有关与身份未经验证用户共享文件和文件夹的最佳做法

未经身份验证共享(任何人链接)非常方便,在各种情景中都很有用。 任何人链接是最简单的共享方式:用户无需身份验证即可打开链接,并可将其自由传递给其他人。

通常情况下,并非组织中的所有内容都适合未经身份验证共享。 本文介绍了一些可用选项,这些选项可帮助你创建一个环境,让你的用户能在其中未经身份验证共享文件和文件夹,但其中也有安全措施来帮助你保护组织的内容。

注意

若要正常使用未经身份验证共享功能,必须为你的组织以及要使用的各个网站或团队启用该功能。 对于你希望启用该功能的情景,请参阅与组织外部人员协作

文件通常在网站、组和团队中存储很长一段时间。 偶尔有些数据保留策略会要求将文件保留几年时间。 如果与未经身份验证人员共享此类文件,可能会导致将来在意想不到的情况下访问和更改文件。 为了降低这种可能性,可为任何人链接配置到期时间。

任何人链接到期后,不能再将其用于访问内容。

设置组织中“任何人”链接到期日期

  1. 在 SharePoint 管理中心中,展开“策略”,然后选择“共享”。
  2. “为任何人链接选择过期和权限选项”下,选择“这些链接必须在这几天内过期检查框。
    SharePoint 组织级别的“任何人”链接过期设置的屏幕截图。
  3. 在框中键入天数,然后选择“ 保存”。

如果更改过期时间,而新设置较长,现有链接将保留其当前过期时间;如果新设置较短,则更新为新设置。

设置特定站点“任何人”链接的到期日期

  1. 在 SharePoint 管理中心中,展开“网站”,然后选择“活动网站”。
  2. 选择要更改的站点,然后选择“共享”。
  3. “任何人链接的高级设置”下,在“任何人链接过期”下,清除“与组织级别设置检查相同”框。
    SharePoint 网站级别的“任何人”链接过期设置的屏幕截图。
  4. 选择“这些链接必须在该天数内过期”选项,然后再框中输入天数。
  5. 选择“保存”。

请注意, 任何人 链接过期后,可以使用新的 “任何人 ”链接重新共享文件或文件夹。

可使用 Set-SPOSite 设置特定网站的“任何人”链接的过期时间。

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/marketing -OverrideTenantAnonymousLinkExpirationPolicy $true -AnonymousLinkExpirationInDays 15

默认情况下,文件的任何人链接允许用户编辑文件,而文件夹的任何人链接允许用户编辑和查看其中的文件以及向文件夹上传新文件。 你可以单独将文件和文件夹的这些权限更改为“仅查看”。

如果希望允许未经身份验证共享,但担心未经身份验证的人员修改组织的内容,可考虑将文件和文件夹权限设置为“查看”。

设置组织中“任何人”链接权限

  1. 打开 SharePoint 管理中心,然后选择共享
  2. “为任何人链接选择过期和权限选项”下,选择要使用的文件和文件夹权限。
    SharePoint 组织级别的“任何人链接”权限设置的屏幕截图。

任何人”链接设置为“查看”后,用户仍可与来宾共享文件和文件夹,并可使用特定人员链接为其提供编辑权限。 特定人员 链接要求组织外部的人员以来宾身份进行身份验证,你可以跟踪和审核与这些链接共享的文件和文件夹的来宾活动。

为组织启用任何人共享后,通常将默认共享链接设置为“任何人”。 虽然这对用户来说非常方便,但是会增加意外的未经身份验证的共享风险。 如果用户忘记在共享敏感文档时更改链接类型,可能会意外地创建不需要身份验证的共享链接。

你可以通过将默认链接设置更改为仅适用于组织内部人员的链接来降低此风险。 确实需要未经身份验证共享的用户,则必须明确选择该选项。

为组织设置默认文件和文件夹共享链接:

