Администрирование Microsoft 365: правильно настройте параметры SharePoint
Наша серия статей об администрировании Microsoft 365 продолжается, и мы обращаем внимание на SharePoint. SharePoint — это основное место хранения всех ваших данных в Microsoft 365. SharePoint, OneDrive, Microsoft Teams — все хранят здесь свои файлы. После этого настройка SharePoint становится критически важной для большинства ваших данных. По большей части мы беспокоимся о правильной настройке общей безопасности. Если вы обеспечиваете соответствие данных, ваши настройки будут распространяться и на все три службы.
Обмен
Несколько областей влияют на безопасность хранилища данных в центре администрирования Microsoft 365, в основном это касается разрешений на общий доступ. В разделе «Настройки» есть пара. В настройках / для всей организации / SharePoint вам нужно указать, с кем пользователи могут делиться. В моем клиенте я разрешаю делиться с кем угодно, и для этого не требуется вход в систему. Я делаю это, потому что мне нужно предоставить анонимные ссылки на файлы, такие как файлы календаря для моих регулярных вебинаров. Однако я не делаю это по умолчанию. Я настраиваю его так, чтобы широко делиться чем-то было позитивным выбором. Мы увидим эту настройку через мгновение. Этот параметр устанавливает максимально допустимый уровень общего доступа, а не уровень по умолчанию. Это важно знать, когда вы принимаете решение о том, какую настройку выбрать.
На вкладке «Безопасность» в этом же разделе в разделе «Общий доступ» вам нужно выбрать, где вы разрешите пользователям добавлять новых гостей в вашу организацию (если вы вообще разрешаете это). Когда они добавят нового гостя? Новый гость добавляется каждый раз, когда вы делитесь данными с кем-то за пределами организации. Таким образом, предполагая, что вы собираетесь разрешить любой тип обмена, вам нужно установить этот флажок.
Центр администрирования SharePoint
Центр администрирования SharePoint — это место, где мы можем уточнить наши параметры безопасности. Помните, что те, которые мы только что установили, представляют собой максимум, разрешенный в арендаторе. То, что мы собираемся установить сейчас, это значения по умолчанию.
Здесь мы можем установить разные уровни для SharePoint и OneDrive, если вам нужно. В раскрывающемся списке параметров внешнего общего доступа отображаются параметры уточнения. Я выбираю «гости должны входить в систему, используя ту же учетную запись, на которую отправлены приглашения к совместному использованию». Это вызывает некоторые головные боли, но я думаю, важно помочь вам понять, кому были переданы ваши данные. И я предлагаю установить срок повторной аутентификации в семь дней. Это дает им неделю на работу с файлом, которым мы поделились. Они могут иметь доступ дольше, но потребуется повторная аутентификация. Мы часто рекомендуем людям, с которыми мы поделились данными, использовать опцию одноразового пароля для доступа к данным. Обычно мы не хотим оставлять эти данные открытыми в течение длительного периода времени. Итак, я говорю: да, вы можете использовать одноразовый пароль, но вам придется проходить повторную аутентификацию раз в неделю, если вы выберете этот вариант.
Ранее я сказал, что не делаю анонимную ссылку выбором по умолчанию. Ну вот такая настройка. Здесь вы видите параметры, которые будут доступны пользователям, когда они решат поделиться файлом. Как я настроил здесь, когда пользователь выбирает общий доступ к файлу, настройка по умолчанию для этого файла состоит в том, что он может быть предоставлен только людям в нашей организации. Если они хотят поделиться им с кем-то еще, мы разрешаем это, но они должны вручную изменить параметр по умолчанию. Я хочу быть уверен, что распространение информации извне является намеренным, а не случайным.
В той же теме по умолчанию общий доступ настроен только на просмотр. Если они хотят разрешить получателю редактировать файл, им придется изменить параметр по умолчанию.
