Microsoft Teams 中的外部用户和来宾访问：完整指南

Microsoft Teams 是面向 Microsoft 365 用户的与设备无关的一体化云协作平台。凭借其开放且灵活的权限策略，Teams 允许您与组织内部和外部的其他用户进行通信和共享内容。

然而，外部协作引发了安全问题，包括不受控制的文件共享和敏感数据泄露的风险。幸运的是，Microsoft 提供了一系列配置选项，使您能够安全地使外部用户可以访问 Teams 环境的某些部分。

在日益依赖远程通信的不断变化的工作场所中，您可以使用 Teams 来利用云的强大功能，而无需牺牲安全性。本文将引导您了解配置 Teams 外部共享功能的一些安全最佳实践。

Microsoft Teams 中的来宾访问和外部访问有什么区别？

Microsoft 提供了两种不同的方式与 Microsoft Teams 外部用户进行通信和协作。您可以实施其中一种、两种或两种访问方法，具体取决于您的外部协作需求。

• 来宾访问 - 允许组织外部的用户成为近乎成熟的团队成员，可以拨打电话、参与聊天、安排会议和访问共享文件。团队所有者可以单独添加来宾。当您想要授予外部用户与本机团队成员相同的 Teams 活动、频道和共享资源的访问权限时，请使用来宾访问权限。
• 外部访问(f联合)：允许指定外部域中的 Teams 用户查找、聊天、通话以及向您所在的人员发送会议邀请组织。外部联合用户无法访问你的内部 Teams 活动或资源。当你想要在 Skype for Business 上启用与外部用户的协作或阻止外部用户访问 Teams 内容时，请使用外部访问。

有关这些访问方法的更多详细信息，请参阅此比较表。

Microsoft Teams 中的来宾访问

来宾访问是 Teams 中的租户范围功能，默认情况下处于禁用状态。

启用访客访问后，组织外部拥有企业或消费者电子邮件帐户的任何人都可以成为访客。符合资格的客人会收到来自团队所有者的电子邮件邀请。通过单击打开 Microsoft Teams 兑换邀请后，他们将被添加到具有来宾用户权限的团队中。

Microsoft Teams 中的来宾访问功能

访客可以聊天、拨打电话并参与频道对话。他们还可以创建频道并共享文件。但是，来宾无权访问组织团队成员可用的其他功能，例如 OneDrive for Business 和 Teams 日历。

有关 Teams 中来宾用户功能和限制的完整列表，请参阅此功能表。

团队所有者可以根据需要添加任意数量的来宾，最多可达 Azure Active Directory (Azure AD) 许可证定义的限制。来宾访问受 Azure AD 和 Microsoft 365（以前称为 Office 365）中的服务限制管理。

为了安全起见，Microsoft 为 Teams 来宾帐户提供与 Microsoft 365 其他地方使用的相同的合规性和审核保护。

Microsoft Teams 中的来宾访问管理

若要启用和管理 Teams 中的来宾访问，您必须具有全局管理员或团队管理员权限。启用来宾访问后，更改将需要 2-24 小时才能在 Microsoft 365 租户中完全生效。

您可以使用四个单独的配置门户来管理 Teams 中的来宾访问。每个门户控制着不同的访客体验授权级别：

• Azure AD - 授权来宾在目录、租户和应用程序级别进行访问。
• Microsoft 365 组 - 授权来宾访问 Microsoft 365 组和 Teams（Teams 中的每个团队都基于底层 Microsoft 365 组构建）
• Microsoft Teams - 仅授权来宾访问 Teams
• SharePoint Online 和 OneDrive for Business：授权来宾访问 SharePoint、OneDrive、Microsoft 365 组和 Teams（SharePoint 配置控制 Teams 中来宾的文件共享体验）

根据授权级别，每个门户中的访客访问配置对其他门户中的配置具有依赖性和影响。 例如，如果在 Azure AD 级别禁用外部共享，则团队中的来宾访问将被禁用。如果在 Azure AD 中启用共享并在团队管理中心中启用来宾访问，但在 SharePoint 中禁用外部共享，则来宾可以加入团队，但对共享团队文件的访问权限受到限制。

