在 Office 365 中實現安全協作：管理外部共享和訪客存取

教學

PowerShell

在 Office 365 中的安全協作：管理外部共享與訪客存取。您需要在 Office 365 中確保組織與外部訪客的協作安全嗎？本文提供了在 Microsoft 365 中管理外部共享和訪客存取的步驟和資源。

為了提供您多個選擇，我將文章分為 2 部分。首先，我們討論如何使用 Azure Portal 和 Exchange Online 管理外部使用者管理員入口網站。

其次，我們探索如何使用 Windows PowerShell 執行相同的任務。

具體來說，每個部分都涵蓋了如何創建和管理外部使用者和訪客。除了創建訪客外，本文還介紹了如何授予或移除訪客在 Office 365 中進行安全協作的存取權限。

另請參閱如何使用 PowerShell 連接到 Office 365

Microsoft 365 中使用者概觀在 Microsoft 365 中有兩種類型的使用者物件：組織內的使用者和被邀請與組織協作的外部使用者。此外，這兩種使用者類型是在Azure Portal和 PowerShell 中創建的。

在Microsoft 365中有2種用戶對象：組織內的用戶和被邀請與組織合作的外部用戶。此外，這兩種用戶類型是在Azure Portal和PowerShell中創建的。

本文重點介紹如何創建和管理外部用戶。

您可以從Azure Portal邀請訪客，也可以使用PowerShell腳本。但在這之前，建議為訪客用戶創建郵件聯絡人。

按照這個流程 – 在邀請外部用戶之前添加郵件聯絡人 – 如果您希望外部用戶出現在組織的通訊錄中，這是有幫助的。

根據我的經驗，如果不按照這個流程操作，內部用戶將無法在通訊錄中看到外部用戶。

基於此，接下來的部分中，我們將使用這個流程。

同樣閱讀試試InfraSOS Office 365用戶報告和審計工具

方法1：在Azure Portal和Exchange Online中管理外部用戶和訪客

在Exchange Online管理員入口為外部用戶添加郵件聯絡人

1. 打開 admin.exchange.microsoft.com，使用您的 Microsoft 365 管理員帳戶或具有建立使用者權限的帳戶登錄。
2. 登錄後，展開 收件者 選單，點擊 聯絡人，並選擇“新增郵件使用者”。

3. 然後，在 新增郵件聯絡人 工作流程的基本頁面上，輸入必要信息並點擊下一步。

4. 工作流程的下一頁提供兩個可選部分 – 聯絡人資訊 和 組織資訊。如果您想在這些部分添加信息，請展開它們。

否則，點擊下一步繼續。

5. 最後，審閱您提供的信息，如果滿意，請點擊創建以添加新的郵件聯絡人

另請參閱嘗試 InfraSOS Office 365 報告工具

在 Azure Portal 中邀請來賓使用者加入 Microsoft 365 組織

1. 使用您的 Microsoft 365 管理員帳戶登錄 portal.azure.com。之後，搜索並打開 Azure Active Directory。
2. 一旦打開 Azure AD 頁面，點擊 使用者 選單。

