与未经身份验证的用户共享文件和文件夹的 10 个最佳实践

在 SharePoint 和 OneDrive 中与未经身份验证的用户共享文件和文件夹是协作的一个重要方面，因为它允许匿名用户无需任何身份验证要求即可访问内容。当我们与未经身份验证的用户共享链接时，我们并不总是重新检查权限，因为与其他人共享链接更容易、更方便。结果，意外/故意的未经身份验证的共享数量增加了……。

这里的解决方案是什么？我们中的许多人可能会选择禁用外部共享或关闭 SharePoint 中的任何人链接。这是否可以完全防止未经身份验证的共享？在某些情况下，它不会！它甚至可能会影响工作效率。因此，了解如何使用 SharePoint 和 OneDrive 中的匿名/任何人链接安全地共享文件至关重要。

我们汇总了一些与未经身份验证的用户共享 SharePoint 和 OneDrive 中的文件和文件夹的安全最佳实践（请在下面查找一些额外提示！）。有了这些安全的共享设置，即使在未经身份验证的用户手中，也可以确保文件和文件夹仍然安全。

在开始之前，第一步是在 Microsoft 365 中启用“任何人”共享设置。

如何检查您的组织是否允许未经授权的共享？

当您尝试使用 SharePoint/OneDrive 中的“任何人”链接共享文件/文件夹时，您可能会看到“知道链接的任何人”选项显示为灰色，并显示以下错误。

“您的组织阻止您选择此选项”

这是因为您的组织禁用了匿名共享。要允许用户与未经身份验证的用户共享文件，您必须使用以下任一方法为整个组织以及单个站点或团队启用“任何人链接”。

使用 Microsoft Entra ID：

共享由 Microsoft Entra ID 管理中心的最高级别控制。此处所做的任何配置都会覆盖 Microsoft 365 中其他位置配置的任何共享设置。检查共享设置是否已启用。

导航至 Microsoft Entra ID -> 外部身份 -> “外部协作设置”。

在继续操作之前检查以下内容。
✅ 选择“组织中的任何人都可以邀请来宾用户，包括来宾和非管理员”选项。
✅ 您想要与之协作的来宾域不会被阻止。

使用 SharePoint 管理中心：

要授予对 SharePoint 和 OneDrive 中存储的文件和文件夹的外部访问权限，必须在 SharePoint 管理中心内设置特定配置。这些设置可以在组织级别和站点级别进行调整。

组织级别设置：

导航到 SharePoint 管理中心 -> 策略 -> 共享 -> 将指示器拖动到“任何人” -> 保存。

站点级别设置：

• 导航到 SharePoint 管理中心。
• 在“站点”下，选择“活动站点”。
• 选择您想要启用“任何人”链接的网站。
• 单击“共享”-> 选择“任何人”-> 然后保存。

通过利用上述 Microsoft 365 门户中的设置，管理员可以允许/限制用户在 SharePoint Online 和 OneDrive 中共享数据。因此，在继续共享数据之前，请确保这些设置配置正确。否则，用户将无法使用任何人链接共享文件/文件夹。

在 SharePoint 和 OneDrive 中与未经身份验证的用户共享文件和文件夹

现在，让我们看看管理 SharePoint 权限以实现安全来宾共享的一些最佳方法。

1. 设置任何人链接的过期时间
2. 设置链接的仅查看权限
3. 设置默认链接类型
4. 利用数据丢失防护
5. 使用敏感度标签添加版权信息
6. 打开安全附件
7. 决定谁可以共享文件、文件夹或网站
8. 块下载
9. 设置密码
10. 以 Word 文件审阅模式共享

1.为任何人链接设置过期时间

与未经身份验证的用户长时间共享文件可能会带来潜在风险。这可以通过在共享时设置匿名（任何人）链接的到期日期来解决。去做这个，

对于组织级别：

• 在 SharePoint 管理中心中，选择左侧菜单中的“策略”-> 共享。
• 在“为任何人链接选择过期和权限选项”下选择“这些链接必须在这么多天内过期”。
• 在框中输入天数，然后单击“保存”。

对于网站级别：

• 导航到活动站点 -> 选择一个站点 -> 单击“设置”选项卡。
• 选择“更多共享设置”-> 查找“任何人链接的高级设置”。
• 取消选中“与组织级别设置相同”复选框。这可确保站点不遵守组织级别的设置。
• 在“任何人链接的高级设置”下，选择“这些链接必须在这么多天内过期”，然后输入天数。
• 单击“保存”。
  

您还可以通过以下 cmdlet 使用 PowerShell 设置特定站点的过期时间。

Set-SPOSite -Identity https://contoso.sharepoint.com/sites/marketing -OverrideTenantAnonymousLinkExpirationPolicy $true -AnonymousLinkExpirationInDays 30

2.设置链接仅查看权限：

默认情况下，“任何人链接”允许未经身份验证的用户编辑文件。如果您不希望他们编辑文件，您可以通过导航为任何人链接设置“查看”权限，

SharePoint 管理中心 -> 策略 -> 共享 -> “为任何人链接选择过期和权限选项” -> 将文件和文件夹的权限更改为“查看”。

3.设置默认链接类型

如果您的组织允许与任何人共享，则共享链接的默认设置通常为“任何人”。如果有人在共享敏感文档时忘记调整共享链接设置，他们可能会无意中创建不需要身份验证的链接。

为了最大限度地降低这种风险，您可以将默认链接设置更改为“仅限您组织中的人员”。这意味着默认情况下，组织内的用户可以访问共享数据。如果用户想要与匿名用户共享文件，他们需要在共享时主动选择“知道链接的任何人”。

