fbpx

Wie können wir Ihnen heute helfen?

Externe B2B-Dateifreigabe von Windows-Dateifreigaben mit MyWorkDrive- und Azure Active Directory-Gastkonten

Du bist da:
< Zurück

Übersicht über die externe MyWorkDrive-B2B-Dateiordnerfreigabe

Lizenzierte Enterprise+-Kunden, die die MyWorkDrive Azure AD-Integration zur Authentifizierung nutzen, können jetzt ganz einfach externe Gastbenutzer zur Zusammenarbeit an Windows-Dateifreigaben einladen.

Mit dieser Funktion werden externe Benutzer als Gastbenutzer zu Azure AD eingeladen. Sie erhalten per E-Mail eine Einladung zur Teilnahme. Sobald sie eingelöst und angemeldet sind, werden sie von MyWorkDrive imitiert, um ihnen ihre zulässigen Ordner anzuzeigen. Durch das Einladen externer Benutzer zu Azure AD muss der Administrator keine Anmeldungen, Kennwörter oder Authentifizierungen von Gastbenutzern verwalten, während der Gastbenutzer dennoch uneingeschränkt mit internen Benutzern an Dateien und Ordnern innerhalb der MyWorkDrive-Dateifreigabe zusammenarbeiten kann.

Weitere Einzelheiten dazu, wie dies funktioniert, finden Sie in diesem Microsoft Support-Artikel: https://docs.microsoft.com/en-us/azure/active-directory/b2b/hybrid-cloud-to-on-premises und in unserem B2B-Filesharing-Video.

Um die Gastbenutzerfreigabe in MyWorkDrive zu implementieren, wird für den eingeladenen Gast ein Benutzerkonto in Active Directory erstellt, das wir imitieren können, und so eingestellt, dass sich der eingeladene Gastbenutzer nicht interaktiv anmelden kann – nur über AzureAD. Nach der Anmeldung bei Azure AD gibt sich der Benutzer als dieser Benutzer aus, um ihm seine Windows-Dateifreigaben anzuzeigen.

Im Gegensatz zur externen Linkfreigabe mit OneDrive- oder Sync & Share-Systemen kann der Gastbenutzer vollständig mit internen Benutzern an Dateien und Ordnern zusammenarbeiten. Aus Sicht der Sicherheit und des Supports müssen keine Kennwortzurücksetzungen verwaltet werden, und die Sicherheit kann für Azure AD-Gastkonten aktiviert werden, um die Multi-Factor Authentication zur Überprüfung der Benutzeridentitäten zu erfordern.

Um umgekehrt Windows-Dateifreigaben zu ermöglichen, anonymen externen Zugriff über Links bereitzustellen, müsste die Sicherheit beeinträchtigt werden, indem Kennwort-Hashes in einer Datenbank gespeichert oder dem Servercomputerkonto vollständiger Schreibzugriff auf alle Windows-Dateifreigaben gewährt wird. Wir haben konkurrierende Produkte gesehen, die Passwort-Hashes für Freigaben in einer Datenbank speichern, die Rechte für alle Freigaben auf Root-Ebene haben.

Wir haben uns entschieden, solch ein extremes Sicherheitsrisiko zu vermeiden; Vermeidung von Integrationen, die das Speichern von Passwort-Hashes erfordern oder uneingeschränkten Zugriff auf Dateifreigaben ermöglichen. Unsere gewählte Methode vermeidet auch Probleme wie das Umbenennen von freigegebenen Ordnern und das Unterbrechen von Freigabelinks oder das Speichern von Dateien in Datenbanken, was den Zweck des Zugriffs auf Dateien in Windows-Dateifreigaben zunichte macht, ohne sie zu migrieren.

