fbpx

Como podemos te ajudar hoje?

Compartilhamento de arquivos B2B externo de compartilhamentos de arquivos do Windows com MyWorkDrive e contas de convidado do Azure Active Directory

Você está aqui:
< Voltar

Visão geral do compartilhamento de pastas de arquivos B2B externos do MyWorkDrive

Os clientes licenciados Enterprise+ que utilizam a integração do MyWorkDrive Azure AD para autenticação agora podem convidar facilmente usuários convidados externos para colaborar em compartilhamentos de arquivos do Windows.

Com esse recurso, os usuários externos são convidados para o Azure AD como usuários convidados. Eles recebem um convite por e-mail para participar. Depois de resgatados e conectados, eles são representados pelo MyWorkDrive para mostrar suas pastas permitidas. Ao convidar usuários externos para o Azure AD, o administrador não precisará gerenciar logins, senhas ou autenticação de usuários convidados enquanto ainda permite que o usuário convidado colabore totalmente com usuários internos em arquivos e pastas no Compartilhamento de Arquivos MyWorkDrive.

Mais detalhes sobre como isso funciona são detalhados neste artigo de suporte da Microsoft: https://docs.microsoft.com/en-us/azure/active-directory/b2b/hybrid-cloud-to-on-premises e em nosso Vídeo de compartilhamento de arquivos B2B.

 

Para implementar o compartilhamento de usuário convidado no MyWorkDrive, uma conta de usuário é criada para o convidado convidado no Active Directory, que podemos representar e definir de forma que o usuário convidado convidado não possa fazer login interativamente – apenas via AzureAD. Uma vez conectado ao Azure AD, o usuário está se passando por esse usuário para mostrar seus compartilhamentos de arquivos do Windows.

Ao contrário do compartilhamento de link externo usando os sistemas OneDrive ou Sync & Share, o usuário convidado pode colaborar totalmente em arquivos e pastas com usuários internos. Do ponto de vista de segurança e suporte, não há redefinições de senha para gerenciar e a segurança pode ser habilitada nas contas de convidado do Azure AD para exigir a autenticação multifator para verificar as identidades dos usuários.

Por outro lado, permitir que os compartilhamentos de arquivos do Windows forneçam acesso anônimo externo por meio de links exigiria comprometer a segurança armazenando hashes de senha em um banco de dados ou concedendo à conta do computador servidor acesso total de gravação a todos os compartilhamentos de arquivos do Windows. Vimos produtos concorrentes que armazenam hashes de senha em compartilhamentos em um banco de dados que têm direitos a todos os compartilhamentos no nível raiz.

Optamos por evitar um risco de segurança tão extremo; evitando integrações que exijam armazenar hashes de senha ou permitir acesso irrestrito a compartilhamentos de arquivos. Nosso método escolhido também evita problemas como renomear pastas compartilhadas e quebrar links de compartilhamento ou armazenar arquivos em bancos de dados, o que anula o objetivo de acessar arquivos em compartilhamentos de arquivos do Windows sem migrá-los.

 


Pré-requisitos

  • Configurar o servidor MyWorkDrive para usar o SAML do Azure AD
  • Servidor MyWorkDrive 6.0 ou superior com licença Enterprise Plus
  • Criar uma UO no Active Directory para armazenar usuários externos
  • Crie um grupo do Active Directory para usuários convidados e conceda a ele permissão NTFS no(s) compartilhamento(s) de arquivos
  • Adicione o Grupo do Active Directory ao compartilhamento no MyWorkDrive
  • Licença de assinatura do Enterprise Plus MyWorkDrive

Etapas detalhadas de configuração do compartilhamento de pasta do usuário convidado

Configure o servidor MyWorkDrive para usar o SAML do Azure AD com delegação ou delegação restrita de Kerberos para os compartilhamentos de arquivos

É necessário integrar o MyWorkDrive com o Azure AD usando nossa integração SAML. O Azure Directory será usado para autenticar e armazenar usuários convidados. Ele não precisa ser o mesmo Azure Active Directory usado pela empresa, nem a empresa precisa usar o Azure AD para autenticação MyWorkDrive do usuário interno. Siga nosso artigo de suporte aqui para configurar a autenticação SAML do Azure AD no MyWorkDrive.

Crie um grupo no Azure AD para usuários convidados que serão usados para rastrear ou permitir o acesso ao aplicativo MyWorkDrive SAML

No Azure AD, crie um grupo baseado em nuvem para usuários convidados externos que terão permissão para usar o aplicativo MyWorkDrive Enterprise SAML e adicione esse grupo para permitir que esses usuários façam login.

Grupo criado no Azure AD – por exemplo “MWD-Guest”:
Se você exigir que os usuários sejam atribuídos ao aplicativo para fazer login (as propriedades do aplicativo SAML "Atribuição de usuário obrigatória" estão definidas como Sim), adicione o grupo AAD ao seu aplicativo SAML MyWorkDrive para permitir o login de usuários convidados:

Criar uma UO no Active Directory para armazenar usuários externos

No Active Directory, crie uma UO para armazenar todos os usuários convidados externos. Isso tornará muito mais fácil gerenciar, remover ou editar usuários convidados externos posteriormente. Os usuários convidados serão criados e armazenados aqui. Eles serão definidos como SmartCardLogonRequired para impedir o login usando nome de usuário/senha, pois nós os representaremos usando delegação. Esses usuários também serão removidos dos usuários do domínio para impedir o acesso a quaisquer recursos internos. Se sua empresa estiver sincronizando seu Active Directory com o Azure AD usando o AD Sync, certifique-se de excluir esta UO da sincronização automática.

