Cách cấu hình cộng tác với tổ chức bên ngoài trên Microsoft 365

Một lợi ích của Microsoft 365 là khả năng chia sẻ dữ liệu và cộng tác với các đối tác, khách hàng, nhà cung cấp và người dùng bên ngoài hệ thống của bạn. Tuy nhiên, lợi ích này cũng có thể tiềm ẩn rủi ro vì thông tin có thể vô tình bị lộ cho các bên ngoài. Thêm vào đó, mặc định hệ thống cho phép người dùng chia sẻ dữ liệu với các cá nhân bên ngoài. Điều đáng lo ngại không kém là việc cấu hình cộng tác bên ngoài có thể phức tạp vì có nhiều tùy chọn khác nhau và cần phải điều hướng qua nhiều bảng điều khiển quản trị.

 Bước đầu tiên cần thực hiện khi thiết lập hợp tác bên ngoài là xác định mục tiêu của tổ chức và những thông tin sẽ được chia sẻ. Dưới đây là một vài lựa chọn:

  • Giới hạn việc cộng tác với bên ngoài chỉ trong các cuộc trò chuyện trên Teams.
  • Cho phép người dùng chia sẻ tệp với người dùng bên ngoài.
  • Cho phép thêm người dùng bên ngoài làm thành viên của Nhóm hoặc các kênh chia sẻ của Nhóm.

Điều quan trọng không kém là xác định những thực thể bên ngoài nào mà người dùng của bạn có thể chia sẻ thông tin. Đó là tất cả người dùng, hay chỉ một nhóm người dùng trong một tổ chức cụ thể, hay cần thiết lập mối quan hệ tin cậy ở cấp độ tổ chức (cấp độ người thuê)?

Bài viết này sẽ tập trung vào việc thiết lập mối quan hệ tin cậy giữa hai tài khoản Microsoft 365. Bài viết cũng sẽ hướng dẫn cách người dùng thiết lập các kênh chia sẻ Teams với người dùng từ tổ chức được tin cậy.

Trước khi đi sâu vào chi tiết, đây là tổng quan nhanh về các lựa chọn để thiết lập hợp tác bên ngoài. Có ba loại:

  • Hợp tác B2B: Đây là phương pháp truyền thống hơn, trong đó người dùng bên ngoài được cấp tài khoản khách trong tổ chức của bạn. Tài khoản khách cần được thiết lập.
  • Kết nối trực tiếp B2B: Cho phép các tổ chức thiết lập mối quan hệ tin cậy với các khách hàng Microsoft 365 bên ngoài để chia sẻ dữ liệu. Không cần phải cấp phép tài khoản khách.
  • Đồng bộ hóa giữa các tenant: Dành cho các tổ chức có nhiều tenant để cung cấp khả năng cộng tác liền mạch. Tùy chọn này kết hợp cộng tác B2B và kết nối trực tiếp B2B. Quá trình đồng bộ hóa sẽ tạo tài khoản khách trong tenant đối diện. Tùy chọn này không nhằm mục đích sử dụng xuyên suốt ranh giới tổ chức.

Cấu hình kết nối trực tiếp B2B

Việc cộng tác bên ngoài được cấu hình thông qua cài đặt truy cập liên tenant trong bảng điều khiển quản trị Microsoft Entra. Tính năng B2B Direct yêu cầu quản trị viên ở cả hai tenant phải bật cài đặt truy cập liên tenant. Trong tenant nơi tài khoản người dùng đặt, được gọi là home tenant, cần tạo một kết nối đi ra liệt kê tenant nơi chứa các tài nguyên – được gọi là resource tenant. Quản trị viên trong resource tenant cần tạo một kết nối đến. Sau khi hoàn tất việc này ở cả hai tenant, một kết nối đáng tin cậy sẽ được thiết lập giữa chúng, tạo nền tảng cho sự cộng tác.

Lưu ý: các hướng dẫn này giả định rằng các cài đặt mặc định của người thuê nhà chưa bị thay đổi.

Thêm Tenant của tổ chức khác – Thực hiện thao tác này ở cả hai Tenants

Các quản trị viên ở cả hai môi trường cần thực hiện các bước sau để thêm môi trường của tổ chức kia. Truy cập Entra https://entra.microsoft.com > Tìm chọn:

  • External Identities > Cross-tenant access settings > Cross-tenant access settings > Organizational settings
  • Click +Add organization

"

  • Trong cửa sổ Add organization > nhập Tenant ID hoặc Domain Name (của tổ chức cần add vào). Khuyến nghị ên sử dụng Tenant ID, mà bạn cần lấy từ quản trị viên của người thuê nguồn.

"

Tên miền mới được thêm vào sẽ hiển thị trên trang cài đặt truy cập liên người dùng.

