Microsoft 365 来宾用户和外部访问：完整指南

凭借其旗舰生产力套件 Microsoft 365（以前称为 Office 365），微软旨在打破阻碍内容共享和协作的传统业务孤岛。 SharePoint Online 和 OneDrive for Business 的相互交织的功能允许用户与组织内部和外部的广泛同事进行协作。

尽管文件共享有很多好处，但它也带来了一些风险。如果您的文件无意或故意与错误的用户共享怎么办？如果用户错误处理敏感信息怎么办？您如何保持对访客用户的控制？

为了减轻共享方面的安全问题，了解如何在 Microsoft 365 中配置两种共享机制非常重要：

• 来宾访问：与 Microsoft 365 组或 Microsoft Teams 中的来宾成员共享内容
• 外部共享：与外部各方共享特定 SharePoint 和 OneDrive 资产的链接

本文介绍如何在 Microsoft 365 中管理来宾用户和外部访问，以确保业务连续性而不损害关键数据的安全性：

• Microsoft 365 中的来宾访问

  • 如何启用或限制访客访问功能
• 如何将访客用户添加到组中
• 访客用户拥有什么级别的访问权限？

Microsoft 365 中的来宾访问

在后端，Microsoft 365 组是 Azure Active Directory (Azure AD) 中的对象。 Azure AD 中的每个组对象都包含唯一的标识信息，例如：

• 有关群组所有者的信息
• 关联资源的 URL
• 群组成员列表，包括任何访客帐户

如何启用或限制访客访问功能

默认情况下，为 Microsoft 365 租户启用来宾访问功能，这意味着 Microsoft 365 组所有者可以邀请拥有企业或消费者电子邮件帐户的任何人成为该组的来宾成员。

作为 Microsoft 365 管理员，您可以通过转到 Microsoft 365 管理中心的 Microsoft 365 组页面来设置租户的外部访问级别。在服务和加载项下，您可以控制是否完全关闭来宾访问权限以及是否允许群组所有者邀请来宾用户。

您还可以使用 PowerShell 来限制访客访问的策略。例如，您可以：

• 阻止来宾用户访问特定组。
• 阻止来自特定域的外部来宾。

如何将访客用户添加到组中

任何组成员都可以指定 Office 365 组外部用户进行来宾访问，但只有组所有者才能授予来宾访问权限。将来宾用户添加到组的过程如下：

1. 群组所有者或群组成员使用群组 > 添加成员命令通过输入用户的电子邮件地址来提名外部用户的成员身份。
2. 群组所有者审核访客加入后将获得的访问权限并批准提名。
3. 客人会收到一封欢迎电子邮件并可以开始参加团体活动。

访客用户拥有什么级别的访问权限？

Microsoft 365 组的来宾成员：

• 无权直接访问任何组的网站，例如 SharePoint 中的团队网站
• 可以通过发送到电子邮件收件箱的对话和群组日历邀请来参与群组活动
• 可以访问电子邮件中包含的共享文件，例如附件或链接，前提是管理员已启用必要的文件共享权限

Microsoft 365 中的外部共享：SharePoint Online

SharePoint Online 的外部共享功能可以在两个级别进行管理：

• 在整个 Microsoft 365 租户中，通过 SharePoint 管理中心、Microsoft 365 管理中心或 Azure AD
• 在站点级别

如何管理租户范围的共享

使用 SharePoint 管理中心

要为整个租户配置外部共享设置，请转到 SharePoint 管理中心的共享页面。此页面上的外部共享部分包含可让您控制 SharePoint 中租户范围共享级别的选项：

• 仅限您组织中的人员：关闭外部共享并仅限内部用户共享。这是 SharePoint 中通信网站和经典网站的默认设置。作为安全最佳实践，建议您通过选择此选项来关闭租户范围的外部共享。
• 现有来宾：允许与已添加到您的 Azure AD 的外部用户共享现有来宾可能通过过去接受共享邀请或由管理员添加为来宾用户而加入您的 Azure AD在 Azure 门户中。此选项要求来宾使用有效凭据对 Microsoft 365 进行身份验证，然后才能访问共享资产。
• 新访客和现有访客：授予网站所有者和用户与外部用户共享网站的完全控制权限。站点用户还可以共享文件和文件夹以与外部用户协作。
• 任何人：允许知道资源链接的任何人访问该资源并将链接转发给其他人。默认情况下会选择此选项，但建议您将外部共享设置更改为仅组织中的人员。请注意不要选择任何人选项，因为它会打开与匿名、未经身份验证的用户不受控制地共享的大门，并可能使敏感数据面临风险。

