規劃和部署檔案共同作業環境 - SharePoint
您可以使用 Microsoft 365 服務,為您的使用者建立安全且具生產力的檔案共同作業環境。 SharePoint 支援大部分功能,但 Microsoft 365 中的檔案共同作業功能超越傳統的 SharePoint 網站。 Teams、OneDrive 和各種治理和安全性選項在建立豐富環境方面都扮演著一個角色,讓使用者可以輕鬆地共同作業,以及貴組織的敏感性內容保持安全。
在下列各節中,我們會指出您身為系統管理員在設定共同作業環境時應考慮的選項和決策:
SharePoint 與 Microsoft 365 中其他共同作業服務的關係,包括 OneDrive、Microsoft 365 群組 和 Teams。
如何為使用者建立直覺且具生產力的共同作業環境。
如何透過許可權、數據分類、治理規則和監視來管理存取權,以保護組織的數據。
這是更廣泛的Microsoft 365 共同作業案例的一部分:
建議您 在 Microsoft 365 for IT 架構設計人員海報中下載 Microsoft Teams 和相關的生產力服務 ,並在閱讀本文時加以參考。 此海報提供Microsoft 365 中共同作業服務如何彼此關聯及互動的詳細圖例。
建立成功的共同作業體驗
您在 Microsoft 365 中為檔案共同作業選擇的技術實作選項,應該要平衡看似令人自變的需求:
保護您的智慧財產權
啟用自助服務
建立順暢的用戶體驗
保護您的智慧財產權
本文稍後將討論數個選項來保護您的智慧財產權。 其中包括限制可以共用檔案的人員、使用敏感度標籤套用治理原則,以及管理使用者用來存取內容的裝置。
在考慮要選擇的選項時,我們建議使用平衡的方法:
允許使用者自由共用內容的組態可能會導致意外共用機密資料。 不過,難以使用或限制太多的使用者體驗可能會導致使用者尋找替代共同作業選項,以規避控管原則,最終導致更大的風險。
根據數據的敏感度使用功能組合,您可以建立易於使用的共同作業環境,並提供您需要的安全性和稽核控制。
啟用自助服務
在 Microsoft 365 中,建議用戶視需要建立 Teams、Microsoft 365 群組 和 SharePoint 網站。 您可以使用敏感度標籤來強制執行許可權治理、利用保護內容的合規性功能,以及使用到期和更新原則來確保未使用的網站不會累積。
您可以選擇有利於使用者自助服務的選項,將對 IT 人員的影響降至最低,同時為您的使用者建立更輕鬆的體驗。
建立順暢的用戶體驗
建立順暢用戶體驗的關鍵在於避免為您的使用者建立他們不瞭解或必須呈報給技術支援人員的障礙。 例如,關閉網站的外部共用可能會造成使用者混淆或挫折;而將網站及其內容標示為機密,並使用數據外泄防護原則秘訣和電子郵件來教育您的使用者治理原則,則可讓他們獲得更順暢的體驗。
SharePoint、Microsoft 365 群組 和 Teams
在 Microsoft 365 的 SharePoint 中,每個 SharePoint 小組網站都是Microsoft 365 群組的一部分。 Microsoft 365 群組是與各種Microsoft 365 服務相關聯的單一許可權群組,包括 SharePoint 網站、Planner 實例、信箱、共用行事曆等等。 當您將擁有者或成員新增至 Microsoft 365 群組時,系統會將他們與其他已連線服務一起存取 SharePoint 網站。
雖然您可以使用 SharePoint 群組繼續個別管理 SharePoint 網站許可權,但建議您將人員新增至相關聯的 Microsoft 365 群組,以管理 SharePoint 的許可權。 這可讓使用者更輕鬆地管理及存取一系列相關服務,以便他們用於更好的共同作業。
Microsoft Teams 提供共同作業的中樞,方法是將所有Microsoft 365 群組相關服務,加上各種 Teams 特定服務,結合在具有持續性聊天的單一用戶體驗中。 Teams 會使用相關聯的 Microsoft 365 群組來管理其許可權。 在 Teams 體驗內,使用者可以直接存取 SharePoint 以及其他服務,而不需切換應用程式。 這提供了集中的共同作業空間,作為管理權限的單一位置。 Teams 會針對標準頻道中的檔案使用連線至 Microsoft 365 群組的 SharePoint 網站,併為每個私人或共用通道建立個別的 SharePoint 網站。 針對組織中的共同作業案例,強烈建議您使用Teams,而不是獨立使用SharePoint等服務。
