Office 365 组以及如何管理它们

Office 365 组使用户能够访问各种位置的信息，包括 SharePoint 或 OneDrive for Business 文档库、OneNote 文件、Exchange Online 上的共享收件箱或日历、Lync 或 Skype for Business 会议或 Dynamics CRM 数据库。 Office 365 组是 Azure Active Directory 中的对象，因此它们在本地部署中不可用。组包含成员用户列表、资源 URL 以及组所有者列表。

创建 Office 365 组

管理员和最终用户都可以创建组。

Office 365 管理员可以登录门户 https://portal.office.com，单击管理员链接，将鼠标悬停在侧面的人员图标上，然后单击添加组强>。

图 1. 管理员如何从 Office 365 门户创建组

用户可以直接从功能区的 Outlook 创建新组，只要他们使用 Office 365 专业增强版包中的 Outlook：

图 2. 用户如何从 Outlook 添加新组

这将显示一个与门户屏幕非常相似的屏幕，他们可以在其中命名群组并选择隐私设置。

图 3. 用户如何指定有关他们从 Outlook 创建的组的详细信息

请记住，用户只能通过 Web 浏览器与 Office 365 组进行交互，而不能通过当前的 Office 桌面客户端进行交互。即将推出的 Office 2016 客户端将包括对群组的支持。

管理 Office 365 组

组主要是自助服务：用户可以使用 Web 用户界面内置的工具或通过 Office 2016 套件中的完整应用程序创建自己的组并管理其成员资格。用户还可以浏览群组列表以找到他们需要的群组并注册成为群组成员。因此，群组往往会迅速激增，这给管理员带来了挑战，包括：

• 谁管理所有这些组的生命周期，其中一些组可能是为为期一周的任务而创建的，而另一些组则是为了长期项目而创建的？谁决定哪些内容仍然有效以及哪些内容需要存档？
• 下一个迭代或版本发生时会发生什么？账户和资源如何流动？该过程不太清楚，特别是对于混合部署 Exchange、SharePoint 或两者的用户而言。
• 如果小组中讨论的话题很敏感怎么办？如果是这样，该组可能不应该公开，也不应该任何人都可以将自己添加到该组中。

将来宾用户添加到 Office 365 组

Office 365 组的一大优势是访客访问功能 - 能够让公司外部的用户协作处理组中的项目。此功能以 Azure AD 中的来宾用户概念为中心，这是与租户外部的电子邮件地址关联的帐户。

只有群组的所有者才能将访客添加到群组。要提供来宾访问权限，请使用 Office 365 上的 Outlook Web Access 打开组。从右侧的三点菜单中，选择成员，然后选择来宾。点击添加成员，然后输入客人的电子邮件地址。

Office 365 在后台检查该电子邮件地址是否已存在访客用户对象；如果没有，Office 365 会自动动态创建一个。然后，它向新的或现有的来宾用户帐户授予对组的适当权限，并向来宾用户发送一封电子邮件，其中包含要共享的对象的链接以及有关来宾用户如何从组中删除自己的信息。

如果来宾用户的 Microsoft 帐户与所有者在添加过程中指定的电子邮件地址相匹配，则来宾将使用该帐户进行身份验证。如果没有，用户将被重定向到invitations.microsoft.com 以在该Office 365 租户中创建临时帐户（这不是通用Microsoft 帐户）。

来宾用户可以在 Office 365 组中执行哪些操作？了解以下一些常见场景：

• 加入群组邮箱中的对话。这仅通过电子邮件进行，而不是 Office 365 系统上的任何类型的界面；这些消息将通过电子邮件发送到客人的电子邮件地址。因此，他们还可以在自己的邮箱中搜索他们所属的群组对话。
• 将会议请求发送到组的共享日历，
• 与 SharePoint Online 库中用户邀请其编辑的单个文档进行交互。
• 使用 Office 365 中的文件视图访问组的文档库并在 SharePoint Online 中搜索这些文档。
• 查看通过 OneDrive for Business 与 Outlook 和共享 OneNote 笔记本集成发送的附件。

降低 Office 365 组中来宾用户的风险

授予外部用户对公司的访问权限会引发两个关键问题：

• 数据丢失风险 — 如何确保用户保留网站中的私人内容并且不会转发或下载？
• 持续访问的风险 — 如何确保外部用户的访问权限在不再需要时始终被撤销？

Microsoft 内置了一些针对这些威胁的保护措施。例如：

• 来宾只能通过浏览器与 Office 365 组交互（前面描述的个人电子邮件通知除外）。
• 来宾无法查看全局地址列表 (GAL) 信息，例如组织层次结构，并且来宾不会出现在 GAL 中。
• 访客无法查看通过信息权限管理 (IRM) 保护保存的信息或与之交互。
• 来宾不能成为 Office 365 组的所有者。
• 当使用 Outlook 网页版或 Outlook 桌面客户端的任何人向包含来宾用户的组邮寄邮件时，邮件提示会发出警告，以帮助防止机密材料泄露。

为了进一步降低这些风险，您应该让用户了解 Office 365 组的安全最佳实践，并要求所有者定期证明其 Office 365 组的持续有用性和成员身份。