如何在团队管理中心配置来宾访问

请执行以下步骤在 Teams 管理中心启用和设置来宾权限：

1. 使用 Teams 管理员权限登录 Teams 管理中心。
2. 导航至组织范围设置 > 访客访问。
3. 将允许 Microsoft Teams 中的来宾访问开关切换为打开。此设置启用访客访问功能。
4. 使用呼叫、会议和消息传送部分下的控件来微调授予访客的特定功能。可配置的功能包括：

• 私人点对点通话
• 在通话和会议中使用 IP 视频
• 屏幕共享
• 立即开会（让用户从对话上下文中立即开始会议）
• 编辑已发送的消息
• 聊天
• Giphy（允许用户分享指定内容分级的动画 GIF）
• 对话中模因的使用
• 对话中贴纸的使用

1. 单击保存应用配置。

Microsoft Teams 中的外部访问

默认情况下，在 Teams 租户范围内完全启用外部访问。 “开放联盟”的默认设置允许任何外部域中的 Teams 用户使用电子邮件地址查找并联系组织中的团队成员。

三种外部访问配置是：

• 开放联盟（默认设置）- 允许来自任何域的外部访问
• 允许特定域 - 仅允许来自指定域的外部访问
• 阻止特定域 - 阻止来自指定域的外部访问并允许来自所有其他域的访问

要更改外部访问配置的默认设置，请执行以下步骤：

1. 在 Microsoft Teams 管理中心中，转到组织范围设置 > 外部访问。
2. 将用户可以与其他 Skype for Business 和 Teams 用户通信切换为开启。
3. 要允许或阻止特定域，请单击添加域。指定域的名称并将其添加到允许或阻止列表中。
4. 保存您的更改。您刚刚配置了传出联合。
5. 与其他组织中的 Teams 管理员合作配置传入联合。例如，确保他们将您的企业域添加到允许列表中。
6. 通过使用 Teams 应用查找并向联合外部 Teams 用户发送聊天请求来测试配置，并让外部用户向你发送 Teams 聊天请求。如果你们每个人都收到请求，则表明联合已成功配置。

Microsoft Teams 中来宾和外部访问的安全最佳实践

请遵循以下基本技巧来优化组织团队的访客访问和外部访问的安全性和管理：

• 强制执行最小权限原则：授予本机和来宾团队成员完成工作所需的最低级别的来宾权限。
• 确保 Microsoft 365 组、SharePoint Online 和 Microsoft 365 管理中心中的共享设置支持预期的来宾权限级别。
• 通过在 Azure AD 中配置外部协作设置，定义有权邀请来宾加入 Teams 的人员（管理员、非管理员甚至来宾）。
• 限制可以邀请来宾的用户数量的另一种方法是定义一个仅由有权创建组的用户组成的 Microsoft 365 组；只有授权用户才能创建团队并添加成员或来宾。

• 为单个团队配置访客权限：

  1. 在 Teams 应用中，单击左侧功能区中的团队。
• 选择团队并转到更多选项 (...) > 管理团队。
• 导航至设置 > 访客权限，然后使用设置来定义访客对团队频道的控制程度。
• 通过使用 Netwrix Data Classification 等解决方案对内容进行分类来保护数据隐私，该解决方案可让您创建工作流程来管理敏感数据可以存储和不能存储的位置。
• 禁用应保留在内部的文件夹或文件的外部共享。
• 若要在团队中添加或删除来宾，请始终使用 Teams 客户端，而不是其他配置门户，例如 Microsoft 365 管理中心。使用 Teams 客户端可确保来宾访问中的更改正确级联到其他相关应用程序。

常问问题

什么是 Microsoft Teams 中的来宾访问权限？

来宾访问是组织外部人员加入 Teams 以便与本机 Teams 用户进行通信和协作的一种方式。

Microsoft Teams 是否允许外部用户？

是的。来宾是可以参与 Teams 活动的外部用户。

来宾可以在 Microsoft Teams 中做什么？

根据团队管理员配置来宾功能的方式，来宾可以在频道对话中聊天、拨打电话和发布消息。他们还可以创建和删除频道以及与本地团队成员共享文件。