Gilt für

Smartsheet
  • Enterprise

Weitere Informationen zu Planytpen und enthaltenen Funktionen finden Sie auf der Smartsheet-Seite zu Plänen https://de.smartsheet.com/pricing.

Funktionen

Wer kann diese Funktion nutzen?

Sie müssen ein lizenzierter Systemadministrator sein, um die Governance-Richtlinien „Unternehmenskonto verlangen“ und „MFA verlangen“ für die externe Freigabe zu aktivieren.

Finden Sie heraus, ob diese Funktion in Smartsheet Regions oder Smartsheet Gov enthalten ist.

Governance-Richtlinien für externe Mitarbeiter

„Unternehmenskonto verlangen“ und „MFA verlangen“ (Multi-Faktor-Authentifizierung) erhöhen Sie die Sicherheit für die externe Freigabe, indem von Ihren externen Mitarbeitern verlangt wird, sich per Einmalanmeldung (Single Sign-On/SSO) und einer zusätzlichen Authentifizierungsebene (MFA erforderlich) anzumelden, um Zugriff auf Inhalte zu erhalten, die Sie für sie freigeben.

PLANS

  • Enterprise

For more information about plan types and included capabilities, see the Smartsheet Plans page.

Berechtigungen

Sie müssen ein lizenzierter Systemadministrator sein, um die Governance-Richtlinien „Unternehmenskonto verlangen“ und „MFA verlangen“ für die externe Freigabe zu aktivieren.

Find out if this capability is included in Smartsheet Regions or Smartsheet Gov.

Was ist ein externer Mitarbeiter?

Benutzer, die eingeladen wurden, an einem Sheet oder Arbeitsbereich mitzuarbeiten, aber keine Mitglieder der Organisation oder Domäne sind, die Inhaber des Sheets oder des Arbeitsbereichs ist.

Diese Richtlinien stellen sicher, dass Ihre externen Mitarbeiter eine sichere Methode zur Anmeldung verwenden, die passiv überprüft, dass sie noch bei der Organisation beschäftigt sind, mit der Sie zusammenarbeiten möchten.

Wenn ein externer Mitarbeiter, der sich nicht per SSO/MFA angemeldet hat, versucht, auf ein Asset zuzugreifen, das SSO/MFA erfordert, wird dem Benutzer eine Aufforderung angezeigt, in der er angewiesen wird, sich per SSO anzumelden, um auf das Asset zuzugreifen.

Während „Unternehmenskonto verlangen“ auf Planebene eingerichtet ist, kann „MFA verlangen“ entweder kontoweit oder auf bestimmte Arbeitsbereiche angewendet werden. Systemadministratoren können Arbeitsbereichsadministratoren entscheiden lassen, ob sie die zusätzliche Sicherheitsebene auf bestimmte Arbeitsbereiche anwenden möchten, deren Inhaber sie sind.

Die Richtlinien gelten für Sheets, Berichte und Dashboards, also alle Elemente, die mit einem Arbeitsbereich verknüpft werden können.

Unternehmenskonto verlangen

„Unternehmenskonto verlangen“ ist eine Richtlinie auf Planebene, die garantiert, dass der Zugriff auf Smartsheet auf Benutzer mit unternehmensauthentifizierten Anmeldeinformationen (SSO) beschränkt ist, wodurch das Risiko potenziell unbefugten Zugriffs verringert wird.

Unterstützte Methoden

  • Azure-Arbeitskonto
  • Google-Arbeitskonto
  • SAML SSO

MFA verlangen

Gemäß dieser Richtlinie müssen sich externe Mitarbeiter per Multi-Faktor-Authentifizierung (MFA) authentifizieren, wodurch für sie die Sicherheit mit einer zusätzlichen Verifizierungsebene erhöht wird. Dadurch wird sichergestellt, dass selbst bei Kompromittierung eines Kennworts unbefugter Zugriff durch die MFA-Funktionalität vereitelt werden kann.

  • Um diese Richtlinie zu aktivieren, müssen Sie zunächst die Richtlinie Unternehmenskonto verlangen aktivieren.

  • Wenn der Identityprovider (IdP) eines externen Mitarbeiters MFA nicht unterstützt oder den Status des MFA-Abschlusses nicht an Smartsheet übermittelt, dient unsere proprietäre E-Mail-basierte MFA als Backup.

     

Unterstützte Methoden

  • SAML (Okta, Azure, AD FS)
  • Microsoft-Arbeitskonto

  • Einmaliges Kennwort per E-Mail

     

E-Mail-basierte MFA

Dies ist ein einmaliger, zeitlich begrenzter Kennwortmechanismus (OTP), der per E-Mail bereitgestellt wird. Er wurde entwickelt, um Szenarien zu adressieren, in denen eine standardmäßige MFA über die IdP des Mitarbeiters nicht möglich ist.

