使用 Microsoft 365 在 SharePoint 中进行文件协作

使用 Microsoft 365 服务,可为用户创建安全高效的文件协作环境。 SharePoint支持大部分功能,但文件协作功能Microsoft 365远不止传统的SharePoint网站。 Teams、OneDrive以及各种管理和安全选项在创建丰富的环境(用户可以轻松协作以及组织的敏感内容保持安全)方面起到一些作用。

在下面几节中,我们列出了您作为管理员在设置协作环境时应考虑的选项和决策:

  • 如何SharePoint协作服务与其他协作服务Microsoft 365,包括OneDrive、Microsoft 365组Teams。

  • 如何为用户创建直观且高效的协作环境。

  • 如何通过权限、数据分类、调控规则和监视管理访问来保护组织的数据。

这是更广泛的协作Microsoft 365的一部分:

建议下载 it 架构师Microsoft Teams中的 Microsoft 365 及相关生产力服务海报,并阅读本文时参考。 此海报详细说明了协作服务之间Microsoft 365如何相互关联和交互。

另请参阅文件保护Microsoft 365图表,大致了解用于保护数据的建议解决方案。

创建成功的协作体验

为文件协作选择的技术实现选项Microsoft 365似乎不一致的要求:

  • 保护知识产权

  • 启用自助服务

  • 创建流畅的用户体验

保护知识产权

本文稍后将讨论多个用于保护知识产权的选项。 其中包括限制可以与谁共享文件、根据敏感度标签应用管理策略以及管理用户用于访问内容的设备。

在考虑要选择的选项时,我们建议采用平衡的方法:

允许用户自由共享内容的配置可能会导致机密数据意外共享。 然而,难以使用或过于限制的用户体验可能会导致用户找到规避管理策略的替代协作选项,最终导致更大的风险。

通过结合使用功能(具体取决于数据的敏感度)可以创建易于使用的协作环境,并提供所需的安全性和审核控制。

启用自助服务

在 SharePoint Server 内部部署中,许多组织都选择了以 IT 为中心的模型,用户必须请求网站并提供业务理由。 这样做是为了防止网站乱乱,并围绕访问敏感数据应用管理策略。

在Microsoft 365中,我们建议用户根据需要Teams、Microsoft 365组SharePoint网站。 可以使用敏感度标签强制执行权限管理,利用可保护内容的安全功能,并使用过期和续订策略确保未使用的网站不会累积。

通过选择支持用户自助服务的选项,可将对 IT 员工的影响降至最低,同时为用户创建更轻松的体验。

创建流畅的用户体验

创建流畅的用户体验的关键是避免为用户造成他们无法理解或必须上报给技术支持的屏障。 例如,关闭网站的外部共享可能会导致用户混淆或沮丧;而将网站及其内容标记为机密,以及使用数据丢失防护策略提示和电子邮件在管理策略中向用户进行教育,则可能会导致用户获得更加流畅的体验。

SharePoint、Microsoft 365 组和Teams

在Microsoft 365,SharePoint与各种其他服务集成,以提供比本地解决方案(如 SharePoint Server)更丰富的体验。 这些集成会影响用户权限管理方式以及用户可以在协作方案中执行哪些操作。

通常情况下,SharePoint 权限是通过网站内的一系列权限组(所有者、成员、访问者等)进行管理的。 在SharePoint中Microsoft 365,每个SharePoint团队网站都是组Microsoft 365的一部分。 Microsoft 365组是一个与各种 Microsoft 365 服务(包括 SharePoint 网站、Planner 实例、邮箱、共享日历等)关联的单个权限组。 将所有者或成员添加到Microsoft 365组时,将给予他们访问 SharePoint 网站以及其他已连接服务的访问权限。

虽然您可以使用 SharePoint 组继续单独管理 SharePoint 网站权限,但我们建议通过将人员添加到关联的 SharePoint 组或将其从关联的 Microsoft 365 组中删除来管理 SharePoint 权限。 这提供了更简单的管理,并使用户能够访问他们可用于进行更好协作的一系列相关服务。

