Skapa en säkrare gästdelningsmiljö

I den här artikeln går vi igenom olika alternativ för att skapa en säkrare gästdelningsmiljö i Microsoft 365. De här är exempel som ger dig en uppfattning om vilka alternativ som är tillgängliga. Du kan använda de här procedurerna i olika kombinationer för att uppfylla organisationens säkerhets- och efterlevnadsbehov.

Den här artikeln innehåller:

• Konfigurera multifaktorautentisering för gäster.
• Konfigurera användarvillkor för gäster.
• Konfigurera kvartalsgranskning av gäståtkomst för att regelbundet verifiera om gästerna fortfarande behöver behörighet till grupper och webbplatser.
• Begränsa gästernas åtkomst till endast på webben för ohanterade enheter.
• Konfigurera en princip för sessionstidsgräns för att säkerställa att gästerna autentiserar sig dagligen.
• Skapa en typ av känslig information för ett strikt känsligt projekt.
• Tilldela automatiskt en känslighetsetikett till dokument som innehåller den typen av känslig information.
• Ta automatiskt bort gäståtkomst från filer med beteckningen med en känslighetsetikett.

Vissa av alternativen som beskrivs i den här artikeln kräver att gäster har ett konto i Microsoft Entra-ID. För att säkerställa att gäster ingår i katalogen när du delar filer och mappar med dem använder du SharePoint- och OneDrive-integreringen med Microsoft Entra B2B Preview.

Observera att vi inte diskuterar hur du aktiverar inställningar för gästdelning i den här artikeln. Mer information om hur du aktiverar gästdelning i olika scenarier finns i Samarbeta med personer utanför organisationen.

Konfigurera multifaktorautentisering för gäster

Multifaktorautentisering minskar avsevärt risken för att ett konto komprometteras. Eftersom gäster kan använda personliga e-postkonton som inte följer några styrningsprinciper eller bästa praxis är det särskilt viktigt att kräva multifaktorautentisering för gäster. Om en gästanvändares användarnamn och lösenord blir stulna, en andra autentiseringsfaktor minimera avsevärt risken för att okända personer ska få åtkomst till webbplatserna och filerna.

I det här exemplet konfigurerar vi multifaktorautentisering för gäster med hjälp av en princip för villkorlig åtkomst i Microsoft Entra-ID.

Konfigurera multifaktorautentisering för gäster

1. Öppna administrationscentret för Microsoft Entra.
2. Expandera Skydd och välj sedan Villkorlig åtkomst.
3. På villkorsstyrd åtkomst | På översiktssidan väljer du Skapa ny princip.
4. I fältet Namn skriver du ett namn.
5. Välj länken Användare .
6. Välj Välj användare och grupper och markera sedan kryssrutan Gäst eller externa användare .
7. I listrutan väljer du B2B-samarbetsgästanvändare och B2B-samarbetsmedlemsanvändare.
8. Välj länken Målresurser .
9. Välj Alla molnappar på fliken Inkludera .
10. Välj länken Bevilja .
11. På bladet Bevilja markerar du kryssrutan Kräv multifaktorautentisering och klickar sedan på Välj.
12. Under Aktivera princip väljer du På och sedan Skapa.

Nu måste gäster registrera sig för multifaktorautentisering innan de kan komma åt delat innehåll, webbplatser eller team.

Mer information

Planera en distribution av Microsoft Entra multifaktorautentisering

Konfigurera användarvillkor för gäster

I vissa situationer kanske gäster inte har undertecknat sekretessavtal eller andra juridiska avtal med din organisation. Du kan kräva att gästerna godkänner användningsvillkor innan de kan komma åt filer som delas med dem. Användningsvillkoren kan visas första gången de försöker få åtkomst till en delad fil eller webbplats.

Om du vill skapa användningsvillkor måste du först skapa dokumentet i Word eller något annat redigeringsprogram och sedan spara det som en PDF-fil. Den här filen kan sedan laddas upp till Microsoft Entra ID.

Så här skapar du ett Microsoft Entra användningsvillkor

1. Öppna administrationscentret för Microsoft Entra.

2. Expandera Skydd och välj sedan Villkorlig åtkomst.

3. Välj Användningsvillkor.

4. Välj Nya termer.

   

5. Skriv ett namn.

6. För Dokument med användningsvillkor bläddrar du till den PDF-fil som du har skapat och väljer den.

7. Välj språk för dokumentet med användningsvillkor.

8. Skriv ett visningsnamn.

9. Ange Kräv att användarna expanderar användningsvillkoren som På.

10. Under Villkorsstyrd åtkomst, i listan Tvinga med mallar för princip för villkorsstyrd åtkomst, väljer du Skapa princip för villkorsstyrd åtkomst senare.

