fbpx

Que peut-on faire pour vous aider aujourd'hui?

Partage de fichiers B2B externe de partages de fichiers Windows avec MyWorkDrive et les comptes invités Azure Active Directory

Tu es là:
< Retour

Présentation du partage de dossiers de fichiers B2B externes MyWorkDrive

Les clients sous licence Enterprise+ qui utilisent l'intégration MyWorkDrive Azure AD pour l'authentification peuvent désormais facilement inviter des utilisateurs invités externes à collaborer sur les partages de fichiers Windows.

Avec cette fonctionnalité, les utilisateurs externes sont invités à Azure AD en tant qu'utilisateurs invités. Ils reçoivent par e-mail une invitation à se joindre. Une fois échangés et connectés, ils sont ensuite usurpés par MyWorkDrive pour leur montrer leurs dossiers autorisés. En invitant des utilisateurs externes à Azure AD, l'administrateur n'aura pas besoin de gérer les connexions, les mots de passe ou l'authentification des utilisateurs invités tout en permettant à l'utilisateur invité de collaborer pleinement avec les utilisateurs internes sur les fichiers et dossiers du partage de fichiers MyWorkDrive.

Plus de détails sur la façon dont cela fonctionne sont détaillés dans cet article de support Microsoft : https://docs.microsoft.com/en-us/azure/active-directory/b2b/hybrid-cloud-to-on-premises et dans notre Vidéo sur le partage de fichiers B2B.

Pour implémenter le partage d'utilisateur invité dans MyWorkDrive, un compte d'utilisateur est créé pour l'invité invité dans Active Directory, que nous pouvons emprunter, et défini de telle sorte que l'utilisateur invité invité ne puisse pas se connecter de manière interactive, uniquement via AzureAD. Une fois connecté à Azure AD, l'utilisateur se fait passer pour cet utilisateur pour lui montrer ses partages de fichiers Windows.

Contrairement au partage de liens externes utilisant les systèmes OneDrive ou Sync & Share, l'utilisateur invité peut pleinement collaborer sur des fichiers et des dossiers avec des utilisateurs internes. Du point de vue de la sécurité et de l'assistance, il n'y a pas de réinitialisation de mot de passe à gérer et la sécurité peut être activée sur les comptes invités Azure AD pour exiger une authentification multifacteur afin de vérifier les identités des utilisateurs.

Inversement, pour permettre aux partages de fichiers Windows de fournir un accès anonyme externe via des liens, il faudrait compromettre la sécurité en stockant les hachages de mot de passe dans une base de données ou en accordant au compte de l'ordinateur serveur un accès en écriture complet à tous les partages de fichiers Windows. Nous avons vu des produits concurrents qui stockent des hachages de mot de passe dans des partages dans une base de données qui ont des droits sur tous les partages au niveau racine.

Nous avons choisi d'éviter un risque de sécurité aussi extrême ; éviter les intégrations qui nécessitent de stocker des hachages de mots de passe ou d'autoriser un accès illimité aux partages de fichiers. Notre méthode choisie évite également des problèmes tels que le changement de nom des dossiers partagés et la rupture des liens de partage ou le stockage de fichiers dans des bases de données, ce qui va à l'encontre de l'objectif d'accéder aux fichiers sur les partages de fichiers Windows sans les migrer.

 


 

Conditions préalables

  • Configurer le serveur MyWorkDrive pour utiliser Azure AD SAML
  • MyWorkDrive Server 6.0 ou supérieur avec licence Enterprise Plus
  • Créer une unité d'organisation dans Active Directory pour stocker des utilisateurs externes
  • Créez un groupe Active Directory pour les utilisateurs invités et accordez-lui l'autorisation NTFS sur le ou les partages de fichiers
  • Ajouter le groupe Active Directory au partage dans MyWorkDrive
  • Licence d'abonnement Enterprise Plus MyWorkDrive

Étapes détaillées de configuration du partage de dossier d'utilisateur invité

Configurer le serveur MyWorkDrive pour utiliser Azure AD SAML avec délégation ou délégation contrainte Kerberos vers les partages de fichiers

Il est nécessaire d'intégrer MyWorkDrive à Azure AD à l'aide de notre intégration SAML. L'annuaire Azure sera utilisé pour authentifier et stocker les utilisateurs invités. Il n'est pas nécessaire qu'il s'agisse du même Azure Active Directory utilisé par l'entreprise, et l'entreprise n'a pas non plus besoin d'utiliser Azure AD pour l'authentification MyWorkDrive de l'utilisateur interne. Suivez notre article d'assistance ici pour configurer l'authentification Azure AD SAML dans MyWorkDrive.

Créer un groupe dans Azure AD pour les utilisateurs invités qui seront utilisés pour suivre ou autoriser l'accès à l'application MyWorkDrive SAML

Dans Azure AD, créez un groupe basé sur le cloud pour les utilisateurs invités externes qui seront autorisés à utiliser l'application SAML MyWorkDrive Enterprise et ajoutez ce groupe pour permettre à ces utilisateurs de se connecter.

