Управление доступом в группах Microsoft 365, Teams и SharePoint
Существует множество элементов управления, позволяющих управлять доступом пользователей к ресурсам в группах, командах и SharePoint. Просмотрите эти варианты и подумайте, как они соответствуют бизнес-потребностям, конфиденциальности ваших данных и область людей, с которыми пользователи должны сотрудничать.
В следующей таблице приведен краткий справочник по элементам управления доступом, доступным в Microsoft 365. Дополнительные сведения приведены в следующих разделах.
| Категория | Описание | Ссылка |
|---|---|---|
| Участие | ||
| Динамическое членство в группах на основе правил | Создание или обновление динамической группы в идентификаторе Microsoft Entra | |
| Управление доступом к файлам, папкам и сайтам. | Настройка запросов на доступ и управление ими | |
| Условный доступ | ||
| Многофакторная проверка подлинности | Microsoft Entra многофакторной проверки подлинности | |
| Управление доступом к устройству на основе конфиденциальности группы, группы или сайта. | Используйте метки конфиденциальности, чтобы защитить контент в Microsoft Teams, в группах Microsoft 365 и на сайтах SharePoint. | |
| Ограничение доступа к сайту для неуправляемых устройств. | Управление доступом к SharePoint с неуправляемых устройств | |
| Управление доступом к сайту на основе расположения | Управление доступом к данным SharePoint и OneDrive с учетом расположения в сети | |
| Применение более строгих условий доступа при доступе пользователей к сайтам SharePoint. | Политика условного доступа для сайтов SharePoint и OneDrive | |
| Гостевой доступ | ||
| Разрешить или заблокировать общий доступ к SharePoint из указанных доменов. | Ограничение общего доступа к контенту SharePoint и OneDrive по домену | |
| Разрешить или заблокировать членство в командах или группах из указанных доменов. | Разрешение или блокирование приглашений пользователям от определенных организаций | |
| Запретить анонимный общий доступ. | Отключение ссылок типа "Любой пользователь" | |
| Управление разрешениями для анонимных ссылок доступа. | Настройка разрешений на ссылки для всех ссылок | |
| Управление истечением срока действия анонимных ссылок общего доступа. | Установка срока действия для ссылок типа "Любой пользователь" | |
| По умолчанию управляйте типом ссылки общего доступа, отображаемой для пользователей. | Изменение типа ссылки по умолчанию для сайта | |
| Ограничьте внешний общий доступ определенными людьми. | Ограничение внешнего общего доступа указанными группами безопасности | |
| Управление гостевым доступом к группе, команде или сайту на основе конфиденциальности информации. | Используйте метки конфиденциальности, чтобы защитить контент в Microsoft Teams, в группах Microsoft 365 и на сайтах SharePoint. | |
| Отключите параметры общего доступа. | Ограничение общего доступа в Microsoft 365 | |
| Управление пользователями | ||
| Регулярно проверяйте членство в группах и группах. | Что такое Microsoft Entra проверки доступа? | |
| Автоматизация управления доступом к группам и командам. | Что такое управление правами Microsoft Entra? | |
| Ограничьте доступ к OneDrive членам определенной группы безопасности. | Ограничение доступа к OneDrive по группе безопасности | |
| Ограничьте доступ к командам или сайтам для участников группы. | Ограничение доступа к сайту SharePoint для членов группы | |
| Классификация информации | ||
| Классификация групп и команд | Используйте метки конфиденциальности, чтобы защитить контент в Microsoft Teams, в группах Microsoft 365 и на сайтах SharePoint. | |
| Автоматическая классификация конфиденциального содержимого | Автоматическое применение метки конфиденциальности к содержимому | |
| Шифрование конфиденциального содержимого | Ограничение доступа к содержимому при использовании меток конфиденциальности для шифрования | |
| Сегментация пользователей | ||
| Ограничение обмена данными между сегментами пользователей | Информационные барьеры | |
| Место расположения данных | ||
| Хранение данных в определенных географических расположениях | Microsoft 365 Multi-Geo |
Участие
Вы можете динамически управлять членством в группе или команде на основе некоторых критериев, таких как отдел. В этом случае участники и владельцы не могут приглашать пользователей в команду. Динамические группы используют метаданные, определенные в идентификаторе Microsoft Entra, чтобы контролировать, кто является членом группы. Убедитесь, что метаданные, которые вы используете, являются полными и актуальными, так как неправильные метаданные могут привести к тому, что пользователи будут не в группах или добавлены неправильные пользователи.