如果您选择允许与任何人共享，您可以通过配置以下推荐的高级设置来改进文档管理和安全性：

• 将任何人链接配置为在一段时间后过期。
• 限制来宾链接以仅允许查看文件和文件夹的访问。
• 将默认链接限制为仅您组织中的人员可以访问。
• 启用 ATP 安全附件功能。
• 限制与来自被阻止域的用户的外部共享。

使用 Microsoft 365 管理中心

您还可以通过转到 Microsoft 365 管理中心并选择设置 > 服务和加载项 > 网站来配置 SharePoint 的租户级共享。此页面允许您配置与 SharePoint 管理中心相同的外部共享选项。

使用 Azure AD

为了对 SharePoint 的外部访问进行最高级别的控制，请在 Azure AD 中配置共享设置。您可以通过以下两种方式之一进行 Azure AD 共享配置：

• 让 SharePoint 使用自己的外部共享列表（独立于 Azure B2B），并在 Azure AD 中配置组织关系设置。登录到 Azure 门户并选择 Azure Active Directory > 概述 > 组织关系。转到设置页面并定义您想要为您的组织使用的 SharePoint 在线外部共享设置。
• 让 SharePoint 使用 Azure B2B 中定义的外部共享设置并在 Azure AD 中配置 B2B 协作。

提示：Azure AD 中配置的共享设置会覆盖 Microsoft 365 管理中心或 SharePoint 管理中心中配置的共享设置。例如，如果您允许通过 Microsoft 365 管理中心进行外部共享，但通过 Azure AD 禁用外部共享，则 Azure AD 设置优先，并且将为您的组织关闭外部共享。

如何管理外部用户在 SharePoint Online 中的网站级访问

除了配置租户范围的共享策略之外，您还可以进一步限制特定 SharePoint 网站的外部共享。为此，您必须具有全局管理员或 SharePoint 管理员权限。网站所有者无法更改网站的外部共享设置。

如何更改站点的外部共享设置

1. 在 SharePoint 管理中心中，转到网站 > 活动网站。
2. 选中站点名称旁边的复选框。
3. 单击页面右上角的“i”图标。
4. 从共享选项列表中选择所需的共享级别。这些是可用于租户范围配置的相同四个共享选项。

提示：特定网站的外部共享设置必须与租户级别设置相同或更具限制性。例如，如果租户范围内的共享仅限于现有来宾，则特定网站的共享设置可以更改为仅您组织中的人员，但无法更改更宽松的选项，例如任何人。

在另一个典型的用例中，全局或 SharePoint 管理员需要限制特定网络域中的外部用户访问特定站点。例如，来自客户端 A 域的用户不应访问专门为与客户端 B 协作共享而设计的站点。

如何根据用户域限制对站点的访问

1. 在 SharePoint 管理中心中，转到网站 > 活动网站。
2. 选中站点名称旁边的复选框。
3. 转到策略选项卡。
4. 在外部共享下，点击编辑。
5. 在外部共享的高级设置下，选中按域限制外部共享旁边的复选框。
6. 单击添加域。
7. 选择仅允许特定域。
8. 输入要添加到允许列表的每个域的完全限定域名 (FQDN)。只有来自所列域的用户才有资格获得该网站的邀请。

OneDrive for Business 中的外部共享

OneDrive for Business 是一个个人存储库，人们可以使用它来跨多个设备存储和同步文件。从这个意义上说，OneDrive 的功能类似于主目录或个人映射驱动器，允许用户将文件保存在云存储中并从任何设备检索它们。

许多客户还使用 OneDrive 与其他用户共享项目，尽管 OneDrive 实际上并不是为此目的而设计的。作为管理员，您可以决定外部用户对组织中的 OneDrive 文件的访问级别。