Wenn das System nicht feststellen kann, dass der externe Mitarbeiter die MFA für ein Asset abgeschlossen hat, für das die Richtlinie gilt, wird, sobald er auf das Asset klickt, eine E-Mail an sein Konto gesendet.

Wenn der Benutzer den Bestätigungscode dreimal hintereinander falsch eingibt, muss er 30 Minuten warten, um es erneut zu versuchen.

Über die Mobil-App

  • Derzeit schränkt die Mobil-App den Zugriff externer Mitarbeiter auf Assets automatisch ein, wenn Systemadministratoren eine oder beide Richtlinien für das Asset durchsetzen.
  • Externe Mitarbeiter, die die SSO-Richtlinie erfüllen, erhalten Zugriff auf gesicherte Assets über die Mobil-App.

Systemadministratoren

So aktivieren Sie die Richtlinie „Unternehmenskonto verlangen“:

  1. Wechseln Sie zu Admin Center.
  2. Wählen Sie das Menüsymbol aus und navigieren Sie zu Einstellungen > Sicherer externer Zugriff.

  3. Verwenden Sie den Umschalter Unternehmenskonten verlangen, um die Richtlinie zu aktivieren.

    Wenn für die interne Anmeldeoption SSO nicht aktiviert ist, wird die Richtlinie „Unternehmenskonto verlangen“ automatisch deaktiviert.

So aktivieren Sie die Richtlinie „MFA verlangen“:

  1. Wechseln Sie zu Admin Center.
  2. Wählen Sie das Menüsymbol aus und navigieren Sie zu Einstellungen > Sicherer externer Zugriff.
  3. Verwenden Sie den Umschalter MFA verlangen, um die Richtlinie zu aktivieren.
    • Um Arbeitsbereichsadministratoren das Anwenden der Richtlinie auf bestimmte Arbeitsbereiche zu gestatten, wählen Sie die Schaltfläche Für Arbeitsbereich anwenden aus.
    • Um die Richtlinie für alle Assets im Plan zu erzwingen, wählen Sie Für alle Plan-Assets erzwingen aus.
Secure External Access page

Arbeitsbereichsadministratoren

  • Arbeitsbereichsadministratoren können die Richtlinie „Unternehmenskonto verlangen“ nicht auf Planebene einrichten. Diese Konfiguration muss von einem Systemadministrator vorgenommen werden.
  • Wenn ein Systemadministrator Für Arbeitsbereich anwenden aktiviert, können Arbeitsbereichsadministratoren die Richtlinie „MFA erforderlich“ für bestimmte Arbeitsbereiche erzwingen.

So aktivieren Sie MFA für den Zugriff auf Arbeitsbereiche:

  1. Rufen Sie einen Arbeitsbereich auf und wählen Sie oben rechts Freigeben aus. 
  2. Wählen Sie oben im Freigabefenster Einrichten aus. 
  3. Verwenden Sie den Umschalter MFA verlangen, um die Funktion zu aktivieren. Die Einstellungen gelten für alle Elemente im Arbeitsbereich, nicht nur für einzelne Elemente.
Activate MFA for workspace access

Liste der Ausnahmen

Mit der Liste der Ausnahmen (auch als Liste der vertrauenswürdigen Domänen bezeichnet) können Systemadministratoren Domänen und einzelne E-Mail-Adressen angeben, die von den Richtlinien ausgenommen sind.

Die Aktivierung einer Liste der Ausnahmen initiiert die Erstellung eines Sheets mit spezifischen Spalten. Alle Systemadministratoren haben Zugriff auf dieses Sheet.

So erstellen Sie eine Liste der Ausnahmen:

  1. Wechseln Sie zu Admin Center.
  2. Wählen Sie das Menüsymbol aus und navigieren Sie zu Einstellungen > Sicherer externer Zugriff
  3. Wählen Sie unter Erweiterte Einstellungen für eine der folgenden Optionen Sheet erstellen aus:
    • Ausgenommene Domänen
    • Ausgenommene E-Mail-Adressen
  4. Um neue Domänen oder E-Mail-Adressen zur Liste der Ausnahmen hinzuzufügen, geben Sie sie in die Spalte Domänen/E-Mail-Adressen, die Freigabe erhalten ein und verwenden Sie die Kontrollkästchenspalten, um anzugeben, ob die Entität von den Richtlinien ausgenommen ist.