 


 

Voraussetzungen

  • Richten Sie den MyWorkDrive-Server für die Verwendung von Azure AD SAML ein
  • MyWorkDrive Server 6.0 oder höher mit Enterprise Plus-Lizenz
  • Erstellen Sie in Active Directory eine Organisationseinheit zum Speichern externer Benutzer
  • Erstellen Sie eine Active Directory-Gruppe für Gastbenutzer und erteilen Sie ihr die NTFS-Berechtigung für die Dateifreigabe(n).
  • Fügen Sie die Active Directory-Gruppe zur Freigabe in MyWorkDrive hinzu
  • Enterprise Plus MyWorkDrive-Abonnementlizenz

Detaillierte Einrichtungsschritte für die Ordnerfreigabe durch Gastbenutzer

Richten Sie den MyWorkDrive-Server so ein, dass er Azure AD SAML mit Delegierung oder eingeschränkter Kerberos-Delegierung für die Dateifreigaben verwendet

Es ist notwendig, MyWorkDrive mithilfe unserer SAML-Integration in Azure AD zu integrieren. Das Azure-Verzeichnis wird zum Authentifizieren und Speichern von Gastbenutzern verwendet. Es muss weder dasselbe Azure Active Directory sein, das vom Unternehmen verwendet wird, noch muss das Unternehmen Azure AD für die MyWorkDrive-Authentifizierung des internen Benutzers verwenden. Folgen Sie hier unserem Support-Artikel um die Azure AD SAML-Authentifizierung in MyWorkDrive einzurichten.

Erstellen Sie in Azure AD eine Gruppe für Gastbenutzer, die verwendet wird, um den Zugriff auf die MyWorkDrive-SAML-App nachzuverfolgen oder zuzulassen

Erstellen Sie in Azure AD eine cloudbasierte Gruppe für externe Gastbenutzer, die die MyWorkDrive Enterprise SAML-App verwenden dürfen, und fügen Sie diese Gruppe hinzu, damit sich diese Benutzer anmelden können.

In Azure AD erstellte Gruppe – zum Beispiel „MWD-Guest“:
Wenn Sie verlangen, dass der App Benutzer zugewiesen werden, um sich anzumelden (die SAML-App-Eigenschaften „Benutzerzuweisung erforderlich“ ist auf „Ja“ gesetzt), fügen Sie die AAD-Gruppe zu Ihrer MyWorkDrive-SAML-App hinzu, um die Anmeldung durch Gastbenutzer zuzulassen:

Erstellen Sie in Active Directory eine Organisationseinheit zum Speichern externer Benutzer

Erstellen Sie in Active Directory eine Organisationseinheit zum Speichern aller externen Gastbenutzer. Dies erleichtert später das Verwalten, Entfernen oder Bearbeiten externer Gastbenutzer erheblich. Die Gastbenutzer werden hier erstellt und gespeichert. Sie werden auf SmartCardLogonRequired gesetzt, um die Anmeldung mit Benutzername/Kennwort zu verhindern, da wir sie stattdessen mit Delegierung imitieren. Diese Benutzer werden auch aus den Domänenbenutzern entfernt, um den Zugriff auf interne Ressourcen zu verhindern. Wenn Ihr Unternehmen Ihr Active Directory mithilfe von AD Sync mit Azure AD synchronisiert, stellen Sie sicher, dass dies der Fall ist Schließen Sie diese OU von der automatischen Synchronisierung aus.

Erstellen Sie eine Active Directory-Gastbenutzergruppe

Erstellen Sie in Active Directory eine Gastbenutzergruppe. Externe Gastbenutzer werden dieser Gruppe als ihre primäre Active Directory-Gruppe hinzugefügt und aus der Standarddomänenbenutzergruppe entfernt. Diese Active Directory-Gruppe kann auch verwendet werden, um NTFS-Berechtigungen für die Freigaben zu erteilen, die Sie ewigen Benutzern in MyWorkDrive zur Verfügung stellen möchten.

Erstellen Sie die Azure AD Enterprise-App-Registrierung

Damit der MWD-Server automatisch Gastbenutzer in Azure AD erstellen und verwalten kann, muss eine Azure AD Enterprise App erstellt werden. Die AAD-App kann manuell oder mit unserem PowerShell-Skript erstellt werden.

Automatische Powershell-Registrierung

Laden Sie unsere herunter und führen Sie sie aus PowerShell Azure AD-App-Erstellungsskript als Administrator vom MWD Server. Das Skript fordert Sie zur Eingabe des Azure AD-Domänennamens und des Anwendungsnamens auf und fordert Sie mehrmals auf, sich bei Azure AD anzumelden, um Ihre AAD-App zu autorisieren.

Das Skript erstellt automatisch Ihre Unternehmens-App-Registrierung und speichert die resultierende Anwendungs-ID und Mandanten-ID im MWD-Admin-Panel unter Unternehmenseinstellungen.

