fbpx

Hoe kunnen we u vandaag helpen?

Externe B2B-bestandsdeling van Windows-bestandsshares met MyWorkDrive en Azure Active Directory-gastaccounts

U bent hier:
< Terug

Overzicht van MyWorkDrive Externe B2B-bestandsmappen delen

Enterprise+ gelicentieerde klanten die MyWorkDrive Azure AD-integratie gebruiken voor authenticatie, kunnen nu eenvoudig externe gastgebruikers uitnodigen om samen te werken aan Windows File Shares.

Met deze functie worden externe gebruikers uitgenodigd voor Azure AD als gastgebruikers. Ze hebben per e-mail een uitnodiging ontvangen om mee te doen. Eenmaal ingewisseld en ingelogd, worden ze vervolgens geïmiteerd door MyWorkDrive om hun toegestane mappen te tonen. Door externe gebruikers uit te nodigen voor Azure AD, hoeft de beheerder de aanmeldingen, wachtwoorden of authenticatie van gastgebruikers niet te beheren, terwijl de gastgebruiker toch volledig kan samenwerken met interne gebruikers aan bestanden en mappen binnen de MyWorkDrive-bestandsshare.

Meer details over hoe dit werkt, vindt u in dit Microsoft Support-artikel: https://docs.microsoft.com/en-us/azure/active-directory/b2b/hybrid-cloud-to-on-premises en in onze Video voor het delen van B2B-bestanden.

 

Om het delen van gastgebruikers in MyWorkDrive te implementeren, wordt een gebruikersaccount gemaakt voor de uitgenodigde gast in Active Directory die we kunnen imiteren, en zo ingesteld dat de uitgenodigde gastgebruiker niet interactief kan inloggen - alleen via AzureAD. Eenmaal aangemeld bij Azure AD, imiteert de gebruiker die gebruiker om hem zijn Windows-bestandsshares te tonen.

In tegenstelling tot het delen van externe links met behulp van OneDrive- of Sync & Share-systemen, kan de gastgebruiker volledig samenwerken aan bestanden en mappen met interne gebruikers. Vanuit een beveiligings- en ondersteuningsstandpunt zijn er geen wachtwoordherstel om te beheren en beveiliging kan worden ingeschakeld op Azure AD-gastaccounts om Multi-Factor Authentication te vereisen om gebruikersidentiteiten te verifiëren.

Omgekeerd, om Windows-bestandsshares in staat te stellen anonieme externe toegang via links te bieden, zou de beveiliging in gevaar moeten worden gebracht door wachtwoordhashes op te slaan in een database of door de servercomputeraccount volledige schrijftoegang te verlenen tot alle Windows-bestandsshares. We hebben concurrerende producten gezien die wachtwoordhashes opslaan voor shares in een database die rechten hebben op alle shares op rootniveau.

We hebben ervoor gekozen om zo'n extreem veiligheidsrisico te vermijden; het vermijden van integraties die het opslaan van wachtwoord-hashes vereisen of het toestaan van onbeperkte toegang tot bestandsshares. Onze gekozen methode vermijdt ook problemen zoals het hernoemen van gedeelde mappen en het verbreken van gedeelde links of het opslaan van bestanden in databases, wat het doel verslaat om toegang te krijgen tot bestanden op Windows File Shares zonder ze te migreren.

 


Vereisten

  • MyWorkDrive-server instellen om Azure AD SAML te gebruiken
  • MyWorkDrive Server 6.0 of hoger met Enterprise Plus-licentie
  • Maak een OU in Active Directory om externe gebruikers op te slaan
  • Maak een Active Directory-groep voor gastgebruikers en verleen deze NTFS-machtiging voor de bestandsshare(s)
  • Voeg de Active Directory Group toe aan de share in MyWorkDrive
  • Enterprise Plus MyWorkDrive-abonnementslicentie

Gedetailleerde installatiestappen voor het delen van gastgebruikersmappen

MyWorkDrive-server instellen om Azure AD SAML te gebruiken met delegatie of Kerberos beperkte delegatie naar de bestandsshares