3. 在使用者頁面上，點擊新增使用者，並選擇“邀請外部使用者”。

4. 在邀請外部使用者頁面的基本選項卡中，輸入使用者的電子郵件，然後點擊“審閱+邀請”選項卡。

從分配選項卡將新的訪客使用者新增到群組或分配角色。但我們稍後執行這些任務。

5. 最後，點擊邀請。使用者將通過您指定的電子郵件收到邀請。

一旦他們點擊接受邀請，他們將被確認為您的 Microsoft 365 組織的訪客成員。

當使用者點擊“接受邀請”鏈接時，Microsoft 要求使用者登錄 Azure。但是，由於使用者沒有密碼，他們應使用“忘記密碼”鏈接來創建新密碼。

一旦新的訪客使用者登錄，Microsoft 要求他們授予訪問權限給他們加入的組織。

還需閱讀Azure AD 角色和權限：為使用者和群組分配和管理角色

在 Azure 入口網站為訪客使用者分配許可證

創建外部使用者後，確保與內部 Office 365 使用者進行安全協作的一種方法是為外部使用者授予許可證。按照以下步驟為訪客使用者分配許可證。

1. 在 Azure 门户中打开用户。单击 Licenses。

2. 然后，在许可证页面上，单击 Assignments。

3. 最后，选择要分配给用户的许可证，配置许可证详细信息，然后单击 Save。

在 Azure 门户中将外部 Office 365 用户添加到组

与外部 Office 365 用户安全合作的另一种方式是通过组和角色分配。在本小节中，我们讨论将访客用户添加到 Azure AD 组中。

之后，我们将解释如何从 Azure 门户为他们分配 Azure AD 角色。

要将用户添加到组中，请从用户属性页面上单击组。然后，单击“+ 添加成员”。

最后，选中要将用户添加到的每个组旁边的复选框，然后单击 Select 按钮。

在 Azure 门户中为访客用户分配 Azure AD 角色

1. 在 Azure 门户中打开 Azure Active Directory 中的外部用户。
2. 然后，单击“已分配的角色”，->“+ 添加分配”。

3. 一旦“添加分配”页面打开，选择要分配给访客帐户的 Azure AD 角色，然后单击“下一步”。

4. 在设置页面上，选择 分配类型，然后单击“分配”。

在 Azure 门户中删除外部用户

要删除外部 Azure AD 用户，请在 Azure AD 门户中点击用户属性页面的概述选项卡。然后，选择删除按钮，最后点击删除以确认。

还可阅读Office 365 群组：创建和管理协作群组

方法 2：使用 Windows PowerShell 管理外部用户和访客

本节中的命令需要AzureADPreview 和ExchangeOnlineManagement PowerShell 模块。因此，在继续之前，我们需要安装这 2 个模块。

值得一提的是，在安装这些模块后，在运行 Azure AD 命令之前，我们必须首先运行Connect-AzureAD命令。同样，在运行 Exchange Online 命令之前，运行 Connect-ExchangeOnline 命令是必需的。

Connect-AzureAD 和 Connect-ExchangeOnline 命令分别对 Azure Active Directory 和 Exchange Online 进行身份验证。

安装 AzureADPreview 和 ExchangeOnlineManagement

1. 通過搜索並點擊“以系統管理員身份運行”來以系統管理員身份打開 PowerShell。

2. 一旦 PowerShell 打開，運行以下命令將執行策略設置為 RemoteSigned。此執行策略允許運行從互聯網下載的模塊。

powershell.exe -ExecutionPolicy RemoteSigned

3. 安裝 AzureADPreview 和 ExchangeOnlineManagement 模塊，使用此命令。

Install-Module -Name AzureADPreview, ExchangeOnlineManagement, Az.Resources -AllowClobber -Force

4. 安裝模塊後，使用 Import-Module 命令將其導入到當前的 PowerShell 會話中。

Import-Module AzureADPreview, ExchangeOnlineManagement, Az.Resources

5. 最後，運行 Get-Module 命令來確認這些模塊在您的電腦上可用。

Get-Module -Name AzureADPreview, ExchangeOnlineManagement, Az.Resources

還可閱讀嘗試 Office 365 授權報告工具（InfraSOS）

使用 Exchange Online PowerShell 命令為外部用戶添加郵件聯絡人

1. 运行 Connect-ExchangeOnline 命令以對 Exchange Online 帳戶進行身份驗證。將 sudo 電子郵件地址更改為您的 Azure 登錄電子郵件。

Connect-ExchangeOnline -Credential (Get-Credential name@domainname.com)

當您按下 Enter 鍵執行命令時，PowerShell 會提示輸入密碼。輸入密碼並點擊確定。

2. 成功登錄後，使用 New-MailContact 命令創建郵件聯絡人。

New-MailContact -Name "Victor Ashiedu (Gmail)" -ExternalEmailAddress "[email protected]"

執行命令後，在Exchange Online管理中心顯示郵件聯絡人 – admin.exchange.microsoft.com/#/contacts。下面的截圖顯示了在Exchange Online管理員入口網站中的命令和聯絡人。

還可閱讀使用InfraSOS Azure AD Guest Reports & Auditing Tool

使用AzureAD PowerShell命令將來賓使用者邀請至Microsoft 365

使用New-MgInvitation命令可邀請外部使用者加入Microsoft 365組織。但在執行New-MgInvitation之前，必須執行Connect-MgGraph命令，並搭配所需的範圍。

