fbpx

Hoe kunnen we u vandaag helpen?

Externe B2B-bestandsdeling van Windows-bestandsshares met MyWorkDrive en Azure Active Directory-gastaccounts

U bent hier:
< Terug

Overzicht van MyWorkDrive Externe B2B-bestandsmappen delen

Enterprise+ gelicentieerde klanten die MyWorkDrive Azure AD-integratie gebruiken voor authenticatie, kunnen nu eenvoudig externe gastgebruikers uitnodigen om samen te werken aan Windows File Shares.

Met deze functie worden externe gebruikers uitgenodigd voor Azure AD als gastgebruikers. Ze hebben per e-mail een uitnodiging ontvangen om mee te doen. Eenmaal ingewisseld en ingelogd, worden ze vervolgens geïmiteerd door MyWorkDrive om hun toegestane mappen te tonen. Door externe gebruikers uit te nodigen voor Azure AD, hoeft de beheerder de aanmeldingen, wachtwoorden of authenticatie van gastgebruikers niet te beheren, terwijl de gastgebruiker toch volledig kan samenwerken met interne gebruikers aan bestanden en mappen binnen de MyWorkDrive-bestandsshare.

Meer details over hoe dit werkt, vindt u in dit Microsoft Support-artikel: https://docs.microsoft.com/en-us/azure/active-directory/b2b/hybrid-cloud-to-on-premises en in onze Video voor het delen van B2B-bestanden.

Om het delen van gastgebruikers in MyWorkDrive te implementeren, wordt een gebruikersaccount gemaakt voor de uitgenodigde gast in Active Directory die we kunnen imiteren, en zo ingesteld dat de uitgenodigde gastgebruiker niet interactief kan inloggen - alleen via AzureAD. Eenmaal aangemeld bij Azure AD, imiteert de gebruiker die gebruiker om hem zijn Windows-bestandsshares te tonen.

In tegenstelling tot het delen van externe links met behulp van OneDrive- of Sync & Share-systemen, kan de gastgebruiker volledig samenwerken aan bestanden en mappen met interne gebruikers. Vanuit een beveiligings- en ondersteuningsstandpunt zijn er geen wachtwoordherstel om te beheren en beveiliging kan worden ingeschakeld op Azure AD-gastaccounts om Multi-Factor Authentication te vereisen om gebruikersidentiteiten te verifiëren.

Omgekeerd, om Windows-bestandsshares in staat te stellen anonieme externe toegang via links te bieden, zou de beveiliging in gevaar moeten worden gebracht door wachtwoordhashes op te slaan in een database of door de servercomputeraccount volledige schrijftoegang te verlenen tot alle Windows-bestandsshares. We hebben concurrerende producten gezien die wachtwoordhashes opslaan voor shares in een database die rechten hebben op alle shares op rootniveau.

We hebben ervoor gekozen om zo'n extreem veiligheidsrisico te vermijden; het vermijden van integraties die het opslaan van wachtwoord-hashes vereisen of het toestaan van onbeperkte toegang tot bestandsshares. Onze gekozen methode vermijdt ook problemen zoals het hernoemen van gedeelde mappen en het verbreken van gedeelde links of het opslaan van bestanden in databases, wat het doel verslaat om toegang te krijgen tot bestanden op Windows File Shares zonder ze te migreren.

 


 

Vereisten

  • MyWorkDrive-server instellen om Azure AD SAML te gebruiken
  • MyWorkDrive Server 6.0 of hoger met Enterprise Plus-licentie
  • Maak een OU in Active Directory om externe gebruikers op te slaan
  • Maak een Active Directory-groep voor gastgebruikers en verleen deze NTFS-machtiging voor de bestandsshare(s)
  • Voeg de Active Directory Group toe aan de share in MyWorkDrive
  • Enterprise Plus MyWorkDrive-abonnementslicentie

Gedetailleerde installatiestappen voor het delen van gastgebruikersmappen

MyWorkDrive-server instellen om Azure AD SAML te gebruiken met delegatie of Kerberos beperkte delegatie naar de bestandsshares

Het is noodzakelijk om MyWorkDrive te integreren met Azure AD met behulp van onze SAML-integratie. De Azure Directory wordt gebruikt om gastgebruikers te verifiëren en op te slaan. Het hoeft niet dezelfde Azure Active Directory te zijn die door het bedrijf wordt gebruikt, en het bedrijf hoeft ook niet Azure AD te gebruiken voor MyWorkDrive-authenticatie van interne gebruikers. Volg hier ons ondersteuningsartikel om Azure AD SAML-verificatie in MyWorkDrive in te stellen.

Maak een groep in Azure AD voor gastgebruikers die wordt gebruikt om de MyWorkDrive SAML-app bij te houden of toegang toe te staan

Maak in azure AD een cloudgebaseerde groep voor externe gastgebruikers die de MyWorkDrive Enterprise SAML-app mogen gebruiken en voeg deze groep toe zodat die gebruikers kunnen inloggen.

