Office 365 tiene muchas características útiles, pero una de sus mayores ventajas es la forma en que permite a los usuarios colaborar fácilmente con clientes, socios y colegas de otras empresas.
Incluso con SharePoint 2013 en las instalaciones, no tiene que preocuparse por las licencias de acceso o de conexión para usuarios externos. Sin embargo, no puede utilizar el sistema de autenticación de cuentas de Microsoft para que inicien sesión, sino que debe gestionar la autenticación usted mismo (esto es más fácil con herramientas de terceros como AvePoint Perimeter e ITG External Share, pero sólo está incorporado en SharePoint Online).
Si permite el uso compartido externo en SharePoint Online, los usuarios pueden compartir documentos o colecciones de sitios, en lugar de enviar documentos por correo electrónico. Esto es una ventaja, porque significa que no están llenando el cupo de correo con archivos adjuntos, ni están perdiendo el tiempo transfiriendo los cambios de múltiples versiones de documentos a su edición final. Sin embargo, debes tener en cuenta que los valores predeterminados comparten mucho más de lo que podrías esperar, por lo que deberías comprobar algunos de estos ajustes.
Por un lado, puedes bloquear todo lo que se comparte fuera del negocio, pero eso sólo puede enviar a los usuarios a Dropbox o OneDrive (o directamente al correo electrónico). La configuración de administración para Compartir Externamente en Office 365 es muy útil aquí, porque te permite elegir entre permitir sólo a los usuarios externos (que tienen que iniciar sesión como usuarios autentificados) o permitir enlaces de invitados anónimos (puedes hacer esto para cada colección de sitios).
Los enlaces de invitados anónimos son convenientes (a veces demasiado convenientes, dependiendo de cómo vea la seguridad del documento). Los usuarios sólo pueden compartir un documento específico con un vínculo, pero eso permite a cualquiera que tenga un vínculo ver y, en algunos casos, editar documentos sin necesidad de registrarse (registrarse significa que tienen que asociar su dirección de correo electrónico con una cuenta de Microsoft). No pueden ver listas, bibliotecas o colecciones de sitios, que los usuarios autenticados pueden ver si un usuario las comparte, pero si le pasan el vínculo a otra persona, ésta también puede ver o editar los documentos.
El acceso de usuario autentificado no es tan sencillo como se podría pensar, tampoco. Dependiendo de la configuración de la colección y de dónde hagan clic en el botón Compartir, cuando los usuarios comparten un documento también pueden terminar compartiendo la colección del sitio en el que se encuentra, el sitio principal y las listas y bibliotecas asociadas. Cuando comparte un sitio mediante el botón Compartir, los usuarios externos obtienen acceso al sitio raíz del que forma parte la colección del sitio, se convierten en miembros del grupo y obtienen derechos de Contribuir (estos derechos permiten a los usuarios externos compartir contenido con otros usuarios externos). Esto es genial si alguien de la otra empresa necesita añadir a su jefe a la discusión, pero no tanto si decide compartirlo con su competencia.
Sus permisos para otros sitios también importan. Si permites que todos los usuarios autentificados vean cualquier sitio, eso incluye a los usuarios externos. Eso es lo que significa la advertencia del diálogo Compartir relacionada con los «sitios que comparten permisos», pero no puede confiar en que sus usuarios conozcan o manejen todos estos permisos. La herencia de permisos puede subir en la jerarquía, así como bajar. Para evitar sorpresas, cree grupos de miembros específicos para cada sitio, de esa manera compartir un documento no significará compartir otros sitios por accidente.
Puede desactivar el acceso anónimo a todo SharePoint Online desde la sección Configuración del centro de administración de SharePoint, en Compartir externo. Si desea bloquear completamente el acceso de invitados anónimos, hágalo aquí:
Si desea controlar esos ajustes para cada colección de sitios por separado, seleccione esos sitios en la sección Colección de sitios del centro de administración de SharePoint y haga clic en Compartir en la cinta para obtener las mismas opciones (sin compartir, usuarios autenticados, usuarios externos o usuarios externos y anónimos).
En lugar de hacer que cada colección de sitios sea compartida, averigüe lo que los usuarios necesitan y lo que no. Puede que quieras tener algunas bibliotecas de documentos compartibles específicas, pero mantén otras sólo para uso interno. Los usuarios externos pueden solicitar el acceso a un sitio para el que no tienen permiso de la misma manera que los usuarios internos (consulte la sección Solicitudes de acceso e invitaciones en la Configuración del sitio). Por lo tanto, como puedes ver, hay una trampilla de escape si tu configuración de seguridad se interpone en el camino de la colaboración de alguien.
Puedes ver todos tus usuarios externos en el centro de administración de Office 365 en Compartir Externos, Sitios; puedes verlos o borrarlos desde aquí. También puede hacerlo desde el Shell de administración de SharePoint Online con los comandos Get-SPOExternalUser y Remove-SPOExternalUser de PowerShell. Si desea ver los permisos que ya tienen los usuarios externos, busque en la Configuración del sitio de un sitio y seleccione Verificar permisos en la cinta para obtener una lista de usuarios y niveles de permiso. Si desea ver los archivos a los que han accedido, consulte los Informes de actividad de contenido en la Configuración del sitio. Y, si necesitas mucha más visibilidad para los usuarios externos, mira las herramientas de terceros como Sharegate y AvePoint DocAve.
Dado que los usuarios externos necesitan una cuenta de Microsoft (la de la organización también funciona) para autenticarse, es posible que los usuarios acaben realizando algún tipo de asistencia técnica. Si invitan a alguien que no tiene la cuenta necesaria y no ven el vínculo que aparece en la parte inferior del mensaje de invitación que les dice que creen una, terminarán en una página que dice que no tienen los permisos adecuados. Si prefieres dar a esos usuarios externos una cuenta preprovisionada, puedes crear un Directorio Activo Azure gratuito para aprovisionar las cuentas de Microsoft, o crear cuentas de usuario de Office 365 que no proveas con ninguna licencia. Esto equivale a una mayor gestión por tu parte, pero también te da un poco más de control.