在 M365 租户中管理和保护外部用户的 12 种智能方法

在M365租户中管理和保护外部用户的12种智能方法 2 MicrosoftOffice365（现在称为Microsoft365）是一个生产力平台，可简化人员之间的交互，并使他们能够与同事和外部参与者实现更多目标。将外部用户带入M365租户的巨大好处可能会被安全风险以及配置和取消配置的麻烦所掩盖。 本文探讨了将外部用户带入板载，确保他们对租户的使用是安全的，以及如何以及为什么删除它们。请记住，在Microsoft365和MicrosoftTeams用语中，外部用户和来宾用户是相同的。 为什么外部和来宾O365用户很好？ Microsoft365非常适合员工进行协作。但是，合作伙伴、客户和其他外部用户对该等式也至关重要，应参与基于Microsoft365的工作和通信。 这涉及到： •能够轻松设置会议和共享日历 •在OneDrive或SharePoint中共享文件 •参与Microsoft365组 外部/来宾用户通常是非雇员，指的是未获得许可或未在组织的M365租户中注册帐户的任何人。 MicrosoftOffice365外部用户分为两类：身份验证和匿名。 经过身份验证的用户-基于对另一个帐户的订阅而拥有Microsoft365帐户的人员。这些人员可以被分配给你的租户，并具有与你的员工或实际M365许可证持有者相同的权限级别。 匿名用户-这些用户“可以通过可共享的链接访问文件夹或文档。匿名用户可以查看，编辑或上传到文件夹，而无需使用用户名或密码登录。匿名用户无法访问网站，您也无法为其分配许可证。” 3 4 外部O365用户带来的风险 外部用户可以执行的操作使他们如此危险 o“当外部用户拥有可以 是Microsoft365，或Gmail等其他提供商。这些人可以处理您的文档 以及成为您的M365组的一部分。匿名用户可以通过可共享的链接访问文件夹或文档,并在不使用用户名和密码登录的情况下查看这些文档,”CoreView首席全球策略师DavidMascarella解释说。“这使得这种协作非常 危险。例如，外部用户帐户无法匹配您的密码安全策略。并且这些凭据可用于登录更容易破解的多个最终用户云服务。” 外部用户比员工的风险更大，因为他们更难保护、监控、管理和控制。风险包括: •匿名外部用户进行管理员无法跟踪的更改 •员工无意中与不是预期收件人的外部用户共享敏感数据 •外部用户意外或故意共享敏感信息 “无法轻松识别外部用户，并且可以轻松共享匿名链接。外部用户可以访问SharePoint和OneDrive文档，也可以成为多个M365组（如通讯组，MicrosoftTeams组等）的一部分，”Mascarella补充说。 5 最大限度地降低来自外部用户的风险 您的M365管理员应通过以下方式确保外部用户的安全： •制定治理计划，以确定外部用户可以做什么，他们可以访问的数据以及他们可以共享和不能共享的内容 •使用最小权限访问限制外部用户的权限 •禁用匿名共享 •应用数据丢失防护(DLP)策略自动发现危险信息共享 •禁用或限制敏感数据的外部共享 外部用户安全检查表 •您的租户中有多少外部用户，最近90天内有多少是活跃的还是不活跃的？ •谁负责调配和取消调配外部用户? •外部用户在您的租户中做了什么，包括正在访问、共享和下载哪些文件？ •如何访问外部用户活动日志？ •如果外部帐户被入侵，该怎么办？ •如何自动通知外部用户所有活动都被跟踪，访问日志保存数年，以及他们负责保护机密信息？ •您是否正在监控外部帐户活动？ •您是否知道外部用户访问的文件？已下载？已在其计算机上同步？ •您是否有每个外部用户执行的所有活动的日志？ 如果你回答不超过这些问题之一-你真的需要CoreView收紧外部用户控制。 6 7 处理过时的外部用户 不同公司之间的数字互动是生产力的核心 。