Criar grupo de usuários convidados do Active Directory

No Active Directory, crie um grupo de usuários convidados. Os usuários convidados externos serão adicionados a este grupo como seu grupo primário do Active Directory e removidos do grupo de usuários de domínio padrão. Esse Grupo do Active Directory também pode ser usado para conceder permissões NTFS aos compartilhamentos que você deseja disponibilizar para usuários eternos no MyWorkDrive.

Criar registro de aplicativo corporativo do Azure AD

Para permitir que o servidor MWD crie e gerencie automaticamente usuários convidados no Azure AD, é necessário criar um aplicativo corporativo do Azure AD. O aplicativo AAD pode ser criado manualmente ou usando nosso script do PowerShell.

Registro automático do Powershell

Baixe e execute nosso Script de criação de aplicativo do PowerShell Azure AD como administrador do Servidor MWD. O script solicitará o nome de domínio do Azure AD, o nome do aplicativo e solicitará o logon no Azure AD várias vezes para autorizar seu aplicativo AAD.

O script criará automaticamente o registro do aplicativo corporativo e salvará o ID do aplicativo e o ID do locatário resultantes no painel de administração do MWD nas configurações da empresa.

Para concluir a conexão com o AzureAD, copie e cole o manual do Segredo do Aplicativo no painel de administração do MWD em configurações da empresa, configurações do usuário convidado.

Conclua a configuração habilitando o compartilhamento de usuários convidados em configurações da empresa – Azure AD SAML: usuários convidados: insira sua UO de usuários convidados, grupo de usuários criado pelo Azure AD e grupo do Active Directory. Clique em Salvar.

Cadastro manual:

Registre o aplicativo do painel de administração do MWD em sua conta do Azure.

O painel de administração do MWD precisa das seguintes permissões:
Diretório.Ler.Todos
Usuário.Convidar.Todos
User.ReadWrite.All.
Membro do Grupo.ReadWrite.All

 

Salve o ID do aplicativo/cliente resultante, o ID do diretório/inquilino e o segredo do cliente para colar na configuração do usuário convidado do MyWorkDrive nas configurações da empresa.

Crie o Segredo do Aplicativo e cole-o no MyWorkDrive.

Ativar compartilhamento de usuário convidado

Conclua a configuração habilitando o compartilhamento de usuários convidados em configurações da empresa – SAML do Azure AD – Usuários convidados: insira sua UO de usuários convidados, grupo de usuários criado pelo Azure AD e grupo do Active Directory.

Se você usou nosso script Powershell automatizado, o ID do aplicativo, o ID do locatário do aplicativo e o segredo do aplicativo já estarão pré-preenchidos. Caso contrário, cole manualmente nestas configurações.

Aceite ou modifique o Prefixo de nome de usuário conforme desejado para adicionar um prefixo a todos os nomes de usuário de usuário convidado para auxiliar na diferenciação ou localização de usuários convidados no Active Directory conforme desejado.

Habilitar e convidar usuários convidados para um compartilhamento

Selecione ou crie um grupo do Active Directory para o compartilhamento

Antes de habilitar o acesso de compartilhamento de convidado em um compartilhamento do MyWorkDrive, crie um novo grupo exclusivo do Active Directory que será usado para atribuir permissão NTFS em cada compartilhamento de arquivo ou use um grupo existente (este pode ser o mesmo grupo que foi usado como padrão grupo de domínio aplicado a usuários convidados ao habilitar o acesso de usuários convidados nas configurações corporativas).

Adicionar um grupo existente às permissões NTFS no compartilhamento de arquivos

Habilitar o compartilhamento de usuário convidado em um compartilhamento

Clique no controle deslizante e ative o Acesso de usuário convidado. Pesquise e selecione o grupo de permissões NTFS desejado ao qual os usuários convidados serão adicionados.


Clique em "Novo" para convidar o usuário convidado externo


Clique para confirmar e Salvar para concluir a habilitação do compartilhamento de usuários convidados no compartilhamento.

Configuração completa

Depois de convidar o usuário convidado, o Usuário Convidado Externo é criado interna e externamente no Azure AD e enviado um convite por email.

Quando eles clicarem em Aceitar convite, eles serão solicitados a fazer login ou criar uma conta da Microsoft, juntamente com qualquer MFA ou validação necessária. Depois de autenticados, eles farão login no MyWorkDrive e verão os compartilhamentos para os quais estão provisionados no endereço da Web do servidor MyWorkDrive.

Observe que, devido à propagação, pode levar até 15 minutos após a criação para que o novo usuário seja sincronizado em todos os segmentos do AD e um login bem-sucedido seja concluído.

Gerenciar usuários convidados

Os usuários convidados podem ser facilmente desabilitados ou removidos no Active Directory e no Azure AD a qualquer momento. Os usuários convidados podem ser reenviados convites por email ou removidos no Azure AD. Usuários Convidados Externos também podem ser acessados na página da empresa:


Uma vez clicado, selecione o usuário para reenviar convites por email ou removê-los do Active Directory e do Azure AD como usuários convidados. A exclusão irá removê-los do AzureAD, bem como do LocalAD.