Office 365中的安全协作:管理外部共享和访客访问

教程
PowerShell

在 Office 365 中进行安全协作:管理外部共享和访客访问。您需要确保组织在 Office 365 中与外部访客的协作安全吗?本文提供了在 Microsoft 365 中管理外部共享和访客访问的步骤和资源。

为了为您提供选择,我将文章分为2部分。首先,我们讨论如何使用 Azure 门户和 Exchange Online 管理外部用户管理门户。

其次,我们探讨如何使用 Windows PowerShell 执行相同的任务。

具体来说,每个部分都涵盖了如何创建和管理外部用户和访客。除了创建访客外,本文还介绍了如何授予或取消访客在 Office 365 中进行安全协作的访问权限。

还阅读如何使用 PowerShell 连接到 Office 365

Microsoft 365 用户概述在 Microsoft 365 中有两种类型的用户对象:组织内的用户和邀请与组织协作的外部用户。此外,这两种用户类型都是在Azure 门户和 PowerShell 中创建的。

在Microsoft 365中有2种用户对象:组织内用户和邀请与组织合作的外部用户。此外,这两种用户类型是在Azure门户和PowerShell中创建的。

本文重点介绍创建和管理外部用户。

您可以从Azure门户邀请访客,也可以使用PowerShell脚本。但是,在此之前,建议为访客用户创建邮件联系人。

在邀请外部用户之前添加邮件联系人的工作流程有助于让外部用户出现在您组织的通讯录中。

根据我的经验,如果不遵循此工作流程,内部用户将无法在通讯录中看到外部用户。

基于此,在接下来的部分中,我们将使用这个工作流程。

另请阅读 尝试InfraSOS Office 365用户报告和审计工具

方法1:在Azure门户和Exchange Online中管理外部用户和访客

在Exchange Online管理门户为外部用户添加邮件联系人

1. 打开 admin.exchange.microsoft.com 并使用您的 Microsoft 365 管理员帐户或具有创建用户权限的帐户登录。
2. 登录后,展开 收件人 菜单,点击 联系人,然后选择“添加邮件用户”。

3. 然后,在 新邮件联系人 工作流程的“基本”页面上,输入所需信息,然后点击“下一步”。

4. 工作流程的下一页提供了两个可选部分 – 联系信息组织信息。如果您想在这些部分中添加信息,请展开它们。

否则,点击“下一步”继续。


5. 最后,请检查您提供的信息,如果满意,点击“创建”以添加新的邮件联系人。

另请阅读 尝试 InfraSOS Office 365 报告工具

在 Azure 门户邀请来宾用户加入 Microsoft 365 组织

1. 使用您的 Microsoft 365 管理员帐户登录 portal.azure.com。之后,搜索并打开 Azure Active Directory
2. 一旦打开 Azure AD 页面,点击 用户 菜单。