Um die Verbindung mit AzureAD herzustellen, kopieren Sie das Anwendungsgeheimnis-Handbuch und fügen es in das MWD-Verwaltungsfenster unter Unternehmenseinstellungen, Gastbenutzereinstellungen ein.

Schließen Sie die Einrichtung ab, indem Sie die Gastbenutzerfreigabe unter Unternehmenseinstellungen aktivieren – Azure AD SAML: Gastbenutzer: Geben Sie die OU Ihrer Gastbenutzer, die von Azure AD erstellte Benutzergruppe und die Active Directory-Gruppe ein. Klicken Sie auf Speichern.

Manuelle Registrierung:

Registrieren Sie die MWD-Admin-Panel-Anwendung in Ihrem Azure-Konto.

Das MWD-Admin-Panel benötigt die folgenden Berechtigungen:
Verzeichnis.alle.lesen
Benutzer.Alle.Einladen
Benutzer.ReadWrite.All.
GroupMember.ReadWrite.All

 

Speichern Sie die resultierende Anwendungs-/Client-ID, Verzeichnis-/Mandanten-ID und Client-Secret zum Einfügen in das MyWorkDrive-Gastbenutzer-Setup unter Unternehmenseinstellungen.

Erstellen Sie das Anwendungsgeheimnis und fügen Sie es in MyWorkDrive ein.

Aktivieren Sie die Gastbenutzerfreigabe

Schließen Sie die Einrichtung ab, indem Sie die Gastbenutzerfreigabe unter Unternehmenseinstellungen – Azure AD SAML – Gastbenutzer aktivieren: Geben Sie die OU Ihrer Gastbenutzer, die von Azure AD erstellte Benutzergruppe und die Active Directory-Gruppe ein.

Wenn Sie unser automatisiertes Powershell-Skript verwendet haben, sind die App-ID, die App-Tenant-ID und das App-Geheimnis bereits vorausgefüllt. Wenn nicht, fügen Sie diese Einstellungen manuell ein.

Akzeptieren oder ändern Sie das Benutzernamen-Präfix nach Bedarf, um allen Gastbenutzer-Benutzernamen ein Präfix hinzuzufügen, um bei der Unterscheidung oder Suche nach Gastbenutzern in Active Directory nach Bedarf zu helfen.

Aktivieren und laden Sie Gastbenutzer zu einer Freigabe ein

Wählen oder erstellen Sie eine Active Directory-Gruppe für die Freigabe

Bevor Sie den Gastfreigabezugriff auf eine MyWorkDrive-Freigabe aktivieren, erstellen Sie entweder eine neue eindeutige Active Directory-Gruppe, die zum Zuweisen von NTFS-Berechtigungen für jede Dateifreigabe verwendet wird, oder verwenden Sie eine vorhandene Gruppe (dies kann dieselbe Gruppe sein, die als Standard verwendet wurde Domänengruppe, die auf Gastbenutzer angewendet wird, wenn der Gastbenutzerzugriff in den Unternehmenseinstellungen aktiviert wird).

Fügen Sie eine vorhandene Gruppe zu NTFS-Berechtigungen auf der Dateifreigabe hinzu

Aktivieren Sie die Gastbenutzerfreigabe für eine Freigabe

Klicken Sie auf den Schieberegler und aktivieren Sie Gastbenutzerzugriff. Suchen Sie nach der gewünschten NTFS-Berechtigungsgruppe, zu der Gastbenutzer hinzugefügt werden, und wählen Sie sie aus.


Klicken Sie auf „Neu“, um den externen Gastbenutzer einzuladen


Klicken Sie zum Bestätigen und auf Speichern, um die Aktivierung der Gastbenutzerfreigabe auf der Freigabe abzuschließen.

Komplette Einrichtung

Nach dem Einladen des Gastbenutzers wird der externe Gastbenutzer intern und extern in Azure AD erstellt und eine E-Mail-Einladung gesendet.

Wenn sie auf Einladung annehmen klicken, werden sie aufgefordert, sich bei einem Microsoft-Konto anzumelden oder ein Microsoft-Konto zu erstellen, zusammen mit allen erforderlichen MFAs oder Validierungen. Nach der Authentifizierung werden sie bei MyWorkDrive angemeldet und sehen die Freigaben, für die sie unter Ihrer MyWorkDrive-Server-Webadresse bereitgestellt werden.