Cấu hình quyền truy cập đến

Quyền truy cập đến (Inbound access) được cấu hình trong resource tenant. Trong cột Inbound access trên trang cài đặt Cross-tenant > click Inherited from default

"

Trên trang Inbound access settings > chọn tab B2B direct connect. Tiếp tục chọn Customize settings > Allow access

Trong mục Applies to bạn có thể chọn all users in the tenant hoặc chọn users and groups. Nếu bạn chọn users > một trường bổ sung sẽ hiện ra để bạn nhập thông tin về người dùng/nhóm mà bạn muốn áp dụng chính sách này.

"

Chọn tab Applications > chọn Allow access.

Để áp dụng, hãy nhấp vào External applications > click chọn Add Microsoft application >Thêm Office 365. Tất nhiên, bạn cũng có thể chọn thêm các ứng dụng khác hoặc tất cả các ứng dụng.

"

Kết nối đến đã được thiết lập. Giờ đây, cần cấu hình quyền truy cập đi trong resource tenant

Cấu hình quyền truy cập đi ra

Các bước cấu hình quyền truy cập đi ra hoàn toàn giống với cấu hình quyền truy cập đến, ngoại trừ một vài khác biệt nhỏ. Trên trang cài đặt quyền truy cập giữa các người dùng, hãy xác nhận rằng tab cài đặt Tổ chức đã được chọn (đây là mặc định), sau đó chọn liên kết Kế thừa từ mặc định trong cột Quyền truy cập đi ra.

"

Trên trang cài đặt quyền truy cập đi ra, hãy nhấp vào tab kết nối trực tiếp B2B ở đầu trang, sau đó chọn nút radio Tùy chỉnh cài đặt và nút Cho phép truy cập.

Trong mục Áp dụng, bạn có thể chọn tất cả người dùng trong tenant hoặc Chọn người dùng và nhóm. Nếu bạn chọn Chọn người dùng, một ô bổ sung sẽ hiện ra để bạn nhập thông tin về người dùng/nhóm mà bạn muốn cho phép cộng tác.

Sau khi chọn người dùng, một hộp thoại xác nhận bổ sung sẽ hiển thị. Thông báo này yêu cầu quản trị viên xác nhận rằng người dùng bên ngoài có kết nối đi ra được bật sẽ có quyền truy cập hạn chế vào thông tin liên hệ của người dùng trong người dùng này.

"

Tiếp theo, nhấp vào tab Ứng dụng, rồi chọn Cho phép truy cập.

Để áp dụng, hãy nhấp vào Chọn ứng dụng bên ngoài, sau đó nhấp vào liên kết Thêm ứng dụng Microsoft. Thêm Office 365. Tất nhiên, bạn có thể chọn thêm các ứng dụng khác hoặc tất cả các ứng dụng.

Hãy xem các ảnh chụp màn hình ở phần trên, chúng hoàn toàn giống nhau.

Đến giai đoạn này, mối quan hệ tin cậy giữa hai người thuê nhà đã được thiết lập.

Cấu hình chia sẻ nhóm

Bước tiếp theo cần thực hiện là cấu hình chia sẻ trong Teams và các ứng dụng tích hợp với Teams. Trước tiên, cần cấu hình các chính sách của Teams để cho phép người dùng tạo và làm việc với các kênh chia sẻ trong Teams:

  • Từ Trung tâm quản trị Teams, mở rộng Teams > Chính sách Teams > nhấp vào chính sách Teams cần cập nhật – theo mặc định có một chính sách tên là Global (mặc định toàn tổ chức).
  • Trong cửa sổ chính sách Teams, hãy đảm bảo các cài đặt sau được bật cho người dùng tài nguyên:
    • Tạo kênh chia sẻ
    • Mời người dùng bên ngoài tham gia các kênh chia sẻ
  • Trong trang chủ của người dùng, hãy xác nhận rằng tùy chọn “Tham gia các kênh chia sẻ bên ngoài” đã được bật.

"

Thứ hai, cần thiết lập quyền truy cập bên ngoài. Từ Trung tâm quản trị Teams > Mở rộng Người dùng > Quyền truy cập bên ngoài. Xác nhận rằng người dùng Teams và Skype for Business trong các tổ chức bên ngoài được đặt thành Cho phép tất cả các miền bên ngoài hoặc chỉ cho phép các miền bên ngoài cụ thể nếu tenant được cấu hình để sử dụng danh sách cho phép các miền bên ngoài mà người dùng có thể cộng tác. Nếu vậy, hãy đảm bảo rằng miền bên ngoài được cấu hình cho quyền truy cập trực tiếp B2B được bao gồm trong danh sách đó.