在组织级别设置默认链接类型：

• 转到 SharePoint 管理中心 -> 策略 -> “共享”。
• 找到“文件和文件夹链接”并选择“仅限您组织中的人员”。
• 保存更改。

在站点级别设置默认链接类型：
要配置特定站点的默认共享选项，请执行以下操作。

• 在 SharePoint 管理中心中，转到“活动网站”。
• 选择您要更改的网站，然后单击“共享”。
• 取消选中“与组织级别设置相同”复选框。
• 选择“仅限您组织中的人员”并保存。

4.利用数据丢失防护

为了防止在 SharePoint 和 OneDrive 中未经授权共享敏感内容，您可以使用 SharePoint DLP。使用 DLP，您可以设置操作以在共享文件和文件夹时检测敏感内容。

例如，要保护与“任何人链接”共享的文件中的信用卡号等敏感信息，您可以通过这种方式创建 DLP 策略。

第 1 步：登录 Microsoft Purview 管理中心。
第 2 步：找到“数据丢失防护”并从下拉列表中选择“策略”。
第 3 步：选择“创建策略”-> 选择“自定义”->“自定义策略”-> 为您的 DLP 策略命名。
第 4 步：在“选择应用策略的位置”页面上，取消选择除“SharePoint 站点”和“OneDrive 帐户”之外的所有设置 -> 选择“下一步”。

第 5 步：在“自定义高级 DLP 规则”页面上，选择“创建规则”-> 为您的规则命名。
第 6 步：在“条件”下，选择“内容包含”->“添加”->“敏感信息类型”->“信用卡号”。
第 7 步：在“操作”下，选择“添加操作”->“限制访问或加密 Microsoft 365 位置中的内容”。
第 8 步： 选择“仅阻止通过知道链接的任何人获得内容访问权限的人员”选项。

第 9 步：选择保存 -> 下一步 -> 选择您的测试选项 -> 下一步 -> 提交 -> 完成。

因此，当人们使用“任何人链接”将 SharePoint 和 OneDrive 中包含敏感信息类型（即本例中的信用卡号）的文件和文件夹共享给其他人时，他们的访问将被阻止。

5.使用敏感度标签添加版权信息

应用 Microsoft 365 敏感度标签会自动向组织的 Office 文档添加水印或页眉/页脚。通过这种方式，您可以确保共享文件包含版权或其他所有权信息。

6.开启安全附件

当允许匿名用户上传文件时，存在恶意文件上传的风险。通过 Microsoft 365 中的安全附件，您可以在将电子邮件附件发送给其他人之前在虚拟空间中检查电子邮件附件。如果某个文件看起来不安全，您可以将其隔离以确保每个人的电子邮件安全。

与未经身份验证的用户共享文件和文件夹的其他提示

启用匿名共享后，您还可以依靠以下设置来避免 SharePoint Online 和 OneDrive 中不受控制的共享。

7. 决定谁可以共享文件、文件夹或网站：默认情况下，当用户被授予“编辑”权限时，他们可以在 SharePoint 中与其他人共享文档。随后，这些收件人可以与第三方重新共享文档。您可以利用此选项来管理 SharePoint 中的共享权限。导航到所需的 SharePoint 站点 -> 设置 -> 站点权限 -> “更改成员的共享方式”并指定谁可以共享该站点上的文件和文件夹。

8. 阻止下载： 当您在 OneDrive 或 SharePoint 中共享文件和文件夹时，您可以选择在“更多设置”下阻止下载。这可以防止用户下载共享文件/文件夹。

9. 设置密码： 此功能使您能够通过使用密码保护共享文件或文件夹来确保其安全。收件人只有输入密码后才能访问该文件。

10. 以审阅模式共享 Word 文件： 此选项非常方便，特别是当您与外部共享 Word 文件时用户。您可以通过设置“可以审阅”选项来共享文件，这样收件人只能留下评论和建议，而不能编辑文件。即使他们尝试编辑文件，文本也会变成红色，并且当您单击编辑的文本时，会显示编辑文档的人员的详细信息。内容保持不变，直到文件所有者接受接收者提出的建议；只有在接受后，文件中的内容才被更改。此外，如果您需要用户在获得实时通知的同时拥有编辑权限，您可以为文件创建 SharePoint Online 警报。

需要记住的要点：

• 站点级别共享设置不应配置为比组织级别设置更宽松。
• OneDrive 共享设置不应配置为比 SharePoint 设置更宽松。
• 在 SharePoint Online 中，我们无法匿名共享网站或文档库。仅适用于文件和文件夹。
• 匿名共享 OneDrive 或 SharePoint 中的文件夹时，收件人可以下载文件并将文件上传到该文件夹。但是，即使用户拥有“编辑”权限并自行上传任何文件，他们也不允许删除文件。

我希望此博客将帮助您限制 SharePoint 和 OneDrive 中的外部共享，并规划使用未经授权的链接进行安全共享。谢谢阅读。如有任何疑问，请随时在评论部分与我们联系。