fbpx

Como podemos te ajudar hoje?

Compartilhamento de arquivos B2B externo de compartilhamentos de arquivos do Windows com MyWorkDrive e contas de convidado do Azure Active Directory

Você está aqui:
< Voltar

Visão geral do compartilhamento de pastas de arquivos B2B externos do MyWorkDrive

Os clientes licenciados Enterprise+ que utilizam a integração do MyWorkDrive Azure AD para autenticação agora podem convidar facilmente usuários convidados externos para colaborar em compartilhamentos de arquivos do Windows.

Com esse recurso, os usuários externos são convidados para o Azure AD como usuários convidados. Eles recebem um convite por e-mail para participar. Depois de resgatados e conectados, eles são representados pelo MyWorkDrive para mostrar suas pastas permitidas. Ao convidar usuários externos para o Azure AD, o administrador não precisará gerenciar logins, senhas ou autenticação de usuários convidados enquanto ainda permite que o usuário convidado colabore totalmente com usuários internos em arquivos e pastas no Compartilhamento de Arquivos MyWorkDrive.

Mais detalhes sobre como isso funciona são detalhados neste artigo de suporte da Microsoft: https://docs.microsoft.com/en-us/azure/active-directory/b2b/hybrid-cloud-to-on-premises e em nosso Vídeo de compartilhamento de arquivos B2B.

Para implementar o compartilhamento de usuário convidado no MyWorkDrive, uma conta de usuário é criada para o convidado convidado no Active Directory, que podemos representar e definir de forma que o usuário convidado convidado não possa fazer login interativamente – apenas via AzureAD. Uma vez conectado ao Azure AD, o usuário está se passando por esse usuário para mostrar seus compartilhamentos de arquivos do Windows.

Ao contrário do compartilhamento de link externo usando os sistemas OneDrive ou Sync & Share, o usuário convidado pode colaborar totalmente em arquivos e pastas com usuários internos. Do ponto de vista de segurança e suporte, não há redefinições de senha para gerenciar e a segurança pode ser habilitada nas contas de convidado do Azure AD para exigir a autenticação multifator para verificar as identidades dos usuários.

Por outro lado, permitir que os compartilhamentos de arquivos do Windows forneçam acesso anônimo externo por meio de links exigiria comprometer a segurança armazenando hashes de senha em um banco de dados ou concedendo à conta do computador servidor acesso total de gravação a todos os compartilhamentos de arquivos do Windows. Vimos produtos concorrentes que armazenam hashes de senha em compartilhamentos em um banco de dados que têm direitos a todos os compartilhamentos no nível raiz.

Optamos por evitar um risco de segurança tão extremo; evitando integrações que exijam armazenar hashes de senha ou permitir acesso irrestrito a compartilhamentos de arquivos. Nosso método escolhido também evita problemas como renomear pastas compartilhadas e quebrar links de compartilhamento ou armazenar arquivos em bancos de dados, o que anula o objetivo de acessar arquivos em compartilhamentos de arquivos do Windows sem migrá-los.

 


 

Pré-requisitos

  • Configurar o servidor MyWorkDrive para usar o SAML do Azure AD
  • Servidor MyWorkDrive 6.0 ou superior com licença Enterprise Plus
  • Criar uma UO no Active Directory para armazenar usuários externos
  • Crie um grupo do Active Directory para usuários convidados e conceda a ele permissão NTFS no(s) compartilhamento(s) de arquivos
  • Adicione o Grupo do Active Directory ao compartilhamento no MyWorkDrive
  • Licença de assinatura do Enterprise Plus MyWorkDrive

Etapas detalhadas de configuração do compartilhamento de pasta do usuário convidado

Configure o servidor MyWorkDrive para usar o SAML do Azure AD com delegação ou delegação restrita de Kerberos para os compartilhamentos de arquivos

É necessário integrar o MyWorkDrive com o Azure AD usando nossa integração SAML. O Azure Directory será usado para autenticar e armazenar usuários convidados. Ele não precisa ser o mesmo Azure Active Directory usado pela empresa, nem a empresa precisa usar o Azure AD para autenticação MyWorkDrive do usuário interno. Siga nosso artigo de suporte aqui para configurar a autenticação SAML do Azure AD no MyWorkDrive.

Crie um grupo no Azure AD para usuários convidados que serão usados para rastrear ou permitir o acesso ao aplicativo MyWorkDrive SAML

No Azure AD, crie um grupo baseado em nuvem para usuários convidados externos que terão permissão para usar o aplicativo MyWorkDrive Enterprise SAML e adicione esse grupo para permitir que esses usuários façam login.

