为保证外部用户访问安全而阻止的重要设置

共享文件以及与外部用户合作是当今工作世界的关键。但并不是每扇门都应该打开；把一些人锁紧比让他们脆弱更安全?。此博客是增强 Microsoft 365 外部共享安全设置的指南。我们将指导您完成阻止的基本设置，以便外部协作者可以安全地合作，而不会泄露您的敏感信息。❌

但在开始之前，让我们先解决一个可能让我们中的一些人感到困惑的关键区别。

Microsoft 365 中的外部访问和来宾访问之间的区别？

这些术语通常在 Microsoft 365 中互换使用。为了详细说明，让我们假设您在租户“Contoso”中，而我在租户 Fabrikam 中。

外部用户：想象一下，Contoso，您从 Fabrikam 邀请我访问文档。当我单击链接时，系统会提示我登录。这里有一个问题：即使我正在访问 Contoso 的文档，但我实际上是通过 Fabrikam 登录的。因此，从技术上讲，我是 Contoso 的外部用户，即使我正在访问他们的内容。

来宾用户：现在，想象一下 Contoso 在他们的系统中为我设置了一个单独的帐户。因此，当我登录时，我使用完全由 Contoso 管理的凭据。在这种情况下，我的身份验证过程是 Contoso 系统内部的，即使我仍然被视为来宾用户。

因此，简而言之，在第一个场景中，我通过 Fabrikam 进行外部身份验证，而在第二个场景中，我以访客身份在 Contoso 系统内进行内部身份验证。

现在，希望您清楚其中的区别，让我们深入探讨这个概念。

Microsoft 365 中阻止外部用户的基本设置是什么？

首先，为什么要阻止外部访问？协作是关键，但不受控制的外部访问可能会构成安全威胁。外部用户可能会意外（甚至恶意）下载敏感文档、转发机密电子邮件或引入恶意软件威胁。通过实施正确的阻止设置，您可以确保 M365 数据有一个安全且受控的环境。

我们根据 Microsoft 365 中的不同服务对安全设置进行了分类。让我们开始吧！

• 微软团队
• SharePoint 和 OneDrive
• 微软Entra ID
• 在线交流

Microsoft 团队

1.限制外部用户通道创建

允许外部用户创建通道可能会带来安全风险，因为他们可能会无意或有意创建暴露敏感信息或邀请未经授权的参与者的通道。

若要限制外部用户在 Teams 中创建频道，请按照以下步骤操作。

第 1 步：转到相应的团队 -> 单击三个点 -> 管理团队
第 2 步： 在选项卡列表中，选择设置-> 然后选择来宾权限。
第 3 步：在启用通道创建中，确保禁用以下选项。

• 允许访客创建和更新频道。
• 允许访客删除频道。

作为附加安全实践，您可以使用 PowerShell 审核 MS Teams 通道创建。

2. 满足外部用户的政策限制

在 Teams 管理中心的会议部分下，选择会议政策。在这里，您可以在“默认组织范围的全局政策”中找到一些设置。

• 谁可以绕过大厅 - 控制谁可以直接加入会议以及谁必须在大厅等待直到被允许。在这里，您可以使用“我的组织中的人员和访客”和“我的组织中的人员、受信任的组织和访客”选项来控制外部用户。
• 外部参与者可以授予或请求控制权 - 关闭此选项将禁止外部用户和来宾在 Teams 会议期间请求组织共享屏幕中的人员。

3.团队数据丢失防护

Microsoft 365 DLP 策略在 Teams 安全设置中发挥着重要作用。在 Microsoft Teams 中为外部用户部署数据丢失防护 (DLP) 需要实施策略来保护敏感信息不被共享或泄露到组织外部。例如，我们可以创建 DLP 策略来阻止外部用户在 Microsoft Teams 内共享敏感信息类型，例如信用卡号。

4.阻止从SharePoint或OneDrive下载Teams会议录制文件

您可以限制从 SharePoint 或 OneDrive 下载 Teams 会议录制文件。要打开该策略，请运行以下 cmdlet。

Set-SPOTenant -BlockDownloadFileTypePolicy <$true/$false(default)>  -BlockDownloadFileTypeIds  TeamsMeetingRecording