Затем я указываю, что ссылка для обмена действительна в течение 30 дней, а затем истечет. Таким образом, наши данные не будут использоваться вечно. Это сводит совместное использование данных к минимуму, необходимому для выполнения поставленной задачи, избегая расползания разрешений. Расползание разрешений всегда было проблемой в локальной среде, но здесь у нас есть некоторый контроль.
Далее я устанавливаю максимальный уровень разрешений для файлов и папок. И указать некоторые другие параметры. Мы позволяем владельцам файлов и сайтов видеть, кто просматривал файлы. И мы позволяем SharePoint создавать сокращенные URL-адреса для наших общих ресурсов.
Контроль доступа
В центре администрирования SharePoint вы увидите раздел под названием «Управление доступом». Контроль доступа содержит несколько областей безопасности, которые необходимо настроить.
Во-первых, вам нужно решить, собираетесь ли вы вообще разрешать неуправляемым устройствам доступ. Я рассматриваю использование этой настройки здесь как молоток. Если вы используете молоток, пользователям на устройствах, не присоединенных к Azure AD, будет отказано в доступе. Если им отказано, они получают стандартное сообщение «Этот контент недоступен» от SharePoint. Это не дает им понять, что это потому, что они не используют безопасное устройство. Поскольку большинство моих клиентов не присоединены к Azure AD, а зарегистрированы в Azure AD, я предпочитаю создавать собственную политику условного доступа для управления контролем доступа. Политики условного доступа в Azure AD позволяют гораздо более детально контролировать доступ, например требовать соблюдения требований, многофакторной идентификации и использования современных приложений.
Будьте осторожны с настройкой «Выйти из системы для неактивных пользователей». Если пользователь активен в Outlook, но не в SharePoint или OneDrive, этот параметр выполнит выход из системы в Microsoft 365, а не только в определенных приложениях. И перемещение мыши не считается активным. Они должны активно использовать приложение, чтобы поддерживать сеанс. Но обратите внимание, что эти настройки не будут применяться к тем, кто присоединен к домену или к совместимому устройству.
Миграция SharePoint
После того как вы позаботились об этих самых основных параметрах безопасности, вы готовы приступить к созданию сайтов, страниц, списков и библиотек и переносу своих данных в SharePoint. Хотя вы не можете перенести свои старые сайты SharePoint, Microsoft, по крайней мере, предоставила несколько хороших инструментов для переноса данных.
В кратком руководстве центра администрирования вы найдете целый ряд инструментов для переноса данных из локальных файловых ресурсов, Gmail, SharePoint, Exchange, а также готовые к использованию инструкции и инструменты. Многие люди используют сторонние инструменты, но вам действительно стоит обратить внимание на встроенные инструменты Microsoft, потому что они вполне приличные. Для наших клиентов малого и среднего бизнеса мы считаем их вполне достаточными. Для меня всегда удивительно, как быстро происходит миграция. Мы переводим людей в облако Microsoft с 2008 года. За последние пару лет Microsoft применила закулисную магию, позволяющую очень быстро переносить данные и электронную почту.
Для первоначальной настройки безопасности SharePoint не требуется много усилий. Эти элементы составят основу вашей структуры безопасности. Отсюда, в зависимости от вашего дизайна, вы будете устанавливать доступ к данным на основе членства в команде Microsoft Teams, общедоступного или частного канала, членства в команде и группового доступа к сайтам и страницам в SharePoint с помощью групп Azure AD. В этих приложениях безопасность становится чрезвычайно тонкой, даже на уровне защиты от потери данных, хранения, соответствия требованиям и конфиденциальности. Все эти функции теперь сохраняют свою точность во всех приложениях. Но все начинается с настроек, которые мы только что рассмотрели. Сделайте эти настройки правильными, и все остальное в дальнейшем пойдет намного более гладко. Безопасность может быть сложной задачей, но, начав с прочного фундамента, вы сможете построить ее правильно.