top of page
Search

🧩 Del 5: Gjestebrukere og ekstern deling – samarbeid uten å miste kontrollen

  • Writer: Bjørnar Aassveen
    Bjørnar Aassveen
  • Jun 24
  • 3 min read

I en moderne organisasjon er samarbeid med eksterne – som konsulenter, partnere, leverandører og kunder – helt nødvendig. Men det å gi tilgang til interne ressurser kan også være en sikkerhetsrisiko hvis det ikke gjøres riktig.


Microsoft 365 og Entra ID tilbyr verktøy for å dele sikkert, samtidig som du beholder kontrollen.


👤 Hva er en gjestebruker?

En gjestebruker er en ekstern person som inviteres inn i din Microsoft 365 tenant. De får en konto i din Entra ID, men autentiserer seg vanligvis med sin egen identitet (f.eks. Google, Microsoft, jobbkonto).

Gjestebrukere kan få tilgang til:

  • Teams og kanaler

  • SharePoint-områder og dokumenter

  • Planner, OneNote og andre M365-verktøy

  • Applikasjoner via Entra ID


🔐 Hvordan sikre ekstern deling?

Her er noen viktige mekanismer og anbefalinger:

1. Betinget tilgang (Conditional Access)

Bruk policyer for å kontrollere hvordan og når gjester får tilgang:

  • Krev MFA for gjester

  • Blokker tilgang fra usikre enheter eller lokasjoner

  • Tillat kun tilgang til spesifikke apper


2. Gjestepolicyer i Entra ID

Du kan styre:

  • Hvem som kan invitere gjester (alle, bare administratorer, eller spesifikke brukere)

  • Hva gjester kan se i katalogen

  • Om gjester kan se andre brukere


3. Teams og SharePoint-innstillinger

  • Begrens ekstern deling på team- eller område-nivå

  • Bruk sensitivitetsetiketter for å styre delingsnivå - Eksempelvis kan man på noen sensitivitets nivåer skru av muligheten for å invitere inn eksterne gjester i M365 gruppen (Som igjen ligger bak teamet, loop område osv.)

  • Aktiver varsler ved ekstern tilgang


4. Access reviews

Sett opp regelmessige tilgangsvurderinger for gjestebrukere:

  • Be eiere bekrefte at gjester fortsatt trenger tilgang

  • Fjern inaktive gjester automatisk

  • Dokumenter vurderingene for revisjon

💡 Krever Microsoft Entra ID P2

🔄 Ekstra: Hva er Cross-Tenant Synchronization?

Cross-Tenant Synchronization (CTS) er en funksjon i Microsoft Entra ID som lar deg automatisk synkronisere brukere mellom to eller flere Microsoft 365-leiere. Dette er spesielt nyttig i scenarier der:

  • En organisasjon har flere tenanter (f.eks. etter fusjoner eller oppkjøp)

  • Du samarbeider tett med en partnerorganisasjon

  • Du ønsker å gi tilgang til ressurser uten å bruke tradisjonell B2B-invitasjon



Hvordan fungerer det?

CTS bruker Entra ID B2B i bunn, men i stedet for manuell eller ad hoc-invitasjon, setter du opp en policybasert synkronisering:

  • Brukere i en tenant (kildetenanten) synkroniseres til en annen (måltenanten) (Hub&Spoke)

  • De opprettes som gjestebrukere, men med kontinuerlig oppdatering av attributter

  • Du kan bruke filtere for å kontrollere hvilke brukere som synkroniseres og mappe hvilke attributter du ønsker.


Fordeler med CTS

✅ Automatisk og oppdatert – ingen manuell invitasjon

✅ Skalerbart – støtter mange brukere og flere tenanter

✅ Bedre brukeropplevelse – én identitet, færre pålogginger

✅ Kan kombineres med Conditional Access og Access Reviews

Når bør du bruke det?

Bruk CTS når:

  • Du har flere tenanter og ønsker å gi ansatte tilgang på tvers

  • Du samarbeider tett med en annen organisasjon og ønsker kontinuerlig tilgang

  • Du vil automatisere gjestebrukerhåndtering og redusere manuelt arbeid

  • Du har behov for Viva Engage MTO oppsett


Når bør du ikke bruke det?

Unngå CTS hvis:

  • Du kun trenger midlertidig tilgang for noen få brukere

  • Du ikke har behov for kontinuerlig synkronisering

💡 CTS krever Microsoft Entra ID P1 i begge leiere, og at begge parter har konfigurert cross-tenant access settings.

🧹 Opprydding og overvåking

  • Bruk audit logs og sign-in logs for å overvåke gjestetilgang

  • Bruk Entitlement Management for å gi og fjerne tilgang som en pakke

  • Sett opp automatisk fjerning av gjester etter X dager uten aktivitet


✅ Beste praksis

  • Minimer tilgang: Gi kun tilgang til det som er nødvendig

  • Tidsbegrenset tilgang: Bruk PIM eller automatisering for å sette utløp

  • Kommuniser tydelig: Informer interne brukere om hvordan de skal dele sikkert

  • Evaluer jevnlig: Bruk rapporter og tilgangsvurderinger


Eksempel: Sikkert samarbeid i Teams

  1. En prosjektleder inviterer en ekstern konsulent til et Team

  2. Konsulenten får tilgang til filer og møter, men ikke til andre Teams

  3. En tilgangsvurdering etter 30 dager fjerner konsulenten automatisk hvis ingen fornyer


🚀 Neste steg

I neste innlegg ser vi på Entitlement Management og tilgangspakker – hvordan du kan gi riktig tilgang til nye ansatte, prosjektdeltakere eller eksterne med ett klikk.


Bjørnar&AI

Comments

bottom of page