11. Välj Skapa.

När du har skapat användningsvillkoren är nästa steg att skapa en princip för villkorsstyrd åtkomst som visar användningsvillkoren för gästanvändare.

Skapa princip för villkorsstyrd åtkomst

1. I Microsoft Entra administrationscenter går du till Skydd och väljer Villkorlig åtkomst.
2. På villkorsstyrd åtkomst | På översiktssidan väljer du Skapa ny princip.
3. Skriv ett namn i rutan Namn.
4. Välj länken Användare .
5. Välj Välj användare och grupper och markera sedan kryssrutan Gäst eller externa användare .
6. I listrutan väljer du B2B-samarbetsgästanvändare och B2B-samarbetsmedlemsanvändare.
7. Välj länken Målresurser .
8. På fliken Inkludera väljer du Välj appar och klickar sedan på länken Välj .
9. På bladet Välj väljer du Office 365 och klickar sedan på Välj.
10. Välj länken Bevilja .
11. På bladet Bevilja markerar du kryssrutan för de användningsvillkor som du skapade och klickar sedan på Välj.
12. Under Aktivera princip väljer du På och sedan Skapa.

Nu, första gången en gäst försöker komma åt innehåll eller ett team eller en webbplats i din organisation, måste de godkänna användningsvillkoren.

Mer information

Microsoft Entra användningsvillkor

Översikt över Microsoft SharePoint eSignature

Konfigurera granskning av gäståtkomst

Med åtkomstgranskningar i Microsoft Entra-ID kan du automatisera en regelbunden granskning av användaråtkomst till olika team och grupper. Genom att kräva en åtkomstgranskning för gäster specifikt kan du se till att gästerna inte behåller åtkomsten till organisationens känsliga information längre än vad som är nödvändigt.

Så här konfigurerar du en granskning av gäståtkomst

1. Öppna administrationscentret för Microsoft Entra.

2. Expandera Identitetsstyrning och välj Åtkomstgranskningar.

3. Välj Ny åtkomstgranskning.

4. Välj alternativet Team + Grupper.

5. Välj alternativet Alla Microsoft 365-grupper med gästanvändare. Klicka på Välj grupp(er) att utesluta om du vill utesluta några grupper.

6. Välj alternativet Endast gästanvändare och välj sedan Nästa: Granskningar.

7. Under Välj granskare välj Gruppägare.

8. Klicka på Välj reservgranskare, välj vem som ska vara reservgranskare och klicka sedan på Välj.

9. Välj en Varaktighet (i dagar) för att recensionen ska vara öppen för kommentarer.

10. Under Ange upprepning av granskning välj Kvartals.

11. Välj ett startdatum och varaktighet.

12. För Slut väljer du Aldrig och sedan Nästa: Inställningar.

    

13. På fliken Inställningar granska inställningarna för efterlevnad av dina affärsregler.

    

14. Välj Nästa: Granska + Skapa.

15. Skriv ett Granskningsnamn granska inställningarna.

16. Välj Skapa.

Mer information

Hantera gäståtkomst med åtkomstgranskningar

Skapa en åtkomstgranskning av grupper och program i Microsoft Entra-ID

Konfigurera webbåtkomst för gäster med ohanterade enheter

Om dina gäster använder enheter som inte hanteras av din organisation eller någon annan organisation som du har en förtroenderelation med kan du kräva att de får åtkomst till dina team, webbplatser och filer endast med hjälp av en webbläsare. Detta minskar risken för att de kan ladda ned känsliga filer och lämna dem på en ohanterad enhet. Detta är också användbart när du delar med miljöer som använder delade enheter.

För Microsoft 365-grupper och Teams görs detta med en Microsoft Entra princip för villkorsstyrd åtkomst. För SharePoint är detta konfigurerat i administrationscentret för SharePoint. (Du kan också använda känslighetsetiketter för att tillåta begränsad endast webb-åtkomst för gäster.)

Begränsa gäster till endast webbåtkomst för Grupper och Teams:

1. Öppna administrationscentret för Microsoft Entra.

2. Expandera Skydd och välj sedan Villkorlig åtkomst.

3. På villkorsstyrd åtkomst | På översiktssidan väljer du Skapa ny princip.

4. Skriv ett namn i rutan Namn.

5. Välj länken Användare .

6. Välj Välj användare och grupper och markera sedan kryssrutan Gäst eller externa användare .

7. I listrutan väljer du B2B-samarbetsgästanvändare och B2B-samarbetsmedlemsanvändare.

8. Välj länken Målresurser .

9. På fliken Inkludera väljer du Välj appar och klickar sedan på länken Välj .

10. På bladet Välj väljer du Office 365 och klickar sedan på Välj.

11. Välj länken Villkor .

12. På bladet Villkor väljer du länken Klientappar .

13. På bladet Klientappar väljer du Ja för Konfigurera och sedan inställningarna Mobilappar och skrivbordsklienter, Exchange ActiveSync klienter och Andra klienter. Avmarkera kryssrutan Webbläsare.