配备M365的员工与外部用户共享文件 ，邀请他们在MicrosoftTeams聊天或会议中共享，并每天将其添加到通讯组。 通常，这些交互在时间上是有限的，外部用户访问特定项目或时刻的资源，然后回到他的正常活动，不幸的是，这个访客帐户在租户中仍然处于活动状态，他可以随时登录。 如果邀请他的员工离开公司,会发生什么情况?谁负责从租户中删除来宾用户? 它可能会永远留在那里。 CoreView通过工作流程解决了所有这些问题，该工作流程可用于在邀请外部用户时强制用户添加详细信息，例如部门 ，公司，经理， 国家/地区和有效性。CoreView将负责根据可自定义的批准流程删除受邀用户或续订该用户 CoreView自动化还可用于识别最近60天内处于非活动状态的外部用户，并自动启动流程 任何外部用户都是租户的附加端点-使他们无限期保持活动状态是一种常见的不良做法，可以通过CoreView轻松解决。 工作流如何自动化外部用户管理 CoreView通过工作流解决无数外部用户及其问题，这些工作流由CoreView的CoreSite处理 。一个主要的例子是工作流，当外部用户被邀请时，强制员工添加详细信息，如部门、公司、经理、国家和有效性。CoreSite将负责根据可自定义的批准流程删除受邀用户或续订受邀用户 。CoreView自动化还可用于识别最近60天内处于非活动状态的外部用户，并在获得批准后自动启动清理过程。 任何外部用户都是租户的附加端点-使他们无限期保持活动状态是一种常见的不良做法，可以通过CoreSuite轻松解决。 将CoreSite自动化添加到外部用户等式中，可以更快，更轻松，更安全地执行外部用户流程 。首席技术官IvaFioravati详细介绍了CoreView如何完成这项工作。“也许你不希望M365运营商手动通过所有外部用户。第二种方法是运行工作流。我们的平台内置了CoreSite，它可以实现业务流程自动化，”Fioravati说。 工作流 8 挑战 •配置和取消配置用户等常见任务耗时、繁琐且容易出错 ，从而激怒用户并增加支持部门的呼叫 •未完成或延迟取消已离职用户的配置会造成安全风险和支出浪费 •你想自动化一切你可以，但工具只是不存在 结果与回顾 •自动执行常见的业务流程，如用户配置、取消配置和克隆 ；从报告中发出警报并允许执行操作的工作流 •自动扫描配置和活动以识别问题并实施策略 •使用包含批准管理步骤、自定义脚本等的可视化工作流生成器轻松自动化任务 9 在这里，M365管理员可以从CoreView管理界面中选择外部用户，然后单击“执行工作流”。管理员可以启动预定义的工作流，说“删除外部用户”。此工作流自动拾取所有信息 来自外部用户表，包括“用户名”、“最后M365活动”、“管理器”名称、“显示名称”和“主SMTP地址”。 经理点击同意，外部用户将被删除，并向外部用户发送电子邮件。否则，外部用户将留在租户中，”Fioravanti说，并补充说，制作这些工作流程非常容易，以至于“构建工作流程就像玩乐高积木一样。” 工作流调度是灵活和容易的。“也许我们想要一个周一早上与外部用户打交道的习惯。您可以安排“非活动外部用户”报告，如果报告不为空，则通知IT。所以你每周都选择。操作是工作流将自动执行，并向经理发送电子邮件 ，要求删除外部用户。您可以随时重新邀请已删除的外部用户，”Fioravati说。 CoreSuite增加了外部用户安全性。Fioravanti说：“一切都非常安全。您可以创建一个仅对特定用户，平台的特定操作员可见的工作流。使用RBAC和虚拟租户，只有操作员才能看到并使用该工作流 o” 10 监视和控制AzureAD的外部登录 如果允许外部用户访问M365租户，或使用SharePointOnline或OneDrive的外部共享功能与组织外部人员共享内容，则会提高监视AzureAD登录项以查找未经批准的用户或外部用户的不当操作的栏。 O365管理员必须密切监视这些外部访问权限并跟踪相关活动。