Groupe créé dans Azure AD – par exemple « MWD-Guest » :
Si vous avez besoin que les utilisateurs soient affectés à l'application pour se connecter (les propriétés de l'application SAML "Attribution d'utilisateur requise" sont définies sur Oui), ajoutez le groupe AAD à votre application SAML MyWorkDrive pour permettre la connexion des utilisateurs invités :

Créer une unité d'organisation dans Active Directory pour stocker des utilisateurs externes

Dans Active Directory, créez une unité d'organisation pour stocker tous les utilisateurs invités externes. Cela facilitera grandement la gestion, la suppression ou la modification ultérieure des utilisateurs invités externes. Les utilisateurs invités seront créés et stockés ici. Ils seront définis sur SmartCardLogonRequired pour empêcher la connexion à l'aide d'un nom d'utilisateur/mot de passe, car nous les emprunterons à la place en utilisant la délégation. Ces utilisateurs seront également supprimés des utilisateurs du domaine pour empêcher l'accès aux ressources internes. Si votre entreprise synchronise votre Active Directory avec Azure AD à l'aide d'AD Sync, veillez à exclure cette OU de la synchronisation automatique.

Créer un groupe d'utilisateurs invités Active Directory

Dans Active Directory, créez un groupe d'utilisateurs invités. Les utilisateurs invités externes seront ajoutés à ce groupe en tant que groupe Active Directory principal et supprimés du groupe d'utilisateurs de domaine par défaut. Ce groupe Active Directory peut également être utilisé pour accorder des autorisations NTFS aux partages que vous souhaitez mettre à la disposition des utilisateurs éternels dans MyWorkDrive.

Créer un enregistrement d'application Azure AD Enterprise

Pour permettre au serveur MWD de créer et de gérer automatiquement les utilisateurs invités dans Azure AD, il est nécessaire de créer une application d'entreprise Azure AD. L'application AAD peut être créée manuellement ou à l'aide de notre script PowerShell.

Enregistrement automatique de Powershell

Téléchargez et exécutez notre Script de création d'application PowerShell Azure AD en tant qu'administrateur du serveur MWD. Le script vous demandera plusieurs fois le nom de domaine Azure AD, le nom de l'application et vous invitera à vous connecter à Azure AD pour autoriser votre application AAD.

Le script créera automatiquement l'enregistrement de votre application d'entreprise et enregistrera l'ID d'application et l'ID de locataire résultants dans le panneau d'administration MWD sous les paramètres d'entreprise.

Pour terminer la connexion à AzureAD, copiez et collez le manuel Application Secret dans le panneau d'administration MWD sous Paramètres d'entreprise, Paramètres de l'utilisateur invité.

Terminez la configuration en activant le partage des utilisateurs invités sous les paramètres d'entreprise – Azure AD SAML : Utilisateurs invités : saisissez l'unité d'organisation de vos utilisateurs invités, le groupe d'utilisateurs créé par Azure AD et le groupe Active Directory. Cliquez sur Enregistrer.

Inscription manuelle :

Enregistrez l'application du panneau d'administration MWD dans votre compte Azure.

Le panneau d'administration MWD nécessite les autorisations suivantes :
Directory.Read.All
Utilisateur.Inviter.Tous
Utilisateur.ReadWrite.All.
GroupMember.ReadWrite.All

 

Enregistrez l'ID d'application/client résultant, l'ID de répertoire/locataire et le secret client pour les coller dans la configuration de l'utilisateur invité MyWorkDrive sous les paramètres d'entreprise.

Créez le secret d'application et collez-le dans MyWorkDrive.

Activer le partage d'utilisateur invité

Terminez la configuration en activant le partage d'utilisateurs invités sous Paramètres d'entreprise – Azure AD SAML – Utilisateurs invités : saisissez l'unité d'organisation de vos utilisateurs invités, le groupe d'utilisateurs créé par Azure AD et le groupe Active Directory.

Si vous avez utilisé notre script Powershell automatisé, l'ID d'application, l'ID de locataire d'application et le secret d'application seront déjà pré-remplis. Sinon, collez manuellement ces paramètres.

Acceptez ou modifiez le préfixe du nom d'utilisateur comme vous le souhaitez pour ajouter un préfixe à tous les noms d'utilisateur des utilisateurs invités afin de faciliter la différenciation ou la recherche d'utilisateurs invités dans Active Directory, le cas échéant.

Activer et inviter des utilisateurs invités à un partage

Sélectionnez ou créez un groupe Active Directory pour le partage

Avant d'activer l'accès au partage invité sur un partage MyWorkDrive, créez un nouveau groupe Active Directory unique qui sera utilisé pour attribuer une autorisation NTFS sur chaque partage de fichiers ou utilisez un groupe existant (il peut s'agir du même groupe que celui utilisé par défaut groupe de domaine appliqué aux utilisateurs invités lors de l'activation de l'accès des utilisateurs invités dans les paramètres d'entreprise).

