Skydda extern åtkomst till Microsoft Teams, SharePoint och OneDrive med Microsoft Entra-ID

Använd den här artikeln för att fastställa och konfigurera organisationens externa samarbete med hjälp av Microsoft Teams, OneDrive för företag och SharePoint. En vanlig utmaning är att balansera säkerhet och användarvänlighet för slutanvändare och externa användare. Om en godkänd samarbetsmetod uppfattas som restriktiv och betungande undviker slutanvändarna den godkända metoden. Slutanvändare kan skicka oskyddat innehåll via e-post eller konfigurera externa processer och program, till exempel en personlig Dropbox eller OneDrive.

Innan du börjar

Den här artikeln är nummer 9 i en serie med 10 artiklar. Vi rekommenderar att du granskar artiklarna i ordning. Gå till avsnittet Nästa steg för att se hela serien.

Inställningar för externa identiteter och Microsoft Entra-ID

Delning i Microsoft 365 styrs delvis av externa identiteter, inställningar för externt samarbete i Microsoft Entra-ID. Om extern delning är inaktiverad eller begränsad i Microsoft Entra-ID åsidosätter den delningsinställningar som konfigurerats i Microsoft 365. Ett undantag är om Microsoft Entra B2B-integrering inte är aktiverat. Du kan konfigurera SharePoint och OneDrive för att stödja ad hoc-delning via engångslösenord (OTP). Följande skärmbild visar dialogrutan Externa identiteter, Inställningar för externt samarbete.

Läs mer:

• Administrationscenter för Microsoft Entra
• Externa identiteter i Microsoft Entra-ID

Gästanvändaråtkomst

Gästanvändare uppmanas att ha åtkomst till resurser.

1. Logga in på administrationscentret för Microsoft Entra.
2. Bläddra till Inställningar för extern identitet>externt>samarbete.
3. Hitta åtkomstalternativen för gästanvändare.
4. Om du vill förhindra gästanvändares åtkomst till annan information om gästanvändare och förhindra uppräkning av gruppmedlemskap väljer du Gästanvändare har begränsad åtkomst till egenskaper och medlemskap i katalogobjekt.

Inställningar för gästbjudning

Inställningar för gästbjudning avgör vem som bjuder in gäster och hur gäster bjuds in. Inställningarna aktiveras om B2B-integreringen är aktiverad. Vi rekommenderar att administratörer och användare i rollen Gästinbjudare kan bjuda in. Med den här inställningen kan du konfigurera kontrollerade samarbetsprocesser. Till exempel:

• Teamägaren skickar ett ärende som begär tilldelning till rollen gästinbjudare:

  • Ansvarig för gästinbjudningar
  • Samtycker till att inte lägga till användare i SharePoint
  • Utför regelbundna åtkomstgranskningar
  • Återkallar åtkomst efter behov

• IT-teamet:

  • När utbildningen är klar beviljar IT-teamet rollen gästinbjudare
  • Säkerställer att det finns tillräckligt med Microsoft Entra ID P2-licenser för De Microsoft 365-gruppägare som ska granska
  • Skapar en microsoft 365-gruppåtkomstgranskning
  • Bekräftar att åtkomstgranskningar utförs
  • Tar bort användare som lagts till i SharePoint

1. Välj banderollen för E-post engångslösenord för gäster.
2. För Aktivera självbetjäningsregistrering av gäst via användarflöden väljer du Ja.

Samarbetsbegränsningar

För alternativet Samarbetsbegränsningar avgör organisationens affärskrav valet av inbjudan.

• Tillåt att inbjudningar skickas till valfri domän (mest inkluderande) – alla användare kan bjudas in
• Neka inbjudningar till de angivna domänerna – alla användare utanför dessa domäner kan bjudas in
• Tillåt endast inbjudningar till de angivna domänerna (mest restriktiva) – alla användare utanför dessa domäner kan inte bjudas in

Externa användare och gästanvändare i Teams

Teams skiljer mellan externa användare (utanför organisationen) och gästanvändare (gästkonton). Du kan hantera samarbetsinställningar i administrationscentret för Microsoft Teams under Organisationsomfattande inställningar. Autentiseringsuppgifter för auktoriserade konton krävs för att logga in på Teams administratörsportal.

