Microsoft 365 中的安全来宾共享：综合指南

众所周知，外部协作是各种 Microsoft 工作负载的一部分，例如 Microsoft 365 组、SharePoint、OneDrive、Teams 等，每个工作负载都提供与外部用户的独特通信模式。然而，在有效沟通、共享信息和协作之间保持平衡，避免陷入沟通不畅、过度共享或外部用户滥用数据的情况，这一点至关重要。因此，进行正确的设置非常重要。如果配置不当，这些权限可能会导致大量数据被利用。 Microsoft 已经提供了一些您可能会忽略的设置，以确保 Microsoft 365 中的来宾共享安全。

我们汇集了一些最推荐的来宾共享设置，您可以配置这些设置，以便在 Microsoft 365 中实现更安全的外部协作。

Microsoft 365 中的来宾共享

某些配置要求来宾在 Microsoft 365 中拥有帐户，要确保来宾包含在您的目录中，您可以依赖 Microsoft 365 管理中心中的用户报告。当您与组织外部的用户共享文件和文件夹时，使用 Microsoft 365 中可用共享设置的不同组合（例如 SharePoint 和 OneDrive 与 Microsoft Entra B2B Preview 的集成）来保护它们非常重要。

如何保护 Microsoft 365 中的来宾共享？

虽然您已经了解其中大部分功能，但许多人不确定何时使用哪些设置。我们将为您提供有关在 Microsoft 365 中的各种场景中使用这些功能的指南，以有效保护来宾共享。

用于安全来宾共享的共享设置分散在 Microsoft 365 的各个管理中心内。让我们将它们整合在一起！我们根据它们所在的位置（例如 Microsoft Entra、Microsoft 365、Teams 和 SharePoint 管理中心）对它们进行了分类。

Microsoft 365 访客共享设置 - 何时使用什么？

探索要在 Microsoft 365 中使用的各种方案和相应的来宾访问设置。

• 微软Entra ID
• Microsoft Purview 合规性门户
• SharePoint 管理中心
• 团队管理中心

Microsoft Entra ID

1.为避免攻击者利用来宾帐户的凭据获取访问权限：
使用：具有条件访问权限的访客用户的 MFA

MFA 充当额外的安全层，要求客人使用第二因素身份验证来验证其身份，例如发送到手机的代码或身份验证应用程序的批准。如果没有多重身份验证 (MFA)，任何拥有帐户凭据的人都可以轻松访问您的敏感数据。

要在 Microsoft Entra ID 中为来宾设置 MFA，请在用户选择中选择“来宾或外部用户”，并为 B2B 协作来宾和成员用户设置条件访问策略。然后，选中“需要 MFA”复选框并启用该策略。现在，来宾必须完成多重身份验证才能访问共享内容、网站或团队。

2.要求客人在访问前接受您的政策条款：
使用：针对访客的 Microsoft Entra 使用条款政策

为了在与外部来宾合作时确保组织信息的机密性，您可以利用 Microsoft Entra ID 中的使用条款协议。本文档以 PDF 文件形式提供，概述了访客访问共享文件和资源的具体条件和限制。当有人第一次尝试访问共享文件或网站时，他们会看到显示的使用条款。要进行此设置，请首先使用 Word 或类似程序创建文档。将文档另存为 .pdf 文件并将其上传到 Microsoft Entra ID。此后，任何尝试访问内容（例如组织内的团队或网站）的访客都需要接受这些使用条款，然后才能继续。

3.对于定期权限审查并确保只有授权个人才能访问：
使用：Microsoft Entra 访问审核

使用 Microsoft Entra ID 的访问审核，您可以自动定期检查用户对不同团队和组的访问权限。专注于访问审核可确保客人对敏感公司信息的访问时间不会超过所需时间。通过访问审核，您还可以识别尚未主动用于登录 Microsoft Entra ID 的非活动来宾帐户。

4.对于在定义的不活动时间后自动注销来宾用户：
使用：使用条件访问策略进行会话管理

定期访客身份验证有助于防止未经授权访问组织的数据，特别是在访客的设备缺乏安全措施的情况下。 Microsoft Entra ID 允许您设置专为访客设计的条件访问策略，例如空闲会话超时，从而增强整体安全措施。

5.为了使合作伙伴能够管理自己的用户访问并减轻 IT 负担：
使用：与受管理的客人一起使用B2B外联网

启用 Entra ID 权利管理有助于创建 B2B 外联网，从而促进与使用 Entra ID 的合作伙伴组织的安全协作。该系统使用户能够自行注册外联网站点和团队，同时通过审批流程获取权限。

