Poradniki 8 min czytania

Dostęp zewnętrzny w Microsoft 365 – bezpieczna konfiguracja

Współpraca z klientami, partnerami i podwykonawcami wymaga sprawnego udostępniania zasobów – dokumentów, kanałów Teams czy folderów w chmurze. Microsoft 365 oferuje do tego rozbudowane mechanizmy, które przy złej konfiguracji stają się furtką dla wycieku danych firmowych. Dowiedz się, jak je bezpiecznie ustawić krok po kroku.

Co to jest dostęp zewnętrzny w Microsoft 365 i dlaczego to ryzyko

Microsoft 365 rozróżnia dwa pojęcia, które są często mylone:

  • Udostępnianie zewnętrzne (external sharing) – wysyłanie linków do plików i folderów osobom spoza organizacji, bez konieczności posiadania przez nie firmowego konta.
  • Dostęp gości (guest access) – zaproszenie konkretnej osoby spoza organizacji jako gościa (konto Azure AD B2B), która po zalogowaniu korzysta z Teams, SharePoint i innych zasobów.

Z perspektywy bezpieczeństwa MŚP najczęstsze problemy to:

  • Pliki udostępniane anonimowo przez linki bez daty wygaśnięcia – link krąży latami, firma nie wie, kto go posiada.
  • Goście zaproszeni do kanału Teams, którzy mają dostęp do historii konwersacji i plików sprzed wielu miesięcy.
  • Brak monitorowania – nikt w firmie nie wie, ile aktywnych kont gości istnieje w katalogu.

Zanim zaczniesz konfigurację, ustal politykę: kto w firmie może zapraszać gości, do jakich zasobów i na jak długo. Bez tej decyzji nawet najlepsze ustawienia techniczne nie przyniosą efektu.

Globalne ustawienia udostępniania – od czego zacząć w centrum administracyjnym

Ustawieniami dostępu zewnętrznego zarządzasz z trzech miejsc:

  1. Microsoft Entra ID (Azure AD) → Tożsamości zewnętrzne → Ustawienia współpracy zewnętrznej
  2. SharePoint Admin Center → Zasady → Udostępnianie
  3. Teams Admin Center → Ustawienia w całej organizacji → Dostęp gości

Zacznij od Entra ID, bo jest nadrzędne wobec pozostałych. Przejdź do: portal.azure.com → Azure Active Directory → Tożsamości zewnętrzne → Ustawienia współpracy zewnętrznej i skonfiguruj:

  • Kto może zapraszać gości? Zmień domyślną opcję 'Wszyscy użytkownicy' na 'Użytkownicy z określoną rolą administratora' lub 'Nikt' (jeśli chcesz, by tylko IT zapraszało).
  • Zaproszenia od gości – wyłącz opcję, by goście mogli zapraszać kolejnych gości. To krytyczne ustawienie.
  • Jednorazowy kod OTP – włącz dla gości, którzy nie mają kont Microsoft ani Google. Bezpieczniejsza alternatywa niż anonimowe linki.

Pamiętaj: nawet jeśli SharePoint pozwala na szersze udostępnianie, Entra ID może je zablokować. To ustawienia bazowe – skonfiguruj je jako pierwsze.

SharePoint i OneDrive – kontrola poziomów udostępniania plików

SharePoint Admin Center oferuje cztery poziomy udostępniania. Wybierz właściwy dla swojej firmy:

  • Tylko organizacja – brak udostępniania zewnętrznego. Maksymalne bezpieczeństwo, ale brak możliwości pracy z zewnętrznymi partnerami.
  • Istniejący goście – wyłącznie osoby już obecne w katalogu (konta B2B). Dobre dla firm z ustaloną listą partnerów.
  • Nowi i istniejący goście – zapraszanie nowych osób przez e-mail z weryfikacją. Rekomendowane dla większości MŚP.
  • Wszyscy – anonimowe linki bez logowania. Unikaj tego ustawienia w środowisku firmowym.

Kluczowe opcje w SharePoint Admin Center → Zasady → Udostępnianie:

  • Ustaw domyślny typ linku na 'Osoby w organizacji', nie 'Wszyscy z linkiem'.
  • Włącz datę wygaśnięcia linków anonimowych – zalecane maksimum to 30 dni.
  • Ogranicz udostępnianie do wybranych domen zewnętrznych (np. lista zatwierdzonych klientów).
  • Wyłącz opcję ponownego udostępniania przez gości – goście nie powinni przesyłać linków dalej.

Na poziomie konkretnych witryn możesz ustawić ograniczenia bardziej restrykcyjne niż globalne, ale nie możesz ich poluzować. To ważna zasada: centrum administracyjne definiuje sufit, a nie podłogę.

Guest access w Microsoft Teams – co widzą i mogą robić goście

Włącz dostęp gości w: Teams Admin Center → Ustawienia w całej organizacji → Dostęp gości. Domyślnie może być wyłączony – włącz go świadomie, gdy jest potrzebny.

Gdy gość zostanie zaproszony do kanału Teams, ma dostęp do:

  • Wiadomości w tym kanale (w tym historycznych, jeśli nie ograniczysz okresu retencji).
  • Plików w tym kanale (przechowywanych w SharePoint).
  • Spotkań i rozmów głosowych, jeśli pozwolisz.

