管理 Microsoft 365 组、Teams 和 SharePoint 中的访问

  • 项目

有许多控件可用于控制人员访问组、团队和 SharePoint 中的资源的方式。 查看这些选项,并考虑它们如何映射到业务需求、数据的敏感性以及用户需要协作的人员范围。

下表提供了 Microsoft 365 中可用的访问控制的快速参考。 以下各节提供了更多信息。

类别 说明 参考
成员身份
基于规则的动态组成员身份 使用Microsoft Entra ID 创建或更新动态组
控制谁可以共享文件、文件夹和网站。 设置和管理访问请求
条件访问
多重身份验证 Microsoft Entra多重身份验证
根据组、团队或站点敏感度控制设备访问。 使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容
限制非托管设备的站点访问。 控制来自非托管设备的 SharePoint 访问
基于位置控制站点访问 根据网络位置控制对 SharePoint 和 OneDrive 数据的访问
当用户访问 SharePoint 网站时,强制实施更严格的访问条件。 SharePoint 网站和 OneDrive 的条件访问策略
来宾访问权限
允许或阻止来自指定域的 SharePoint 共享。 按域限制 SharePoint 和 OneDrive 内容的共享
允许或阻止来自指定域的团队或组成员身份。 允许或阻止特定组织向 B2B 用户发出邀请
阻止匿名共享。 关闭“任何人”链接
控制匿名访问链接的权限。 为任何人链接设置链接权限
控制匿名共享链接的过期时间。 设置“任何人”链接的到期日期
控制默认情况下向用户显示的共享链接的类型。 更改网站的默认链接类型
将外部共享限制为特定人员。 将外部共享限制为指定的安全组
根据信息敏感度控制来宾对组、团队或网站的访问。 使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容
关闭共享选项。 限制 Microsoft 365 中的共享
用户管理
定期评审团队和组成员身份。 什么是Microsoft Entra访问评审?
自动管理组和团队的访问。 什么是Microsoft Entra权利管理?
将 OneDrive 访问权限限制为特定安全组的成员。 按安全组限制 OneDrive 访问
将团队或网站访问权限限制为组的成员。 将 SharePoint 网站访问权限限制为组成员
信息分类
对组和团队进行分类 使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和 SharePoint 网站中的内容
自动对敏感内容进行分类 将敏感度标签自动应用于内容
加密敏感内容 通过敏感度标签应用加密,从而限制对内容的访问
用户细分
限制用户段之间的通信 信息屏障
数据驻留
在特定地理位置存储数据 Microsoft 365 多地理位置

成员身份

可以根据某些条件(例如部门)动态管理组或团队的成员身份。 在这种情况下,成员和所有者无法邀请人员加入团队。 动态组使用Microsoft Entra ID 中定义的元数据来控制谁是组的成员。 请确保使用的元数据完整且最新,因为不正确的元数据可能会导致用户被排除在组外或添加不正确的用户。

SharePoint 网站提供除组或团队成员身份外添加所有者、成员和访问者的功能。 根据你的要求,你可能想要限制谁可以邀请用户加入网站。 此外,根据给定网站中信息的敏感度,你可能想要限制谁可以共享文件和文件夹。 这些限制由团队、组或网站所有者配置:

条件访问

使用 Microsoft 365,你可以要求对组织内外的人员进行多重身份验证。 对于提示用户进行第二个身份验证因素的情况,有许多选项。 强烈建议为组织部署多重身份验证:

如果某些组和团队中有敏感信息,则可以根据组或团队的敏感度标签强制实施设备管理策略。 你可以完全阻止来自非托管设备的访问,或允许有限的仅限 Web 的访问:

在 SharePoint 中,可以限制从指定网络位置访问站点。

其他资源:

来宾访问权限

可以根据来宾电子邮件地址的域限制来宾。 SharePoint 提供组织范围和特定于站点的域限制设置。 组和 Teams 使用Microsoft Entra ID 中的域允许列表或阻止列表。 请务必配置这两个设置,以避免不必要的共享,并确保一致的用户体验:

