fbpx

¿Cómo podemos ayudarle hoy?

Intercambio de archivos B2B externo de recursos compartidos de archivos de Windows con cuentas de invitado de MyWorkDrive y Azure Active Directory

Estás aquí:
< Atrás

Descripción general del uso compartido de carpetas de archivos B2B externas de MyWorkDrive

Los clientes con licencia Enterprise+ que utilizan la integración de MyWorkDrive Azure AD para la autenticación ahora pueden invitar fácilmente a usuarios invitados externos a colaborar en los recursos compartidos de archivos de Windows.

Con esta función, se invita a los usuarios externos a Azure AD como usuarios invitados. Se les envía por correo electrónico una invitación para unirse. Una vez canjeados e iniciados sesión, MyWorkDrive los suplanta para mostrarles sus carpetas permitidas. Al invitar a usuarios externos a Azure AD, el administrador no necesitará administrar los inicios de sesión, las contraseñas o la autenticación de los usuarios invitados y al mismo tiempo permitir que el usuario invitado colabore completamente con los usuarios internos en archivos y carpetas dentro de MyWorkDrive File Share.

Más detalles sobre cómo funciona esto se detallan en este artículo de soporte de Microsoft: https://docs.microsoft.com/en-us/azure/active-directory/b2b/hybrid-cloud-to-on-premises y en nuestro Vídeo de intercambio de archivos B2B.

 

Para implementar el uso compartido de usuarios invitados en MyWorkDrive, se crea una cuenta de usuario para el invitado en Active Directory que podemos suplantar y configurar de manera que el usuario invitado no pueda iniciar sesión de forma interactiva, solo a través de AzureAD. Una vez que haya iniciado sesión en Azure AD, el usuario se hace pasar por ese usuario para mostrarle sus recursos compartidos de archivos de Windows.

A diferencia del uso compartido de enlaces externos con los sistemas OneDrive o Sync & Share, el usuario invitado puede colaborar completamente en archivos y carpetas con usuarios internos. Desde el punto de vista de la seguridad y el soporte, no hay restablecimientos de contraseña para administrar y la seguridad se puede habilitar en las cuentas de invitado de Azure AD para requerir la autenticación de múltiples factores para verificar las identidades de los usuarios.

Por el contrario, permitir que los recursos compartidos de archivos de Windows brinden acceso anónimo externo a través de enlaces requeriría comprometer la seguridad almacenando hash de contraseñas en una base de datos u otorgando a la cuenta de la computadora del servidor acceso completo de escritura a todos los recursos compartidos de archivos de Windows. Hemos visto productos de la competencia que almacenan hash de contraseñas para recursos compartidos en una base de datos que tiene derechos sobre todos los recursos compartidos en el nivel raíz.

Elegimos evitar un riesgo de seguridad tan extremo; evitando integraciones que requieran almacenar hashes de contraseñas o permitir el acceso sin restricciones a archivos compartidos. Nuestro método elegido también evita problemas como el cambio de nombre de carpetas compartidas y la ruptura de enlaces compartidos o el almacenamiento de archivos en bases de datos, lo que anula el propósito de acceder a archivos en Windows File Shares sin migrarlos.

 


requisitos previos

  • Configurar el servidor MyWorkDrive para usar Azure AD SAML
  • MyWorkDrive Server 6.0 o superior con licencia Enterprise Plus
  • Crear una unidad organizativa en Active Directory para almacenar usuarios externos
  • Cree un grupo de Active Directory para usuarios invitados y concédale permiso NTFS en los recursos compartidos de archivos
  • Agregue el grupo de Active Directory al recurso compartido en MyWorkDrive
  • Licencia de suscripción Enterprise Plus MyWorkDrive

Pasos detallados de configuración para compartir carpetas de usuarios invitados

Configure el servidor MyWorkDrive para usar Azure AD SAML con delegación o delegación restringida de Kerberos para los recursos compartidos de archivos

Es necesario integrar MyWorkDrive con Azure AD utilizando nuestra integración SAML. Azure Directory se usará para autenticar y almacenar usuarios invitados. No es necesario que sea el mismo Azure Active Directory que usa la empresa, ni la empresa necesita usar Azure AD para la autenticación de usuario interno de MyWorkDrive. Siga nuestro artículo de soporte aquí para configurar la autenticación SAML de Azure AD en MyWorkDrive.

Cree un grupo en Azure AD para usuarios invitados que se usará para rastrear o permitir el acceso a la aplicación MyWorkDrive SAML

En Azure AD, cree un grupo basado en la nube para usuarios invitados externos que podrán usar la aplicación MyWorkDrive Enterprise SAML y agregue este grupo para permitir que esos usuarios inicien sesión.

Grupo creado en Azure AD, por ejemplo, "MWD-Guest":
Si necesita que los usuarios se asignen a la aplicación para iniciar sesión (las propiedades de la aplicación SAML "Asignación de usuario requerida" están configuradas en Sí), agregue el grupo AAD a su aplicación MyWorkDrive SAML para permitir el inicio de sesión de los usuarios invitados:

Crear una unidad organizativa en Active Directory para almacenar usuarios externos

En Active Directory, cree una unidad organizativa para almacenar todos los usuarios invitados externos. Esto hará que sea mucho más fácil administrar, eliminar o editar usuarios invitados externos más adelante. Los usuarios invitados se crearán y almacenarán aquí. Se establecerán en SmartCardLogonRequired para evitar el inicio de sesión con nombre de usuario/contraseña, ya que los suplantaremos en lugar de usar la delegación. Estos usuarios también se eliminarán de los usuarios del dominio para evitar el acceso a cualquier recurso interno. Si su empresa está sincronizando Active Directory con Azure AD mediante AD Sync, asegúrese de excluir esta unidad organizativa de la sincronización automática.