• Extern åtkomst – Teams tillåter extern åtkomst som standard. Organisationen kan kommunicera med alla externa domäner
  • Använd inställningen Extern åtkomst för att begränsa eller tillåta domäner
• Gäståtkomst – hantera gäståtkomst i Teams

Läs mer: Använd gäståtkomst och extern åtkomst för att samarbeta med personer utanför organisationen.

Samarbetsfunktionen externa identiteter i Microsoft Entra ID styr behörigheter. Du kan öka begränsningarna i Teams, men begränsningarna kan inte vara lägre än Microsoft Entra-inställningarna.

Läs mer:

• Hantera externa möten och chatta i Microsoft Teams
• Steg 1. Fastställa din molnidentitetsmodell
• Identitetsmodeller och autentisering för Microsoft Teams
• Känslighetsetiketter för Microsoft Teams

Styra åtkomst i SharePoint och OneDrive

SharePoint-administratörer kan hitta organisationsomfattande inställningar i administrationscentret för SharePoint. Vi rekommenderar att inställningarna för hela organisationen är de lägsta säkerhetsnivåerna. Öka säkerheten på vissa webbplatser efter behov. För ett högriskprojekt kan du till exempel begränsa användare till vissa domäner och inaktivera medlemmar från att bjuda in gäster.

Läs mer:

• Administrationscenter för SharePoint – åtkomstbehörigheter krävs
• Kom igång med administrationscentret för SharePoint
• Översikt över extern delning

Integrera SharePoint och OneDrive med Microsoft Entra B2B

Som en del av din strategi för att styra externt samarbete rekommenderar vi att du aktiverar SharePoint- och OneDrive-integrering med Microsoft Entra B2B. Microsoft Entra B2B har autentisering och hantering av gästanvändare. Med SharePoint- och OneDrive-integrering använder du engångslösenord för extern delning av filer, mappar, listobjekt, dokumentbibliotek och webbplatser.

Läs mer:

• Autentisering med engångslösenord via e-post
• SharePoint- och OneDrive-integrering med Microsoft Entra B2B
• Översikt över B2B-samarbete

Om du aktiverar Microsoft Entra B2B-integrering omfattas SharePoint- och OneDrive-delning av inställningarna för Microsoft Entra-organisationsrelationer, till exempel Medlemmar kan bjuda in och Gäster kan bjuda in.

Delningsprinciper i SharePoint och OneDrive

I Azure-portalen kan du använda inställningarna för extern delning för SharePoint och OneDrive för att konfigurera delningsprinciper. OneDrive-begränsningar kan inte vara mer tillåtande än SharePoint-inställningar.

Läs mer: Översikt över extern delning

Rekommendationer för externa delningsinställningar

Använd vägledningen i det här avsnittet när du konfigurerar extern delning.

