Lehet-e biztosítani külsős parterek számára a dokumentumok megosztását és közös Teams-munkát, miközben a hozzáférés/tartalomvédelem is megmarad? A most következő cikkben leírunk egy lehetséges megoldást, amit kiindulási alapnak lehet használni. A külsős accountok kezelése mindig is fejtörést okozott a szervezeteknek. Létrehozhatóak a földi vagy felhős AD-ben, mint standard userek, de akkor nekünk kell a biztonságról/jelszókezelésről/licenszekről gondoskodnunk.
A javasolt megoldás inkább az, hogy kezeljük őket az Azure AD-ban, guestként. Erre az AAD lehetőséget ad, ingyenesen. Az általános szabály, hogy egy licenszelt userre 5 guest juthat. Tehát egy 100 fős cégnél 500 guest accountot lehet létrehozni díjmentesen.
Az Azure AD B2B (business-to-business) lehetőségét kihasználva nagyon egyszerűen megoldható, hogy egy vállalati accounttal rendelkező külsőst meghívjunk (invite) guestként. Így lehetősége van a saját accountja használatára, nincs szükség külön regisztrációra, név/jelszó karbantartására.
Azure AD Guest meghívása
Ehhez küldenünk kell számára egy meghívót az Azure AD-ból. Navigájunk el ide adminként: https://portal.azure.com/#blade/Microsoft_AAD_IAM/UsersManagementMenuBlade/AllUsers és válasszuk a New Guest opciót!
Töltsük ki a név és e-mail cím mezőket, ide fog kimenni a meghívó:
A meghívó elküldése. Meg is tudjuk nézni az így létrejött accountot:
Látható, hogy még nem fogadta el a meghívást, azaz nem csinálta végig a regisztrációs processt.
A címzett egy e-mailt kap, az abban lévő linkre kattintva pedig el tudja kezdeni a regisztrációt:
Figyelmeztetés: mindig legyünk óvatosak a invitáló mailekkel! Csak akkor kattintsunk a linkre és végezzük el a belépést, ha előtte megbizonyosodtunk a meghívó szervezet érvényességéről. Ha ismeretlentől érkezik a felkérés, töröljük a meghívó levelet.
A linkre kattintva az O365 bejelentkező képernyő fogad, az authentikáció miatt:
A bejelentkezés után kapunk egy beleegyezés-kérő ablakot, ami felsorolja, hogy milyen információkat kérne rólunk a meghívó szervezet (név, e-mail cím, esetleg fotó)
A beléptetés után a meghívó szervezet oldalára jutunk:
Ha újra megnézzük az Azure AD-ban a meghívott user adatlapját, már látható, hogy a regisztrációt megcsinálta, és példánkban egy külső Azure AD-tenantból érkezett:
Ezel a felhasználó accountja létrejött az Azure AD-ban, használatra kész.
Természetesen a fenti folyamat scriptelhető, sőt Power Automate segítségével egy olyan workflow is összeállítható, ahol a meghívást indító felhasználó csak beírja a kívánt meghívott nevét és e-mail címét, a rendszer pedig a háttérben intézi a folyamatot.
Következő lépésben engedélyezni kell a külsősökkel való együttműködést a Sharepoint Online / Teams rendszerekben.
Teams Guest access engedélyezése:
Az Office Admin Portalon, az Org Settings / Microsoft Teams részen kapcsolhatjuk be a guest accesst:
https://portal.office.com/AdminPortal/Home#/Settings/Services/:/Settings/L1/SkypeTeams
A Sharepoint Online-ban is érdemes beállítani a megosztási lehetőségeket, szabályozva, hogy csak olyan külsősökkel lehet fileokat megosztani, akik már guestként szerepelnek az Azure AD-címtárunkban:
A Sharepoint Admin Centerben állítsuk be az External Sharing opciónál, hogy Existing guests only:
Ezután a guest usert meghívhatjuk a Teamsbe:
Illetve fileokat is megoszthatunk vele a OneDriveból:
Ezeken túl van mód az információvédelmi megoldást is kiterjeszteni a külsősökre. A sensitivity labelek között kell egy olyan labelt definiálni, ahol a jogosultságot vagy “any authenticated users”-re állítjuk be (ilyenkor bárki, akinek van Azure AD, vagy Microsoft-accountja, hozzá tud férni az információhoz a megfelelő jogosultsággal (pl. Viewer, vagy egyedi beállításokkal, hogy ne tudjon a dokumentumból copyzni, printelni)
Természetsen beállíthatunk guestekre vonatkozó labeleket is:
A fenti labelt alkalmazva az Office-dokumentumokra, majd elküldve pl. emailben a külsős partnernek, meglesz a megfelelő adat- és tartalomvédelem.
Ezzel az Azure AD guest + sensitivity label párossal megfelelő biztonság mellett tudjuk biztosítani a Teams és filemegosztási együttműködést.
Istvánffy Zoltán
Microsoft Cloud Solution Architect, Microsoft Certified Trainer
Qualysoft Informatikai Zrt.