fbpx

¿Cómo podemos ayudarle hoy?

Intercambio de archivos B2B externo de recursos compartidos de archivos de Windows con cuentas de invitado de MyWorkDrive y Azure Active Directory

Estás aquí:
< Atrás

Descripción general del uso compartido de carpetas de archivos B2B externas de MyWorkDrive

Los clientes con licencia Enterprise+ que utilizan la integración de MyWorkDrive Azure AD para la autenticación ahora pueden invitar fácilmente a usuarios invitados externos a colaborar en los recursos compartidos de archivos de Windows.

Con esta función, se invita a los usuarios externos a Azure AD como usuarios invitados. Se les envía por correo electrónico una invitación para unirse. Una vez canjeados e iniciados sesión, MyWorkDrive los suplanta para mostrarles sus carpetas permitidas. Al invitar a usuarios externos a Azure AD, el administrador no necesitará administrar los inicios de sesión, las contraseñas o la autenticación de los usuarios invitados y al mismo tiempo permitir que el usuario invitado colabore completamente con los usuarios internos en archivos y carpetas dentro de MyWorkDrive File Share.

Más detalles sobre cómo funciona esto se detallan en este artículo de soporte de Microsoft: https://docs.microsoft.com/en-us/azure/active-directory/b2b/hybrid-cloud-to-on-premises y en nuestro Vídeo de intercambio de archivos B2B.

Para implementar el uso compartido de usuarios invitados en MyWorkDrive, se crea una cuenta de usuario para el invitado en Active Directory que podemos suplantar y configurar de manera que el usuario invitado no pueda iniciar sesión de forma interactiva, solo a través de AzureAD. Una vez que haya iniciado sesión en Azure AD, el usuario se hace pasar por ese usuario para mostrarle sus recursos compartidos de archivos de Windows.

A diferencia del uso compartido de enlaces externos con los sistemas OneDrive o Sync & Share, el usuario invitado puede colaborar completamente en archivos y carpetas con usuarios internos. Desde el punto de vista de la seguridad y el soporte, no hay restablecimientos de contraseña para administrar y la seguridad se puede habilitar en las cuentas de invitado de Azure AD para requerir la autenticación de múltiples factores para verificar las identidades de los usuarios.

Por el contrario, permitir que los recursos compartidos de archivos de Windows brinden acceso anónimo externo a través de enlaces requeriría comprometer la seguridad almacenando hash de contraseñas en una base de datos u otorgando a la cuenta de la computadora del servidor acceso completo de escritura a todos los recursos compartidos de archivos de Windows. Hemos visto productos de la competencia que almacenan hash de contraseñas para recursos compartidos en una base de datos que tiene derechos sobre todos los recursos compartidos en el nivel raíz.

Elegimos evitar un riesgo de seguridad tan extremo; evitando integraciones que requieran almacenar hashes de contraseñas o permitir el acceso sin restricciones a archivos compartidos. Nuestro método elegido también evita problemas como el cambio de nombre de carpetas compartidas y la ruptura de enlaces compartidos o el almacenamiento de archivos en bases de datos, lo que anula el propósito de acceder a archivos en Windows File Shares sin migrarlos.

 


 

requisitos previos

  • Configurar el servidor MyWorkDrive para usar Azure AD SAML
  • MyWorkDrive Server 6.0 o superior con licencia Enterprise Plus
  • Crear una unidad organizativa en Active Directory para almacenar usuarios externos
  • Cree un grupo de Active Directory para usuarios invitados y concédale permiso NTFS en los recursos compartidos de archivos
  • Agregue el grupo de Active Directory al recurso compartido en MyWorkDrive
  • Licencia de suscripción Enterprise Plus MyWorkDrive

Pasos detallados de configuración para compartir carpetas de usuarios invitados

Configure el servidor MyWorkDrive para usar Azure AD SAML con delegación o delegación restringida de Kerberos para los recursos compartidos de archivos

Es necesario integrar MyWorkDrive con Azure AD utilizando nuestra integración SAML. Azure Directory se usará para autenticar y almacenar usuarios invitados. No es necesario que sea el mismo Azure Active Directory que usa la empresa, ni la empresa necesita usar Azure AD para la autenticación de usuario interno de MyWorkDrive. Siga nuestro artículo de soporte aquí para configurar la autenticación SAML de Azure AD en MyWorkDrive.

Cree un grupo en Azure AD para usuarios invitados que se usará para rastrear o permitir el acceso a la aplicación MyWorkDrive SAML

En Azure AD, cree un grupo basado en la nube para usuarios invitados externos que podrán usar la aplicación MyWorkDrive Enterprise SAML y agregue este grupo para permitir que esos usuarios inicien sesión.

