fbpx

Wie können wir Ihnen heute helfen?

Externe B2B-Dateifreigabe von Windows-Dateifreigaben mit MyWorkDrive- und Azure Active Directory-Gastkonten

Du bist da:
< Zurück

Übersicht über die externe MyWorkDrive-B2B-Dateiordnerfreigabe

Lizenzierte Enterprise+-Kunden, die die MyWorkDrive Azure AD-Integration zur Authentifizierung nutzen, können jetzt ganz einfach externe Gastbenutzer zur Zusammenarbeit an Windows-Dateifreigaben einladen.

Mit dieser Funktion werden externe Benutzer als Gastbenutzer zu Azure AD eingeladen. Sie erhalten per E-Mail eine Einladung zur Teilnahme. Sobald sie eingelöst und angemeldet sind, werden sie von MyWorkDrive imitiert, um ihnen ihre zulässigen Ordner anzuzeigen. Durch das Einladen externer Benutzer zu Azure AD muss der Administrator keine Anmeldungen, Kennwörter oder Authentifizierungen von Gastbenutzern verwalten, während der Gastbenutzer dennoch uneingeschränkt mit internen Benutzern an Dateien und Ordnern innerhalb der MyWorkDrive-Dateifreigabe zusammenarbeiten kann.

Weitere Einzelheiten dazu, wie dies funktioniert, finden Sie in diesem Microsoft Support-Artikel: https://docs.microsoft.com/en-us/azure/active-directory/b2b/hybrid-cloud-to-on-premises und in unserem B2B-Filesharing-Video.

 

Um die Gastbenutzerfreigabe in MyWorkDrive zu implementieren, wird für den eingeladenen Gast ein Benutzerkonto in Active Directory erstellt, das wir imitieren können, und so eingestellt, dass sich der eingeladene Gastbenutzer nicht interaktiv anmelden kann – nur über AzureAD. Nach der Anmeldung bei Azure AD gibt sich der Benutzer als dieser Benutzer aus, um ihm seine Windows-Dateifreigaben anzuzeigen.

Im Gegensatz zur externen Linkfreigabe mit OneDrive- oder Sync & Share-Systemen kann der Gastbenutzer vollständig mit internen Benutzern an Dateien und Ordnern zusammenarbeiten. Aus Sicht der Sicherheit und des Supports müssen keine Kennwortzurücksetzungen verwaltet werden, und die Sicherheit kann für Azure AD-Gastkonten aktiviert werden, um die Multi-Factor Authentication zur Überprüfung der Benutzeridentitäten zu erfordern.

Um umgekehrt Windows-Dateifreigaben zu ermöglichen, anonymen externen Zugriff über Links bereitzustellen, müsste die Sicherheit beeinträchtigt werden, indem Kennwort-Hashes in einer Datenbank gespeichert oder dem Servercomputerkonto vollständiger Schreibzugriff auf alle Windows-Dateifreigaben gewährt wird. Wir haben konkurrierende Produkte gesehen, die Passwort-Hashes für Freigaben in einer Datenbank speichern, die Rechte für alle Freigaben auf Root-Ebene haben.

Wir haben uns entschieden, solch ein extremes Sicherheitsrisiko zu vermeiden; Vermeidung von Integrationen, die das Speichern von Passwort-Hashes erfordern oder uneingeschränkten Zugriff auf Dateifreigaben ermöglichen. Unsere gewählte Methode vermeidet auch Probleme wie das Umbenennen von freigegebenen Ordnern und das Unterbrechen von Freigabelinks oder das Speichern von Dateien in Datenbanken, was den Zweck des Zugriffs auf Dateien in Windows-Dateifreigaben zunichte macht, ohne sie zu migrieren.

 


Voraussetzungen

  • Richten Sie den MyWorkDrive-Server für die Verwendung von Azure AD SAML ein
  • MyWorkDrive Server 6.0 oder höher mit Enterprise Plus-Lizenz
  • Erstellen Sie in Active Directory eine Organisationseinheit zum Speichern externer Benutzer
  • Erstellen Sie eine Active Directory-Gruppe für Gastbenutzer und erteilen Sie ihr die NTFS-Berechtigung für die Dateifreigabe(n).
  • Fügen Sie die Active Directory-Gruppe zur Freigabe in MyWorkDrive hinzu
  • Enterprise Plus MyWorkDrive-Abonnementlizenz

Detaillierte Einrichtungsschritte für die Ordnerfreigabe durch Gastbenutzer

Richten Sie den MyWorkDrive-Server so ein, dass er Azure AD SAML mit Delegierung oder eingeschränkter Kerberos-Delegierung für die Dateifreigaben verwendet

Es ist notwendig, MyWorkDrive mithilfe unserer SAML-Integration in Azure AD zu integrieren. Das Azure-Verzeichnis wird zum Authentifizieren und Speichern von Gastbenutzern verwendet. Es muss weder dasselbe Azure Active Directory sein, das vom Unternehmen verwendet wird, noch muss das Unternehmen Azure AD für die MyWorkDrive-Authentifizierung des internen Benutzers verwenden. Folgen Sie hier unserem Support-Artikel um die Azure AD SAML-Authentifizierung in MyWorkDrive einzurichten.