• Alla - rekommenderas inte. Om aktiverad, oavsett integreringsstatus, tillämpas inga Azure-principer för den här länktypen.
  • Aktivera inte den här funktionen för styrt samarbete
  • Använda den för begränsningar på enskilda webbplatser
• Nya och befintliga gäster – Rekommenderas om integrering är aktiverat
  • Microsoft Entra B2B-integrering aktiverad: nya och aktuella gäster har ett Microsoft Entra B2B-gästkonto som du kan hantera med Microsoft Entra-principer
  • Microsoft Entra B2B-integrering har inte aktiverats: nya gäster har inget Microsoft Entra B2B-konto och kan inte hanteras från Microsoft Entra-ID
  • Gäster har ett Microsoft Entra B2B-konto, beroende på hur gästen skapades
• Befintliga gäster – Rekommenderas om du inte har integrering aktiverat
  • Med det här alternativet aktiverat kan användare dela med andra användare i din katalog
• Endast personer i din organisation – Rekommenderas inte med externt användarsamarbete
  • Oavsett integreringsstatus kan användarna dela med andra användare i din organisation
• Begränsa extern delning efter domän – Som standard tillåter SharePoint extern åtkomst. Delning tillåts med externa domäner.
  • Använd det här alternativet för att begränsa eller tillåta domäner för SharePoint
• Tillåt endast användare i specifika säkerhetsgrupper att dela externt – Använd den här inställningen för att begränsa vem som delar innehåll i SharePoint och OneDrive. Inställningen i Microsoft Entra-ID gäller för alla program. Använd begränsningen för att dirigera användare till utbildning om säker delning. Slutförande är signalen för att lägga till dem i en delningssäkerhetsgrupp. Om den här inställningen har valts och användarna inte kan bli en godkänd resurs kan de hitta icke godkända sätt att dela.
• Tillåt gäster att dela objekt som de inte äger – rekommenderas inte. Vägledningen är att inaktivera den här funktionen.
• Personer som använder en verifieringskod måste autentiseras igen efter så här många dagar (standardvärdet är 30) – rekommenderas

Åtkomstkontroller

Åtkomstkontrollinställningen påverkar alla användare i din organisation. Eftersom du kanske inte kan styra om externa användare har kompatibla enheter åtgärdas inte kontrollerna i den här artikeln.

• Utloggning av inaktiv session – rekommenderas
  • Använd det här alternativet för att varna och logga ut användare på ohanterade enheter efter en period av inaktivitet
  • Du kan konfigurera perioden för inaktivitet och varningen
• Nätverksplats – Ställ in den här kontrollen för att tillåta åtkomst från IP-adresser som din organisation äger.
  • För externt samarbete anger du den här kontrollen om dina externa partner kommer åt resurser när de är i nätverket eller med ditt virtuella privata nätverk (VPN).

Fil- och mapplänkar

I administrationscentret för SharePoint kan du ange hur fil- och mapplänkar delas. Du kan konfigurera inställningen för varje plats.

Med Microsoft Entra B2B-integrering aktiverat resulterar delning av filer och mappar med användare utanför organisationen i skapandet av en B2B-användare.

1. För Välj den typ av länk som väljs som standard när användare delar filer och mappar i SharePoint och OneDrive väljer du Endast personer i din organisation.
2. För Välj den behörighet som har valts som standard för delningslänkar väljer du Redigera.

Du kan anpassa den här inställningen för en standardinställning per plats.

Alla länkar

Det rekommenderas inte att du aktiverar alla-länkar. Om du aktiverar det anger du ett förfallodatum och begränsar användarna till att visa behörigheter. Om du väljer Visa endast behörigheter för filer eller mappar kan användarna inte ändra Alla-länkar till att inkludera redigeringsbehörigheter.

Läs mer:

• Översikt över extern delning
• SharePoint- och OneDrive-integrering med Microsoft Entra B2B

Nästa steg

Använd följande artikelserie för att lära dig mer om hur du skyddar extern åtkomst till resurser. Vi rekommenderar att du följer den angivna ordningen.

1. Fastställa din säkerhetsstatus för extern åtkomst med Microsoft Entra-ID

2. Identifiera det aktuella tillståndet för externt samarbete i din organisation

3. Skapa en säkerhetsplan för extern åtkomst till resurser

4. Skydda extern åtkomst med grupper i Microsoft Entra ID och Microsoft 365

5. Övergång till reglerat samarbete med Microsoft Entra B2B-samarbete

6. Hantera extern åtkomst med Microsoft Entra-berättigandehantering

7. Hantera extern åtkomst till resurser med principer för villkorlig åtkomst

8. Kontrollera extern åtkomst till resurser i Microsoft Entra-ID med känslighetsetiketter

9. Skydda extern åtkomst till Microsoft Teams, SharePoint och OneDrive för företag med Microsoft Entra-ID (du är här)

10. Konvertera lokala gästkonton till Microsoft Entra B2B-gästkonton