3. 在“用户”页面上,点击新用户,然后选择“邀请外部用户”。

4. 在邀请外部用户页面的“基本”选项卡中,输入用户的电子邮件,然后点击“查看+邀请”选项卡。

从“分配”选项卡中将新的访客用户添加到组中或分配角色。不过,我们稍后再执行这些任务。

5. 最后,点击邀请。用户将通过您指定的电子邮件接收邀请。

一旦他们点击接受邀请,他们将确认成为您的Microsoft 365组织的访客成员。

当用户点击“接受邀请”链接时,Microsoft要求用户登录Azure。然而,由于用户没有密码,他们应该使用“忘记密码”链接来创建新密码。

一旦新的访客用户登录,Microsoft会要求他们授予访问权限给他们要加入的组织。

还要阅读Azure AD角色和权限:为用户和组分配和管理角色

在Azure门户中为访客用户分配许可证

创建外部用户后,与内部Office 365用户安全协作的一种方法是为外部用户分配许可证。按照以下步骤为访客用户分配许可证。

1. 在 Azure 门户中打开用户。单击 Licenses

2. 然后,在许可证页面上,单击 Assignments

3. 最后,选择要分配给用户的许可证,配置许可证详细信息,然后单击 Save

在 Azure 门户中将外部 Office 365 用户添加到组

与外部 Office 365 用户进行安全协作的另一种方式是通过组和角色分配。在本小节中,我们讨论如何将来宾用户添加到 Azure AD 组

之后,我们将解释如何从 Azure 门户为其分配 Azure AD 角色

要将用户添加到组中,请从用户属性页面中单击组。然后,单击“+ 添加成员”。

最后,选中要将用户添加到的每个组旁边的复选框,然后单击 Select 按钮。

在 Azure 门户中为来宾用户分配 Azure AD 角色

1. 通过门户在 Azure Active Directory 中打开外部用户。
2. 然后,单击“已分配的角色”,-》” + 添加分配”。

3. 一旦“添加分配”页面打开,选择要为来宾帐户分配的 Azure AD 角色,然后单击“下一步”。

4. 在设置页面上,选择 分配类型,然后单击“分配”。

在 Azure 门户中删除外部用户

要删除外部 Azure AD 用户,请在 Azure AD 门户中单击用户属性页面的“概述”选项卡。然后,选择删除按钮,最后点击删除来执行删除。


还可阅读Office 365 群组:创建和管理协作群组

方法 2:使用 Windows PowerShell 管理外部用户和访客

本节中的命令需要使用AzureADPreviewExchangeOnlineManagement PowerShell 模块。因此,在继续之前,我们需要安装这两个模块。

需要指出的是,在安装这些模块后,在运行 Azure AD 命令之前,我们必须先运行Connect-AzureAD命令。同样,在运行 Exchange Online 命令之前,运行 Connect-ExchangeOnline 命令是必要的。

Connect-AzureAD 和 Connect-ExchangeOnline 命令分别用于对 Azure Active Directory 和 Exchange Online 进行身份验证。

安装 AzureADPreview 和 ExchangeOnlineManagement。

1. 通过搜索并单击“以管理员身份运行”来以管理员身份打开PowerShell。

2. 一旦PowerShell打开,请运行下面的命令将执行策略设置为RemoteSigned。这个执行策略允许运行从互联网下载的模块。

powershell.exe -ExecutionPolicy RemoteSigned

3. 安装AzureADPreview和ExchangeOnlineManagement模块,请使用此命令。

Install-Module -Name AzureADPreview, ExchangeOnlineManagement, Az.Resources -AllowClobber -Force

4. 安装完模块后,使用Import-Module命令将其导入到当前的PowerShell会话中。

Import-Module AzureADPreview, ExchangeOnlineManagement, Az.Resources

5. 最后,通过运行Get-Module命令确认这些模块在您的计算机上可用。

Get-Module -Name AzureADPreview, ExchangeOnlineManagement, Az.Resources

还可阅读尝试Office 365许可证报告工具(InfraSOS)

使用Exchange Online PowerShell命令为外部用户添加邮件联系人

1. 运行Connect-ExchangeOnline命令进行身份验证以连接到您的Exchange Online帐户。将伪装的电子邮件地址更改为您的Azure登录电子邮件。

Connect-ExchangeOnline -Credential (Get-Credential name@domainname.com)

按Enter键执行命令时,PowerShell会提示输入密码。输入密码并单击确定。

2. 成功登录后,使用New-MailContact命令创建邮件联系人。

New-MailContact -Name "Victor Ashiedu (Gmail)" -ExternalEmailAddress "[email protected]"

运行命令后,在Exchange Online管理中心显示邮件联系人 – admin.exchange.microsoft.com/#/contacts。下面的屏幕截图显示了在Exchange Online管理门户中的命令和联系人。

还阅读使用InfraSOS Azure AD访客报告和审计工具

使用AzureAD PowerShell命令将访客用户邀请至Microsoft 365

使用New-MgInvitation命令邀请外部用户加入Microsoft 365组织。但在运行New-MgInvitation之前,必须运行Connect-MgGraph命令,并带有所需的范围。