启用该策略后，所有由 Teams 创建并保存在 SharePoint 和 OneDrive 中的新 Teams 会议录制文件都将被阻止下载或同步给所有外部用户。

以下是您在邀请外部用户加入您的组织之前可以考虑设置的配置。

5.在 Microsoft Teams 中禁用外部访问

如果您不是一个需要与外部用户通信的组织，您可以直接在 Teams 管理中心禁用它们，而不是让它们保持打开状态以供启用。

要阻止组织中的用户与外部用户通信，您需要禁用以下选项。禁用此选项后，用户将无法再聊天、将外部用户添加到会议、与外部用户使用音频视频会议等。

第 1 步：登录 Microsoft Teams 管理中心。
第 2 步： 选择用户 > 外部访问。
第 3 步：在外部组织中的 Teams 和 Skype for Business 用户 -> 下，选择阻止所有外部域。

您还可以在 Microsoft Teams 中禁用来宾访问。为此，请导航至 Microsoft Teams 管理中心 -> 用户 -> 来宾访问。 您可以在此处管理来宾用户的通话、会议和消息设置。

6.额外提示：阻止阻止列表中域的所有子域

Microsoft Teams 现在提供一项功能，允许组织通过包含联合阻止列表 (MC770792) 中列出的域的所有子域来增强其域阻止功能。默认情况下禁用此设置，可以使用以下 PowerShell cmdlet 启用此设置。

例如，如果“fabrikam.com”包含在阻止列表中并且启用了此设置，则所有相关子域（例如“sub.fabrikam.com”和“tenant.fabrikam.com”）也将自动被阻止。

Set-CsTenantFederationConfiguration -BlockAllSubdomains $True

SharePoint 和 OneDrive

SharePoint 管理中心有多种设置可用于限制外部共享。

第 1 步： 转到 SharePoint 管理中心。
第 2 步：选择“策略”下的共享。
步骤 3：您将找到一系列需要配置的选项来限制 SharePoint 中的外部共享。

1.禁用匿名链接：

禁用此选项可限制来宾用户创建用于共享的匿名链接。这消除了通过转发链接或意外泄漏而不受控制的共享的风险。

2.按域限制外部共享

按域限制外部共享允许您指定受信任的电子邮件域（例如，您合作伙伴的）以进行外部共享。这可确保只有这些组织的授权个人才能访问共享内容，从而降低来自未知域的未经授权访问的风险。

3.将外部共享限制为 M365 中的特定用户

尽管您已禁用“外部共享选项”，但如果您的某些用户需要该功能，还有一种方法可用！此选项将外部共享限制为组织内指定的用户组。只有该组的成员才能与外部各方共享文件、文件夹和网站。因此，只有授权人员才能共享敏感信息，并限制其他用户的意外泄露。

4.强制访客使用受邀帐户

默认情况下，访客可以通过一个帐户接收邀请，但使用不同的帐户登录。

这可以防止访客使用与受邀帐户不同的帐户。这可确保预期人员访问信息并防止通过备用帐户进行未经授权的访问。此设置仅适用于不使用 Microsoft Entra B2B 协作的共享。

5.防止外部用户在 SharePoint 中重新共享文件和文件夹

默认情况下，来宾用户可以与其他用户或来宾共享他们不拥有的项目。要禁用此行为，您可以取消选中此选项。因此，来宾用户无法重新共享并非由他们创建的项目。

6.限制访客访问过期时间：

在 SPO 中设置来宾访问过期会设置来宾可以访问 SharePoint 网站和 OneDrive 文件夹的时间限制。这确保了特定项目或协作的临时访问权限，并在设定的时间段后自动撤销访问权限。

7.阻止用户同步文件

管理员可以使用此设置阻止外部用户将文件同步到其本地设备。这也适用于内部用户，并且不能单独为外部用户选择性地启用。

• 转到您要禁用 syn 的站点。
• 选择右上角的齿轮图标 ->站点信息->查看所有设置。
• 在搜索下找到搜索和离线可用性。
• 在脱机客户端可用性下选择“否”（默认为“是”）。
• 点击页面底部的确定。

Microsoft Entra ID

1.阻止外部用户下载 Office 365 文件

要阻止外部用户从 SharePoint、OneDrive 和其他 Office 365 应用程序下载文件，请使用 Microsoft Entra ID 中的条件访问策略。

第 1 步： 登录 Microsoft Entra ID 管理中心 -> 保护 -> 条件访问。
第 2 步：创建新策略并提供合适的名称。
第 3 步： 选择用户 -> 选择用户和组 -> 来宾或外部用户 -> 选择全部。
第 4 步：在目标资源部分中，选择云应用。
第 5 步：在包括下，选择“应用程序”->Office 365。它包括 Microsoft Teams、SharePoint、OneDrive 等。您还可以选择单个应用程序。
第 6 步： 这是实际完成工作的主要部分。 会话控制部分有一个使用条件访问应用控制选项。从下拉列表中选择阻止下载（预览）。