Microsoft 365 允许使用 任何人 共享链接匿名共享文件和文件夹。 任何人都可以 转发链接,拥有链接的任何人都可以访问共享项。 根据数据的敏感性,请考虑控制 任何人 链接的使用方式-包括完全关闭链接,将链接权限限制为只读,或为它们设置到期时间:

共享文件或文件夹时,用户有多种链接类型可供选择。 若要降低意外不当共享的风险,可以更改在用户共享时显示的默认链接类型。 例如,将默认值从“任何人”链接(允许匿名访问)更改为组织中人员链接可以降低意外外部共享敏感信息的风险:

如果你的组织具有需要与来宾共享的敏感数据,但你担心不适当的共享,则可以将文件和文件夹的外部共享限制为指定安全组的成员。 通过这种方式,可以将外部共享限制为特定的一组人员,或者要求用户在将适当的外部共享添加到安全组之前进行相应的外部共享培训:

组和 Teams 具有允许或拒绝来宾访问的组织级别设置。 虽然可以使用 Microsoft PowerShell 限制对特定团队或组的来宾访问,但我们建议通过敏感度标签执行此操作。 使用敏感度标签,可以根据应用的标签自动允许或拒绝来宾访问:

在经常邀请来宾加入组和团队的环境中,请考虑设置定期计划的来宾访问评审。 系统可能会提示所有者查看其组和团队中的来宾,并批准或拒绝访问权限。

Microsoft 365 提供了许多不同的信息共享方法。 如果你有敏感信息,并且想要限制信息的共享方式,请查看用于限制共享的选项:

其他资源:

用户管理

随着组织中的组和团队的发展,一个好的做法是定期评审团队和组成员身份。 对于成员身份不断变化的团队和组、包含敏感信息的团队和组或包含来宾的团队和组,这可能特别有用。 请考虑为以下团队和组设置访问评审:

许多组织与其他组织或与其进行深度协作的主要供应商建立了业务合作关系。 在这些方案中,管理用户和访问资源可能具有挑战性。 请考虑自动执行某些用户管理任务,甚至将其中一些任务转换为合作伙伴组织:

Teams 中的专用频道允许在部分团队成员之间进行限定范围的对话和文件共享。 根据具体的业务需求,你可能希望允许或阻止此功能。

共享频道允许邀请团队外部或组织外部的人员。 根据特定的业务需求和外部共享策略,你可能希望允许或阻止此功能。

OneDrive 为用户提供了一种简单的方法来存储和共享他们正在处理的内容。 根据业务需求,你可能希望将对此内容的访问限制为全职公司员工或公司内的其他组。 如果是这样,可以将 OneDrive 内容的访问权限限制为安全组的成员。

对于一些更敏感的团队或网站,你可能希望将团队或网站内容的访问权限限制为团队成员或安全组的成员。

其他资源:

信息分类

可以使用敏感度标签来管理来宾访问、组和团队隐私,以及组和团队的非托管设备的访问权限。 当用户应用标签时,这些设置会自动按照标签设置的指定进行配置。

可以将 Microsoft 365 配置为根据指定的条件自动将敏感度标签应用于文件和电子邮件,包括检测敏感信息类型或使用可训练分类器匹配的模式。

可以使用敏感度标签来加密文件,仅允许具有权限的文件解密和读取文件。

其他资源:

用户细分

借助信息屏障,你可以对数据和用户进行分段,以限制组之间不需要的通信和协作,并避免组织中的利益冲突。 信息屏障允许你创建策略,以允许或阻止组织内各组人员之间的文件协作、聊天、通话或会议邀请。

数据驻留

借助 Microsoft 365 多地理位置,可以在你选择满足数据驻留要求的地理位置预配和存储静态数据。 在多地理位置环境中,Microsoft 365 租户由一个中心位置 (Microsoft 365 订阅最初预配) ,以及一个或多个可以存储数据的附属位置。

协作治理规划建议

创建协作治理计划

Microsoft Teams 中的安全性和合规性

在 SharePoint 中管理共享设置

配置具有三层保护的 Teams