使用访问控制列表确保安全访问

已完成

在本单元中,你将了解如何确保导入到 Microsoft 365 的外部内容仅可供特权个人访问。

使用正确的权限导入外部内容

存储在 Microsoft 365 之外的信息可由组织中的每个人访问,或者只能由一组选定人员访问。 访问外部内容的权限存储在外部系统中。

使用 Microsoft Graph 连接器导入内容时,可以从外部系统检索内容及其权限。 使用此信息,对于导入的每个内容,你将 (ACL) 生成一个访问控制列表 ,并在将其导入到 Microsoft 365 时将其包含在项中。

说明自定义 Microsoft Graph 连接器工作原理的示意图。

通过对导入的内容配置权限,可以确保只有外部系统中指定的个人才能访问它。 使用 Graph 连接器导入外部内容时,可以使用多个选项来确保可以在外部系统中访问它的同一组人员访问它。

访问控制列表剖析

访问控制列表是访问控制项的数组。 每个条目由三个元素组成:

  1. 访问类型,指定条目是用于授予还是拒绝对内容片段的访问权限。
  2. 类型,它指定条目所描述的实体类型。 它可以是:
    1. Microsoft Entra 用户,
    2. Microsoft Entra 组,
    3. 租户中的每个人,
    4. 除来宾用户以外的所有人,
    5. 外部组 (,即在外部系统中定义的组)
  3. ,用于标识条目所描述的实体。

访问控制列表示意图。

重要

每个导入的项必须至少包含一个访问控制项。 还可以包含多个条目,使项目可供多个组人员访问。

让我们看一些常见方案,了解如何确保正确访问导入的内容。

方案 1:导入可供组织中的每个人使用的内容

最常见的方案之一是导入可供组织中的每个人使用的外部内容。 如果要导入此类内容,可对所有内容项使用以下访问控制项:

  • 访问类型:授予
  • 类型:所有人
  • :每个人

方案 2:使用 Microsoft 365 从具有单一登录的外部系统中导入仅供特定组人员使用的内容

如果外部系统具有 Microsoft 365 的单一登录,则外部内容将受到来自 Microsoft Entra ID (以前 Azure Active Directory) 的用户和组保护。 在这种情况下,可以在引用 Entra 组) 时引用单个 Entra 用户) 或组 (,可以定义类型为 User (的访问控制条目。 将值配置为引用 Microsoft Entra 用户或组的对象 ID,例如:

  • 访问类型:授予
  • 类型:组
  • :12345678-1234-1234-1234-123456789012

方案 3:使用 Microsoft 365 从外部系统导入仅对特定组用户可用的内容,而无需使用单一登录

如果要从使用自己的用户和组保护内容的系统导入内容,则仍可以正确保护导入的内容,并使其仅对正确的个人可用。 在这种情况下,可以定义用于保护导入内容的外部组。 这些组反映外部系统中定义的成员身份,但引用 Microsoft Entra 用户和组或其他外部组。

使外部权限和访问控制列表保持同步

从中导入内容到 Microsoft 365 的外部系统包含权限的主要引用以及谁有权访问哪些内容。 生成 Microsoft Graph 连接器时,必须将这些权限同步到导入到 Microsoft 365 的内容,以确保其安全性。

如果外部系统在权限更改时引发事件,则可以立即更新导入到 Microsoft 365 的外部内容。 如果外部系统不支持事件,则会生成一个经常运行的进程,以扫描更改的权限并相应地更新这些权限。 应包括按需刷新权限的功能,这样就可以在出现此类需要时立即刷新权限。