Grupo criado no Azure AD – por exemplo “MWD-Guest”:
Se você exigir que os usuários sejam atribuídos ao aplicativo para fazer login (as propriedades do aplicativo SAML "Atribuição de usuário obrigatória" estão definidas como Sim), adicione o grupo AAD ao seu aplicativo SAML MyWorkDrive para permitir o login de usuários convidados:

Criar uma UO no Active Directory para armazenar usuários externos

No Active Directory, crie uma UO para armazenar todos os usuários convidados externos. Isso tornará muito mais fácil gerenciar, remover ou editar usuários convidados externos posteriormente. Os usuários convidados serão criados e armazenados aqui. Eles serão definidos como SmartCardLogonRequired para impedir o login usando nome de usuário/senha, pois nós os representaremos usando delegação. Esses usuários também serão removidos dos usuários do domínio para impedir o acesso a quaisquer recursos internos. Se sua empresa estiver sincronizando seu Active Directory com o Azure AD usando o AD Sync, certifique-se de excluir esta UO da sincronização automática.

Criar grupo de usuários convidados do Active Directory

No Active Directory, crie um grupo de usuários convidados. Os usuários convidados externos serão adicionados a este grupo como seu grupo primário do Active Directory e removidos do grupo de usuários de domínio padrão. Esse Grupo do Active Directory também pode ser usado para conceder permissões NTFS aos compartilhamentos que você deseja disponibilizar para usuários eternos no MyWorkDrive.

Criar registro de aplicativo corporativo do Azure AD

Para permitir que o servidor MWD crie e gerencie automaticamente usuários convidados no Azure AD, é necessário criar um aplicativo corporativo do Azure AD. O aplicativo AAD pode ser criado manualmente ou usando nosso script do PowerShell.

Registro automático do Powershell

Baixe e execute nosso Script de criação de aplicativo do PowerShell Azure AD como administrador do Servidor MWD. O script solicitará o nome de domínio do Azure AD, o nome do aplicativo e solicitará o logon no Azure AD várias vezes para autorizar seu aplicativo AAD.

O script criará automaticamente o registro do aplicativo corporativo e salvará o ID do aplicativo e o ID do locatário resultantes no painel de administração do MWD nas configurações da empresa.

Para concluir a conexão com o AzureAD, copie e cole o manual do Segredo do Aplicativo no painel de administração do MWD em configurações da empresa, configurações do usuário convidado.

Conclua a configuração habilitando o compartilhamento de usuários convidados em configurações da empresa – Azure AD SAML: usuários convidados: insira sua UO de usuários convidados, grupo de usuários criado pelo Azure AD e grupo do Active Directory. Clique em Salvar.

Cadastro manual:

Registre o aplicativo do painel de administração do MWD em sua conta do Azure.

O painel de administração do MWD precisa das seguintes permissões:
Diretório.Ler.Todos
Usuário.Convidar.Todos
User.ReadWrite.All.
Membro do Grupo.ReadWrite.All

 

Salve o ID do aplicativo/cliente resultante, o ID do diretório/inquilino e o segredo do cliente para colar na configuração do usuário convidado do MyWorkDrive nas configurações da empresa.

Crie o Segredo do Aplicativo e cole-o no MyWorkDrive.

Ativar compartilhamento de usuário convidado

Conclua a configuração habilitando o compartilhamento de usuários convidados em configurações da empresa – SAML do Azure AD – Usuários convidados: insira sua UO de usuários convidados, grupo de usuários criado pelo Azure AD e grupo do Active Directory.

Se você usou nosso script Powershell automatizado, o ID do aplicativo, o ID do locatário do aplicativo e o segredo do aplicativo já estarão pré-preenchidos. Caso contrário, cole manualmente nestas configurações.

Aceite ou modifique o Prefixo de nome de usuário conforme desejado para adicionar um prefixo a todos os nomes de usuário de usuário convidado para auxiliar na diferenciação ou localização de usuários convidados no Active Directory conforme desejado.

Habilitar e convidar usuários convidados para um compartilhamento

Selecione ou crie um grupo do Active Directory para o compartilhamento

Antes de habilitar o acesso de compartilhamento de convidado em um compartilhamento do MyWorkDrive, crie um novo grupo exclusivo do Active Directory que será usado para atribuir permissão NTFS em cada compartilhamento de arquivo ou use um grupo existente (este pode ser o mesmo grupo que foi usado como padrão grupo de domínio aplicado a usuários convidados ao habilitar o acesso de usuários convidados nas configurações corporativas).

Adicionar um grupo existente às permissões NTFS no compartilhamento de arquivos

Habilitar o compartilhamento de usuário convidado em um compartilhamento

Clique no controle deslizante e ative o Acesso de usuário convidado. Pesquise e selecione o grupo de permissões NTFS desejado ao qual os usuários convidados serão adicionados.