Beachten Sie, dass es aufgrund der Weitergabe bis zu 15 Minuten nach der Erstellung dauern kann, bis der neue Benutzer über alle AD-Segmente hinweg synchronisiert und eine erfolgreiche Anmeldung abgeschlossen ist.

Gastbenutzer verwalten

Gastbenutzer können in Active Directory und Azure AD jederzeit einfach deaktiviert oder entfernt werden. Eingeladenen Benutzern können E-Mail-Einladungen erneut gesendet oder in Azure AD entfernt werden. Auf externe Gastbenutzer kann auch über die Unternehmensseite zugegriffen werden:


Wählen Sie nach dem Klicken den Benutzer aus, um E-Mail-Einladungen erneut zu senden, oder entfernen Sie ihn als Gastbenutzer aus Active Directory und Azure AD. Löschen entfernt sie sowohl aus AzureAD als auch aus LocalAD.

Permitting users to invite guests to shares

New! As of MyWorkDrive server 6.3, you are able to assign users who have access to MyWorkDrive shares the ability to invite guest users to the share using the “Manager” option.
With this new feature, designated users can invite guests to configured shares via the MyWorkDrive Web Client with their regular user login, no admin access to the MyWorkDrive server is required.

Voraussetzungen

  • Guest User Access being enabled (described above)
  • The share having guest user access configured (described above)
  • You will also need to grant the users who have permission to invite users delegated OU permissions in active directory (described below)

Note that the Prerequisites are required to be completed by an administrator in MyWorkDrive administration.

Enabling Managers

Step 1, Enable on Shares

This step is completed in MyWorkDrive Admin.

When Guest User Access is correctly configured, and the share is enabled for guest user sharing, an additional column is enabled in the granular permissions section of file share management titled “Manager”. You will want to manually add individuals you are granting the Manager permission to to the share list using the edit feature.

  • Add the user in question from Active Directory to the share.
    This may be redundant with an existing group configured on the share, but is appropriate as you are granting manager permissions to a specific user.
  • Enable appropriate permissions for the user for Client Access and DLP
    Some columns may not appear depending on enabled clients, drive letter configuration, whether Office Online is enabled, and whether you have DLP enabled or not
  • Enable the Manage feature for the user.

Step 2, Enable in Active Directory

The Manager user(s) must be granted permission to create users in Active Directory. This should be exclusively granted to the OU where the guest accounts are created, and the least priviliged access should be granted.

In Active Directory Users and Computers, find the OU where your guest users are being stored. (this can be found in the Guest User Access configuration on the share)

Right click on the OU in ADUC and select Delegate Control.

Add the appropriate user(s) who should be permitted to invite users.

When selecting permissions, select only

  • Create, delete, and manage user accounts
  • Read all user information
  • Modify the membership of a group

No other permissions are required nor recommended.

Note that changes to Active Directory require time to propagate across all servers in the domain, so users may not be able to immediately use the feature. Most AD Sync processes complete within 15 minutes, though on larger or more distributed domains the process may take up to 1 hour.

 

Managing Guest Users from the MyWorkDrive Web client.

When users with the Manager role enabled sign in to the MyWorkDrive Web client, those shares that are so configured will have an additional button in the menu titled “Manage”

 

Note that the Manage feature for users is only available in the MyWorkDrive Web client.

Clicking on Manage will launch a new window, where the user may be prompted for a secondary login for security purposes.

 

After completing any secondary login (when necessary), a similar interface to managing Guest Users as is shown in Admin is presented to the user.

Existing guests who have been invited to the share will be shown that can be changed/deleted, and links to add an existing guest to a new share or invite a new guest are included.

Using the Edit button will show a list of existing guests on the domain who were previously invited to shares on the MyWorkDrive server and can be additionally granted access to this share.

Using the Add button will permit the Manager to add a user’s name and email to invite them to the share. This follows the same process as inviting a user from the Admin panel and will add the user to Azure AD and Local AD, assign them to the appropriate group, and send them an email with links to accept the invitation and to access the share.

Like inviting through Admin, a confirmation page is shown after the user is added with a link to the Invitation URL and Login URL, in case the manager wishes to manually inform the invited guest user of their access information.