談到範圍，邀請外部使用者需要User.ReadWrite.All。同時，分配使用者許可證需要Organization.Read.All範圍。

在接下來的步驟中，我們將解釋執行命令以確保與Office 365外部使用者的協作的詳細資訊。

1. 通過執行Connect-AzureAD命令來對Azure AD進行身份驗證。

Connect-AzureAD -Credential (Get-Credential name@domainname.com)

PowerShell提示輸入Azure電子郵件密碼。輸入密碼，然後點擊確定。

2. 執行 Connect-MgGraph 命令來請求訪問 Microsoft Graph。

Connect-MgGraph -Scopes User.ReadWrite.All, Organization.Read.All

此命令將顯示登錄彈出窗口。使用您的 Azure AD 帳戶進行登錄。

登錄後，在 Microsoft Graph 權限請求彈出窗口中勾選“代表您的組織同意”並點擊接受。

3. 通過運行 New-MgInvitation 命令邀請外部用戶加入您的 Azure 租戶。使用上一小節中創建郵件聯絡時使用的相同電子郵件地址。

New-MgInvitation -InvitedUserDisplayName "Victor Ashiedu (Gmail)" -InvitedUserEmailAddress name@domainname.com -InviteRedirectUrl "https://myapplications.microsoft.com" -SendInvitationMessage:$true

當此命令成功運行時，PowerShell 會顯示確認信息。此外，您邀請的用戶應該會收到一封郵件。

請邀請的用戶接受邀請並登錄。但是，由於該用戶沒有密碼，請他們使用“忘記密碼”鏈接來創建新密碼。

4. 為確認該用戶是否存在於您的 Microsoft 365 租戶中，請使用此示例命令。

Get-AzureADUser -Filter "displayname eq 'Victor Ashiedu (Gmail)'"

使用者類型應為“來賓”。

使用 AzureAD PowerShell 命令將外部 Office 365 用戶添加到組中

1. 獲取使用者的 ObjectID

$userRefObjectId = (Get-AzureADUser -Filter "displayname eq 'Victor Ashiedu (Gmail)'").ObjectID

2. 獲取要添加外部用戶的組 ID

$groupObjectId = (Get-AzureADGroup -Filter "displayname eq 'Helpdesk administrators'" ).ObjectID

3. 將外部 Azure AD 用戶添加到組中

Add-AzureADGroupMember -ObjectId $groupObjectId -RefObjectId $userRefObjectId

使用 AzureAD PowerShell 命令為來賓用戶分配 Azure AD 角色

1. 獲取外部用戶的 ID。

$userId = (Get-AzureADUser -Filter "displayname eq 'Victor Ashiedu (Gmail)'").ObjectID

2. 接下來，獲取要分配給來賓用戶的 Azure AD 角色名稱。

$roleassignmentname = (Get-AzRoleDefinition | where-object {$_.name -eq "Security Admin"}).Name

3. 確定角色分配的範圍。將veeambackup21更改為您要分配用戶訪問權限的資源名稱。

$scoperesourceID = (Get-AzResource | Where-object {$_.name -eq "veeambackup21"}).ResourceID

4. 最後，將該角色分配給外部AD用戶。

New-AzRoleAssignment -ObjectId $userid -RoleDefinitionName $roleassignmentname -Scope $scoperesourceID

另外閱讀Office 365 Teams：使用和管理Microsoft Teams進行協作

在Office 365中進行安全協作：管理外部共享和訪客訪問的結論

組織與外部用戶合作，而Office 365提供了一種安全方式來管理這種不可避免的協作，即允許創建外部或訪客用戶。該過程涉及啟動訪客用戶加入組織的Microsoft 365租戶。

一旦外部用戶接受邀請，該用戶將被授予許可證，添加到組中，或分配給Azure AD角色。

這使得外部用戶能夠與內部用戶安全協作。

本文提供了一個詳細的逐步指南，介紹如何將外部用戶添加到Microsoft 365並執行分配用戶許可證、將訪客用戶添加到組，或分配Azure角色等任務。

我們討論了如何從Exchange Online管理員和Azure閘道進行這些任務的步驟。此外，我們解釋了如何使用Windows PowerShell管理外部用戶。

Source:
https://infrasos.com/secure-collaboration-in-office-365-manage-external-sharing-guest-access/