Groep gemaakt in Azure AD, bijvoorbeeld "MWD-Guest":
Als u wilt dat gebruikers worden toegewezen aan de app om in te loggen (de SAML-app-eigenschappen "Gebruikerstoewijzing vereist" is ingesteld op Ja), voegt u de AAD-groep toe aan uw MyWorkDrive SAML-app om aanmelding door gastgebruikers mogelijk te maken:

Maak een OU in Active Directory om externe gebruikers op te slaan

Maak in Active Directory een OU om alle externe gastgebruikers op te slaan. Dit maakt het later veel gemakkelijker om externe gastgebruikers te beheren, te verwijderen of te bewerken. De gastgebruikers worden hier aangemaakt en opgeslagen. Ze worden ingesteld op SmartCardLogonRequired om inloggen met gebruikersnaam/wachtwoord te voorkomen, aangezien we ze in plaats daarvan zullen imiteren door middel van delegatie. Deze gebruikers worden ook verwijderd uit domeingebruikers om toegang tot interne bronnen te voorkomen. Als uw bedrijf uw Active Directory synchroniseert met Azure AD met behulp van AD Sync, moet u ervoor zorgen dat: deze OE uitsluiten van automatische synchronisatie.

Active Directory-gastgebruikersgroep maken

Maak in Active Directory een gastgebruikersgroep aan. Externe gastgebruikers worden aan deze groep toegevoegd als hun primaire Active Directory-groep en verwijderd uit de standaard domeingebruikersgroep. Deze Active Directory-groep kan ook worden gebruikt om NTFS-machtigingen te verlenen aan de shares die u beschikbaar wilt maken voor eeuwige gebruikers in MyWorkDrive.

Azure AD Enterprise-app-registratie maken

Om de MWD-server automatisch gastgebruikers te laten maken en beheren in azure AD, is het noodzakelijk om een Azure AD Enterprise-app te maken. De AAD-app kan handmatig worden gemaakt of met ons PowerShell-script.

Automatische Powershell-registratie

Download en voer onze . uit Script voor het maken van PowerShell Azure AD-apps als beheerder vanaf de MWD-server. Het script vraagt u meerdere keren om de Azure AD-domeinnaam, toepassingsnaam en om aanmelding bij Azure AD om uw AAD-app te autoriseren.

Het script maakt automatisch uw zakelijke app-registratie aan en slaat de resulterende applicatie-ID en Tenant-ID op in het MWD-beheerpaneel onder Enterprise-instellingen.

Om de verbinding met AzureAD te voltooien, kopieert en plakt u de Application Secret-handleiding in het MWD-beheerpaneel onder Enterprise-instellingen, Guest User-instellingen.

Voltooi de installatie door het delen van gastgebruikers in te schakelen onder Enterprise-instellingen - Azure AD SAML: gastgebruikers: voer uw gastgebruikers-OE, door Azure AD gemaakte gebruikersgroep en Active Directory-groep in. Klik op Opslaan.

Handmatige registratie:

Registreer de MWD-beheerderspaneeltoepassing in uw Azure-account.

Het MWD-beheerpaneel heeft de volgende machtigingen nodig:
Directory.Alles.lezen
Gebruiker.Uitnodigen.Alles
Gebruiker.ReadWrite.All.
GroupMember.ReadWrite.All

 

Sla de resulterende applicatie/client-ID, directory/tenant-ID en clientgeheim op om te plakken in de MyWorkDrive Guest User-configuratie onder bedrijfsinstellingen.

Maak het applicatiegeheim en plak het in de MyWorkDrive.

Delen door gastgebruikers inschakelen

Voltooi de installatie door het delen van gastgebruikers in te schakelen onder Enterprise-instellingen - Azure AD SAML - Gastgebruikers: voer uw gastgebruikers-OE, door Azure AD gemaakte gebruikersgroep en Active Directory-groep in.

Als u ons geautomatiseerde Powershell-script heeft gebruikt, zijn de App-ID, App Tenant-ID en App Secret al vooraf ingevuld. Als dat niet het geval is, plakt u deze instellingen handmatig.

Accepteer of wijzig het gebruikersnaamvoorvoegsel naar wens om een voorvoegsel toe te voegen aan alle gebruikersnamen van gastgebruikers om te helpen bij het onderscheiden of vinden van gastgebruikers in Active Directory, zoals gewenst.

Gastgebruikers inschakelen en uitnodigen om te delen

Selecteer of maak Active Directory-groep voor de share

Voordat u toegang voor delen door gasten inschakelt op een MyWorkDrive-share, moet u een nieuwe unieke Active Directory-groep maken die wordt gebruikt voor het toewijzen van NTFS-machtigingen aan elke bestandsshare of een bestaande groep gebruiken (dit kan dezelfde groep zijn die werd gebruikt als de standaard domeingroep toegepast op gastgebruikers bij het inschakelen van gastgebruikerstoegang in bedrijfsinstellingen).

Een bestaande groep toevoegen aan NTFS-machtigingen op de bestandsshare

Delen met gastgebruiker inschakelen op een gedeelde map

Klik op de schuifregelaar en schakel Gastgebruikerstoegang in. Zoek en selecteer de gewenste NTFS-machtigingsgroep waaraan gastgebruikers worden toegevoegd.