Erstellen Sie in Azure AD eine Gruppe für Gastbenutzer, die verwendet wird, um den Zugriff auf die MyWorkDrive-SAML-App nachzuverfolgen oder zuzulassen

Erstellen Sie in Azure AD eine cloudbasierte Gruppe für externe Gastbenutzer, die die MyWorkDrive Enterprise SAML-App verwenden dürfen, und fügen Sie diese Gruppe hinzu, damit sich diese Benutzer anmelden können.

In Azure AD erstellte Gruppe – zum Beispiel „MWD-Guest“:
Wenn Sie verlangen, dass der App Benutzer zugewiesen werden, um sich anzumelden (die SAML-App-Eigenschaften „Benutzerzuweisung erforderlich“ ist auf „Ja“ gesetzt), fügen Sie die AAD-Gruppe zu Ihrer MyWorkDrive-SAML-App hinzu, um die Anmeldung durch Gastbenutzer zuzulassen:

Erstellen Sie in Active Directory eine Organisationseinheit zum Speichern externer Benutzer

Erstellen Sie in Active Directory eine Organisationseinheit zum Speichern aller externen Gastbenutzer. Dies erleichtert später das Verwalten, Entfernen oder Bearbeiten externer Gastbenutzer erheblich. Die Gastbenutzer werden hier erstellt und gespeichert. Sie werden auf SmartCardLogonRequired gesetzt, um die Anmeldung mit Benutzername/Kennwort zu verhindern, da wir sie stattdessen mit Delegierung imitieren. Diese Benutzer werden auch aus den Domänenbenutzern entfernt, um den Zugriff auf interne Ressourcen zu verhindern. Wenn Ihr Unternehmen Ihr Active Directory mithilfe von AD Sync mit Azure AD synchronisiert, stellen Sie sicher, dass dies der Fall ist Schließen Sie diese OU von der automatischen Synchronisierung aus.

Erstellen Sie eine Active Directory-Gastbenutzergruppe

Erstellen Sie in Active Directory eine Gastbenutzergruppe. Externe Gastbenutzer werden dieser Gruppe als ihre primäre Active Directory-Gruppe hinzugefügt und aus der Standarddomänenbenutzergruppe entfernt. Diese Active Directory-Gruppe kann auch verwendet werden, um NTFS-Berechtigungen für die Freigaben zu erteilen, die Sie ewigen Benutzern in MyWorkDrive zur Verfügung stellen möchten.

Erstellen Sie die Azure AD Enterprise-App-Registrierung

Damit der MWD-Server automatisch Gastbenutzer in Azure AD erstellen und verwalten kann, muss eine Azure AD Enterprise App erstellt werden. Die AAD-App kann manuell oder mit unserem PowerShell-Skript erstellt werden.

Automatische Powershell-Registrierung

Laden Sie unsere herunter und führen Sie sie aus PowerShell Azure AD-App-Erstellungsskript als Administrator vom MWD Server. Das Skript fordert Sie zur Eingabe des Azure AD-Domänennamens und des Anwendungsnamens auf und fordert Sie mehrmals auf, sich bei Azure AD anzumelden, um Ihre AAD-App zu autorisieren.

Das Skript erstellt automatisch Ihre Unternehmens-App-Registrierung und speichert die resultierende Anwendungs-ID und Mandanten-ID im MWD-Admin-Panel unter Unternehmenseinstellungen.

Um die Verbindung mit AzureAD herzustellen, kopieren Sie das Anwendungsgeheimnis-Handbuch und fügen es in das MWD-Verwaltungsfenster unter Unternehmenseinstellungen, Gastbenutzereinstellungen ein.

Schließen Sie die Einrichtung ab, indem Sie die Gastbenutzerfreigabe unter Unternehmenseinstellungen aktivieren – Azure AD SAML: Gastbenutzer: Geben Sie die OU Ihrer Gastbenutzer, die von Azure AD erstellte Benutzergruppe und die Active Directory-Gruppe ein. Klicken Sie auf Speichern.