Crear grupo de usuarios invitados de Active Directory

En Active Directory, cree un grupo de usuarios invitados. Los usuarios invitados externos se agregarán a este grupo como su grupo principal de Active Directory y se eliminarán del grupo de usuarios de dominio predeterminado. Este grupo de Active Directory también se puede usar para otorgar permisos NTFS a los recursos compartidos que desea poner a disposición de los usuarios eternos en MyWorkDrive.

Crear registro de aplicaciones empresariales de Azure AD

Para permitir que el servidor MWD cree y administre automáticamente usuarios invitados en Azure AD, es necesario crear una aplicación empresarial de Azure AD. La aplicación AAD se puede crear manualmente o mediante nuestro script de PowerShell.

Registro automático de Powershell

Descarga y ejecuta nuestro Script de creación de aplicaciones de PowerShell Azure AD como administrador del servidor MWD. El script le solicitará el nombre de dominio de Azure AD, el nombre de la aplicación y le pedirá que inicie sesión en Azure AD varias veces para autorizar su aplicación AAD.

El script creará automáticamente el registro de su aplicación empresarial y guardará la identificación de la aplicación resultante y la identificación del inquilino en el panel de administración de MWD en la configuración de la empresa.

Para completar la conexión a AzureAD, copie y pegue el manual de Application Secret en el panel de administración de MWD en Configuración empresarial, Configuración de usuario invitado.

Complete la configuración habilitando el uso compartido de usuarios invitados en Configuración empresarial: Azure AD SAML: Usuarios invitados: ingrese la unidad organizativa de sus usuarios invitados, el grupo de usuarios creado por Azure AD y el grupo de Active Directory. Clic en Guardar.

Registro manual:

Registre la aplicación del panel de administración de MWD en su cuenta de Azure.

El panel de administración de MWD necesita los siguientes permisos:
Directorio.Leer.Todo
Usuario.Invitar.Todos
Usuario.ReadWrite.All.
GroupMember.ReadWrite.All

 

Guarde la identificación de la aplicación/cliente, la identificación del directorio/inquilino y el secreto del cliente resultantes para pegarlos en la configuración del usuario invitado de MyWorkDrive en la configuración empresarial.

Cree el secreto de la aplicación y péguelo en MyWorkDrive.

Habilitar el uso compartido de usuarios invitados

Complete la configuración habilitando el uso compartido de usuarios invitados en Configuración empresarial - Azure AD SAML - Usuarios invitados: ingrese la unidad organizativa de sus usuarios invitados, el grupo de usuarios creado por Azure AD y el grupo de Active Directory.

Si usó nuestro script Powershell automatizado, la ID de la aplicación, la ID del arrendatario de la aplicación y el Secreto de la aplicación ya estarán precargados. De lo contrario, pegue manualmente en esta configuración.

Acepte o modifique el Prefijo de nombre de usuario según lo desee para agregar un prefijo a todos los nombres de usuario de usuarios invitados para ayudar a diferenciar o encontrar usuarios invitados en Active Directory según lo desee.

Habilitar e invitar a usuarios invitados a compartir

Seleccione o cree un grupo de Active Directory para el recurso compartido

Antes de habilitar el acceso compartido de invitados en un recurso compartido de MyWorkDrive, cree un nuevo grupo de Active Directory único que se usará para asignar permisos NTFS en cada recurso compartido de archivos o use un grupo existente (este puede ser el mismo grupo que se usó como grupo predeterminado). grupo de dominio aplicado a los usuarios invitados al habilitar el acceso de usuarios invitados en la configuración empresarial).

Agregar un grupo existente a los permisos NTFS en el recurso compartido de archivos

Habilitar el uso compartido de usuarios invitados en un recurso compartido

Haga clic en el control deslizante y habilite el acceso de usuario invitado. Busque y seleccione el grupo de permisos NTFS deseado al que se agregarán los usuarios invitados.


Haga clic en "Nuevo" para invitar al usuario invitado externo


Haga clic para confirmar y Guardar para completar la habilitación del uso compartido de usuarios invitados en el recurso compartido.

Configuración completa

Después de invitar al usuario invitado, el usuario invitado externo se crea interna y externamente en Azure AD y se le envía una invitación por correo electrónico.

Cuando hagan clic en Aceptar invitación, se les pedirá que inicien sesión o creen una cuenta de Microsoft, junto con cualquier MFA o validación que necesite. Una vez autenticados, iniciarán sesión en MyWorkDrive y verán los recursos compartidos para los que están aprovisionados en la dirección web de su servidor MyWorkDrive.

Tenga en cuenta que, debido a la propagación, pueden pasar hasta 15 minutos después de la creación para que el nuevo usuario se sincronice en todos los segmentos de AD y se complete un inicio de sesión exitoso.

Administrar usuarios invitados

Los usuarios invitados se pueden deshabilitar o eliminar fácilmente en Active Directory y Azure AD en cualquier momento. A los usuarios invitados se les pueden volver a enviar invitaciones por correo electrónico o eliminarse en Azure AD. También se puede acceder a los usuarios invitados externos en la página empresarial:


Una vez que haya hecho clic, seleccione el usuario para volver a enviar invitaciones por correo electrónico o eliminarlo de Active Directory y Azure AD como usuarios invitados. Eliminar los eliminará de AzureAD y de LocalAD.