Планирование и развертывание среды совместной работы с файлами — SharePoint
В службах Microsoft 365 можно создавать безопасную и эффективную среду для совместной работы с файлами для ваших пользователей. SharePoint обеспечивает большую часть этого, но возможности совместной работы с файлами в Microsoft 365 выходят за рамки традиционного сайта SharePoint. Teams, OneDrive и различные варианты управления и безопасности играют важную роль в создании многофункциональной среды, в которой пользователи могут легко взаимодействовать и где конфиденциальное содержимое вашей организации остается безопасным.
В следующих разделах мы рассмотрим варианты и решения, которые следует учитывать администратору при настройке среды совместной работы:
Взаимодействие SharePoint с другими службами совместной работы в Microsoft 365, включая OneDrive, Группы Microsoft 365 и Teams.
Как создать интуитивно понятную и продуктивную среду совместной работы для пользователей.
Как защитить данные организации, управляя доступом с помощью разрешений, классификаций данных, правил управления и мониторинга.
Это часть более широкой истории совместной работы Microsoft 365:
Мы рекомендуем скачать плакат Microsoft Teams и связанные службы повышения производительности в Microsoft 365 для ИТ-архитекторов и ссылаться на него при прочтении этой статьи. На этом плакате подробно показано, как службы совместной работы в Microsoft 365 связаны друг с другом и взаимодействуют друг с другом.
Создание успешного интерфейса совместной работы
Технические варианты реализации, выбранные для совместной работы с файлами в Microsoft 365, должны соответствовать противоречивым требованиям:
Защита интеллектуальной собственности
Включение самообслуживания
Создание плавного взаимодействия с пользователем
Защита интеллектуальной собственности
Далее в этой статье рассматривается несколько вариантов защиты вашей интеллектуальной собственности. К ним относятся ограничение доступа к файлам, применение политик управления с помощью меток конфиденциальности и управление устройствами, которые пользователи используют для доступа к содержимому.
При выборе вариантов рекомендуется использовать сбалансированный подход:
Если используется конфигурация, в которой пользователи могут свободно делиться контентом, это может стать причиной случайного раскрытия конфиденциальной информации. С другой стороны, если пользовательский интерфейс трудно использовать либо он слишком сильно ограничивает возможности, пользователи будут искать альтернативные средства совместной работы, позволяющие перехитрить ваши политики управления, и в конечном итоге ваша среда будет подвергаться еще большей опасности.
Используя сочетание функций в зависимости от конфиденциальности данных, вы можете создать среду совместной работы, которая будет простой в использовании и предоставляет необходимые элементы управления безопасностью и аудитом.
Включение самообслуживания
В Microsoft 365 рекомендуется разрешить пользователям создавать сайты Teams, Группы Microsoft 365 и SharePoint по мере необходимости. Вы можете использовать метки конфиденциальности для принудительного управления разрешениями, использовать преимущества функций соответствия, которые защищают содержимое, а также использовать политики истечения срока действия и продления, чтобы не накапливались неиспользуемые сайты.
Выбирая варианты, поощряющие самообслуживание со стороны пользователей, вы можете свести к минимуму нагрузку на сотрудников ИТ-отдела и создать более простые условия работы для своих пользователей.
Создание плавного взаимодействия с пользователем
Ключ к созданию плавного взаимодействия с пользователем заключается в том, чтобы избежать создания препятствий для пользователей, которые они не понимают или что они должны передать в службу поддержки. Например, отключение внешнего общего доступа для сайта может привести к путанице или разочарованию пользователей. В то время как маркировка сайта и его содержимого как конфиденциальной и использование советов по политике защиты от потери данных и электронных писем для обучения пользователей политикам управления может привести к более плавному взаимодействию с ними.
SharePoint, Группы Microsoft 365 и Teams
В SharePoint в Microsoft 365 каждый сайт группы SharePoint входит в группу Microsoft 365. Группа Microsoft 365 — это одна группа разрешений, связанная с различными службами Microsoft 365, включая сайт SharePoint, экземпляр Планировщик, почтовый ящик, общий календарь и другие. При добавлении владельцев или участников в группу Microsoft 365 они получают доступ к сайту SharePoint вместе с другими подключенными службами.