Het is noodzakelijk om MyWorkDrive te integreren met Azure AD met behulp van onze SAML-integratie. De Azure Directory wordt gebruikt om gastgebruikers te verifiëren en op te slaan. Het hoeft niet dezelfde Azure Active Directory te zijn die door het bedrijf wordt gebruikt, en het bedrijf hoeft ook niet Azure AD te gebruiken voor MyWorkDrive-authenticatie van interne gebruikers. Volg hier ons ondersteuningsartikel om Azure AD SAML-verificatie in MyWorkDrive in te stellen.

Maak een groep in Azure AD voor gastgebruikers die wordt gebruikt om de MyWorkDrive SAML-app bij te houden of toegang toe te staan

Maak in azure AD een cloudgebaseerde groep voor externe gastgebruikers die de MyWorkDrive Enterprise SAML-app mogen gebruiken en voeg deze groep toe zodat die gebruikers kunnen inloggen.

Groep gemaakt in Azure AD, bijvoorbeeld "MWD-Guest":
Als u wilt dat gebruikers worden toegewezen aan de app om in te loggen (de SAML-app-eigenschappen "Gebruikerstoewijzing vereist" is ingesteld op Ja), voegt u de AAD-groep toe aan uw MyWorkDrive SAML-app om aanmelding door gastgebruikers mogelijk te maken:

Maak een OU in Active Directory om externe gebruikers op te slaan

Maak in Active Directory een OU om alle externe gastgebruikers op te slaan. Dit maakt het later veel gemakkelijker om externe gastgebruikers te beheren, te verwijderen of te bewerken. De gastgebruikers worden hier aangemaakt en opgeslagen. Ze worden ingesteld op SmartCardLogonRequired om inloggen met gebruikersnaam/wachtwoord te voorkomen, aangezien we ze in plaats daarvan zullen imiteren door middel van delegatie. Deze gebruikers worden ook verwijderd uit domeingebruikers om toegang tot interne bronnen te voorkomen. Als uw bedrijf uw Active Directory synchroniseert met Azure AD met behulp van AD Sync, moet u ervoor zorgen dat: deze OE uitsluiten van automatische synchronisatie.

Active Directory-gastgebruikersgroep maken

Maak in Active Directory een gastgebruikersgroep aan. Externe gastgebruikers worden aan deze groep toegevoegd als hun primaire Active Directory-groep en verwijderd uit de standaard domeingebruikersgroep. Deze Active Directory-groep kan ook worden gebruikt om NTFS-machtigingen te verlenen aan de shares die u beschikbaar wilt maken voor eeuwige gebruikers in MyWorkDrive.

Azure AD Enterprise-app-registratie maken

Om de MWD-server automatisch gastgebruikers te laten maken en beheren in azure AD, is het noodzakelijk om een Azure AD Enterprise-app te maken. De AAD-app kan handmatig worden gemaakt of met ons PowerShell-script.

Automatische Powershell-registratie

Download en voer onze . uit Script voor het maken van PowerShell Azure AD-apps als beheerder vanaf de MWD-server. Het script vraagt u meerdere keren om de Azure AD-domeinnaam, toepassingsnaam en om aanmelding bij Azure AD om uw AAD-app te autoriseren.

Het script maakt automatisch uw zakelijke app-registratie aan en slaat de resulterende applicatie-ID en Tenant-ID op in het MWD-beheerpaneel onder Enterprise-instellingen.

Om de verbinding met AzureAD te voltooien, kopieert en plakt u de Application Secret-handleiding in het MWD-beheerpaneel onder Enterprise-instellingen, Guest User-instellingen.

Voltooi de installatie door het delen van gastgebruikers in te schakelen onder Enterprise-instellingen - Azure AD SAML: gastgebruikers: voer uw gastgebruikers-OE, door Azure AD gemaakte gebruikersgroep en Active Directory-groep in. Klik op Opslaan.