Klik op "Nieuw" om de externe gastgebruiker uit te nodigen


Klik om te bevestigen en op Opslaan om het delen van gastgebruikers op de share in te schakelen.

Installatie voltooien

Nadat de gastgebruiker is uitgenodigd, wordt de externe gastgebruiker intern en extern gemaakt in azure AD en wordt een e-mailuitnodiging verzonden.

Wanneer ze op Uitnodiging accepteren klikken, worden ze gevraagd om in te loggen op of een Microsoft-account te maken, samen met eventuele MFA of validatie die u nodig hebt. Eenmaal geverifieerd, worden ze aangemeld bij MyWorkDrive en zien ze de shares waarvoor ze zijn ingericht op het webadres van uw MyWorkDrive-server.

Let op, als gevolg van propogatie kan het tot 15 minuten duren voordat de nieuwe gebruiker is gesynchroniseerd over alle segmenten van AD en een succesvolle aanmelding is voltooid.

Gastgebruikers beheren

Gastgebruikers kunnen op elk moment eenvoudig worden uitgeschakeld of verwijderd in Active Directory en Azure AD. Uitgenodigde gebruikers kunnen e-mailuitnodigingen opnieuw worden verzonden of worden verwijderd in azure AD. Externe gastgebruikers zijn ook toegankelijk op de bedrijfspagina:


Nadat erop is geklikt, selecteert u de gebruiker om e-mailuitnodigingen opnieuw te verzenden of verwijdert u deze als gastgebruikers uit Active Directory en Azure AD. Met Verwijderen worden ze zowel uit AzureAD als uit LocalAD verwijderd.

Permitting users to invite guests to shares

New! As of MyWorkDrive server 6.3, you are able to assign users who have access to MyWorkDrive shares the ability to invite guest users to the share using the “Manager” option.
With this new feature, designated users can invite guests to configured shares via the MyWorkDrive Web Client with their regular user login, no admin access to the MyWorkDrive server is required.

Vereisten

  • Guest User Access being enabled (described above)
  • The share having guest user access configured (described above)
  • You will also need to grant the users who have permission to invite users delegated OU permissions in active directory (described below)

Note that the Prerequisites are required to be completed by an administrator in MyWorkDrive administration.

Enabling Managers

Step 1, Enable on Shares

This step is completed in MyWorkDrive Admin.

When Guest User Access is correctly configured, and the share is enabled for guest user sharing, an additional column is enabled in the granular permissions section of file share management titled “Manager”. You will want to manually add individuals you are granting the Manager permission to to the share list using the edit feature.

  • Add the user in question from Active Directory to the share.
    This may be redundant with an existing group configured on the share, but is appropriate as you are granting manager permissions to a specific user.
  • Enable appropriate permissions for the user for Client Access and DLP
    Some columns may not appear depending on enabled clients, drive letter configuration, whether Office Online is enabled, and whether you have DLP enabled or not
  • Enable the Manage feature for the user.

Step 2, Enable in Active Directory

The Manager user(s) must be granted permission to create users in Active Directory. This should be exclusively granted to the OU where the guest accounts are created, and the least priviliged access should be granted.

In Active Directory Users and Computers, find the OU where your guest users are being stored. (this can be found in the Guest User Access configuration on the share)

Right click on the OU in ADUC and select Delegate Control.

Add the appropriate user(s) who should be permitted to invite users.

When selecting permissions, select only

  • Create, delete, and manage user accounts
  • Read all user information
  • Modify the membership of a group

No other permissions are required nor recommended.

Note that changes to Active Directory require time to propagate across all servers in the domain, so users may not be able to immediately use the feature. Most AD Sync processes complete within 15 minutes, though on larger or more distributed domains the process may take up to 1 hour.

 

Managing Guest Users from the MyWorkDrive Web client.

When users with the Manager role enabled sign in to the MyWorkDrive Web client, those shares that are so configured will have an additional button in the menu titled “Manage”

 

Note that the Manage feature for users is only available in the MyWorkDrive Web client.

Clicking on Manage will launch a new window, where the user may be prompted for a secondary login for security purposes.

 

After completing any secondary login (when necessary), a similar interface to managing Guest Users as is shown in Admin is presented to the user.

Existing guests who have been invited to the share will be shown that can be changed/deleted, and links to add an existing guest to a new share or invite a new guest are included.

Using the Edit button will show a list of existing guests on the domain who were previously invited to shares on the MyWorkDrive server and can be additionally granted access to this share.

Using the Add button will permit the Manager to add a user’s name and email to invite them to the share. This follows the same process as inviting a user from the Admin panel and will add the user to Azure AD and Local AD, assign them to the appropriate group, and send them an email with links to accept the invitation and to access the share.

Like inviting through Admin, a confirmation page is shown after the user is added with a link to the Invitation URL and Login URL, in case the manager wishes to manually inform the invited guest user of their access information.