Skapa en säker miljö för gästdelning
I den här artikeln går vi igenom en mängd olika alternativ för att skapa en säker gästdelningsmiljö i Microsoft 365. De här är exempel som ger dig en uppfattning om vilka alternativ som är tillgängliga. Du kan använda de här procedurerna i olika kombinationer för att uppfylla organisationens säkerhets- och efterlevnadsbehov.
Den här artikeln innehåller:
- Konfigurera multifaktorautentisering för gäster.
- Konfigurera användarvillkor för gäster.
- Konfigurera kvartalsgranskning av gäståtkomst för att regelbundet verifiera om gästerna fortfarande behöver behörighet till grupper och webbplatser.
- Begränsa gästernas åtkomst till endast på webben för ohanterade enheter.
- Konfigurera en princip för sessionstidsgräns för att säkerställa att gästerna autentiserar sig dagligen.
- Skapa en typ av känslig information för ett strikt känsligt projekt.
- Tilldela automatiskt en känslighetsetikett till dokument som innehåller den typen av känslig information.
- Ta automatiskt bort gäståtkomst från filer med beteckningen med en känslighetsetikett.
Vissa av alternativen som beskrivs i den här artikeln kräver att gästerna har ett konto i Azure Active Directory. Om du vill vara säker på att gästerna ingår i katalogen när du delar filer och mappar med dem, ska du använda SharePoint- och OneDrive-integrering med förhandsversionen av Azure AD B2B.
Observera att vi inte tar upp inställningarna för gästdelning i den här artikeln. Mer information om hur du aktiverar gästdelning i olika scenarier finns i Samarbeta med personer utanför organisationen.
Konfigurera multifaktorautentisering för gäster
Multifaktorautentisering minskar kraftigt risken för att ett konto komprometteras. Eftersom gästanvändare kanske använder personliga e-postkonton som inte följer några styrningsprinciper eller bästa praxis är det särskilt viktigt att kräva multifaktorautentisering för gäster. Om en gästanvändares användarnamn och lösenord blir stulna, en andra autentiseringsfaktor minimera avsevärt risken för att okända personer ska få åtkomst till webbplatserna och filerna.
I det här exemplet konfigurerar vi multifaktorautentisering för gäster genom att använda en princip för villkorsstyrd åtkomst i Azure Active Directory.
Konfigurera multifaktorautentisering för gäster
- Gå till Principer för villkorstyrd åtkomst i Azure.
- På bladet för Villkorsstyrd åtkomst | Principer klickar du på Ny princip.
- I fältet Namn skriver du ett namn.
- Under Tilldelningar klickar du på Användare och grupper.
- I bladet Användare och grupper markerar du Välj användare och grupper, markerar kryssrutan Alla gäster och externa användare.
- Under Tilldelningar klickar du på Molnappar eller åtgärder.
- Välj alla program i molnet på fliken inkluderar fliken moln program eller-åtgärder blad.
- Under Åtkomstkontroller klickar du på Bevilja.
- På bladet Bevilja markerar du kryssrutan Kräv multifaktorautentisering och klickar sedan på Välj.
- På bladet Nytt, under Aktivera princip, klickar du på På och sedan på Skapa.
Gästen måste då registrera sig för multifaktorautentisering för att de ska kunna komma åt delat innehåll, webbplatser eller team.
Mer information
Planerar en Azure AD Multi-Factor Authentication-distribution
Konfigurera användarvillkor för gäster
I vissa fall kanske gästanvändare inte har undertecknat sekretessavtal eller andra juridiska avtal med din organisation. Du kan kräva att gästerna godkänner användningsvillkor innan de kan komma åt filer som delas med dem. Användningsvillkoren kan visas första gången de försöker få åtkomst till en delad fil eller webbplats.
Om du vill skapa användningsvillkor måste du först skapa dokumentet i Word eller något annat redigeringsprogram och sedan spara det som en PDF-fil. Filen kan sedan laddas upp till Azure AD.
Skapa användningsvillkor för Azure AD
Logga in på Azure som global administratör, säkerhetsadministratör eller administratör för villkorsstyrd åtkomst.
Gå till Användningsvillkor.
Klicka på Nya villkor.

Skriv ett namn och visningsnamn.
För Dokument med användningsvillkor bläddrar du till den PDF-fil som du har skapat och väljer den.
Välj språk för dokumentet med användningsvillkor.
Ange Kräv att användarna expanderar användningsvillkoren som På.
Under Villkorsstyrd åtkomst, i listan Tvinga med mallar för princip för villkorsstyrd åtkomst, väljer du Skapa princip för villkorsstyrd åtkomst senare.