Microsoft Teams 通过将所有与 Microsoft 365 组相关的服务以及各种特定于 Teams 的服务集中到一个具有持续聊天功能的单一用户体验中,来提供一个协作中心。 Teams使用关联的Microsoft 365组来管理其权限。 在 Teams 体验内,用户可直接访问 SharePoint 和其他服务,而无需切换应用程序。 这提供了一个集中的协作空间,可通过单个位置管理权限。 对于您组织的协作方案,强烈建议Teams,而不是单独使用 SharePoint 服务。

有关 SharePoint 与 Teams 如何交互的详细信息,请参阅 SharePoint Online 和 OneDrive for Business 与 Microsoft Teams 如何交互

客户端应用程序中的协作

Office应用程序(如 Word、Excel 和 PowerPoint)提供各种协作功能,包括共同授权和 @mentions,并且还与敏感度标签和数据丢失防护集成 (如下) 。

我们强烈建议部署Microsoft 365 企业应用版。 Microsoft 365 企业应用版可为用户提供始终最新的体验,并按计划提供可控制的最新功能和更新。

有关部署部署Microsoft 365 企业应用版,请参阅部署指南Microsoft 365 企业应用版。

OneDrive库

尽管SharePoint为团队可以协作的共享文件提供共享库,但用户还有一个库中的单个OneDrive可以在其中存储他们拥有的文件。

当用户将文件添加到其个人库时,该文件不会与其他任何人共享。 但是,用户的个人库提供与用户相同的共享SharePoint,因此用户可以根据需要共享其各个库中的文件。

用户的个人库可以从 Teams,也可以从 OneDrive Web 界面和移动应用程序访问。

在运行 Windows 或 macOS 的设备上,用户可以安装 OneDrive 同步应用,以将文件从 OneDrive 和 SharePoint 同步到其本地磁盘。 这使他们可以脱机处理文件,还可以方便在本机应用程序 (如 Word 或 Excel) 中打开文件,而无需访问 Web 界面。

在协作方案中使用 OneDrive要考虑的两个主要决策是:

  • 是否要允许用户Microsoft 365组织外部人员共享自己的库中的文件?

  • 是否要以任何方式限制文件同步,例如仅限制托管设备?

这些设置在管理中心OneDrive可用

OneDrive是整个协作Microsoft 365的重要组成部分。 若要了解如何在组织中部署OneDrive,请参阅企业OneDrive指南

保护数据

成功协作解决方案的一大部分是确保组织的数据保持安全。 Microsoft 365提供了各种功能,可帮助你确保数据安全,同时为用户提供无缝协作体验。

为了帮助保护组织的信息,您可以:

  • 控制 共享 – 通过为适合网站信息类型的每个网站配置共享设置,您可以为用户创建协作空间,同时保护知识产权。

  • 分类和保护信息 – 通过对组织中信息的类型进行分类,您可以创建与旨在自由共享的信息相比,为机密信息提供更高安全级别的管理策略。

  • 管理设备 – 通过设备管理,你可以根据设备、位置和其他参数控制对信息的访问。

  • 监视 活动 – 通过监视 Teams 和 SharePoint 中发生的协作活动,您可以深入了解组织信息的使用方式。 还可以设置警报以标记可疑活动。

  • 抵御威胁– 通过使用策略检测 SharePoint、OneDrive 和 Teams 中的恶意文件,可帮助确保组织的数据和网络的安全。

下面将更详细地讨论每一项。 有许多选项可供选择。 根据组织的需要,可以选择可最好地平衡安全性和可用性的选项。 如果你属于高度管控行业或处理高度机密数据,你可能希望实施更多此类控制措施;而如果你的组织信息不敏感,你可能希望依赖基本共享设置和恶意文件警报。

