如何阻止外部用户从 Teams 下载文件

在当今时代，与组织外部的用户共享数据和协作处理文档是许多企业的基本要求。您的用户可能希望与客户或外部用户共享文档、报告、项目文件、图像甚至视频文件，应该通过培训来鼓励。

通过使您的用户能够在公司管理的系统范围内与外部各方合作，您可以最大限度地减少他们使用 Dropbox 或 WeTransfer 等第三方工具在未考虑到的情况下移动敏感数据的愿望。

在本教程中，我将向您展示如何在 Azure Active Directory 中将条件访问与 Cloud App Security 结合使用，以防止外部用户从 Microsoft Teams 和其他 Office 365 服务下载数据。

要求

不幸的是，我们知道 Azure 中没有有价值的服务的免费赠品。要同时使用条件访问和Cloud App Security，您必须拥有以下许可证之一：

• Azure AD 高级 P1
• 适用于云应用程序的 Microsoft Defender

尽管 Azure AD Premium P1 确实包含云应用程序发现，但这只是为了让你更深入地了解环境中云应用程序的使用情况。您仍然需要 Microsoft Defender for Cloud Apps 来提供实时策略实施，并在这种情况下阻止下载。

阻止外部用户从 Teams 和 SharePoint 下载文件

让我们看看如何实施该解决方案来阻止外部用户从 Microsoft Teams 和 SharePoint 下载文件。

1. 首先登录 Azure Active Directory，然后选择 Azure Active Directory > 安全。

2. 在保护标题下，选择条件访问。

3. 选择新建策略启动条件访问策略创建向导。

4. 为您的策略定义一个有意义的名称并选择用户的分配。右侧出现窗口后，点击选择用户和组，选中来宾或外部用户旁边的框，然后选择所有用户类型可用的下拉列表。最后，选中全部以应用于应用外部 AD 组织。

5. 在云应用或操作旁边，单击选择应用并选择Office 365 应用。这包括所有 Office 365 云服务，包括 SharePoint 和 Teams。

Office 365 应用程序包括以下应用程序：（您也可以选择适合的单个应用程序）

6. 在访问控制下，选择以下授予控制以允许外部用户访问 Office 365、需要多重身份验证。这将确保任何外部用户都必须配置多重身份验证（基于您的 MFA 策略）。

7. 在会话控制页面上，选中使用条件访问应用程序控制旁边的框，然后从下拉列表中选择阻止下载。

8. 最后，您可以将策略设置为开启并单击创建。

阻止外部用户登录桌面应用程序

通过第一个条件访问策略，我们已阻止通过 Web 浏览器从 SharePoint 和 Teams 下载文件。但我们遇到的一个问题是，用户仍然可以从 Teams 桌面应用程序打开 Team，并从那里下载文件。

要创建下一个策略，请执行上述步骤 1 > 5 以创建类似的策略。

6. 在条件部分，选择客户端应用程序。

7. 单击配置下的是，然后选择除浏览器选项之外的所有选项。

8. 在“访问控制”部分中，选择阻止访问。

9. 最后，将策略设置为开启并单击创建。

最终用户体验是什么样的

一旦策略到位，您就可以在外部用户的当前会话刷新后应用限制，或者在外部用户登录时立即应用限制。

当外部用户单击邀请打开他们已添加到的团队时，系统会要求他们注册多重身份验证，注册后，他们需要批准登录才能访问团队。

在他们可以访问共享数据之前，他们还会收到通知，表明他们的会话正在受到监控，并且他们只能从 Web 浏览器访问该数据。 （然而，这是不正确的，默认情况下，用户仍然可以从 Teams 桌面客户端访问和下载文件。我们创建了额外的条件访问策略来阻止此行为。）

现在，用户可以从 Web 上的 Teams 访问共享数据，如果他们尝试下载数据，他们将收到以下通知。

此外，为了让用户从 Teams 内访问文件，他们必须在选择从邀请电子邮件中打开团队时选择启动桌面应用程序的选项，或者可以通过选择从 Teams 内切换到来宾帐户他们的图标位于右上角并选择（组织（访客））。无论哪种方式，当他们尝试登录桌面应用程序时，他们都会看到以下错误。