Styra åtkomst i Microsoft 365-grupper, Teams och SharePointGoverning access in Microsoft 365 groups, Teams, and SharePoint

Det finns många kontroller som gör att du kan styra hur personer får åtkomst till resurser i grupper, team och SharePoint.There are many controls that enable you to govern how people access resources in groups, teams, and SharePoint. Gå igenom de här alternativen och fundera på hur de kan mappa till dina affärsbehov, dina datas känslighet och vilka personer som användarna behöver samarbeta med.Review these options and consider how they map to your business needs, the sensitivity of your data, and the scope of people that your users need to collaborate with.

I följande tabell finns en snabbreferens för de åtkomstkontroller som är tillgängliga i Microsoft 365.The following table provides a quick reference for the access controls available in Microsoft 365. Ytterligare information ges i följande avsnitt.Further information is provided in the following sections.

KategoriCategory BeskrivningDescription ReferensReference
MedlemskapMembership
Identifiering av privata teamDiscovery of private teams Hantera identifiering av privata team i Microsoft TeamsManage discovery of private teams in Microsoft Teams
Dynamiskt gruppmedlemskap baserat på reglerDynamic group membership based on rules Skapa eller uppdatera en dynamisk grupp i Azure Active DirectoryCreate or update a dynamic group in Azure Active Directory
Styr vem som kan dela filer, mappar och webbplatser.Control who can share files, folders, and sites. Konfigurera och hantera åtkomstförfrågningarSet up and manage access requests
Villkorlig åtkomstConditional access
MultifaktorautentiseringMulti-Factor Authentication Azure AD Multi-Factor AuthenticationAzure AD Multi-Factor Authentication
Styr enhetsåtkomsten baserat på gruppens, gruppens eller webbplatsens känslighet.Control device access based on group, team, or site sensitivity. Använda känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatserUse sensitivity labels to protect content in Microsoft Teams, Microsoft 365 groups, and SharePoint sites
Begränsa webbplatsåtkomsten för ohanterade enheter.Limit site access for unmanaged devices. Kontrollera SharePoint-åtkomst från ohanterade enheterControl SharePoint access from unmanaged devices
Kontrollera webbplatsåtkomst baserat på platsControl site access based on location Hantera åtkomst till SharePoint och OneDrive data baserat på nätverksplatsControl access to SharePoint and OneDrive data based on network location
GäståtkomstGuest access
Tillåt eller blockera SharePoint-delning från angivna domäner.Allow or block SharePoint sharing from specified domains. Begränsa delning av SharePoint- och OneDrive-innehåll efter domänRestrict sharing of SharePoint and OneDrive content by domain
Tillåta eller blockera team- eller gruppmedlemskap från angivna domäner.Allow or block team or group membership from specified domains. Tillåta eller blockera inbjudningar till B2B-användare från specifika organisationerAllow or block invitations to B2B users from specific organizations
Förhindra anonym delning.Prevent anonymous sharing. Inaktivera Alla-länkarTurn off Anyone links
Kontrollera behörigheterna för anonyma åtkomstlänkar.Control the permissions for anonymous access links. Ange länkbehörigheter för länkar för allaSet link permissions for Anyone links
Kontrollera förfallotiden för anonyma delningslänkar.Control the expiration of anonymous sharing links. Ange ett utgångsdatum för Alla-länkarSet an expiration date for Anyone links
Styr delningslänken som visas för användarna som standard.Control the type of sharing link shown to users by default. Ändra standardlänktyp för en webbplatsChange the default link type for a site
Begränsa extern delning till specifika personer.Limit external sharing to specific people. Begränsa extern delning till angivna säkerhetsgrupperLimit external sharing to specified security groups
Kontrollera gäståtkomst till en grupp, grupp eller webbplats baserat på informationskänslighet.Control guest access to a group, team, or site based on information sensitivity. Använda känslighetsetiketter för att skydda innehåll i Microsoft Teams, Microsoft 365-grupper och SharePoint-webbplatserUse sensitivity labels to protect content in Microsoft Teams, Microsoft 365 groups, and SharePoint sites
Inaktivera delningsalternativ.Turn off sharing options. Begränsa delning i Microsoft 365Limit sharing in Microsoft 365
AnvändarhanteringUser management
Granska grupp- och gruppmedlemskap regelbundet.Review team and group membership on a regular basis. Vad är azure AD-åtkomstgranskningar?What are Azure AD access reviews?
Automatisera åtkomsthanteringen för grupper och team.Automate access management to groups and teams. Vad är hantering av Azure AD-berättigande?What is Azure AD entitlement management?
Tillåta eller blockera personer från att skapa privata kanaler i Teams.Allow or block people from creating private channels in Teams. Hantera livscykeln för privata kanaler i Microsoft TeamsManage the life cycle of private channels in Microsoft Teams