    

14. Välj Klar.

15. Välj länken Bevilja .

16. På bladet Bevilja väljer du Kräv att enheten ska markeras som kompatibel och Kräv Microsoft Entra hybridansluten enhet.

17. Under För flera kontroller väljer du Begär en av de valda kontrollerna och klickar sedan på Välj.

18. Under Aktivera princip väljer du På och sedan Skapa.

Mer information

Åtkomstkontroller för ohanterade enheter i SharePoint och OneDrive

Konfigurera en sessionstidsgräns för gästanvändare

Genom att kräva att gästanvändare ska autentiseras med jämna mellanrum kan du minska risken för att okända användare får åtkomst till din organisations innehåll om en gästanvändares enhet inte är skyddad. Du kan konfigurera en princip för villkorlig åtkomst för sessionstimeout för gäster i Microsoft Entra-ID.

Konfigurera en princip för sessionstidsgräns för gäster

1. Öppna administrationscentret för Microsoft Entra.
2. Expandera Skydd och välj sedan Villkorlig åtkomst.
3. På villkorsstyrd åtkomst | På översiktssidan väljer du Skapa ny princip.
4. I fältet Namn skriver du ett namn.
5. Välj länken Användare .
6. Välj Välj användare och grupper och markera sedan kryssrutan Gäst eller externa användare .
7. I listrutan väljer du B2B-samarbetsgästanvändare och B2B-samarbetsmedlemsanvändare.
8. Välj länken Målresurser .
9. På fliken Inkludera väljer du Välj appar och klickar sedan på länken Välj .
10. På bladet Välj väljer du Office 365 och klickar sedan på Välj.
11. Välj länken Session .
12. På bladet Session väljer du Inloggningsfrekvens.
13. Välj 1 och Dagar för tidsperioden och klicka sedan på Välj.
14. Under Aktivera princip väljer du På och sedan Skapa.

Skapa en typ av känslig information för ett strikt känsligt projekt.

Olika typer av känsliga uppgifter är fördefinierade strängar som kan användas i policyarbetsflöden för att upprätthålla efterlevnadskraven. Efterlevnadsportalen för Microsoft Purview levereras med över etthundra känsliga informationstyper, inklusive körkortsnummer, kreditkortsnummer, bankkontonummer osv.

Du kan skapa anpassade typer av känslig information som hjälper dig att hantera innehåll som är specifikt för din organisation. I det här exemplet skapar vi en anpassad typ av känslig information för ett mycket känsligt projekt. Vi kan sedan använda den här typen av känslig information för att automatiskt tillämpa en kanslighetsetikett.

Skapa en typ av känslig information

1. I det efterlevnadsportal i Microsoft Purview i det vänstra navigeringsfältet expanderar du Dataklassificering och väljer sedan Klassificerare.
2. välj fliken Typer av känslig information .
3. Välj Skapa typ av känslig information.
4. För Namn och beskrivning skriver du Projekt Saturnus och väljer sedan Nästa.
5. Välj Skapa mönster.
6. På panelen Nytt mönster väljer du Lägg till primärt element och väljer sedan Nyckelordslista.
7. Skriv ett ID, till exempel Project Saturn.
8. I rutan Skiftlägesokänslig skriver du Projekt Saturnus, Saturnus och väljer sedan Klar.
9. Välj Skapa och sedan Nästa.
10. Välj en konfidensnivå och välj sedan Nästa.
11. Välj Skapa.
12. Välj Klar.

Mer information finns i Läs mer om typer av känslig information.

Skapa en princip för automatisk etikettmärkning för att tilldela en känslighetsetikett baserat på en typ av känslig information

Om du använder känslighetsetiketter i din organisation kan du automatiskt använda en etikett för filer som innehåller definierade typer av känslig information.