Klicka på Skapa.
När du har skapat användningsvillkoren är nästa steg att skapa en princip för villkorsstyrd åtkomst som visar användningsvillkoren för gästanvändare.
Skapa princip för villkorsstyrd åtkomst
- Gå till Principer för villkorstyrd åtkomst i Azure.
- På bladet för Villkorsstyrd åtkomst | Principer klickar du på Ny princip.
- Skriv ett namn i rutan Namn.
- Under Tilldelningar klickar du på Användare och grupper.
- I bladet Användare och grupper markerar du Välj användare och grupper, markerar kryssrutan Alla gäster och externa användare.
- Under Tilldelningar klickar du på Molnappar eller åtgärder.
- På fliken Inkludera väljer du Välj appar och klickar sedan på Välj.
- På bladet Välj väljer du Microsoft Teams, Office 365 SharePoint Online och Outlook Groups och klickar sedan på Välj.
- Under Åtkomstkontroller klickar du på Bevilja.
- På bladet Bevilja väljer du Användningsvillkor för gäster och klickar sedan på Välj.
- På bladet Nytt, under Aktivera princip, klickar du på På och sedan på Skapa.
Första gången en gästanvändare försöker komma åt innehåll, ett team eller en webbplats i din organisation måste de acceptera användningsvillkoren.
Anteckning
Användningen av villkorstyrd åtkomst kräver en Azure Active Directory Premium P1-licens. Mer information finns i Vad är villkorsstyrd åtkomst.
Mer information
Användningsvillkor för Azure Active Directory
Konfigurera granskning av gäståtkomst
Med åtkomstgranskningar i Azure AD kan du automatisera en återkommande granskning av användaråtkomst till olika team och grupper. Genom att begära åtkomstgranskning specifikt för gäster kan du bidra till att säkerställa att gästanvändare inte behåller åtkomsten till organisationens känsliga information under längre tid än nödvändigt.
Så här konfigurerar du en granskning av gäståtkomst
På sidan Identitetsstyrning klickar du på Åtkomstgranskningar i den vänstra menyn.
Klicka på Ny åtkomstgranskning.
Välj alternativet Team + Grupper.
Välj alternativet Alla Microsoft 365-grupper med gästanvändare. Klicka på Välj grupp(er) att utesluta om du vill utesluta några grupper.
Välj alternativet endast gästanvändare och klicka sedan på Nästa: Granskningar.
Under Välj granskare välj Gruppägare.
Klicka på Välj reservgranskare, välj vem som ska vara reservgranskare och klicka sedan på Välj.
Under Ange upprepning av granskning välj Kvartals.
Välj ett startdatum och varaktighet.
För Avsluta väljer du Aldrig och klickar sedan på Nästa: Inställningar.

På fliken Inställningar granska inställningarna för efterlevnad av dina affärsregler.

Klicka Nästa: Granska + Skapa.
Skriv ett Granskningsnamn granska inställningarna.
Klicka på Skapa.
Det är viktigt att du noterar att gäster kan beviljas åtkomst till team eller grupper, eller till enskilda filer och mappar. När de får åtkomst till filer och mappar kanske gästerna inte läggs till i någon särskild grupp. Om du vill göra åtkomstgranskningar för gästanvändare som inte tillhör ett team eller en grupp kan du skapa en dynamisk grupp i Azure AD för alla gäster och sedan skapa en åtkomstgranskning för den gruppen. Webbplatsägaren kan även hantera förfallodatum för gäster för webbplatsen
Mer information
Hantera gäståtkomst med åtkomstgranskningar i Azure AD
Skapa en åtkomstgranskning av grupper eller program i åtkomstgranskningar i Azure AD
Konfigurera endast webbåtkomst för gästanvändare
Du kan minska din attackyta och underlätta administrationen genom att kräva att gästanvändarna får åtkomst till dina team, webbplatser och filer bara med hjälp av en webbläsare.
För Microsoft 365 Grupper och Team gör du det med en princip för villkorsstyrd åtkomst i Azure AD. För SharePoint är detta konfigurerat i administrationscentret för SharePoint. (Du kan också använda känslighetsetiketter för att tillåta begränsad endast webb-åtkomst för gäster.)
Begränsa gäster till endast webbåtkomst för Grupper och Teams:
På bladet för Villkorsstyrd åtkomst – Principer klickar du på Ny princip.
Skriv ett namn i rutan Namn.
Under Tilldelningar klickar du på Användare och grupper.
I bladet Användare och grupper markerar du Välj användare och grupper, markerar kryssrutan Alla gäster och externa användare.