Clique em "Novo" para convidar o usuário convidado externo


Clique para confirmar e Salvar para concluir a habilitação do compartilhamento de usuários convidados no compartilhamento.

Configuração completa

Depois de convidar o usuário convidado, o Usuário Convidado Externo é criado interna e externamente no Azure AD e enviado um convite por email.

Quando eles clicarem em Aceitar convite, eles serão solicitados a fazer login ou criar uma conta da Microsoft, juntamente com qualquer MFA ou validação necessária. Depois de autenticados, eles farão login no MyWorkDrive e verão os compartilhamentos para os quais estão provisionados no endereço da Web do servidor MyWorkDrive.

Observe que, devido à propagação, pode levar até 15 minutos após a criação para que o novo usuário seja sincronizado em todos os segmentos do AD e um login bem-sucedido seja concluído.

Gerenciar usuários convidados

Os usuários convidados podem ser facilmente desabilitados ou removidos no Active Directory e no Azure AD a qualquer momento. Os usuários convidados podem ser reenviados convites por email ou removidos no Azure AD. Usuários Convidados Externos também podem ser acessados na página da empresa:


Uma vez clicado, selecione o usuário para reenviar convites por email ou removê-los do Active Directory e do Azure AD como usuários convidados. A exclusão irá removê-los do AzureAD, bem como do LocalAD.

Permitting users to invite guests to shares

New! As of MyWorkDrive server 6.3, you are able to assign users who have access to MyWorkDrive shares the ability to invite guest users to the share using the “Manager” option.
With this new feature, designated users can invite guests to configured shares via the MyWorkDrive Web Client with their regular user login, no admin access to the MyWorkDrive server is required.

Pré-requisitos

  • Guest User Access being enabled (described above)
  • The share having guest user access configured (described above)
  • You will also need to grant the users who have permission to invite users delegated OU permissions in active directory (described below)

Note that the Prerequisites are required to be completed by an administrator in MyWorkDrive administration.

Enabling Managers

Step 1, Enable on Shares

This step is completed in MyWorkDrive Admin.

When Guest User Access is correctly configured, and the share is enabled for guest user sharing, an additional column is enabled in the granular permissions section of file share management titled “Manager”. You will want to manually add individuals you are granting the Manager permission to to the share list using the edit feature.

  • Add the user in question from Active Directory to the share.
    This may be redundant with an existing group configured on the share, but is appropriate as you are granting manager permissions to a specific user.
  • Enable appropriate permissions for the user for Client Access and DLP
    Some columns may not appear depending on enabled clients, drive letter configuration, whether Office Online is enabled, and whether you have DLP enabled or not
  • Enable the Manage feature for the user.

Step 2, Enable in Active Directory

The Manager user(s) must be granted permission to create users in Active Directory. This should be exclusively granted to the OU where the guest accounts are created, and the least priviliged access should be granted.

In Active Directory Users and Computers, find the OU where your guest users are being stored. (this can be found in the Guest User Access configuration on the share)

Right click on the OU in ADUC and select Delegate Control.

Add the appropriate user(s) who should be permitted to invite users.

When selecting permissions, select only

  • Create, delete, and manage user accounts
  • Read all user information
  • Modify the membership of a group

No other permissions are required nor recommended.

Note that changes to Active Directory require time to propagate across all servers in the domain, so users may not be able to immediately use the feature. Most AD Sync processes complete within 15 minutes, though on larger or more distributed domains the process may take up to 1 hour.

 

Managing Guest Users from the MyWorkDrive Web client.

When users with the Manager role enabled sign in to the MyWorkDrive Web client, those shares that are so configured will have an additional button in the menu titled “Manage”

 

Note that the Manage feature for users is only available in the MyWorkDrive Web client.

Clicking on Manage will launch a new window, where the user may be prompted for a secondary login for security purposes.

 

After completing any secondary login (when necessary), a similar interface to managing Guest Users as is shown in Admin is presented to the user.

Existing guests who have been invited to the share will be shown that can be changed/deleted, and links to add an existing guest to a new share or invite a new guest are included.

Using the Edit button will show a list of existing guests on the domain who were previously invited to shares on the MyWorkDrive server and can be additionally granted access to this share.

Using the Add button will permit the Manager to add a user’s name and email to invite them to the share. This follows the same process as inviting a user from the Admin panel and will add the user to Azure AD and Local AD, assign them to the appropriate group, and send them an email with links to accept the invitation and to access the share.

Like inviting through Admin, a confirmation page is shown after the user is added with a link to the Invitation URL and Login URL, in case the manager wishes to manually inform the invited guest user of their access information.