如需 SharePoint 和 Teams 如何互動的詳細資訊,請參閱 Teams 與 SharePoint 整合概觀和在 SharePoint 和 Teams 整合時管理設定和權限。
用戶端應用程式中的共同作業
Word、Excel 和 PowerPoint 等 Office 應用程式提供各種共同作業功能,包括共同撰寫和 @mentions,而且也與敏感度卷標和數據外洩防護整合 (如下) 所述。
強烈建議您部署 Microsoft 365 Apps 企業版。 Microsoft 365 Apps 企業版 可為您的使用者提供永遠最新的體驗,並依您可控制的排程提供最新的功能和更新。
如需部署 Microsoft 365 Apps 企業版 的詳細資訊,請參閱 Microsoft 365 Apps 的部署指南。
OneDrive 連結庫
雖然 SharePoint 提供共用檔案的共享連結庫供小組共同作業,但使用者在 OneDrive 中也有個別的文件庫,他們可以在其中儲存自己擁有的檔案。
當使用者將檔案新增至 OneDrive 時,該檔案不會與其他人共用。 OneDrive 提供與 SharePoint 相同的共用功能,因此使用者可以視需要在 OneDrive 中共用檔案。
用戶的個別文檔庫可以從 Teams 存取,也可以從 OneDrive Web 介面和行動應用程式存取。
在執行 Windows 或 macOS 的裝置上,使用者可以安裝 OneDrive 同步處理 應用程式,將檔案從 OneDrive 和 SharePoint 同步至其本機磁碟。 這可讓他們脫機處理檔案,並提供在原生應用程式中開啟檔案的便利性 (例如 Word 或 Excel) ,而不需要移至 Web 介面。
在共同作業案例中使用 OneDrive 時要考慮的兩個主要決策如下:
您是否想要以任何方式 限制檔案同步 處理,例如僅限受管理的裝置?
這些設定可在 SharePoint 系統管理中心取得。
保護您的數據
成功共同作業解決方案的一個重要部分是確保貴組織的數據保持安全。 Microsoft 365 提供各種功能,可協助您保護數據安全,同時為使用者提供順暢的共同作業體驗。
若要協助保護貴組織的資訊,您可以:
控制共用 – 藉由為適合網站中資訊類型的每個網站設定共用設定,您可以為使用者建立共同作業空間,同時保護您的智慧財產。
分類和保護資訊 – 藉由分類組織中的資訊類型,您可以建立控管原則,為機密資訊提供較高層級的安全性,相較於要自由共用的資訊。
管理裝置 – 透過裝置管理,您可以根據裝置、位置和其他參數來控制資訊的存取權。
監視活動 – 藉由監視 Teams 和 SharePoint 中發生的共同作業活動,您可以深入了解組織資訊的使用方式。 您也可以設定警示來標示可疑活動。
防範威脅 – 藉由使用原則來偵測 SharePoint、OneDrive 和 Teams 中的惡意檔案,您可以協助確保組織數據和網路的安全性。
下方會更詳細地討論這些專案。 有許多選項可供選擇。 根據組織的需求,您可以選擇可讓您在安全性和可用性方面取得最佳平衡的選項。 如果您是高度管制的產業或使用高度機密的數據,您可能想要備妥更多這些控件;而如果您組織的資訊不敏感,您可能會想要依賴基本共用設定和惡意檔案警示。
控制共用
您為 SharePoint 和 OneDrive 設定的共享設定會決定您的使用者可以在組織內外共同作業的人員。 視您的商務需求和數據的敏感度而定,您可以:
不允許與組織外部的人員共用。
要求組織外部的人員進行驗證。
將共用限制為指定的網域。
您可以為整個組織或個別 (每個網站設定這些設定,但私人或共用通道網站) 除外。 如需詳細資訊, 請參閱開啟或關閉共用 和 開啟或關閉網站的共用。
如需與組織外部人員共用的詳細指引,請參閱 限制與來賓共用時意外暴露於檔案 。
當使用者共用檔案和資料夾時,會建立具有項目許可權的可共享連結。 有三種主要連結類型:
- 任何人 - 適用於任何人且不需要登入的連結
- 組織中的 人員 - 適用於組織中用戶的連結
- 特定人員 - 鏈接,適用於建立連結時指定的人員
如需這些連結類型的詳細資訊,請 參閱 Microsoft 365 中可共用連結在 OneDrive 和 SharePoint 中的運作方式。
具有 任何人 連結的未經驗證存取
任何人 連結都是與組織外部人員輕鬆共用檔案和資料夾的絕佳方式。 不過,如果您要共用敏感性資訊,這可能不是最好的選項。
如果您要求組織外部的人員進行驗證,使用者將無法使用 任何人 連結,而且您可以稽核共用檔案和資料夾上的來賓活動。