Under Tilldelningar klickar du på Molnappar eller åtgärder.
På fliken Inkludera väljer du Välj appar och klickar sedan på Välj.
På bladet Välj väljer du Microsoft Teams och Outlook Groups och klickar sedan på Välj.
Under Tilldelningar klickar du på Villkor.
På bladet Villkor klickar du på Klientappar.
På bladet Klientappar klickar du på Ja för Konfigurera och väljer sedan inställningarna för Mobila appar och skrivbordsklienter, Exchange ActiveSync-klienter och Andra klienter. Avmarkera kryssrutan för Webbläsare.

Klicka på Klar.
Under Åtkomstkontroller klickar du på Bevilja.
På bladet Bevilja väljer du Kräv att enheten är markerad som kompatibel och Kräv Hybrid Azure AD-kopplad enhet.
Under För flera kontroller väljer du Begär en av de valda kontrollerna och klickar sedan på Välj.
På bladet Nytt, under Aktivera princip, klickar du på På och sedan på Skapa.
Begränsa gäståtkomsten till endast SharePoint
- I Administrationscenter för SharePoint visar du Principer och klickar på Behörighets kontroll.
- Klicka på Ohanterade enheter.
- Markera kryssrutan Tillåt begränsad åtkomst bara för webbplatser, och klicka sedan på Spara.
Observera att den här inställningen i administrationscentret för SharePoint skapar en princip med stöd för villkorstyrd åtkomst i Azure AD.
Konfigurera en sessionstidsgräns för gästanvändare
Genom att kräva att gästanvändare ska autentiseras med jämna mellanrum kan du minska risken för att okända användare får åtkomst till din organisations innehåll om en gästanvändares enhet inte är skyddad. Du kan konfigurera en princip för villkorsstyrd åtkomst med sessionstidsgräns för gästanvändare i Azure AD.
Konfigurera en princip för sessionstidsgräns för gäster
- Gå till Principer för villkorstyrd åtkomst i Azure.
- På bladet för Villkorsstyrd åtkomst – Principer klickar du på Ny princip.
- I rutan Namn skriver du Sessionstidsgräns för gäst.
- Under Tilldelningar klickar du på Användare och grupper.
- I bladet Användare och grupper markerar du Välj användare och grupper, markerar kryssrutan Alla gäster och externa användare.
- Under Tilldelningar klickar du på Molnappar eller åtgärder.
- På fliken Inkludera väljer du Välj appar och klickar sedan på Välj.
- På bladet Välj väljer du Microsoft Teams, Office 365 SharePoint Online och Outlook Groups och klickar sedan på Välj.
- Under Åtkomstkontroller klickar du på Session.
- På bladet Session väljer du Inloggningsfrekvens.
- Välj 1 och dagar för tidsperiod och klicka sedan på Välj.
- På bladet Nytt, under Aktivera princip, klickar du på På och sedan på Skapa.
Skapa en typ av känslig information för ett strikt känsligt projekt.
Olika typer av känsliga uppgifter är fördefinierade strängar som kan användas i policyarbetsflöden för att upprätthålla efterlevnadskraven. Microsoft 365 Efterlevnadscenter levereras med över 100 känsliga informationstyper, inklusive körkortsnummer, kreditkortsnummer, bankkontonummer osv.
Du kan skapa anpassade typer av känslig information som hjälper dig att hantera innehåll som är specifikt för din organisation. I det här exemplet skapar vi en anpassad typ av känslig information för ett strikt känsligt projekt. Vi kan sedan använda den här typen av känslig information för att automatiskt tillämpa en kanslighetsetikett.
Skapa en typ av känslig information
- I Microsoft 365 Efterlevnadscenter går du till vänster navigeringsfält och expanderar Klassificering och klickar sedan på Typer av känslig information.
- Klicka på Skapa.
- För Namn och Beskrivning skriver du Projekt Saturnus och klickar sedan på Nästa.
- Klicka på Lägg till ett element.
- I listan Identifiera innehåll som innehåller väljer du Nyckelord och skriver Projekt Saturnus i rutan sökordsrutan.
- Klicka på Nästa och sedan på Slutför.
- Om du tillfrågas om du vill testa typen av känslig information klickar du på Nej.
Mer information
Vanliga typer av känslig information
Skapa en princip för automatisk etikettmärkning för att tilldela en känslighetsetikett baserat på en typ av känslig information
Om du använder känslighetsetiketter i din organisation kan du automatiskt använda en etikett på filer som innehåller definierade typer av känsliga uppgifter.
Skapa en princip för automatisk etikettmärkning
- Öppna administrationscentret för Microsoft 365 Efterlevnad.