控件共享

您为组织内部SharePoint和OneDrive配置共享设置可确定贵组织内外的用户可以与谁进行协作。 根据业务需求和数据敏感度,你可以:

  • 禁止与组织外部人员共享。

  • 要求组织外部人员进行身份验证。

  • 将共享限制为指定域。

您可以为整个组织或单独为每个网站配置这些设置。 有关详细信息,请参阅打开 或关闭共享 和启用 或关闭网站的共享

有关 与组织外人员共享 的其他指南,请参阅限制与来宾共享文件时意外暴露文件。

当用户共享文件和文件夹时,将创建一个可共享的链接,该链接具有对项目的权限。 主要链接类型有三种:

  • “任何人”链接向有此链接的任何人授予对项的访问权限。 使用“任何人”链接的人无需进行身份验证,且无法审核其访问权限。

    显示如何将任何人链接从用户传递到用户的关系图

    任何人 链接 是可转移的可撤销密钥。 它是可转移的,因为可以将它转发给其他人。 可撤销,因为通过删除链接,可以撤销通过链接获取它的所有人的访问权限。 它是机密的,因为它不能被猜测或推导出来。 获得访问权限的唯一方式是获取链接,而获取链接的唯一方式则是有人向你提供链接。

  • 组织中的人员 链接仅适用于 Microsoft 365 组织内部的人员。 (它们不适用于目录中的来宾,只适用于成员)。

    显示如何将我组织中人员的链接从用户传递到公司内部用户的关系图

    "任何人 "链接一样," 我的组织人员 "链接是可转移的可撤销密钥。 与"任何人" 链接不同,这些链接仅适用于组织内部Microsoft 365人员。 当有人打开 "我的组织人员"链接 时,他们需要以目录中的成员身份进行身份验证。 如果他们当前未登录,系统将提示他们登录。

  • “特定人员”链接只适用于用户在共享项时指定的人员。

    显示特定人员链接仅对指定人员工作原理的图表

    特定人员 链接是不可转移的可撤销密钥。 与 任何人**和组织中人员的链接 不同,如果特定人员链接由任何人打开,发件人指定的人员除外,则该链接将不起作用。

    特定 人员链接可用于与组织用户和组织外部人员共享。 在这两种情况下,都需要验证收件人是否是链接中指定的用户。

必须让用户了解这些共享链接如何工作,以及用户应该使用哪些链接来最好地维护数据的安全性。 向用户发送指向"共享OneDrive文件夹"和"共享SharePoint文件或文件夹"的链接,并包含有关组织共享信息的策略的信息。

使用"任何人"链接的 未经身份验证 的访问

任何人 链接是轻松与组织外部人员共享文件和文件夹的一种很好的方法。 不过,如果你要共享的是敏感信息,这可能不是最佳选择。

如果要求组织外部人员进行身份验证,用户将无法使用"任何人"链接,并且你将能够审核共享文件和文件夹上的来宾活动。

尽管 " 任何人"链接不需要组织外部人员进行身份验证,但您可以跟踪"任何人"链接的使用情况并根据需要撤销访问权限。 如果组织内部人员经常将文档通过电子邮件发送给组织外部人员,则"任何人"链接可能是比通过电子邮件发送附件更好的选择。

若要允许“任何人”链接,可以通过多种方式来确保更安全的共享体验。

可以将“任何人”链接限制为只读。 还可以设置过期时间限制,之后链接将停止工作。

另一个选项是配置默认向用户显示的不同链接类型。 这有助于将不当共享的机率降至最低。 例如,如果要允许"任何人"链接,但担心它们仅用于特定目的,可以将默认链接类型设置为"特定人员"链接或"组织人员"链接,而不是"任何人 " 链接。 然后,在共享文件或文件夹时,用户就必须显式选择“任何人”链接。