"

Khi Teams được cấu hình để hỗ trợ các kênh chia sẻ, cần cấu hình thêm hai thành phần nữa:

  • Kích hoạt tính năng chia sẻ nhóm Microsoft 365:
    • Thao tác này được thực hiện từ Trung tâm quản trị Microsoft 365: https://admin.microsoft.com
    • Nhấp vào Cài đặt > Cài đặt Tổ chức > Nhóm Microsoft 365
    • Cho phép cả hai tùy chọn: Cho phép chủ sở hữu nhóm thêm người bên ngoài tổ chức của bạn vào Nhóm Microsoft 365 với tư cách Khách và
    • Cho phép các thành viên nhóm khách truy cập nội dung nhóm.

"

Các thiết lập cuối cùng cần cấu hình nằm trong Trung tâm quản trị SharePoint, nơi cần cho phép truy cập của khách ở cấp độ tổ chức và trang web:

  • Từ trung tâm quản trị SharePoint, hãy nhấp vào Chính sách > Chia sẻ
    • Hãy đảm bảo thanh trượt chia sẻ bên ngoài của SharePoint được đặt ở mức ít nhất là “Khách hiện có”.

"

  • Để chia sẻ dữ liệu ở cấp độ trang web, hãy thực hiện các bước sau:
    • Mở rộng Trang web > Trang web đang hoạt động > Nhấp vào tên trang web sẽ sử dụng các kênh được chia sẻ
    • Nhấp vào tab Cài đặt và đặt Chia sẻ tệp bên ngoài thành Khách hiện có (tối thiểu).

"

Lưu ý rằng tất cả các thiết lập trong phần này đều được bật theo mặc định, ngoại trừ tính năng chia sẻ ở cấp độ tổ chức SharePoint, mặc định là “Bất kỳ ai”.

Các tùy chọn bảo mật bổ sung

Phần này trình bày thêm một số vấn đề cần xem xét khi thiết lập hợp tác bên ngoài. Tôi sẽ không đi sâu vào chi tiết, nhưng hãy coi chúng như những gợi ý cần được đưa vào chiến lược hợp tác.

Cài đặt tin cậy đến

Đối với người thuê cho phép cộng tác đến, cần xem xét một số cài đặt bảo mật bổ sung. Các cài đặt này xác định xem chính sách truy cập có điều kiện của bạn có tin tưởng xác thực đa yếu tố (MFA), thiết bị tương thích và thiết bị kết nối lai Entra từ một tổ chức bên ngoài để truy cập tài nguyên trong người thuê của bạn hay không:

  • Tin tưởng xác thực đa yếu tố từ các tenant Microsoft Entra: Điều này bắt buộc xác thực đa yếu tố từ tenant chính của người dùng. Điều này có nghĩa là người dùng không cần phải đăng ký MFA từ tenant chứa tài nguyên, giúp đơn giản hóa trải nghiệm người dùng. Vì vậy, nếu tài khoản của người dùng đã bật MFA trong tenant chính của họ, người dùng sẽ không cần phải đăng ký MFA trong tenant nơi tài nguyên được đặt.
  • Tin tưởng các thiết bị tuân thủ
  • Tin tưởng vào các thiết bị kết hợp lai Microsoft Entra.

Hai tùy chọn dựa trên thiết bị này đều cho phép người thuê tài nguyên tin tưởng các thiết bị tuân thủ hoặc được kết nối lai từ người thuê chính.

Bạn có thể truy cập các cài đặt này từ trang Cài đặt truy cập liên tenant, trong cột Truy cập đến (Inbound access) cho miền tenant chính của người dùng. Nhấp vào liên kết Đã cấu hình (Configured) rồi nhấp vào tab Cài đặt tin cậy (Trust Settings).

"

Lưu ý: Nếu các chính sách truy cập có điều kiện trong tenant tài nguyên yêu cầu xác thực đa yếu tố (MFA), thì cài đặt tin cậy đến phải được cấu hình để chấp nhận các yêu cầu MFA từ tenant chính của người dùng.

Chính sách truy cập có điều kiện

Bạn cũng có thể tận dụng các chính sách truy cập có điều kiện nhắm mục tiêu vào người dùng bên ngoài. Ví dụ, nếu bạn muốn buộc người dùng bên ngoài phải sử dụng xác thực đa yếu tố (MFA) từ hệ thống của bạn. Mục Người dùng cho phép bạn gán các chính sách cụ thể cho người dùng khách.

"

Quản lý vòng đời cho hợp tác bên ngoài

Có hai lựa chọn cần xem xét liên quan đến quản lý vòng đời cho sự hợp tác bên ngoài. Lựa chọn đầu tiên là đánh giá quyền truy cập. Nói ngắn gọn, đánh giá quyền truy cập cung cấp một bộ công cụ để xem xét ai có quyền truy cập vào tài nguyên nào trong một môi trường ảo. Chúng cũng có thể được sử dụng để thu hồi quyền truy cập vào tài nguyên.