- I det vänstra navigeringsfältet klickar du på Informationsskydd.
- I fliken Automatisk etikettmärkning klickar du på Skapa princip för automatisk etikettmärkning.
- På sidan väljer du den information som du vill att etiketten ska tillämpas på väljer du Anpassad och klickar på Nästa.
- Skriv ett namn och en beskrivning för principen och klicka på Nästa.
- På sidan Välj platser där du vill använda etikett aktiverar du SharePoint-webbplatser och klickar på Välj webbplatser.
- Lägg till URL: erna för de webbplatser där du vill aktivera Automatisk etikettmärkning och klickar på Klar.
- Klicka på Nästa.
- Välj Vanliga regler på sidan Konfigurera vanliga eller avancerade regler och klicka på Nästa.
- På sidan Definiera regler för innehåll på alla platser klickar du på Ny regel.
- Ge regeln ett namn på sidan Ny regel klicka på Lägg till villkor och klicka sedan på Innehållet har typer av känslig information.
- Klicka på Lägg till, klicka på Typer av känslig information, välj vilka typer av känslig information du vill använda, klicka på Lägg till och klicka sedan på Spara.
- Klicka på Nästa.
- Klicka på Välj en etikett, välj etiketten som du vill använda och klicka sedan Lägg till.
- Klicka på Nästa.
- Lämna principen i simuleringsläge och klicka på Nästa.
- Klicka på Skapa princip och välj sedan Klar.
När principen har skapats och en användare skriver ”Projekt Saturnus” i ett dokument, kommer principen för automatisk etikettmärkning att automatiskt tillämpa den specificerade etiketten när filen söks igenom.
Mer information
Använda en känslighetsetikett för innehåll automatiskt
Skapa en DLP-princip för att ta bort gäståtkomst till strikt känsliga filer
Du kan använda Dataförlustskydd (DLP) för att förhindra att oönskade gäster delar känsligt innehåll. Dataförlustskydd kan utföra åtgärder baserat på en fils känslighetsetikett och ta bort gäståtkomst.
Skapa en DLP-regel
I Microsoft 365 Efterlevnadscenter, gå till sidan Dataförlustskydd.
Klicka på Skapa princip.
Välj Anpassad och klicka på Nästa.
Skriv ett namn för principen och klicka på Nästa.
På Platser för att tillämpa principen Stäng av alla inställningar utom SharePoint-webbplatser och OneDrive-konton och klicka sedan på Nästa.
På sidan Definiera principinställningar klickar du på Nästa.
På sidan Anpassa avancerade DLP-regler klickar du på Skapa regel och anger ett namn på regeln.
Under Villkor klickar du på Lägg till villkor och väljer Innehållet har.
Om du klickar på Lägg till väljer du Känslighetsetiketter väljer de etiketter du vill använda och klickar på Lägg till.

Under Åtgärder klickar du på Lägg till en åtgärd och väljer Begränsa åtkomst eller kryptera innehållet i Microsoft 365 platser.
Välj kryssrutan Begränsa åtkomst eller kryptera innehållet på Microsoft 365 platser och välj sedan alternativet Bara personer utanför din organisation.

Klicka på Spara och sedan på Nästa.
Välj testalternativ och klicka på Nästa.
Klicka på Skicka och klicka sedan på Klart.
Det är viktigt att tänka på att principen inte tar bort åtkomst om gästen är medlem på webbplatsen eller i teamet som helhet. Om du planerar att ha strikt känsliga dokument på en webbplats eller i ett team med gästmedlemmar, kan du överväga att använda privata kanaler i Teams och bara tillåta medlemmarna i din organisation i de privata kanalerna.
Fler alternativ
Det finns några fler alternativ i Microsoft 365 och Azure Active Directory som kan hjälpa till att skydda gästdelningsmiljön.
- Du kan skapa en lista över tillåtna eller nekade delningsdomäner för att begränsa vilka användarna kan dela med. Mer information finns i Begränsa delning av SharePoint- och OneDrive-innehåll efter domän och Tillåta eller blockera inbjudningar för B2B-användare från specifika organisationer.
- Du kan begränsa vilka andra Azure Active Directory-klientorganisationer som användarna kan ansluta till. Mer information finns i Använda klientorganisationsbegränsningar för att hantera åtkomst till SaaS-molnprogram.
- Du kan skapa en hanterad miljö där partner kan hjälpa dig att hantera gästkonton. Mer information finns i Skapa ett B2B-extranät med hanterade gäster.
Se även
Begränsa oavsiktlig exponering för filer när de delas med gäster
Metodtips för att dela filer och mappar med oautentiserade användare