Хотя вы можете по-прежнему управлять разрешениями сайта SharePoint отдельно с помощью групп SharePoint, рекомендуется управлять разрешениями для SharePoint, добавляя пользователей в связанную группу Microsoft 365 или удаляя их из нее. Это упрощает администрирование и предоставляет пользователям доступ к узлу связанных служб, которые они могут использовать для улучшения совместной работы.
Microsoft Teams предоставляет центр для совместной работы, объединяя все службы, связанные с группами Microsoft 365, а также различные службы, относящиеся к Teams, в едином пользовательском интерфейсе с постоянным чатом. Teams использует связанную группу Microsoft 365 для управления своими разрешениями. В интерфейсе Teams пользователи могут получать непосредственный доступ к SharePoint, а также к другим службам без необходимости переключаться между приложениями. Этот продукт предоставляет централизованное пространство для совместной работы с единым центром управления разрешениями. Teams использует сайт SharePoint, подключенный к группе Microsoft 365 для файлов в стандартных каналах, и создает отдельные сайты SharePoint для каждого частного или общего канала. Для сценариев совместной работы в вашей организации мы настоятельно рекомендуем использовать Teams, а не использовать такие службы, как SharePoint независимо.
Дополнительные сведения о взаимодействии SharePoint и Teams см. в статьях Обзор интеграции Teams и SharePoint и Управление параметрами и разрешениями при интеграции SharePoint и Teams.
Совместная работа в клиентских приложениях
Приложения Office, такие как Word, Excel и PowerPoint, предоставляют широкий спектр функций совместной работы, включая совместное редактирование и @mentions, а также интегрируются с метками конфиденциальности и предотвращением потери данных (описано ниже).
Настоятельно рекомендуется развернуть Приложения Microsoft 365 для предприятий. Приложения Microsoft 365 для предприятий обеспечивает всегда актуальные возможности для пользователей, с последними функциями и обновлениями, предоставляемыми по расписанию, которое вы можете контролировать.
Дополнительные сведения о развертывании Приложения Microsoft 365 для предприятий см. в руководстве по развертыванию для Приложения Microsoft 365.
Библиотеки OneDrive
Хотя SharePoint предоставляет общие библиотеки для общих файлов, над которыми могут работать команды, пользователи также имеют отдельную библиотеку в OneDrive, где они могут хранить принадлежащие им файлы.
Когда пользователь добавляет файл в OneDrive, этот файл не предоставляется другим пользователям. OneDrive предоставляет те же возможности общего доступа, что и SharePoint, поэтому пользователи могут поделиться файлами в OneDrive по мере необходимости.
Доступ к отдельной библиотеке пользователя можно получить из Teams, а также из веб-интерфейса OneDrive и мобильного приложения.
На устройствах под управлением Windows или macOS пользователи могут установить приложение приложение синхронизации OneDrive для синхронизации файлов из OneDrive и SharePoint на локальный диск. Это позволяет им работать с файлами в автономном режиме, а также обеспечивает удобство открытия файлов в собственном приложении (например, Word или Excel) без необходимости переходить к веб-интерфейсу.
Два main решений, которые следует учитывать для использования OneDrive в сценариях совместной работы:
Хотите ли вы каким-либо образом ограничить синхронизацию файлов , например только для управляемых устройств?
Эти параметры доступны в Центре администрирования SharePoint.
Защита данных
Значительная часть успешного решения для совместной работы — обеспечение безопасности данных вашей организации. Microsoft 365 предоставляет различные функции, помогающие обеспечить безопасность данных, обеспечивая удобную совместную работу для пользователей.
Чтобы защитить информацию организации, вы можете:
Управление общим доступом . Настроив параметры общего доступа для каждого сайта, соответствующие типу информации на сайте, можно создать пространство для совместной работы для пользователей при защите вашей интеллектуальной собственности.
Классификация и защита информации . Классифицируя типы информации в организации, вы можете создать политики управления, которые обеспечивают более высокий уровень безопасности конфиденциальной информации по сравнению с информацией, которая предназначена для свободного доступа.
Управление устройствами — с помощью управления устройствами можно управлять доступом к информации на основе устройства, расположения и других параметров.
Мониторинг действий . Отслеживая действия совместной работы в Teams и SharePoint, вы можете получить аналитические сведения о том, как используется информация вашей организации. Вы также можете настроить оповещения, чтобы помечать подозрительные действия.
