在Office 365中,我把“共享”这个行为定义为如下的操作:
1.通过邮件内容或者附件的形式将信息和数据传递给组织内外的成员
2.邀请内外部成员到组织内,对特定的文件有指定访问权限
Office 365中本身无法禁用内部共享,只能用权限将人/组隔离开来,本文侧重于外部共享的规划。
注:暂且先不讨论通过邮件发送文件的分享情况。
外部共享,又或者叫邀请访客严格上是利用了Azure B2B这个机制。(在我另一篇文章中有提到–)
Office 365中几乎所有的软件都是可以做分享的:
1.SharePoint Online
2.OneDrive for Business
3.Microsoft Teams
4.Yammer
5.Power BI
6.OneNote
7.Office ProPlus(基于邮件或者OneDrive的共享)
8.Stream(这个暂不支持外部共享)
等等其他
但是呢,在Office 365里他们没有自己统一设置的地方(这里指所有的共享设置都在一个图形化界面中)。我们假设管理员设置了不允许Power BI做外部共享,但是没有限制其他的软件,用户可以导出元数据,或者仪表盘中的任何一张图表的数据然后通过邮件,或者SharePoint等其他软件分享给外部用户。这个会造成一些小问题。
比如Teams设置域名黑名单/白名单的方式是通过PowerShell,而SharePoint的话可以直接在图形化界面设置。但是很多企业管理员会忽视这一点,也就是统一外部共享策略:
1.统计所有的黑白名单域名,确定些服务需要设置外部共享
2.定义数据放丢失保护策略并部署Azure信息保护策略
3.对已邀请的访客账户设置相应的认证机制–比如多重身份验证
4.使用Cloud App Security来监视/禁止共享行为
5.培训最终用户关于公司的IT策略
Azure Active Directory中的确有设置针对外部访客的策略:
以上的策略有些可以横跨所有的Office 365服务,有些不行。主要是针对的情况不一样,比如发邮件Pin码来确认身份的这条设置,SharePoint就会受到影响,但是Teams不会。现在看一下最下面一项的域的黑白名单设置,虽然我已经设置了不允许邀请qq.com,但是我在SharePoint里仍然可以邀请使用qq邮箱的用户。因为这个域名并不在SharePoint的黑名单里。
这里注意,SharePoint的共享策略最为复杂,其他软件基本只有开关配合限制域两个功能,但是SharePoint分了好几个级别。具体可参考我另一篇讲SharePoint规划的博客–
所以如果你已经部署或者将要部署Office 365的话,一定先要把这个黑白名单统一设置好。
至于哪些软件需要启用外部共享,这个不同的企业要求不一样,但是我建议如果不去使用某个软件,可以吊销这个软件的许可证,比如不适用Power BI,直接不分配Power BI的许可就好,这样就无需担忧管理问题。
后面的四点:
2.定义数据放丢失保护策略并部署Azure信息保护策略
3.对已邀请的访客账户设置相应的认证机制–比如多重身份验证
4.使用Cloud App Security来监视/禁止共享行为
5.培训最终用户关于公司的IT策略
这个已经或者会在其他的博文中提到具体的操作。