谈到范围,邀请外部用户需要User.ReadWrite.All。同时,分配用户许可证需要Organization.Read.All范围。

在以下步骤中,我们将解释运行命令以与Office 365中的外部用户进行安全协作的详细信息。

1. 运行Connect-AzureAD命令进行Azure AD身份验证。

Connect-AzureAD -Credential (Get-Credential name@domainname.com)

PowerShell会提示输入Azure电子邮件密码。输入密码并单击确定。

2. 运行 Connect-MgGraph 命令以请求对 Microsoft Graph 的访问权限。

Connect-MgGraph -Scopes User.ReadWrite.All, Organization.Read.All

该命令会显示一个登录弹出窗口。使用 Azure AD 帐户登录。

登录后,在 Microsoft Graph 权限请求弹出窗口中勾选“代表你的组织同意”并点击接受

3. 运行 New-MgInvitation 命令,邀请外部用户加入你的 Azure 租户。使用在上一小节创建邮件联系人时使用的相同电子邮件地址。

New-MgInvitation -InvitedUserDisplayName "Victor Ashiedu (Gmail)" -InvitedUserEmailAddress name@domainname.com -InviteRedirectUrl "https://myapplications.microsoft.com" -SendInvitationMessage:$true

命令成功运行后,PowerShell 会显示确认信息。另外,你邀请的用户应该会收到一封电子邮件。

请被邀请的用户接受邀请并登录。但是,由于用户没有密码,请让他们使用“忘记密码”链接创建新密码。

4. 使用以下示例命令确认用户是否存在于你的 Microsoft 365 租户中。

Get-AzureADUser -Filter "displayname eq 'Victor Ashiedu (Gmail)'"

UserType 应为“访客”。

使用 AzureAD PowerShell 命令将外部 Office 365 用户添加到组

1. 获取用户的 ObjectID

$userRefObjectId = (Get-AzureADUser -Filter "displayname eq 'Victor Ashiedu (Gmail)'").ObjectID

2. 获取要添加外部用户的组 ID

$groupObjectId = (Get-AzureADGroup -Filter "displayname eq 'Helpdesk administrators'" ).ObjectID

3. 将外部 Azure AD 用户添加到组中

Add-AzureADGroupMember -ObjectId $groupObjectId -RefObjectId $userRefObjectId

使用 AzureAD PowerShell 命令为访客用户分配 Azure AD 角色

1. 获取外部用户的 Id。

$userId = (Get-AzureADUser -Filter "displayname eq 'Victor Ashiedu (Gmail)'").ObjectID

2. 接下来,获取要分配给访客用户的 Azure AD 角色名称

$roleassignmentname = (Get-AzRoleDefinition | where-object {$_.name -eq "Security Admin"}).Name

3. 确定角色分配的范围。将veeambackup21更改为要分配用户访问权限的资源名称。

$scoperesourceID = (Get-AzResource | Where-object {$_.name -eq "veeambackup21"}).ResourceID

4. 最后,将角色分配给外部AD用户。

New-AzRoleAssignment -ObjectId $userid -RoleDefinitionName $roleassignmentname -Scope $scoperesourceID

还阅读Office 365 Teams:使用和管理Microsoft Teams进行协作

Office 365中的安全协作:管理外部共享和访客访问的结论

组织与外部用户合作,Office 365提供了一种安全的方式来允许创建外部或访客用户,从而保障这种不可避免的合作。该过程涉及激活访客用户以加入组织的Microsoft 365租户。

一旦外部用户接受邀请,用户将被授予许可证,加入组或分配给Azure AD角色。

这使得外部用户可以与内部用户进行安全协作。

本文提供了一个详细的逐步指南,介绍了如何将外部用户添加到Microsoft 365并执行任务,如为用户分配许可证,将访客用户添加到组,或分配Azure角色。

我们讨论了如何从Exchange Online管理和Azure门户执行这些任务的步骤。此外,我们解释了如何使用Windows PowerShell管理外部用户。

Source:
https://infrasos.com/secure-collaboration-in-office-365-manage-external-sharing-guest-access/