądów dostępu gości. Właściciele mogą zostać poproszeni o przejrzenie gości w grupach i zespołach oraz zatwierdzenie lub odmowę dostępu.

Platforma Microsoft 365 oferuje wiele różnych metod udostępniania informacji. Jeśli masz poufne informacje i chcesz ograniczyć sposób ich udostępniania, przejrzyj opcje ograniczania udostępniania:

Dodatkowe zasoby:

Zarządzanie użytkownikami

W miarę jak grupy i zespoły ewoluują w organizacji, dobrym rozwiązaniem jest regularne przeglądanie członkostwa w zespołach i grupach. Może to być szczególnie przydatne w przypadku zespołów i grup ze zmieniającym się członkostwem, tych, które zawierają poufne informacje, lub tych, które obejmują gości. Rozważ skonfigurowanie przeglądów dostępu dla tych zespołów i grup:

Wiele organizacji współpracuje z innymi organizacjami lub kluczowymi dostawcami, z którymi współpracują szczegółowo. Zarządzanie użytkownikami i dostęp do zasobów może być trudne do zarządzania w tych scenariuszach. Rozważ zautomatyzowanie niektórych zadań zarządzania użytkownikami, a nawet przeniesienie niektórych z nich do organizacji partnerskiej:

Kanały prywatne w usłudze Teams umożliwiają konwersacje o określonym zakresie i udostępnianie plików między podzbiorem członków zespołu. W zależności od konkretnych potrzeb biznesowych możesz chcieć zezwolić na tę możliwość lub zablokować tę możliwość.

Udostępnione kanały umożliwiają zapraszanie osób spoza zespołu lub spoza organizacji. W zależności od konkretnych potrzeb biznesowych i zasad udostępniania zewnętrznego możesz chcieć zezwolić na tę możliwość lub zablokować tę możliwość.

Usługa OneDrive umożliwia użytkownikom łatwe przechowywanie i udostępnianie zawartości, nad którą pracują. W zależności od potrzeb biznesowych możesz ograniczyć dostęp do tej zawartości do pracowników firmy w pełnym wymiarze godzin lub innych grup w firmie. Jeśli tak, możesz ograniczyć dostęp do zawartości usługi OneDrive do członków grupy zabezpieczeń.

W przypadku bardziej wrażliwych zespołów lub witryn możesz ograniczyć dostęp do zawartości zespołu lub witryny członkom zespołu lub członkom grupy zabezpieczeń.

Dodatkowe zasoby:

Klasyfikacja informacji

Etykiet poufności można używać do zarządzania dostępem gościa, prywatnością grupy i zespołu oraz dostępem przez niezarządzane urządzenia dla grup i zespołów. Gdy użytkownik zastosuje etykietę, te ustawienia są automatycznie konfigurowane zgodnie z ustawieniami etykiety.

Usługę Microsoft 365 można skonfigurować do automatycznego stosowania etykiet poufności do plików i wiadomości e-mail na podstawie określonych kryteriów, w tym wykrywania typów informacji poufnych lub dopasowywania wzorców do klasyfikatorów z możliwością trenowania.

Etykiet poufności można używać do szyfrowania plików, umożliwiając odszyfrowywanie i odczytywanie tylko tych, którzy mają uprawnienia.

Dodatkowe zasoby:

Segmentacja użytkowników

Dzięki barierom informacyjnym możesz podzielić dane i użytkowników na segmenty, aby ograniczyć niepożądaną komunikację i współpracę między grupami oraz uniknąć konfliktów interesów w organizacji. Bariery informacyjne umożliwiają tworzenie zasad umożliwiających współpracę plików, rozmowy, rozmowy lub zaproszenia na spotkania między grupami osób w organizacji lub zapobieganie ich współpracy.

Miejsce przechowywania danych

Za pomocą rozwiązania Microsoft 365 Multi-Geo można aprowizować i przechowywać dane magazynowane w lokalizacjach geograficznych wybranych do spełnienia wymagań dotyczących przechowywania danych. W środowisku z wieloma lokalizacjami geograficznymi dzierżawa platformy Microsoft 365 składa się z centralnej lokalizacji (w której pierwotnie aprowizowano subskrypcję platformy Microsoft 365) i co najmniej jednej lokalizacji satelitarnej, w której można przechowywać dane.

Zalecenia dotyczące planowania zarządzania współpracą

Tworzenie planu zarządzania współpracą

Zabezpieczenia i zgodność w usłudze Microsoft Teams

Zarządzanie ustawieniami udostępniania w programie SharePoint

Konfigurowanie usługi Teams z trzema warstwami ochrony