Czego gość nie widzi domyślnie:

  • Innych kanałów i zespołów, do których nie został zaproszony.
  • Pełnej listy użytkowników organizacji.
  • Innych plansz i aplikacji, do których nie ma dostępu.

Zalecane ustawienia dla MŚP w Teams Admin Center:

  • Wyłącz gościom możliwość usuwania wiadomości.
  • Ogranicz udostępnianie ekranu, jeśli goście nie prowadzą prezentacji.
  • Rozważ wyłączenie prywatnych rozmów z pracownikami (mogą omijać archiwizację firmową).
  • Wymuś MFA dla gości przez politykę Conditional Access w Entra ID.

Goście logują się swoim kontem (Microsoft, Google lub OTP) – nie tworzysz dla nich nowych haseł w Twojej domenie.

Azure AD B2B – zarządzanie cyklem życia kont gości

Każda zaproszona osoba staje się obiektem w Twoim katalogu Entra ID z typem 'Gość'. Znajdziesz ich w: Entra ID → Użytkownicy → filtr: Typ użytkownika = Gość.

Dobre praktyki zarządzania kontami gości:

  • Przeglądy dostępu (Access Reviews) – uruchamiaj cyklicznie, np. co kwartał. Właściciele grup Teams automatycznie otrzymają pytanie, czy dany gość nadal potrzebuje dostępu. Funkcja dostępna w planach Azure AD P2 lub Microsoft 365 Business Premium.
  • Automatyczne wygaśnięcie kont – w ustawieniach Entra ID skonfiguruj usuwanie kont gości nieaktywnych przez 90 dni. Aktywne konta byłych partnerów to realne ryzyko.
  • Konwencja nazw wyświetlanych – konta gości mają techniczny format z rozszerzeniem #EXT#. Zadbaj, by nazwa wyświetlana była czytelna, np. Jan Kowalski (Firma ABC) – ułatwia audyt.

Raz na kwartał pobierz raport aktywnych gości (PowerShell lub centrum administracyjne) i skonfrontuj go z właścicielami projektów. Nieusunięte konta byłych współpracowników, którzy zmienili pracodawcę, to jeden z najczęstszych wektorów wycieku danych w MŚP.

Monitorowanie i lista kontrolna wdrożenia dla MŚP

Sama konfiguracja to za mało – musisz wiedzieć, co dzieje się z zewnętrznym dostępem na co dzień. Narzędzia do monitorowania:

  • Centrum administracyjne M365 → Raporty → Użycie – aktywność gości w Teams i SharePoint.
  • Dziennik audytu (Microsoft Purview) – filtruj zdarzenia po typach: SharingInvitationCreated, AnonymousLinkCreated, GuestUserAdded. Dostępny w planach Business Premium i E3/E5.
  • Microsoft Defender for Cloud Apps – wykrywa anomalie, np. masowe pobieranie plików przez konto gościa.

Minimalna lista kontrolna przed wdrożeniem dostępu zewnętrznego:

  1. Zapisz w polityce IT, kto może zapraszać gości i do jakich zasobów.
  2. Wyłącz anonimowe linki lub skróć ich czas życia do maksymalnie 30 dni.
  3. Ogranicz uprawnienie do zapraszania gości do wyznaczonych ról (manager, IT admin).
  4. Skonfiguruj przeglądy dostępu (Access Reviews) z częstotliwością kwartalną.
  5. Ustaw automatyczne wygaśnięcie nieaktywnych kont gości po 90 dniach.
  6. Włącz alerty w Purview na masowe udostępnianie plików przez gości.

Jeśli Twoja firma nie ma dedykowanego administratora M365, rozważ zewnętrzne wsparcie IT – błędy w konfiguracji dostępu zewnętrznego należą do najczęstszych przyczyn wycieków danych w małych firmach.

Poziomy udostępniania zewnętrznego w SharePoint Online – porównanie
Poziom udostępnianiaKto ma dostępWymagane logowanieZalecenie dla MŚP
Tylko organizacjaWyłącznie pracownicy firmyTak (konto firmowe)Maksymalne bezpieczeństwo
Istniejący gościePracownicy + wcześniej zaproszeni goście B2BTak (konto Microsoft / Google / OTP)Dla stałych, zaufanych partnerów
Nowi i istniejący gościePracownicy + nowi goście zapraszani przez e-mailTak (weryfikacja e-mail)Standardowe środowisko B2B – zalecane
Wszyscy (anonimowe linki)Każda osoba z linkiem, bez logowaniaNieNie zalecane w środowisku firmowym

Chcesz sprawdzić, kto ma dostęp do zasobów Twojej firmy?

Nieprawidłowa konfiguracja dostępu zewnętrznego w Microsoft 365 to jedno z najczęstszych źródeł wycieków danych w MŚP. Zespół NovaSys przeprowadzi audyt Twojego środowiska M365, zidentyfikuje luki w ustawieniach i skonfiguruje bezpieczne zasady dostępu dla gości i partnerów zewnętrznych.

Zamów audyt Microsoft 365 Bezpłatna konsultacja