Biztonságos Teams és fájlmegosztási együttműködés a külsős partnerek felé

Lehet-e biztosítani külsős parterek számára a dokumentumok megosztását és közös Teams-munkát, miközben a hozzáférés/tartalomvédelem is megmarad? A most következő cikkben leírunk egy lehetséges megoldást, amit kiindulási alapnak lehet használni. A külsős accountok kezelése mindig is fejtörést okozott a szervezeteknek. Létrehozhatóak a földi vagy felhős AD-ben, mint standard userek, de akkor nekünk kell a biztonságról/jelszókezelésről/licenszekről gondoskodnunk.

A javasolt megoldás inkább az, hogy kezeljük őket az Azure AD-ban, guestként. Erre az AAD lehetőséget ad, ingyenesen. Az általános szabály, hogy egy licenszelt userre 5 guest juthat. Tehát egy 100 fős cégnél 500 guest accountot lehet létrehozni díjmentesen.

Az Azure AD B2B (business-to-business) lehetőségét kihasználva nagyon egyszerűen megoldható, hogy egy vállalati accounttal rendelkező külsőst meghívjunk (invite) guestként. Így lehetősége van a saját accountja használatára, nincs szükség külön regisztrációra, név/jelszó karbantartására.

Azure AD Guest meghívása

Ehhez küldenünk kell számára egy meghívót az Azure AD-ból. Navigájunk el ide adminként: https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/AllUsers és válasszuk a New Guest opciót!

Töltsük ki a név és e-mail cím mezőket, ide fog kimenni a meghívó:



A meghívó elküldése. Meg is tudjuk nézni az így létrejött accountot:



Látható, hogy még nem fogadta el a meghívást, azaz nem csinálta végig a regisztrációs processt.

A címzett egy e-mailt kap, az abban lévő linkre kattintva pedig el tudja kezdeni a regisztrációt:



Figyelmeztetés: mindig legyünk óvatosak a invitáló mailekkel! Csak akkor kattintsunk a linkre és végezzük el a belépést, ha előtte megbizonyosodtunk a meghívó szervezet érvényességéről. Ha ismeretlentől érkezik a felkérés, töröljük a meghívó levelet.

A linkre kattintva az O365 bejelentkező képernyő fogad, az authentikáció miatt:


A bejelentkezés után kapunk egy beleegyezés-kérő ablakot, ami felsorolja, hogy milyen információkat kérne rólunk a meghívó szervezet (név, e-mail cím, esetleg fotó)



A beléptetés után a meghívó szervezet oldalára jutunk:



Ha újra megnézzük az Azure AD-ban a meghívott user adatlapját, már látható, hogy a regisztrációt megcsinálta, és példánkban egy külső Azure AD-tenantból érkezett:



Ezel a felhasználó accountja létrejött az Azure AD-ban, használatra kész.

Természetesen a fenti folyamat scriptelhető, sőt Power Automate segítségével egy olyan workflow is összeállítható, ahol a meghívást indító felhasználó csak beírja a kívánt meghívott nevét és e-mail címét, a rendszer pedig a háttérben intézi a folyamatot.

Következő lépésben engedélyezni kell a külsősökkel való együttműködést a Sharepoint Online / Teams rendszerekben.


Teams Guest access engedélyezése:

Az Office Admin Portalon, az Org Settings / Microsoft Teams részen kapcsolhatjuk be a guest accesst:

https://portal.office.com/AdminPortal/Home#/Settings/Services/:/Settings/L1/SkypeTeams



A Sharepoint Online-ban is érdemes beállítani a megosztási lehetőségeket, szabályozva, hogy csak olyan külsősökkel lehet fileokat megosztani, akik már guestként szerepelnek az Azure AD-címtárunkban:

A Sharepoint Admin Centerben állítsuk be az External Sharing opciónál, hogy Existing guests only:


Ezután a guest usert meghívhatjuk a Teamsbe:



Illetve fileokat is megoszthatunk vele a OneDriveból:



Ezeken túl van mód az információvédelmi megoldást is kiterjeszteni a külsősökre. A sensitivity labelek között kell egy olyan labelt definiálni, ahol a jogosultságot vagy “any authenticated users”-re állítjuk be (ilyenkor bárki, akinek van Azure AD, vagy Microsoft-accountja, hozzá tud férni az információhoz a megfelelő jogosultsággal (pl. Viewer, vagy egyedi beállításokkal, hogy ne tudjon a dokumentumból copyzni, printelni)




Természetsen beállíthatunk guestekre vonatkozó labeleket is:



A fenti labelt alkalmazva az Office-dokumentumokra, majd elküldve pl. emailben a külsős partnernek, meglesz a megfelelő adat- és tartalomvédelem.

Ezzel az Azure AD guest + sensitivity label párossal megfelelő biztonság mellett tudjuk biztosítani a Teams és filemegosztási együttműködést.


Istvánffy Zoltán

Microsoft Cloud Solution Architect, Microsoft Certified Trainer

Qualysoft Informatikai Zrt.

zoltan.istvanffy@qualysoft.com|My LinkedIn Profile

Következő cikk

BEMUTATKOZIK A DYNAMICS 365 BUSINESS CENTRAL

2020. aug. 10. 13:25
#

A felhőalapú ERP rendszer azonnali eredményeket, összehangolt folyamatokat kínál a vállalatirányítás korszerűsítésében, és a profitorientált szemléletben, eközben felhasználóbarát és valós Idejű kezelhetőséget nyújt.

További információk