雖然 任何人 連結不需要組織外部的人員進行驗證,但您可以追蹤 任何人 連結的使用方式,並視需要撤銷存取權。
如果您想要允許 [任何人] 連結,有幾個選項可提供更安全的共用體驗。
您可以將 [任何人] 連結限制為唯讀。 您也可以設定到期時間限制,之後連結就會停止運作。
另一個選項是設定預設要向用戶顯示的不同連結類型。 這有助於將不適當的共用機會降至最低。 例如,如果您想要允許任何人連結,但擔心這些連結只用於特定用途,您可以將默認連結類型設定為 [特定人員] 鏈接或組織中的 人員 連結,而不是 [任何人] 連結。 然後,當使用者共用檔案或資料夾時,他們將必須明確地選取 [任何人]連結。
您也可以使用數據外洩防護來限制 任何人 連結存取包含敏感性信息的檔案。
組織中的 人員 連結
組織中的 人員 連結是分享組織內資訊的好方法。 [貴組織中的人員] 連結適用於您組織中的任何人,因此使用者可以與不是網站團隊或成員一份子的人員共用檔案和資料夾。 兌換時的連結會提供特定檔案或資料夾的存取權,而且可以在組織內四處傳遞。 這可讓您輕鬆地與可能具有不同小組或網站的群組項目關係人共同作業,例如設計、行銷和支援群組。
在您的組織中建立 人員 連結不會讓相關聯的檔案或資料夾出現在搜尋結果中、可透過 Copilot 存取,或將存取權授與組織內的每個人。 只要建立此連結,就不會提供整個組織對內容的存取。 若要讓個人存取檔案或資料夾,他們必須擁有連結,而且必須透過兌換加以啟用。 使用者可以按下連結來兌換連結,或者在某些情況下,透過電子郵件、聊天或其他通訊方法傳送給某人時,可能會自動兌換連結。 連結不適用於來賓或組織外部的其他人。
特定人員 連結
特定人員 連結最適合使用者想要限制檔案或資料夾存取的情況。 連結僅適用於指定的人員,而且必須進行驗證才能使用。 如果您已啟用來賓共用) ,這些連結可以是內部或外部 (。
分類和保護資訊
Microsoft Purview 資料外洩防護 提供一種方式來分類您的小組、群組、網站和檔,以及建立一系列的條件、動作和例外狀況,以控管其使用和共用的方式。
藉由分類您的資訊並建立相關控管規則,您可以建立共同作業環境,讓使用者可以輕鬆地彼此合作,而不會不小心或刻意不適當地共用敏感性資訊。
有了數據外洩防護原則,您就可以相對地使用指定網站的共用設定,並依賴數據外泄防護來強制執行治理需求。 這可提供更友善的用戶體驗,並避免使用者可能嘗試解決的不必要限制。
如需數據外洩防護的詳細資訊,請參 閱了解數據外洩防護。
敏感性標籤
敏感度標籤可讓您使用描述性標籤來分類小組、群組、網站和文件,然後使用這些標籤來強制執行治理工作流程。
使用敏感度標籤可協助您的使用者安全地共享資訊,並維護您的治理原則,而不需要讓使用者成為這些原則中的專家。
例如,您可以設定原則,要求Microsoft 365 個分類為機密的群組為私人群組,而不是公用群組。 在這種情況下,建立群組、小組或 SharePoint 網站的使用者只會在選擇機密分類時看到「私人」選項。 如需搭配小組、群組和網站使用敏感度標籤的相關信息,請參閱 使用敏感度標籤來保護Microsoft Teams、Microsoft 365 群組和 SharePoint 網站中的內容
Conditions and actions
使用數據遺失保護條件和動作,您可以在符合指定條件時強制執行治理工作流程。
範例包含:
如果在檔中偵測到客戶資訊,則用戶無法與來賓共用該檔。
如果檔包含機密專案的名稱,則來賓即使已與他們共用,也無法開啟該檔。
如需詳細資訊,請 參閱了解數據外洩防護
條件式存取
Microsoft Entra 條件式存取提供額外的控制,以防止使用者在有風險的情況下存取貴組織的資源,例如來自不受信任的位置或不是最新狀態的裝置。
範例包含:
禁止來賓從有風險的位置登入
行動裝置需要多重要素驗證
您可以建立專門針對來賓的存取原則,讓最有可能有非受控裝置的人員能夠降低風險。
如需詳細資訊,請 參閱什麼是條件式存取?。
使用報表監視
Microsoft 365 提供各種報告,可協助您監視網站使用量、文件共用、治理合規性,以及許多其他事件。
如需如何檢視 SharePoint 網站使用量報告的相關信息,請參閱 管理員 中心 - SharePoint 網站使用量Microsoft 365 報表。
如需如何檢視數據外洩防護報告的資訊,請參 閱檢視數據外洩防護的報告。
如需可協助您監視內容共用的報表資訊,請參閱 SharePoint 網站的數據存取控管報告。