Сайты SharePoint позволяют добавлять владельцев, участников и посетителей помимо членства в группах или группах. В зависимости от ваших требований может потребоваться ограничить возможность приглашения пользователей на сайт. Кроме того, в зависимости от конфиденциальности информации на данном сайте может потребоваться ограничить доступ к файлам и папкам. Эти ограничения настраиваются командой, группой или владельцем сайта:
Условный доступ
В Microsoft 365 можно требовать многофакторную проверку подлинности как для пользователей внутри организации, так и за ее пределами. Существует множество вариантов для ситуаций, когда людям предлагается второй фактор проверки подлинности. Мы настоятельно рекомендуем развернуть многофакторную проверку подлинности для организации:
Если у вас есть конфиденциальная информация в некоторых группах и командах, вы можете применить политики управления устройствами на основе метки конфиденциальности группы или команды. Вы можете полностью заблокировать доступ с неуправляемых устройств или разрешить ограниченный доступ только в Интернете:
В SharePoint можно ограничить доступ к сайтам из указанных сетевых расположений.
Дополнительные ресурсы:
Гостевой доступ
Вы можете ограничить гостей в зависимости от домена их адреса электронной почты. SharePoint предлагает параметры ограничения домена для всей организации и сайта. Группы и Teams используют списки разрешенных доменов или списки блокировок в идентификаторе Microsoft Entra. Не забудьте настроить оба параметра, чтобы избежать нежелательного общего доступа и обеспечить согласованность взаимодействия с пользователем:
Ограничение общего доступа к контенту SharePoint и OneDrive по домену
Разрешение или блокирование приглашений пользователям от определенных организаций
Microsoft 365 разрешает анонимный общий доступ к файлам и папкам с помощью ссылок для общего доступа для всех пользователей . Все ссылки могут быть переадресованы, а любой пользователь, у кого есть ссылка, может получить доступ к общему элементу. В зависимости от конфиденциальности данных рассмотрите возможность управления способом использования ссылок для всех пользователей, включая их полностью отключение, ограничение разрешений на ссылки только для чтения или настройку срока действия для них.
При совместном использовании файлов или папок пользователи могут выбрать несколько типов ссылок. Чтобы снизить риск случайного неуместного общего доступа, можно изменить тип ссылки по умолчанию, представленный пользователям при предоставлении общего доступа. Например, изменение значения по умолчанию с "Любой", разрешающего анонимный доступ, на Люди в ссылках вашей организации может снизить риск нежелательного внешнего доступа к конфиденциальной информации:
Если в вашей организации есть конфиденциальные данные, которыми необходимо поделиться с гостями, но вы обеспокоены недопустимым общим доступом, вы можете ограничить внешний общий доступ к файлам и папкам членами указанных групп безопасности. Таким образом, вы можете ограничить общий доступ извне определенной группой людей или потребовать от пользователей пройти обучение относительно соответствующего внешнего общего доступа, прежде чем добавлять их в группу безопасности:
Группы и Teams имеют параметры уровня организации, которые разрешают или запрещают гостевой доступ. Хотя вы можете ограничить гостевой доступ для определенных команд или групп с помощью Microsoft PowerShell, мы рекомендуем сделать это с помощью метки конфиденциальности. С помощью меток конфиденциальности можно автоматически разрешить или запретить гостевой доступ на основе примененной метки:
В среде, где вы часто приглашаете гостей в группы и команды, рассмотрите возможность настройки регулярных проверок гостевого доступа. Владельцам может быть предложено проверить гостей в своих группах и командах, а также утвердить или запретить доступ.