Ajouter un groupe existant aux autorisations NTFS sur le partage de fichiers

Activer le partage d'utilisateur invité sur un partage

Cliquez sur le curseur et activez l'accès utilisateur invité. Recherchez et sélectionnez le groupe d'autorisations NTFS auquel les utilisateurs invités seront ajoutés.


Cliquez sur "Nouveau" pour inviter l'utilisateur invité externe


Cliquez pour confirmer et Enregistrer pour terminer l'activation du partage des utilisateurs invités sur le partage.

Configuration complète

Après avoir invité l'utilisateur invité, l'utilisateur invité externe est créé en interne et en externe dans Azure AD et reçoit une invitation par e-mail.

Lorsqu'ils cliquent sur Accepter l'invitation, ils sont invités à se connecter ou à créer un compte Microsoft, ainsi que toute MFA ou validation dont vous avez besoin. Une fois authentifiés, ils seront connectés à MyWorkDrive et verront les partages pour lesquels ils sont provisionnés à l'adresse Web de votre serveur MyWorkDrive.

Notez qu'en raison de la propagation, cela peut prendre jusqu'à 15 minutes après la création pour que le nouvel utilisateur soit synchronisé sur tous les segments d'AD et qu'une connexion réussie soit terminée.

Gérer les utilisateurs invités

Les utilisateurs invités peuvent être facilement désactivés ou supprimés dans Active Directory et Azure AD à tout moment. Les utilisateurs invités peuvent se voir renvoyer des invitations par e-mail ou être supprimés dans Azure AD. Les utilisateurs invités externes sont également accessibles sur la page de l'entreprise :


Une fois cliqué, sélectionnez l'utilisateur pour renvoyer les invitations par e-mail ou supprimez-le d'Active Directory et d'Azure AD en tant qu'utilisateurs invités. Supprimer les supprimera d'AzureAD ainsi que de LocalAD.

Permitting users to invite guests to shares

New! As of MyWorkDrive server 6.3, you are able to assign users who have access to MyWorkDrive shares the ability to invite guest users to the share using the “Manager” option.
With this new feature, designated users can invite guests to configured shares via the MyWorkDrive Web Client with their regular user login, no admin access to the MyWorkDrive server is required.

Conditions préalables

  • Guest User Access being enabled (described above)
  • The share having guest user access configured (described above)
  • You will also need to grant the users who have permission to invite users delegated OU permissions in active directory (described below)

Note that the Prerequisites are required to be completed by an administrator in MyWorkDrive administration.

Enabling Managers

Step 1, Enable on Shares

This step is completed in MyWorkDrive Admin.

When Guest User Access is correctly configured, and the share is enabled for guest user sharing, an additional column is enabled in the granular permissions section of file share management titled “Manager”. You will want to manually add individuals you are granting the Manager permission to to the share list using the edit feature.

  • Add the user in question from Active Directory to the share.
    This may be redundant with an existing group configured on the share, but is appropriate as you are granting manager permissions to a specific user.
  • Enable appropriate permissions for the user for Client Access and DLP
    Some columns may not appear depending on enabled clients, drive letter configuration, whether Office Online is enabled, and whether you have DLP enabled or not
  • Enable the Manage feature for the user.

Step 2, Enable in Active Directory

The Manager user(s) must be granted permission to create users in Active Directory. This should be exclusively granted to the OU where the guest accounts are created, and the least priviliged access should be granted.

In Active Directory Users and Computers, find the OU where your guest users are being stored. (this can be found in the Guest User Access configuration on the share)

Right click on the OU in ADUC and select Delegate Control.

Add the appropriate user(s) who should be permitted to invite users.

When selecting permissions, select only

  • Create, delete, and manage user accounts
  • Read all user information
  • Modify the membership of a group

No other permissions are required nor recommended.

Note that changes to Active Directory require time to propagate across all servers in the domain, so users may not be able to immediately use the feature. Most AD Sync processes complete within 15 minutes, though on larger or more distributed domains the process may take up to 1 hour.

 

Managing Guest Users from the MyWorkDrive Web client.

When users with the Manager role enabled sign in to the MyWorkDrive Web client, those shares that are so configured will have an additional button in the menu titled “Manage”

 

Note that the Manage feature for users is only available in the MyWorkDrive Web client.

Clicking on Manage will launch a new window, where the user may be prompted for a secondary login for security purposes.

 

After completing any secondary login (when necessary), a similar interface to managing Guest Users as is shown in Admin is presented to the user.

Existing guests who have been invited to the share will be shown that can be changed/deleted, and links to add an existing guest to a new share or invite a new guest are included.

Using the Edit button will show a list of existing guests on the domain who were previously invited to shares on the MyWorkDrive server and can be additionally granted access to this share.

Using the Add button will permit the Manager to add a user’s name and email to invite them to the share. This follows the same process as inviting a user from the Admin panel and will add the user to Azure AD and Local AD, assign them to the appropriate group, and send them an email with links to accept the invitation and to access the share.

Like inviting through Admin, a confirmation page is shown after the user is added with a link to the Invitation URL and Login URL, in case the manager wishes to manually inform the invited guest user of their access information.