  1. 打开 SharePoint 管理中心,然后选择共享

  2. 在“文件和文件夹链接”下,选中“仅限组织中的人员”。

    SharePoint 默认链接类型设置的屏幕截图。

  3. 选择“保存

为特定站点设置默认文件和文件夹共享链接:

  1. 在 SharePoint 管理中心中,展开“网站”,然后选择“活动网站”。

  2. 选择要更改的站点,然后选择“共享”。

  3. “默认共享链接类型”下,清除“与组织级别设置检查相同”框。

    SharePoint 网站级默认链接类型设置的屏幕快照。

  4. 选择“仅限组织中的人员”选项,然后选择“保存”。

阻止未经身份验证共享敏感内容

可使用 Microsoft Purview 数据丢失防护 (DLP) 防止共享未经身份验证的内容。 数据丢失防护可以根据文件的敏感度标签、保留标签或文件本身中的敏感信息采取措施。

创建 DLP 规则:

  1. Microsoft Purview 管理中心中,展开 “数据丢失防护”,然后选择“ 策略”。

  2. 选择“创建策略”。

  3. 依次选择“ 自定义”、“ 自定义策略 ”、“ 下一步”。

  4. 键入策略的名称,然后选择“ 下一步”。

  5. “分配管理单元 ”页上,选择“ 下一步”。

  6. “要应用策略的位置” 页上,关闭 除 SharePoint 网站OneDrive 帐户之外的所有设置,然后选择“ 下一步”。

  7. “定义策略设置” 页上,选择“ 下一步”。

  8. “自定义高级 DLP 规则 ”页上,选择“ 创建规则 ”并键入规则的名称。

  9. “条件”下,选择“ 添加条件”,然后选择“ 内容包含”。

  10. 选择“ 添加 ”,然后选择要阻止未经身份验证共享的信息类型。

  11. “操作” 下,选择“ 添加操作 ”,然后选择 “限制访问或加密 Microsoft 365 位置中的内容”。

  12. 选择“ 仅阻止通过”具有链接的任何人“选项访问内容的人员 选项。

    DLP 规则操作选项的屏幕截图。

  13. 选择“ 保存 ”,然后选择“ 下一步”。

  14. 选择测试选项,然后选择“ 下一步”。

  15. 选择“ 提交”,然后选择“ 完成”。

防范恶意文件

如果允许匿名用户上传文件,可能会增加他人上载恶意文件的风险。 可以使用安全附件功能在将电子邮件附件发送给收件人和隔离发现不安全的文件之前,在虚拟环境中检查电子邮件附件。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的安全附件

还可以使用安全文档功能在受保护的视图或 Office 应用程序防护 中扫描打开的 Office 文档。 有关详细信息,请参阅 Microsoft 365 A5 或 E5 安全中的“安全文档”

如果在 Microsoft Purview 管理中心使用敏感度标签,则可以在标签中配置 内容标记 ,以自动向组织的 Office 文档添加水印或页眉或页脚。 通过这种方法,可确保共享文件包含版权或其他所有权信息。

向带标签的文件添加页脚

  1. 打开 Microsoft Purview 管理中心
  2. 在左侧导航的 “解决方案”下,展开 “信息保护 ”,然后选择“ 标签”。
  3. 选择要在其中添加内容标记的标签,然后选择 “编辑标签”。
  4. 选择“ 下一步 ”以访问 “为已标记的项目选择保护设置 ”页,然后选择“ 应用内容标记”。 选择“下一步”。
  5. “内容标记 ”页上,将 “内容标记 ”设置为 “打开”。
  6. 选择要添加的文本类型的“检查”框,然后选择“自定义文本”。
  7. 键入要添加到文档的文本,选择所需的文本选项,然后选择“ 保存”。
    敏感度标签的内容标记设置的屏幕截图。
  8. 选择“ 下一步 ”以到达向导末尾,然后选择“ 保存标签”。
  9. 选择“完成”。

为标签启用内容标记后,用户应用该标签时,你指定的文本将添加到 Office 文档。

了解敏感性标签

在与组织外人员共享文件时限制意外公开信息

创建更安全的来宾共享环境