Grupo creado en Azure AD, por ejemplo, "MWD-Guest":
Si necesita que los usuarios se asignen a la aplicación para iniciar sesión (las propiedades de la aplicación SAML "Asignación de usuario requerida" están configuradas en Sí), agregue el grupo AAD a su aplicación MyWorkDrive SAML para permitir el inicio de sesión de los usuarios invitados:

Crear una unidad organizativa en Active Directory para almacenar usuarios externos

En Active Directory, cree una unidad organizativa para almacenar todos los usuarios invitados externos. Esto hará que sea mucho más fácil administrar, eliminar o editar usuarios invitados externos más adelante. Los usuarios invitados se crearán y almacenarán aquí. Se establecerán en SmartCardLogonRequired para evitar el inicio de sesión con nombre de usuario/contraseña, ya que los suplantaremos en lugar de usar la delegación. Estos usuarios también se eliminarán de los usuarios del dominio para evitar el acceso a cualquier recurso interno. Si su empresa está sincronizando Active Directory con Azure AD mediante AD Sync, asegúrese de excluir esta unidad organizativa de la sincronización automática.

Crear grupo de usuarios invitados de Active Directory

En Active Directory, cree un grupo de usuarios invitados. Los usuarios invitados externos se agregarán a este grupo como su grupo principal de Active Directory y se eliminarán del grupo de usuarios de dominio predeterminado. Este grupo de Active Directory también se puede usar para otorgar permisos NTFS a los recursos compartidos que desea poner a disposición de los usuarios eternos en MyWorkDrive.

Crear registro de aplicaciones empresariales de Azure AD

Para permitir que el servidor MWD cree y administre automáticamente usuarios invitados en Azure AD, es necesario crear una aplicación empresarial de Azure AD. La aplicación AAD se puede crear manualmente o mediante nuestro script de PowerShell.

Registro automático de Powershell

Descarga y ejecuta nuestro Script de creación de aplicaciones de PowerShell Azure AD como administrador del servidor MWD. El script le solicitará el nombre de dominio de Azure AD, el nombre de la aplicación y le pedirá que inicie sesión en Azure AD varias veces para autorizar su aplicación AAD.

El script creará automáticamente el registro de su aplicación empresarial y guardará la identificación de la aplicación resultante y la identificación del inquilino en el panel de administración de MWD en la configuración de la empresa.

Para completar la conexión a AzureAD, copie y pegue el manual de Application Secret en el panel de administración de MWD en Configuración empresarial, Configuración de usuario invitado.

Complete la configuración habilitando el uso compartido de usuarios invitados en Configuración empresarial: Azure AD SAML: Usuarios invitados: ingrese la unidad organizativa de sus usuarios invitados, el grupo de usuarios creado por Azure AD y el grupo de Active Directory. Clic en Guardar.

Registro manual:

Registre la aplicación del panel de administración de MWD en su cuenta de Azure.

El panel de administración de MWD necesita los siguientes permisos:
Directorio.Leer.Todo
Usuario.Invitar.Todos
Usuario.ReadWrite.All.
GroupMember.ReadWrite.All

 

Guarde la identificación de la aplicación/cliente, la identificación del directorio/inquilino y el secreto del cliente resultantes para pegarlos en la configuración del usuario invitado de MyWorkDrive en la configuración empresarial.

Cree el secreto de la aplicación y péguelo en MyWorkDrive.

Habilitar el uso compartido de usuarios invitados

Complete la configuración habilitando el uso compartido de usuarios invitados en Configuración empresarial - Azure AD SAML - Usuarios invitados: ingrese la unidad organizativa de sus usuarios invitados, el grupo de usuarios creado por Azure AD y el grupo de Active Directory.

Si usó nuestro script Powershell automatizado, la ID de la aplicación, la ID del arrendatario de la aplicación y el Secreto de la aplicación ya estarán precargados. De lo contrario, pegue manualmente en esta configuración.

Acepte o modifique el Prefijo de nombre de usuario según lo desee para agregar un prefijo a todos los nombres de usuario de usuarios invitados para ayudar a diferenciar o encontrar usuarios invitados en Active Directory según lo desee.

Habilitar e invitar a usuarios invitados a compartir

Seleccione o cree un grupo de Active Directory para el recurso compartido

Antes de habilitar el acceso compartido de invitados en un recurso compartido de MyWorkDrive, cree un nuevo grupo de Active Directory único que se usará para asignar permisos NTFS en cada recurso compartido de archivos o use un grupo existente (este puede ser el mismo grupo que se usó como grupo predeterminado). grupo de dominio aplicado a los usuarios invitados al habilitar el acceso de usuarios invitados en la configuración empresarial).

Agregar un grupo existente a los permisos NTFS en el recurso compartido de archivos

Habilitar el uso compartido de usuarios invitados en un recurso compartido

Haga clic en el control deslizante y habilite el acceso de usuario invitado. Busque y seleccione el grupo de permisos NTFS deseado al que se agregarán los usuarios invitados.