Skapa en princip för automatisk etikettmärkning

1. Öppna Administrationscentret för Microsoft Purview.
2. I det vänstra navigeringsfältet expanderar du Informationsskydd och väljer Automatisk etikettering.
3. Välj Skapa princip för automatisk etikettering.
4. På sidan Välj information som du vill att den här etiketten ska tillämpas på väljer du Anpassad och sedan Anpassad princip.
5. Välj Nästa.
6. Ange ett namn och en beskrivning för principen och välj Nästa.
7. På sidan Tilldela administratörsenheter väljer du Nästa.
8. På sidan Välj platser där du vill använda etiketten väljer du SharePoint-webbplatseroch väljer redigera om du vill välja webbplatser.
9. Välj Nästa.
10. På sidan Konfigurera vanliga eller avancerade regler väljer du Vanliga regler och sedan Nästa.
11. På sidan Definiera regler för innehåll på alla platser väljer du Ny regel.
12. På sidan Ny regel ger du regeln ett namn, väljer Lägg till villkor och väljer sedan Innehåll innehåller.
13. Välj Lägg till, välj Typer av känslig information, välj de typer av känslig information som du vill använda, välj Lägg till och välj sedan Spara.
14. Välj Nästa.
15. Välj Välj en etikett, välj den etikett som du vill använda och välj sedan Lägg till.
16. Välj Nästa.
17. Lämna principen i simuleringsläge och välj om du vill att den ska aktiveras automatiskt.
18. Välj Nästa.
19. Välj Skapa princip och sedan Klar.

När principen har skapats och en användare skriver ”Projekt Saturnus” i ett dokument, kommer principen för automatisk etikettmärkning att automatiskt tillämpa den specificerade etiketten när filen söks igenom.

Mer information om automatisk etikettering finns i Tillämpa en känslighetsetikett på innehåll automatiskt.

Mer information

Konfigurera en standardkänslighetsetikett för ett SharePoint-dokumentbibliotek

Skapa en DLP-princip för att ta bort gäståtkomst till strikt känsliga filer

Du kan använda Dataförlustskydd för Microsoft Purview (DLP) för att förhindra att oönskade gäster delar känsligt innehåll. Dataförlustskydd kan utföra åtgärder baserat på en fils känslighetsetikett och ta bort gäståtkomst.

Skapa en DLP-regel

1. Öppna Administrationscentret för Microsoft Purview.

2. I det vänstra navigeringsfältet expanderar du Dataförlustskydd och väljer Principer.

3. Välj Skapa princip.

4. Välj Anpassad och sedan Anpassad princip.

5. Välj Nästa.

6. Ange ett namn för principen och välj Nästa.

7. På sidan Tilldela administratörsenheter väljer du Nästa.

8. På sidan Platser där principen ska tillämpas inaktiverar du alla inställningar utom SharePoint-webbplatser och OneDrive-konton och väljer sedan Nästa.

9. På sidan Definiera principinställningar väljer du Nästa.

10. På sidan Anpassa avancerade DLP-regler väljer du Skapa regel och anger ett namn för regeln.

11. Under Villkor väljer du Lägg till villkor och väljer Innehåll delas från Microsoft 365.

12. I listrutan väljer du med personer utanför min organisation.

13. Under Villkor väljer du Lägg till villkor och väljer Innehåll innehåller.

14. Välj Lägg till, välj Känslighetsetiketter, välj de etiketter som du vill använda och välj Lägg till.

15. Under Åtgärder väljer du Lägg till en åtgärd och väljer Begränsa åtkomst eller kryptera innehållet på Microsoft 365-platser.

16. Välj alternativet Blockera endast personer utanför organisationen .

    

17. Aktivera användarmeddelanden och markera sedan kryssrutan Meddela användare i Office 365-tjänsten med ett principtips.

18. Välj Spara och sedan Nästa.

19. Välj dina testalternativ och välj Nästa.

20. Välj Skicka och sedan Klar.

Det är viktigt att tänka på att principen inte tar bort åtkomst om gästen är medlem på webbplatsen eller i teamet som helhet. Om du planerar att ha mycket känsliga dokument på en webbplats eller i ett team med gästmedlemmar kan du överväga följande alternativ:

• Använd privata kanaler och tillåt endast medlemmar i din organisation i de privata kanalerna.
• Använd delade kanaler för att samarbeta med personer utanför organisationen samtidigt som du bara har personer från organisationen i själva teamet.

Fler alternativ

Det finns några ytterligare alternativ i Microsoft 365 och Microsoft Entra-ID som kan hjälpa dig att skydda din gästdelningsmiljö.

• Du kan skapa en lista över tillåtna eller nekade delningsdomäner för att begränsa vilka användarna kan dela med. Mer information finns i Begränsa delning av SharePoint- och OneDrive-innehåll efter domän och Tillåta eller blockera inbjudningar för B2B-användare från specifika organisationer.
• Du kan begränsa vilka andra Microsoft Entra klienter som användarna kan ansluta till. Mer information finns i Begränsa åtkomsten till en klientorganisation .
• Du kan skapa en hanterad miljö där partner kan hjälpa dig att hantera gästkonton. Mer information finns i Skapa ett B2B-extranät med hanterade gäster.

Relaterade artiklar

Begränsa oavsiktlig exponering för filer när de delas med gäster

Metodtips för att dela filer och mappar med oautentiserade användare