如何管理 OneDrive 的租户范围共享

租户范围的共享设置适用于 Microsoft 365 帐户中用户的所有 OneDrive 实例。您可以通过两个门户配置 OneDrive 的这些共享设置：

• SharePoint 管理中心中的共享页面（Microsoft 建议使用此页面来配置 OneDrive 共享设置）
• OneDrive 管理中心的共享页面

如何通过 SharePoint 管理中心配置 OneDrive 共享

请遵循前面“如何通过 SharePoint 管理中心管理租户范围共享”中所述的说明和指南。 OneDrive 提供与 SharePoint 相同的四个共享选项。

提示：OneDrive 的共享级别必须与 SharePoint 的共享级别相同或更具限制性。例如，如果 SharePoint 中的租户范围共享设置为现有来宾，则您只能将 OneDrive 配置为使用相同的设置或更严格的仅限组织中的人员设置。

如何通过 OneDrive 管理中心配置 OneDrive 共享

1. 登录 OneDrive 管理中心。
2. 导航至共享

在这里，您可以设置 OneDrive 的外部共享级别并配置更细粒度的共享控件，例如：

• 用户共享文件时默认生成的链接类型
• 链接的有效期
• 是否允许外部共享 OneDrive 文件或文件夹的链接的编辑和上传权限
• 允许或阻止用户接收共享邀请的特定域
• 外部用户是否必须使用同一帐户才能接收和接受共享邀请
• 外部用户是否可以共享不属于他们的内容
• 内容所有者是否可以审核查看过其内容的用户列表

如何管理单个 OneDrive 的外部共享

要自定义特定用户 OneDrive 的共享级别，请使用 Microsoft 365 管理中心：

1. 使用全局管理员或 SharePoint 管理员权限登录 Microsoft 365 管理中心。
2. 转至用户 > 活跃用户。
3. 选择要更改共享级别的 OneDrive 用户。
4. 转到 OneDrive 选项卡。
5. 选择共享部分下的管理共享。
6. 配置外部共享级别并保存更改。

提示：单个 OneDrive 的外部共享级别必须与为 OneDrive 租户范围配置的共享级别相同或更具限制性。

如何降低未经授权的外部共享关键数据的风险

对数据进行分类将帮助您了解关键数据所在的位置，包括特定 SharePoint Online 网站或网站集或与外部用户共享的 OneDrive for Business 文件夹是否包含敏感数据。这种洞察力将使您能够根据存储在那里的数据的敏感性和价值来设置外部共享。

为了确保全面、准确的数据发现和分类，请选择 Netwrix Data Classification 等高级解决方案。其自动化且高度准确的数据标记使您能够选择适当的共享设置，并使用户能够轻松找到他们需要的数据。标记还将提高您的组织已经使用或计划实施的数据丢失防护 (DLP)、信息权限管理、记录管理和其他数据治理解决方案的有效性。您还可以设置工作流，自动将过度暴露的数据从 SharePoint Online 和 OneDrive for Business 存储库移动到指定的隔离区域。

常问问题

谁是 Microsoft 365 中的来宾用户？

来宾是已被 Microsoft 365 组所有者授予参与群组对话、日历邀请、文件共享和笔记本活动权限的任何外部用户。 Microsoft 365 来宾用户与 Office 365 来宾用户相同。

什么是 Microsoft 365 中的外部共享？

外部共享是指 SharePoint Online 和 OneDrive 用户与外部用户共享文件和文件夹的访问链接的能力。 SharePoint 网站所有者还可以与外部用户共享网站访问权限。

如何获取 Microsoft 365 租户中的来宾用户列表？

您可以：

• 访问 Microsoft 365 管理中心的访客页面。
• 使用适用于 Azure AD 的 PowerShell 并运行一个脚本，该脚本系统地使用 Get-AzureADuser cmdlet，并将来宾用户列表输出到 CSV 文件。

如何找出哪些外部用户有权访问 SharePoint Online？

下载 SharePoint 搜索查询工具并按照此 Microsoft 支持文章中描述的过程获取外部用户有权访问的所有资源的列表。

我可以限制 Microsoft 365 中的文件外部共享吗？

是的，您可以为您的组织完全关闭外部共享。还有一些方法可以限制外部共享。例如，您可以：

• 仅共享给提供有效身份验证凭据的 Azure AD 来宾
• 配置具有仅查看权限的文件共享链接
• 阻止特定网域中的用户接收共享邀请

如何管理 Microsoft 365 中的外部共享？

作为全局管理员或 SharePoint 管理员，您可以使用 PowerShell 或以下任何门户来管理外部共享：

• SharePoint 管理中心
• Microsoft 365 管理中心
• OneDrive 管理中心
• Azure 门户