Microsoft Purview 合规门户

1.要为访客提供对敏感内容的受控且有时限的访问权限：
使用：Microsoft 365 中的敏感标签

当协作涉及与外部合作伙伴或承包商共享敏感数据的项目时，Microsoft 365 敏感度标签可确保共享信息保持其安全性和保护。敏感度标签充当敏感文档的水印，确保它们无论在组织内部还是外部都能得到保护。这些标签根据预设的安全策略、采用加密和内容识别对文档进行分类。应用敏感度标签后，无论文档位于何处，管理员都可以确保持续的保护。

2.在与客人合作时精确识别敏感数据：
用途：自定义敏感信息类型

Microsoft Purview 提供 100 多种预构建的“敏感信息类型”(SIT)，例如社会安全号码等。您还可以根据您的特定需求（例如高度机密的项目信息）创建自定义 SIT。自定义敏感信息类型是用户定义的数据分类。这些 SIT 识别并保护预构建 SIT 未涵盖的敏感信息，然后可用于自动应用敏感度标签。

3.为防止未经授权向访客共享敏感内容：
用途：数据丢失防护

Microsoft Purview 的数据丢失防护 (DLP) 功能可以防止未经授权向访客共享敏感内容。它允许根据文件的敏感性（例如是否存在社会安全号码或信用卡号码等）采取操作。DLP 是与未经身份验证的用户共享文件和文件夹的各种安全最佳实践之一。

SharePoint管理中心

1.如果您想限制访客通过非托管设备访问数据：
使用：访问控制来限制非托管设备访问

未加入混合 AD 或不符合 Intune 的设备被归类为非托管设备。为了平衡工作效率和安全性，限制访问允许这些设备上的用户使用浏览器。但是，他们将无法通过各种应用程序（包括 Microsoft Office 桌面应用程序）下载、打印、同步文件或访问内容。您可以在 SharePoint 管理中心阻止非托管设备访问，并使用条件访问策略对其进行自定义。

2.如果您想限制来宾与不受信任的域共享信息：
用途：SharePoint 中的域共享限制

您可以使用 SharePoint Online 中的域限制来识别您信任的域并将其添加到您的 SharePoint 域白名单中。不在白名单中的域名将被限制外部共享。例如，如果您将 gmail.com 添加到阻止的域列表中，则任何与 gmail.com 帐户进行外部共享的尝试都会导致错误消息。

3.如果您想禁止访客使用“任何人”链接访问资源：
使用：关闭任何链接

您可以禁用任何人链接选项，以确保只有组织内经过身份验证的用户才能访问和共享内容。此设置可以在组织范围和特定站点级别进行调整。

4.如果您想允许与某些访客共享但阻止其他访客：
使用：B2B用户的允许/阻止列表策略

Microsoft Entra ID 允许您通过白名单控制对特定组织的邀请，以实现安全的 B2B 协作。这有助于管理外部访问并提高组织内的安全性。以下是 Microsoft Entra ID 中允许/阻止策略的工作原理：

白名单：

• 限制对来自特定组织的用户的邀请。
• 提供对 B2B 协作的最高级别的控制。
• 对于仅与少数值得信赖的合作伙伴协作的场景很有用。

阻止列表：

• 阻止对来自特定组织的用户的邀请。
• 对于阻止与不需要的或有潜在风险的组织的协作很有用。
• 提供比允许名单更少的限制性控制

5.如果您只允许组织中的某些人员与来宾协作：
用途：限制共享到指定安全组

如果您只需要某个受信任的用户，同时阻止所有其他用户与外部用户协作，则应通过安全组限制访问。启用后，只有指定的安全组成员才能访问其 OneDrive 帐户。此安全组之外的用户将无法访问自己的 OneDrive 或其中共享的内容，即使他们获得了 OneDrive 许可。

团队管理中心

要控制 Microsoft Teams 中的来宾共享：
用途：管理 Teams 中的 Microsoft 365 来宾访问、通话和消息传送

Microsoft Teams 中外部协作的控制需要在 Teams 管理中心内管理一系列设置，特别是在“来宾访问”部分下。

• 来宾通话选项：控制来宾是否可以在 Teams 内进行点对点通话。
• 访客会议设置：确定访客是否可以在通话和会议期间使用视频、屏幕共享选项。
• 来宾消息设置：这些设置管理 Teams 中来宾的消息传递功能。

要有效管理上述设置，您可以依靠 Microsoft 365 中的组成员身份报告并列出组织中的来宾用户。

您还可以通过阻止 Microsoft 365 中的一些重要设置来限制外部用户访问。我希望此博客能够指导您了解保护来宾共享安全的最佳实践。谢谢阅读。如需任何帮助，请随时在评论部分联系我们。