Manuelle Registrierung:

Registrieren Sie die MWD-Admin-Panel-Anwendung in Ihrem Azure-Konto.

Das MWD-Admin-Panel benötigt die folgenden Berechtigungen:
Verzeichnis.alle.lesen
Benutzer.Alle.Einladen
Benutzer.ReadWrite.All.
GroupMember.ReadWrite.All

 

Speichern Sie die resultierende Anwendungs-/Client-ID, Verzeichnis-/Mandanten-ID und Client-Secret zum Einfügen in das MyWorkDrive-Gastbenutzer-Setup unter Unternehmenseinstellungen.

Erstellen Sie das Anwendungsgeheimnis und fügen Sie es in MyWorkDrive ein.

Aktivieren Sie die Gastbenutzerfreigabe

Schließen Sie die Einrichtung ab, indem Sie die Gastbenutzerfreigabe unter Unternehmenseinstellungen – Azure AD SAML – Gastbenutzer aktivieren: Geben Sie die OU Ihrer Gastbenutzer, die von Azure AD erstellte Benutzergruppe und die Active Directory-Gruppe ein.

Wenn Sie unser automatisiertes Powershell-Skript verwendet haben, sind die App-ID, die App-Tenant-ID und das App-Geheimnis bereits vorausgefüllt. Wenn nicht, fügen Sie diese Einstellungen manuell ein.

Akzeptieren oder ändern Sie das Benutzernamen-Präfix nach Bedarf, um allen Gastbenutzer-Benutzernamen ein Präfix hinzuzufügen, um bei der Unterscheidung oder Suche nach Gastbenutzern in Active Directory nach Bedarf zu helfen.

Aktivieren und laden Sie Gastbenutzer zu einer Freigabe ein

Wählen oder erstellen Sie eine Active Directory-Gruppe für die Freigabe

Bevor Sie den Gastfreigabezugriff auf eine MyWorkDrive-Freigabe aktivieren, erstellen Sie entweder eine neue eindeutige Active Directory-Gruppe, die zum Zuweisen von NTFS-Berechtigungen für jede Dateifreigabe verwendet wird, oder verwenden Sie eine vorhandene Gruppe (dies kann dieselbe Gruppe sein, die als Standard verwendet wurde Domänengruppe, die auf Gastbenutzer angewendet wird, wenn der Gastbenutzerzugriff in den Unternehmenseinstellungen aktiviert wird).

Fügen Sie eine vorhandene Gruppe zu NTFS-Berechtigungen auf der Dateifreigabe hinzu

Aktivieren Sie die Gastbenutzerfreigabe für eine Freigabe

Klicken Sie auf den Schieberegler und aktivieren Sie Gastbenutzerzugriff. Suchen Sie nach der gewünschten NTFS-Berechtigungsgruppe, zu der Gastbenutzer hinzugefügt werden, und wählen Sie sie aus.


Klicken Sie auf „Neu“, um den externen Gastbenutzer einzuladen


Klicken Sie zum Bestätigen und auf Speichern, um die Aktivierung der Gastbenutzerfreigabe auf der Freigabe abzuschließen.

Komplette Einrichtung

Nach dem Einladen des Gastbenutzers wird der externe Gastbenutzer intern und extern in Azure AD erstellt und eine E-Mail-Einladung gesendet.

Wenn sie auf Einladung annehmen klicken, werden sie aufgefordert, sich bei einem Microsoft-Konto anzumelden oder ein Microsoft-Konto zu erstellen, zusammen mit allen erforderlichen MFAs oder Validierungen. Nach der Authentifizierung werden sie bei MyWorkDrive angemeldet und sehen die Freigaben, für die sie unter Ihrer MyWorkDrive-Server-Webadresse bereitgestellt werden.

Beachten Sie, dass es aufgrund der Weitergabe bis zu 15 Minuten nach der Erstellung dauern kann, bis der neue Benutzer über alle AD-Segmente hinweg synchronisiert und eine erfolgreiche Anmeldung abgeschlossen ist.

Gastbenutzer verwalten

Gastbenutzer können in Active Directory und Azure AD jederzeit einfach deaktiviert oder entfernt werden. Eingeladenen Benutzern können E-Mail-Einladungen erneut gesendet oder in Azure AD entfernt werden. Auf externe Gastbenutzer kann auch über die Unternehmensseite zugegriffen werden:


Wählen Sie nach dem Klicken den Benutzer aus, um E-Mail-Einladungen erneut zu senden, oder entfernen Sie ihn als Gastbenutzer aus Active Directory und Azure AD. Löschen entfernt sie sowohl aus AzureAD als auch aus LocalAD.