Bạn có thể tìm thấy các đánh giá quyền truy cập trong trang Cài đặt quyền truy cập giữa các người dùng > Quản lý vòng đời > Đánh giá quyền truy cập.

Một yếu tố khác cần được xem xét trong chiến lược hợp tác bên ngoài là Điều khoản sử dụng. Điều này cho phép bạn trình bày các điều khoản và điều kiện mà người dùng bên ngoài phải chấp nhận trước khi truy cập tài nguyên. Bạn có thể tìm thấy mục này trong trang Cài đặt truy cập liên người dùng > Quản lý vòng đời > Điều khoản sử dụng.

Sử dụng B2B Direct Connect với Teams

Với kết nối trực tiếp B2B, người dùng bên ngoài có quyền truy cập đăng nhập một lần vào các ứng dụng kết nối trực tiếp B2B. Hiện tại, kết nối B2B hỗ trợ các kênh chia sẻ Teams. Nhờ đó, người dùng bên ngoài đáng tin cậy có thể truy cập liền mạch các kênh chia sẻ Teams mà không cần phải chuyển đổi tenant hoặc đăng nhập bằng tài khoản khác khi làm việc trong ứng dụng Teams. Điều này đơn giản hóa trải nghiệm người dùng cho người dùng trực tiếp B2B vì họ có thể truy cập các kênh chia sẻ trong phiên bản Teams chính của mình. Kênh chia sẻ sẽ hiển thị trong mục Teams và kênh cùng với Teams và các kênh từ tenant chính của người dùng. Các kênh chia sẻ được đánh dấu bằng (Bên ngoài) sau tên kênh.

Ảnh chụp màn hình bên dưới cho thấy người dùng đã đăng nhập vào tenant chính của mình. Dưới mục Nhóm và kênh là các Nhóm mà người dùng này là thành viên trong tenant chính và kênh được chia sẻ trong tenant bên ngoài. Kênh được chia sẻ được đánh dấu là (Bên ngoài). Người dùng bên ngoài chỉ có quyền truy cập vào kênh được chia sẻ và không có quyền truy cập vào bất kỳ tài nguyên nào khác trong Nhóm hoặc các ứng dụng khác trong tenant.

"

Ngoài ra, trong tổ chức tài nguyên, chủ sở hữu Nhóm có thể tìm kiếm người dùng từ tenant bên ngoài đáng tin cậy và thêm họ vào các kênh chia sẻ. Lưu ý trong ví dụ bên dưới rằng một người dùng bên ngoài đang được thêm vào một kênh chia sẻ của Nhóm. Khi chủ sở hữu Nhóm tìm kiếm người dùng bên ngoài, tìm kiếm sẽ tìm thấy người dùng và chỉ định (Bên ngoài) sau tên của người dùng đó.

Người dùng kết nối trực tiếp B2B không có sự hiện diện trong tổ chức người thuê tài nguyên và do đó sẽ không được hiển thị trong các ứng dụng khác không hỗ trợ kết nối trực tiếp B2B.

"

Trải nghiệm kết nối trực tiếp B2B khác với cộng tác B2B ở chỗ người dùng cộng tác B2B cần có tài khoản khách và phải được mời vào Nhóm. Người dùng được mời sẽ nhận được email mời tham gia Nhóm và phải xác nhận lời mời. Người dùng khách không thể tham gia các kênh chia sẻ nhưng có thể là thành viên của Nhóm và có quyền truy cập vào các kênh tiêu chuẩn.  

Khi được mời tham gia các kênh chia sẻ của Teams, người dùng sẽ không nhận được email mời như khi họ được thiết lập với tư cách khách trong tài khoản.

Cuối cùng, cần lưu ý rằng các cài đặt kết nối trực tiếp không phải B2B được hiển thị ở trên có thể ảnh hưởng đến việc cộng tác bên ngoài không chỉ đối với người dùng kết nối trực tiếp B2B mà còn cả người dùng cộng tác B2B. Nếu điều này không mong muốn, thì điều quan trọng là phải xem xét lại các cài đặt cộng tác B2B và đảm bảo chúng được thiết lập để đáp ứng nhu cầu của tổ chức.

Tổng kết

Vậy là tôi vừa hướng dẫn xong cho bạn Cách Cấu hình cộng tác với tổ chức bên ngoài trên Microsoft 365. Nếu gặp bất kỳ khó khăn nào trong quá trình thực hiện, bạn có thể liên hệ banquyenphanmem.com hoặc gọi số 028.22443013 để được trợ giúp. Với các hướng dẫn trên, chúng tôi hy vọng bạn đã giải quyết được nhu cầu của mình một cách nhanh chóng và hiệu quả.

Bài viết liên quan

zalo-icon
phone-icon