Microsoft 365 предлагает множество различных методов обмена информацией. Если у вас есть конфиденциальная информация и вы хотите ограничить общий доступ к ней, ознакомьтесь с вариантами ограничения общего доступа:
Дополнительные ресурсы:
Настройка безопасной совместной работы с помощью Microsoft 365
Рекомендации по предоставлению общего доступа к файлам и папкам непроверенным пользователям
Ограничьте случайное воздействие файлов при обмене с людьми за пределами вашей организации
Включение внешней совместной работы B2B и управление ролями приглашающих.
Управление пользователями
По мере развития групп и команд в организации рекомендуется регулярно проверять членство в группах и группах. Это может быть особенно полезно для команд и групп с изменяющимся членством, содержащих конфиденциальную информацию, или групп, включающих гостей. Рассмотрите возможность настройки проверок доступа для следующих команд и групп:
Многие организации имеют деловые отношения с другими организациями или ключевыми поставщиками, с которыми они тесно сотрудничают. Управление пользователями и доступ к ресурсам могут быть сложной задачей в таких сценариях. Рассмотрите возможность автоматизации некоторых задач управления пользователями и даже переноса некоторых из них в организацию партнера.
Частные каналы в Teams позволяют проводить беседы с определенной областью и совместное использование файлов между подмножеством участников команды. В зависимости от конкретных бизнес-потребностей может потребоваться разрешить или заблокировать эту возможность.
Общие каналы позволяют приглашать людей, которые находятся за пределами команды или за пределами организации. В зависимости от конкретных бизнес-потребностей и внешних политик общего доступа может потребоваться разрешить или заблокировать эту возможность.
OneDrive предоставляет пользователям простой способ хранения и совместного использования содержимого, над которым они работают. В зависимости от бизнес-потребностей вы можете ограничить доступ к этому содержимому сотрудникам компании, работающим полный рабочий день, или другим группам в компании. В этом случае вы можете ограничить доступ к содержимому OneDrive участниками группы безопасности.
Для некоторых более конфиденциальных команд или сайтов может потребоваться ограничить доступ к содержимому группы или сайта участникам команды или группы безопасности.
Дополнительные ресурсы:
Классификация информации
Метки конфиденциальности можно использовать для управления гостевым доступом, конфиденциальностью групп и команд, а также доступом с неуправляемых устройств для групп и команд. Когда пользователь применяет метку, эти параметры автоматически настраиваются в соответствии с параметрами метки.
Вы можете настроить Microsoft 365 для автоматического применения меток конфиденциальности к файлам и сообщениям электронной почты на основе заданных вами критериев, включая обнаружение типов конфиденциальной информации или сопоставления шаблонов с обучаемыми классификаторами.
Вы можете использовать метки конфиденциальности для шифрования файлов, позволяя расшифровывать и считывать только те, у кого есть разрешения.
Дополнительные ресурсы:
Сегментация пользователей
С помощью информационных барьеров можно сегментировать данные и пользователей, чтобы ограничить нежелательное взаимодействие и совместную работу между группами и избежать конфликтов интересов в организации. Информационные барьеры позволяют создавать политики для разрешения или запрета совместной работы с файлами, чата, звонков или приглашений на собрания между группами людей в вашей организации.
Место расположения данных
С помощью Microsoft 365 Multi-Geo вы можете подготавливать и хранить неактивные данные в географических расположениях, выбранных для удовлетворения требований к размещению данных. В среде с несколькими регионами клиент Microsoft 365 состоит из центрального расположения (где изначально была подготовлена подписка На Microsoft 365) и одного или нескольких вспомогательных расположений, где можно хранить данные.
Статьи по теме
Рекомендации по планированию системы управления совместной работой
Создание плана управления совместной работой
Безопасность и соответствие требованиям в Microsoft Teams