Handmatige registratie:

Registreer de MWD-beheerderspaneeltoepassing in uw Azure-account.

Het MWD-beheerpaneel heeft de volgende machtigingen nodig:
Directory.Alles.lezen
Gebruiker.Uitnodigen.Alles
Gebruiker.ReadWrite.All.
GroupMember.ReadWrite.All

 

Sla de resulterende applicatie/client-ID, directory/tenant-ID en clientgeheim op om te plakken in de MyWorkDrive Guest User-configuratie onder bedrijfsinstellingen.

Maak het applicatiegeheim en plak het in de MyWorkDrive.

Delen door gastgebruikers inschakelen

Voltooi de installatie door het delen van gastgebruikers in te schakelen onder Enterprise-instellingen - Azure AD SAML - Gastgebruikers: voer uw gastgebruikers-OE, door Azure AD gemaakte gebruikersgroep en Active Directory-groep in.

Als u ons geautomatiseerde Powershell-script heeft gebruikt, zijn de App-ID, App Tenant-ID en App Secret al vooraf ingevuld. Als dat niet het geval is, plakt u deze instellingen handmatig.

Accepteer of wijzig het gebruikersnaamvoorvoegsel naar wens om een voorvoegsel toe te voegen aan alle gebruikersnamen van gastgebruikers om te helpen bij het onderscheiden of vinden van gastgebruikers in Active Directory, zoals gewenst.

Gastgebruikers inschakelen en uitnodigen om te delen

Selecteer of maak Active Directory-groep voor de share

Voordat u toegang voor delen door gasten inschakelt op een MyWorkDrive-share, moet u een nieuwe unieke Active Directory-groep maken die wordt gebruikt voor het toewijzen van NTFS-machtigingen aan elke bestandsshare of een bestaande groep gebruiken (dit kan dezelfde groep zijn die werd gebruikt als de standaard domeingroep toegepast op gastgebruikers bij het inschakelen van gastgebruikerstoegang in bedrijfsinstellingen).

Een bestaande groep toevoegen aan NTFS-machtigingen op de bestandsshare

Delen met gastgebruiker inschakelen op een gedeelde map

Klik op de schuifregelaar en schakel Gastgebruikerstoegang in. Zoek en selecteer de gewenste NTFS-machtigingsgroep waaraan gastgebruikers worden toegevoegd.


Klik op "Nieuw" om de externe gastgebruiker uit te nodigen


Klik om te bevestigen en op Opslaan om het delen van gastgebruikers op de share in te schakelen.

Installatie voltooien

Nadat de gastgebruiker is uitgenodigd, wordt de externe gastgebruiker intern en extern gemaakt in azure AD en wordt een e-mailuitnodiging verzonden.

Wanneer ze op Uitnodiging accepteren klikken, worden ze gevraagd om in te loggen op of een Microsoft-account te maken, samen met eventuele MFA of validatie die u nodig hebt. Eenmaal geverifieerd, worden ze aangemeld bij MyWorkDrive en zien ze de shares waarvoor ze zijn ingericht op het webadres van uw MyWorkDrive-server.

Let op, als gevolg van propogatie kan het tot 15 minuten duren voordat de nieuwe gebruiker is gesynchroniseerd over alle segmenten van AD en een succesvolle aanmelding is voltooid.

Gastgebruikers beheren

Gastgebruikers kunnen op elk moment eenvoudig worden uitgeschakeld of verwijderd in Active Directory en Azure AD. Uitgenodigde gebruikers kunnen e-mailuitnodigingen opnieuw worden verzonden of worden verwijderd in azure AD. Externe gastgebruikers zijn ook toegankelijk op de bedrijfspagina:


Nadat erop is geklikt, selecteert u de gebruiker om e-mailuitnodigingen opnieuw te verzenden of verwijdert u deze als gastgebruikers uit Active Directory en Azure AD. Met Verwijderen worden ze zowel uit AzureAD als uit LocalAD verwijderd.