您还可以使用数据丢失防护来限制 对包含敏感信息 的文件的"任何人"链接访问。

"您组织人员"链接

组织人员链接 是一种在组织内部共享信息很好的方法。 由于“组织中的人员”链接适用于组织中的所有人,因此用户可以与不是团队成员或网站成员的人共享文件和文件夹。 通过链接,用户可以访问特定的文件或文件夹,并且可以在组织内部传递。 这允许与可能具有单独团队或网站的组(如设计、市场营销和支持组)的利益干系人轻松协作。

创建 "组织人员" 链接不会导致文件或文件夹显示在搜索中,或使每个人都直接访问文件或文件夹。 用户必须具有链接才能访问文件或文件夹。 此链接对来宾或组织外部的其他人不起作用。

特定人员 链接

特定人员 链接最适合用户希望限制对文件或文件夹的访问的情况。 该链接仅适用于指定人员,并且他们必须进行身份验证才能使用它。 如果已启用来宾共享策略,这些 (可以是内部链接或外部) 。

分类和保护信息

Microsoft 365 中的数据丢失防护提供了一种对团队、组、网站和文档进行分类的方法,并创建一系列条件、操作和例外来管理其使用和共享方式。

通过对信息进行分类并围绕信息创建管理规则,您可以创建一个协作环境,用户可以轻松地相互协作,而不会意外或有意不当共享敏感信息。

数据丢失防护策略到位后,对于给定网站的共享设置可能相对宽松,并依赖数据丢失防护来强制执行管理要求。 这提供了更友好的用户体验,并避免了用户可能尝试处理不必要的限制。

有关数据丢失防护的详细信息,请参阅 数据丢失防护概述

敏感度标签

敏感度标签提供了一种使用描述性标签对团队、组、网站和文档进行分类的方法,然后可以使用这些标签强制执行管理工作流。

使用敏感度标签可帮助用户安全地共享信息并维护管理策略,而无需用户成为这些策略的专家。

例如,您可以配置一个策略,要求Microsoft 365机密组是私有组而非公共组。 在这种情况下,创建组、团队或SharePoint用户只有在选择机密分类时才能看到"私人"选项。 有关将敏感度标签与团队、组和网站一同使用的信息,请参阅使用敏感度标签保护 Microsoft Teams、Microsoft 365 组和网站SharePoint内容

条件和操作

使用数据丢失保护条件和操作,您可以在满足给定条件时强制执行管理工作流。

示例包括:

  • 如果在文档中检测到客户信息,则用户无法与来宾共享该文档。

  • 如果文档包含机密项目的名称,则来宾无法打开该文档,即使该文档已与来宾共享。

Microsoft Cloud App Security提供其他细化条件、操作和警报,以帮助你保护内容。 其中包括在满足指定条件时删除用户权限或隔离用户的能力。

用户通知

用户通知提供了一种通过电子邮件或策略提示与用户通信的方式,即数据丢失防护检测到他们应了解的一些内容。 然后,用户可以根据情况决定最佳操作过程。 例如,如果用户在无意中尝试共享包含信用卡号的文档,系统会提示用户已找到信用卡号,并告知用户有关此情况的组织策略。

管理访问权限

Microsoft 365提供了各种调控功能,以帮助您为用户创建直观但安全的协作环境。

  • 使用设备管理,确保只有合规设备才能访问组织的信息。

  • 使用条件访问来确保仅从你信任的位置和应用访问机密数据。

  • 通过报告实时监视信息共享,以确保满足管理要求并确保敏感信息保持安全。

此外,可以使用Azure Active Directory访问评审来自动定期查看组和团队所有权及成员身份。

设备管理

通过设备管理,你可以采取其他步骤保护组织的信息。 你几乎可以管理你的用户可能拥有的任何设备 - 电脑、Mac、移动设备和 Linux 计算机。

示例包括:

  • 在允许访问设备之前,确保设备具有最新Microsoft 365

  • 防止将机密数据复制并粘贴到个人应用或非托管应用

  • 从托管设备擦除公司数据

考虑通过设备管理管理信息访问的选项时,请记住来宾可能拥有非托管设备。 对于已启用来宾共享的网站,请确保提供对非托管设备所需的访问权限,即使这只是通过电脑或 Mac 的 Web 访问。 Azure Active Directory条件访问 (下面讨论) 提供了一些选项来降低使用非托管设备的来宾的风险。 一些设置可以直接从 SharePoint。

Intune in Microsoft 365提供了详细的设备分析选项,还可以部署和管理单个应用,Office应用和OneDrive。 有关 Intune 和设备管理的详细信息,请参阅什么是Microsoft Intune?。

你可以从设备管理管理Microsoft 365配置设备管理

条件访问

Azure Active Directory条件访问提供了其他控件,以防止用户在有风险的情况下(如不受信任的位置或不是最新的设备)访问组织的资源。

示例包括:

  • 阻止来宾从有风险的位置登录

  • 要求移动设备进行多重身份验证

可以创建专用于来宾的访问策略,从而为最有可能拥有非托管设备的人缓解风险。

有关详细信息,请参阅什么是条件访问?。

使用警报进行实时监视

Microsoft Cloud App Security提供了一个广泛的策略基础结构,可用于监视你认为对组织数据有风险的活动。

示例包括:

  • 在外部共享机密文件时发出警报。

  • 当单个用户批量下载时发出警报。

  • 当外部共享文件在指定的一段时间未更新时发出警报。

云应用安全还可以监视异常行为,如异常大型上传或下载、异常位置访问或异常管理员活动。

通过配置 云应用安全 中的警报,可以更加自信地为用户提供开放共享体验。

可以在"警报"页面上云应用安全警报

有关该云应用安全的详细信息,请参阅Microsoft Cloud App Security概述

使用报告监视

网站中提供了各种报告Microsoft 365可帮助您监视网站使用情况、文档共享、治理合规性以及一系列其他事件。

若要了解如何查看有关网站使用情况SharePoint报告,请参阅Microsoft 365中心中的报告 - SharePoint网站使用情况

若要了解如何查看数据丢失防护报告,请参阅 查看数据丢失防护报告

若要了解如何查看数据云应用安全,请参阅生成数据管理报告

管理威胁

可以使用 ATP 保险箱 附件 (高级威胁防护Microsoft 365) 的一部分,防止用户将恶意文件上载到 OneDrive、SharePoint 或 Teams。

当 ATP 发现恶意文件时,该文件将被锁定,以便用户无法打开、移动或复制该文件。

锁定的文件包含在你可以监视的隔离项目列表中。 然后,您可以删除或释放该文件(如果适用)。

有关详细信息,请参阅适用于Microsoft 365、SharePoint、OneDrive和Microsoft Teams ATP。

从本地迁移文件

Microsoft 365在协作方案中比本地解决方案(如 SharePoint Server)具有更大的灵活性。 如果您在 SharePoint Server 上的文档库中或文件共享中具有文件,请了解如何将其迁移到Microsoft 365。 如果用户在本地或已知文件夹中Windows文件,还可以将其移动到OneDrive,以便增强协作功能。 了解已知文件夹移动

如果用户协作处理的内容位于 SharePoint Server 或文件共享中,我们建议您将其迁移到 Microsoft 365 以利用更广泛的协作功能。

作为迁移的一部分,可以使用 Azure 信息 保护扫描程序扫描和标记本地环境中敏感信息。 使用此信息,可以根据需要重新组织数据,然后再将数据迁移到 SharePoint。

创建安全的来宾共享环境

有关与身份未经验证用户共享文件和文件夹的最佳做法

了解 Microsoft 信息保护功能如何协同工作

如何处理外部共享Microsoft 365

教程:自动应用 Azure 信息保护分类标签

与用户和用户进行外部共享和协作的OneDrive SharePoint

使用 OneDrive、SharePoint 和 Microsoft Teams 保护云中的文件并Microsoft Teams