Защита от угроз . С помощью политик обнаружения вредоносных файлов в SharePoint, OneDrive и Teams можно обеспечить безопасность данных и сети вашей организации.
Каждый из них рассматривается более подробно ниже. Есть много вариантов на выбор. В зависимости от потребностей вашей организации вы можете выбрать варианты, обеспечивающие оптимальный баланс между безопасностью и удобством использования. Если вы работаете в строго регулируемых отраслях или работаете с конфиденциальными данными, вы можете захотеть использовать больше этих средств управления; В то время как, если информация вашей организации не является конфиденциальной, вы можете использовать базовые параметры общего доступа и оповещения о вредоносных файлах.
Общий доступ к управлению
Параметры общего доступа, настроенные для SharePoint и OneDrive, определяют, с кем пользователи могут работать как внутри организации, так и за ее пределами. В зависимости от бизнес-потребностей и конфиденциальности данных вы можете:
Запретить общий доступ пользователям за пределами организации.
Требовать, чтобы пользователи за пределами вашей организации прошли проверку подлинности.
Ограничьте общий доступ указанными доменами.
Эти параметры можно настроить для всей организации или для каждого сайта независимо (за исключением сайтов частных или общих каналов). Подробные сведения см. в разделах Включение или отключение общего доступа и Включение и отключение общего доступа для сайта.
Дополнительные рекомендации по обмену данными с пользователями за пределами организации см. в статье Ограничение случайного воздействия файлов при совместном использовании с гостями .
Когда пользователи совместно используют файлы и папки, создается ссылка для общего доступа, которая имеет разрешения на элемент. Существует три основных типа ссылок:
- Любой пользователь — ссылки, которые работают для всех пользователей и не требуют входа
- Люди в организации — ссылки, которые работают для пользователей в вашей организации
- Конкретные люди — ссылки, которые работают для пользователей, указанных при создании ссылки.
Дополнительные сведения об этих типах ссылок см . в статье Принцип работы ссылок с возможностью совместного доступа в OneDrive и SharePoint в Microsoft 365.
Доступ без проверки подлинности с помощью ссылок "Любой пользователь "
Ссылки на любой пользователь — это отличный способ легко обмениваться файлами и папками с пользователями за пределами вашей организации. Но если вы делитесь конфиденциальными сведениями, этот способ может оказаться неоптимальным.
Если требуется, чтобы пользователи за пределами вашей организации проверяли подлинность , все ссылки будут недоступны для пользователей, и вы сможете выполнять аудит гостевых действий в общих файлах и папках.
Хотя для всех ссылок не требуется проходить проверку подлинности от пользователей за пределами вашей организации, вы можете отслеживать использование ссылок "Любой пользователь" и при необходимости отменять доступ.
Если нужно разрешить ссылки Любой пользователь, существует несколько способов для более безопасного предоставления общего доступа.
Можно ограничить ссылки типа Любой пользователь, предоставив им разрешения только для чтения. Можно также задать ограничение по времени окончания срока действия, по истечении которого ссылка перестает работать.
Другой вариант — настроить другой тип ссылки для отображения для пользователя по умолчанию. Это может снизить вероятность неправильного предоставления общего доступа. Например, если вы хотите разрешить ссылки "Любой пользователь", но обеспокоены тем, что они будут использоваться только для определенных целей, вы можете задать тип ссылки по умолчаниюдля конкретных людей или Люди в вашей организации ссылки вместо ссылок "Любой". После этого пользователям потребуется явным образом выбрать тип ссылки Любой пользователь при предоставлении общего доступа к файлу или папке.
Вы также можете использовать функцию защиты от потери данных, чтобы ограничить доступ к файлам, содержащим конфиденциальную информацию.
Люди в ссылках организации
Люди в вашей организации ссылки — отличный способ обмена информацией в организации. Ссылки типа Пользователи из вашей организации могут применять любые сотрудники вашей организации, чтобы делиться файлами и папками с пользователями, не входящими в группу или не являющимися участниками сайта. Ссылка при активации предоставляет доступ к конкретному файлу или папке и может передаваться внутри организации. Это позволяет легко сотрудничать с заинтересованными лицами из групп, которые могут иметь отдельные команды или сайты, такие как дизайн, маркетинг и группы поддержки.