2.阻止外部用户登录桌面应用

为了保护敏感数据，公司仅向网络内的授权员工提供对其桌面应用程序的访问权限，从而防止外部用户登录。此措施可以降低未经授权访问的风险。

按照我们上面解释的确切步骤直至步骤 5 创建类似的条件访问策略。之后，

第 6 步：在“条件”选项卡中，选择客户端应用。
第 7 步： 将配置按钮切换为“是”。
步骤 8： 然后在访问控制下，选择授予 -> 阻止访问。

影响：因此，用户将只能通过网络浏览器进行访问。

3. Entra ID 外部协作设置

Microsoft Entra 外部 ID 允许您限制外部来宾用户可以在 Microsoft Entra 中看到的内容。例如，您可以限制来宾用户查看组成员资格，或允许来宾仅查看自己的个人资料信息。

第 1 步：登录 Microsoft Entra 管理中心。
第 2 步： 浏览到身份 > 外部身份 > 外部协作设置。
第 3 步：在来宾用户访问权限下，选择您希望来宾用户拥有的访问级别。

• 选项 1：“来宾与会员一样可以平等地访问 Microsoft Entra 资源和目录数据，从而提供最高级别的包容性。”
• 选项 2（默认）：“来宾被限制执行某些目录任务，例如查看用户和组详细信息，但可以查看非隐藏组的成员身份。”
• 选项 3：“来宾访问仅限于他们自己的目录对象，阻止他们查看其他用户配置文件、组或成员身份，从而提供最严格的访问级别。”

4.对访客访问强制执行家庭租户 MFA

在跨租户访问设置中启用 MFA 信任设置时，这是提高租户安全性的好方法。设置完成后，B2B 来宾用户可以访问增强的身份验证方法，其验证比仅在资源租户内可用的典型多重身份验证选项更强大。

要配置此设置，

第 1 步： 导航到 Microsoft Entra 管理中心 -> 外部身份 ->跨租户访问设置。
第 2 步：在“默认设置”选项卡下，选择编辑入站默认值。
步骤 3： 然后，在信任设置选项卡上，选中“信任来自 Microsoft Entra 租户的多因素身份验证”、“信任兼容设备”-> 然后保存。

在线兑换

1. 限制发送给外部收件人：

要防止来宾用户向组织外部发送电子邮件，请按照以下步骤操作。

第 1 步： 在 Exchange 管理中心中，导航至“邮件流”。
第 2 步： 选择规则并使用描述性名称创建新规则（例如“阻止外部电子邮件”）。
第 3 步：在“如果应用此规则”下，选择发件人为“组织外部”且收件人为“组织外部”等条件 - 选择您要阻止的域。
步骤 4： 在执行以下操作中，选择阻止消息 -> 拒绝消息并包含说明。

2.对外部电子邮件实施消息加密

第 1 步： 在 EAC 中，导航至邮件流。
第 2 步： 选择“规则”并创建新的邮件流规则。
第 3 步： 设置条件以识别外部发送的电子邮件。即在应用此规则，添加一个条件作为发件人的域，并包含需要加密邮件的相关域列表。然后，另一个条件是收件人在组织外部。
步骤 4：在“执行以下操作”中，选择修改邮件安全性 -> 应用 Office 365 加密。
第 5 步：出现选择 RMS 模板弹出页面。选择您选择的敏感度标签并继续保存。

3.阻止与外部用户共享日历详细信息

要禁用与外部用户共享日历详细信息，请使用 Microsoft 365 管理中心：
第 1 步：登录 Microsoft 365 管理中心并展开设置。
第 2 步：点击组织设置。
第 3 步：点击日历。
第 4 步：取消选中“让您的用户与组织外部拥有 Office 365 或 Exchange 的人员共享其日历”。
第 5 步： 单击保存。

注意 - 有时，外部用户也会根据要求获得 PowerShell 访问权限。在这种情况下，管理员可以考虑限制外部用户对组织中 PowerShell 的访问。这有助于确保 PowerShell 访问受到控制并符合组织的安全措施和需求。

总之，实施正确的设置对于 Microsoft 365 中的安全来宾共享是必要的。要深入了解外部活动的具体情况，您可以导出 Office 365 外部用户报告。谢谢阅读！ 如果您有任何疑问，请通过评论部分与我们联系。

立即投资安全以保障您的未来！ ??