MedlemskapMembership

Medlemskap i team och grupper styrs av ägare.Membership of teams and groups is controlled by owners. Medlemmar kan bjuda in andra, men inbjudningarna skickas till ägare för godkännande.Members can invite others, but the invitations are sent to owners for approval. Offentliga team och grupper kan upptäckas av alla i organisationen, men du kan styra om privata team och grupper ska kunna upptäckas:While public teams and groups are discoverable by anyone in the organization, you can control whether private teams and groups are discoverable:

Du kan hantera medlemskap i en grupp eller ett team dynamiskt baserat på vissa villkor, till exempel avdelning.You can manage membership of a group or team dynamically based on some criteria, such as department. I det här fallet kan medlemmar och ägare inte bjuda in personer till teamet.In this case, members and owners cannot invite people to the team. Dynamiska grupper använder metadata som du definierar i Azure Active Directory för att styra vem som är medlem i gruppen.Dynamic groups uses metadata that you define in Azure Active Directory to control who is a member of the group. Se till att de metadata som du använder är fullständiga och uppdaterade eftersom felaktiga metadata kan leda till att användare lämnas utanför grupper eller att felaktiga användare läggs till.Be sure the metadata that you're using is complete and up to date as incorrect metadata can lead to users being left out of groups or incorrect users being added.

SharePoint-webbplatser ger möjlighet att lägga till ägare, medlemmar och besökare utanför grupp- eller teammedlemskap.SharePoint sites provide the ability to add owners, members, and visitors apart from group or team membership. Beroende på dina behov kan du begränsa vem som kan bjuda in personer till webbplatsen.Depending on your requirements, you may want to restrict who can invite people to the site. Beroende på hur känslig informationen på en viss webbplats är kan du dessutom begränsa vem som kan dela filer och mappar.Also, depending on the sensitivity of the information in a given site, you may want to restrict who can share files and folder. Dessa begränsningar konfigureras av gruppen, gruppen eller webbplatsägaren:These restrictions are configured by the team, group, or site owner:

Villkorlig åtkomstConditional access

Med Microsoft 365 kan du kräva multifaktorautentisering för både personer inom och utanför organisationen.With Microsoft 365, you can require multi-factor authentication for both people inside and outside your organization. Det finns många alternativ för situationen när personer uppmanas att ange en andra faktor för autentisering.There are many options for the circumstances when people are prompted for a second factor of authentication. Vi rekommenderar att du distribuerar multifaktorautentisering för organisationen:We highly recommend that you deploy multi-factor authentication for your organization:

Om du har känslig information i vissa grupper och team kan du tillämpa principer för enhetshantering baserat på en grupps eller gruppens känslighetsetikett.If you have sensitive information in some of your groups and teams, you can enforce device management policies based on a group or team's sensitivity label. Du kan blockera åtkomst helt från ohanterade enheter eller tillåta begränsad, endast webbåtkomst:You can block access entirely from unmanaged devices, or allow limited, web only access:

I SharePoint kan du begränsa åtkomsten till webbplatser från angivna nätverksplatser.In SharePoint, you can restrict access to sites from specified network locations.

Fler resurser:Additional resources:

GäståtkomstGuest access

Du kan begränsa gäster baserat på domänen för deras e-postadress.You can restrict guests based on the domain of their email address. SharePoint erbjuder inställningar för organisationsomfattande och webbplatsspecifika domänbegränsningar.SharePoint offers organization-wide and site-specific domain restriction settings. Grupper och Teams använder listorna tillåt och nekade domäner i Azure AD.Groups and Teams use the domain allow and deny lists in Azure AD. Se till att konfigurera båda inställningarna för att undvika oönskad delning och säkerställa en enhetlig användarupplevelse:Be sure to configure both settings to avoid unwanted sharing and ensure a consistent user experience:

Microsoft 365 tillåter anonym delning av filer och mappar med hjälp av Alla som delar länkar.Microsoft 365 allows anonymous sharing of files and folders by using Anyone sharing links. Alla länkar kan vidarebefordras och alla som har länken kan komma åt det delade objektet.Anyone links can be forwarded and anyone with the link can access the shared item. Beroende på dina datas känslighet kan du överväga att styra hur Alla-länkar används – inklusive att inaktivera dem helt, begränsa länkbehörigheter till skrivskyddat eller ange en förfallotid för dem:Depending on the sensitivity of your data, consider governing how Anyone links are used - including turning them off entirely, restricting link permissions to read-only, or setting an expiration time for them:

När du delar filer eller mappar har användarna flera länktyper att välja bland.When sharing files or folders, users have several link types to choose from. Du kan minska risken för olämplig delning genom att ändra standardlänktypen som visas för användare när de delar.To reduce the risk of accidental inappropriate sharing, you can change the default link type presented to users when they share. Om du till exempel ändrar standardinställningen från Alla-länkar – som tillåter anonym åtkomst – till Personer i din organisation kan det minska risken för oönskad extern delning av känslig information: For example, changing the default from Anyone links - which allow anonymous access - to People in your organization links can reduce the risk of unwanted external sharing of sensitive information:

Om din organisation har känsliga data som du behöver dela med gäster, men du är orolig för olämplig delning, kan du begränsa extern delning av filer och mappar till medlemmar i angivna säkerhetsgrupper.If your organization has sensitive data that you need to share with guests, but you're concerned about inappropriate sharing, you can limit external sharing of files and folders to the members of specified security groups. På så sätt kan du begränsa delning externt till en viss grupp av personer, eller kräva att dina användare utbildar sig om lämplig extern delning innan de lägger till dem i säkerhetsgruppen:In this way, you can restrict sharing externally to a specific group of people, or require your users to take training around appropriate external sharing before adding them to the security group:

Grupper och Team har inställningar på organisationsnivå som tillåter eller nekar gäståtkomst.Groups and Teams have organization-level settings that allow or deny guest access. Du kan begränsa gäståtkomst till vissa team eller grupper genom att använda Microsoft PowerShell,men vi rekommenderar att du gör det med hjälp av en känslighetsetikett.While you can restrict guest access to specific teams or groups by using Microsoft PowerShell, we recommend doing this by means of a sensitivity label. Med känslighetsetiketter kan du automatiskt tillåta eller neka gäståtkomst baserat på den etikett som används:With sensitivity labels you can automatically allow or deny guest access based on the label applied:

I en miljö där du ofta bjuder in gäster till grupper och team kan du överväga att konfigurera regelbundna granskningar av gäståtkomst.In an environment where you frequently invite guests to groups and teams, consider setting up regularly scheduled guest access reviews. Ägare kan uppmanas att granska gäster i sina grupper och team och godkänna eller neka åtkomst.Owners can be prompted to review guests in their groups and teams and approve or deny access.

I Microsoft 365 finns många olika sätt att dela information.Microsoft 365 offers many different methods of sharing information. Om du har känslig information och vill begränsa hur den delas kan du läsa alternativen för att begränsa delning:If you have sensitive information and you want to restrict how it's shared, review the options for limiting sharing:

Fler resurser:Additional resources:

AnvändarhanteringUser management

När grupper och team utvecklas i organisationen är det bra att regelbundet granska team- och gruppmedlemskap.As groups and teams evolve in your organization, a good practice is to review team and group membership on a regular basis. Det kan vara särskilt användbart för grupper och grupper med ett annat medlemskap, de som innehåller känslig information eller grupper som innehåller gäster.This may be particularly useful for teams and groups with a changing membership, those that contain sensitive information, or those that include guests. Överväg att skapa åtkomstgranskningar för dessa team och grupper:Consider setting up access reviews for these teams and groups:

Många organisationer har företagssamarbeten med andra organisationer eller viktiga leverantörer som de samarbetar på djupet med.Many organizations have business partnerships with other organizations or key vendors with whom they collaborate in depth. Användarhantering och åtkomst till resurser kan vara svåra att hantera i de här scenarierna.User management and access to resources can be challenging to manage in these scenarios. Du kan även automatisera vissa användarhanteringsuppgifter och även lägga över en del av dem till din partnerorganisation:Consider automating some of the user management tasks and even transitioning some of them to your partner organization:

Med privata kanaler i Teams kan du tillåta begränsade konversationer och fildelning mellan en delmängd av teammedlemmarna.Private channels in Teams allow for scoped conversations and file sharing between a subset of team members. Beroende på dina specifika affärsbehov kanske du vill tillåta eller blockera den här funktionen.Depending on your specific business needs, you may want to allow or block this capability.

Fler resurser:Additional resources:

Planering av samarbetsstyrning steg för stegCollaboration governance planning step-by-step

Skapa din plan för samarbetesstyrningCreate your collaboration governance plan

Säkerhet och efterlevnad för Microsoft TeamsSecurity and compliance in Microsoft Teams

Hantera delningsinställningar i SharePointManage sharing settings in SharePoint

Skapa och hantera ett externt nätverk i YammerCreate and manage an external network in Yammer

Konfigurera Teams med tre skyddsnivåerConfigure Teams with three tiers of protection