Создание Люди в ссылке организации не приведет к отображению связанного файла или папки в результатах поиска, доступу через Copilot или предоставлению доступа всем пользователям в организации. Простое создание этой ссылки не обеспечивает доступ к содержимому в масштабах всей организации. Чтобы пользователи имели доступ к файлу или папке, они должны иметь ссылку, и она должна быть активирована путем активации. Пользователь может активировать ссылку, щелкнув ее, или в некоторых случаях ссылка может быть автоматически активирована при отправке кому-либо по электронной почте, чату или другим методам связи. Ссылка не работает для гостей или других людей за пределами вашей организации.
Ссылки на определенных пользователей
Ссылки на определенных пользователей лучше всего использовать в ситуациях, когда пользователи хотят ограничить доступ к файлу или папке. Ссылка работает только для указанного пользователя, и он должен пройти проверку подлинности, чтобы использовать ее. Эти ссылки могут быть внутренними или внешними (если вы включили гостевой общий доступ).
Классификация и защита информации
Защита от потери данных Microsoft Purview позволяет классифицировать команды, группы, сайты и документы, а также создавать ряд условий, действий и исключений для управления тем, как они используются и используются.
Классифицируя информацию и создавая правила управления вокруг них, вы можете создать среду совместной работы, в которой пользователи могут легко работать друг с другом без случайного или намеренного обмена конфиденциальной информацией.
Используя политики защиты от потери данных, вы можете быть относительно либеральными с параметрами общего доступа для данного сайта и полагаться на предотвращение потери данных для обеспечения соблюдения требований к управлению. Это обеспечивает более удобный пользовательский интерфейс и позволяет избежать ненужных ограничений, которые пользователи могут попытаться обойти.
Подробные сведения о защите от потери данных см. в статье Сведения о защите от потери данных.
Метки конфиденциальности
Метки конфиденциальности позволяют классифицировать команды, группы, сайты и документы с помощью описательных меток, которые затем можно использовать для принудительного применения рабочего процесса управления.
Использование меток конфиденциальности помогает пользователям безопасно обмениваться информацией и поддерживать политики управления без необходимости стать экспертами по этим политикам.
Например, можно настроить политику, которая требует, чтобы группы Microsoft 365, классифицированные как конфиденциальные, были закрытыми, а не общедоступными. В этом случае пользователь, создающий группу, команду или сайт SharePoint, увидит параметр "частный" только при выборе конфиденциальной классификации. Сведения об использовании меток конфиденциальности с командами, группами и сайтами см. в статье Использование меток конфиденциальности для защиты содержимого в Microsoft Teams, группах Microsoft 365 и сайтах SharePoint.
Условия и действия
С помощью условий и действий защиты от потери данных можно применить рабочий процесс управления при выполнении заданного условия.
Вот некоторые примеры.
Если в документе обнаружены сведения о клиенте, пользователи не смогут предоставить гостям общий доступ к документу.
Если документ содержит имя конфиденциального проекта, гости не смогут открыть документ, даже если он им предоставлен.
Дополнительные сведения см. в статье Сведения о защите от потери данных.
Условный доступ
Microsoft Entra условный доступ предоставляет дополнительные средства управления, чтобы запретить пользователям доступ к ресурсам вашей организации в рискованных ситуациях, например из ненадежного расположения или с устройств, которые не обновлены.
Вот некоторые примеры.
Блокировать вход гостей из опасных расположений
Требовать многофакторную проверку подлинности для мобильных устройств
Вы можете создать политики доступа, предназначенные специально для гостей, что позволяет устранить риски для людей, которые, скорее всего, имеют неуправляемые устройства.
Подробные сведения см. в статье Что такое условный доступ?
Мониторинг с помощью отчетов
В Microsoft 365 доступны различные отчеты, помогающие отслеживать использование сайта, общий доступ к документам, соответствие требованиям системы управления и множество других событий.
Сведения о просмотре отчетов об использовании сайта SharePoint см. в статье Отчеты Microsoft 365 в центре Администратор — использование сайта SharePoint.
Сведения о просмотре отчетов о защите от потери данных см. в разделе Просмотр отчетов о защите от потери данных.
Сведения об отчетах, которые помогают отслеживать общий доступ к содержимому, см. в статье Отчеты по управлению доступом к данным для сайтов SharePoint.
Статьи по теме
Создание безопасной среды гостевого общего доступа
Рекомендации по предоставлению общего доступа к файлам и папкам непроверенным пользователям