Microsoft365管理员的标准要求是创建组织外部用户访问的所有资源的列表。 这就是CoreView创建“外部登录”报告的原因。使用此报告，Microsoft365管理员可以轻松地可视化执行外部访问的人员，发生外部访问时，外部用户可以访问的内容以及从哪个地理位置访问。 预置和取消预置外部用户 外部/来宾用户配置有两种方法-手动和自动。使用手动方法（CoreView并非完全手动），CoreView具有一个管理向导来邀请来宾用户，创建屏幕名称，显示名称，电子邮件地址，并创建带有邀请的个人消息。来宾用户的详细信息包括标题，部门，电话号码，街道地址，使用位置以及邀请来宾的经理。Fioravati说：“包括经理是非常重要的，因为这不仅可以用来实现可见性，而且可以用来通知邀请外部用户的用户，当我们想要删除它时。” 当通过CoreView完成时，加入外部用户很容易，并确保安全。“您使用您的策略向外部用户发送电子邮件，或者具有已邀请外部用户的CoreView身份，我们从审核日志中跟踪该身份。CoreView然后向外部用户发送包含您的策略的电子邮件，您可以有一个向该用户发送所有 获得信息所需的最佳实践和公司规则信息，”Mascarella解释说。 11 12 CoreView如何管理和保护 O365外部用户 您的M365管理员可以使用CoreView来确保外部用户的安全。“管理外部用户非常重要，许多公司之间的数字交互是 生产力。M365允许您与外部用户共享文件 ，邀请他们在MicrosoftTeams聊天中共享 ，加入会议或每天将其分组，”Mascarella说。“通常这些交互在时间上是有限的，外部用户访问是针对特定项目或时间的，然后他们回到正常活动。不幸的是，此访客帐户在租户中仍然处于活动状态，他们可以随时登录。 他们想要。如果这个帐户在限制后几个月被破坏，会发生什么？ 攻击者将能够访问共享的资源，阅读交换的电子邮件，并代表真实用户行事。如果使用自己的Gmail凭据邀请自己的员工离开公司，该公司负责从租户中删除来宾用户，会发生什么？ 它可能会永远留在那里”。 CoreView首席技术官IvanFioravanti详细解释了如何管理外部用户。 使用CoreView，管理员可以首先分析租户中的外部用户。“首先，您有多少外部用户？CoreView有200个报告，因此您可以单击来宾用户以查看用户列表 如果您想要有关外部用户的更多信息，则可以查看邀请外部用户的部门和经理 ，”Fioravanti解释说。 13 跟踪外部用户活动 跟踪来宾用户对于安全至关重要。”我们如何跟踪不活动的外部用户？通常，与外部用户的交互很简单。我们想与某人合作。我们邀请他加入MicrosoftTeams，也许想共享文档。之后，通常会进行交互 Fioravanti说:“当我们分享一些东西时,90%的交互就完成了。” 从这份报告中，管理员可以采取不同的行动。“首先，我们可以手动删除其中一个，因为不再需要它们。每次我们在这里采取行动时，我们都可以做笔记-为什么我们要执行此行动。这对于可见性非常重要，”Fioravanti说。 它还可以查看外部用户在租户中执行的操作。这从审核选项卡开始，CoreView在其中收集租户上的任何活动，例如，如果邀请外部用户在SharePoint或OneDrive上共享文件，或者该外部用户已添加到MicrosoftTeams。 14 “我可以去OneDrive,检查外部邀请,回到过去六个月(CoreView有无限的数据保留),如果发生了什么事情,你可以向下钻取,看看到底是什么 发生在该外部用户上。系统显示邀请到OneDrive的所有外部用户的列表，您具有所需的详细信息 Fioravanti说。“我可以查看SharePoint，深入到外部访问，并查看一段时间内的所有外部活动。我可以看到详细信息，例如源文件扩展名，创建时间，站点URL，执行的操作，修改的文件，访问的