Haga clic en "Nuevo" para invitar al usuario invitado externo


Haga clic para confirmar y Guardar para completar la habilitación del uso compartido de usuarios invitados en el recurso compartido.

Configuración completa

Después de invitar al usuario invitado, el usuario invitado externo se crea interna y externamente en Azure AD y se le envía una invitación por correo electrónico.

Cuando hagan clic en Aceptar invitación, se les pedirá que inicien sesión o creen una cuenta de Microsoft, junto con cualquier MFA o validación que necesite. Una vez autenticados, iniciarán sesión en MyWorkDrive y verán los recursos compartidos para los que están aprovisionados en la dirección web de su servidor MyWorkDrive.

Tenga en cuenta que, debido a la propagación, pueden pasar hasta 15 minutos después de la creación para que el nuevo usuario se sincronice en todos los segmentos de AD y se complete un inicio de sesión exitoso.

Administrar usuarios invitados

Los usuarios invitados se pueden deshabilitar o eliminar fácilmente en Active Directory y Azure AD en cualquier momento. A los usuarios invitados se les pueden volver a enviar invitaciones por correo electrónico o eliminarse en Azure AD. También se puede acceder a los usuarios invitados externos en la página empresarial:


Una vez que haya hecho clic, seleccione el usuario para volver a enviar invitaciones por correo electrónico o eliminarlo de Active Directory y Azure AD como usuarios invitados. Eliminar los eliminará de AzureAD y de LocalAD.

Permitting users to invite guests to shares

New! As of MyWorkDrive server 6.3, you are able to assign users who have access to MyWorkDrive shares the ability to invite guest users to the share using the “Manager” option.
With this new feature, designated users can invite guests to configured shares via the MyWorkDrive Web Client with their regular user login, no admin access to the MyWorkDrive server is required.

requisitos previos

  • Guest User Access being enabled (described above)
  • The share having guest user access configured (described above)
  • You will also need to grant the users who have permission to invite users delegated OU permissions in active directory (described below)

Note that the Prerequisites are required to be completed by an administrator in MyWorkDrive administration.

Enabling Managers

Step 1, Enable on Shares

This step is completed in MyWorkDrive Admin.

When Guest User Access is correctly configured, and the share is enabled for guest user sharing, an additional column is enabled in the granular permissions section of file share management titled “Manager”. You will want to manually add individuals you are granting the Manager permission to to the share list using the edit feature.

  • Add the user in question from Active Directory to the share.
    This may be redundant with an existing group configured on the share, but is appropriate as you are granting manager permissions to a specific user.
  • Enable appropriate permissions for the user for Client Access and DLP
    Some columns may not appear depending on enabled clients, drive letter configuration, whether Office Online is enabled, and whether you have DLP enabled or not
  • Enable the Manage feature for the user.

Step 2, Enable in Active Directory

The Manager user(s) must be granted permission to create users in Active Directory. This should be exclusively granted to the OU where the guest accounts are created, and the least priviliged access should be granted.

In Active Directory Users and Computers, find the OU where your guest users are being stored. (this can be found in the Guest User Access configuration on the share)

Right click on the OU in ADUC and select Delegate Control.

Add the appropriate user(s) who should be permitted to invite users.

When selecting permissions, select only

  • Create, delete, and manage user accounts
  • Read all user information
  • Modify the membership of a group

No other permissions are required nor recommended.

Note that changes to Active Directory require time to propagate across all servers in the domain, so users may not be able to immediately use the feature. Most AD Sync processes complete within 15 minutes, though on larger or more distributed domains the process may take up to 1 hour.

 

Managing Guest Users from the MyWorkDrive Web client.

When users with the Manager role enabled sign in to the MyWorkDrive Web client, those shares that are so configured will have an additional button in the menu titled “Manage”

 

Note that the Manage feature for users is only available in the MyWorkDrive Web client.

Clicking on Manage will launch a new window, where the user may be prompted for a secondary login for security purposes.

 

After completing any secondary login (when necessary), a similar interface to managing Guest Users as is shown in Admin is presented to the user.

Existing guests who have been invited to the share will be shown that can be changed/deleted, and links to add an existing guest to a new share or invite a new guest are included.

Using the Edit button will show a list of existing guests on the domain who were previously invited to shares on the MyWorkDrive server and can be additionally granted access to this share.

Using the Add button will permit the Manager to add a user’s name and email to invite them to the share. This follows the same process as inviting a user from the Admin panel and will add the user to Azure AD and Local AD, assign them to the appropriate group, and send them an email with links to accept the invitation and to access the share.

Like inviting through Admin, a confirmation page is shown after the user is added with a link to the Invitation URL and Login URL, in case the manager wishes to manually inform the invited guest user of their access information.