Sheet für Liste der Ausnahmen

Systemadministratoren können dem Sheet nur Zeilen hinzufügen, diese bearbeiten und löschen. Das Sheet enthält die folgenden Spalten:

  • Domänen/E-Mail-Adressen, die Freigabe erhalten: Listet die Domänen/E-Mail-Adressen auf, für die Inhalte freigegeben werden dürfen.
  • Von Unternehmenskonto verlangen ausgenommen: Ein Kontrollkästchen, das, wenn es aktiviert ist, die Domäne/E-Mail-Adresse davon ausnimmt, für den Zugriff auf freigegebene Inhalte Anmeldedaten des Unternehmenskontos eingeben zu müssen.
  • Von MFA verlangen ausgenommen: Ein Kontrollkästchen, das, wenn es aktiviert ist, die Domäne/E-Mail-Adresse davon ausnimmt, für den Zugriff auf freigegebene Inhalte MFA verwenden zu müssen.
  • Geändert von: Gibt den Benutzer an, der zuletzt Änderungen an der Zeile vorgenommen hat.
  • Geändert am: Zeigt das Datum und die Uhrzeit an, zu der die letzte Änderung an der Zeile vorgenommen wurde.
  • Erstellt von: Identifiziert den Benutzer, der den Sheeteintrag ursprünglich erstellt hat.
  • Erstellt am: Zeigt das Datum und die Uhrzeit an, zu der der Eintrag erstellt wurde.
  • Hinweise: Ein offenes Feld für zusätzliche Informationen oder Kommentare zum Status der Domäne/E-Mail-Adresse.
Exempt list sheet

API-Aufrufe

Externe Mitarbeiter, die öffentliche API-Aufrufe verwenden, um auf freigegebene Smartsheet-Assets zuzugreifen, die durch die Richtlinien „Unternehmenskonto verlange“ oder „MFA verlangen“ geschützt sind, können nur dann über Smartsheet-API Zugriff auf diese Assets erhalten, wenn sich ihre Domäne oder E-Mail-Adresse auf der Liste der Ausnahmen befindet oder wenn es sich um eine validierte Domäne des Plans handelt.

Wenn Ihre externen Mitarbeiter Probleme beim Zugriff auf für sie freigegebene Assets haben, sollten sie sich an den Systemadministrator des Plans wenden, zu dem diese Assets gehören.

Weitere wichtige Informationen

  • Diese Richtlinien gelten für Benutzer, die weder einer validierten Domäne im Plan, der die Richtlinie aktiviert hat, noch einer Domäne/E-Mail-Adresse, die in der Liste der Ausnahmen für diese Richtlinien aufgeführt ist, angehören.
  • Ausgestellte OTPs gelten für zehn Minuten. Nach Ablauf müssen Benutzer einen neuen generieren.
  • Wenn ein Systemadministrator die Richtlinie „Unternehmenskonto verlange“ deaktiviert, während die Richtlinie „MFA verlangen“ aktiviert ist, wird eine Warnmeldung angezeigt, die ihn darauf hinweist, dass durch das Deaktivieren der Richtlinie „Unternehmenskonto verlange“ auch automatisch die Richtlinie „MFA verlange“ deaktiviert wird.
  • Bestehende Systemadministratoren sind dafür verantwortlich, neuen oder zukünftigen Systemadministratoren Zugriff auf das Sheet für die Liste der Ausnahmen zu gewähren.
  • Es kann bis zu drei Minuten dauern, bis Aktualisierungen (neue Ausnahmeeinträge) in der Liste der Ausnahmen übernommen werden. 

Kann die E-Mail-basierte MFA-Funktion deaktiviert werden, nachdem die Richtlinie „MFA verlangen“ aktiviert wurde?

Nein. Sobald die Richtlinie MFA verlangen aktiv ist, können Systemadministratoren die E-Mail-basierte MFA-Funktion nicht mehr deaktivieren. Sie ist als Backup konzipiert, um selbst wenn die primäre MFA-Methode nicht verfügbar ist, kontinuierliche Sicherheit zu gewährleisten.

Wie können externe Mitarbeiter, die keiner Organisation mit den Richtlinien „Unternehmenskonto verlangen“/„MFA verlangen“ angehören, auf das System zugreifen? Vor allem diejenigen, die unabhängige Berater sind?

  • Sie können Social-Media-Anmeldeoptionen wie Google SSO oder Microsoft-Optionen (z. B. gmail.com, live.com) nutzen.
  • Sie können per E-Mail einen Code zur Verifizierung erhalten (E-Mail-basierte MFA).
  • Bei Bedarf können Systemadministratoren Benutzer zur Liste der Ausnahmen hinzufügen.
     

Wie soll man mit Einwänden umgehen, wenn externe Mitarbeiter für „Unternehmenskonto verlangen“ weder Microsoft noch Google verwenden?

Für „Unternehmenskonto verlangen“ wird derzeit nur die Anmeldung über Google-/Microsoft-SSO oder Unternehmens-SAML unterstützt.

Können Arbeitsbereichsadministratoren diese Richtlinien implementieren?

Arbeitsbereichsadministratoren können die Richtlinie „MFA verlangen“ auf Arbeitsbereichsebene aktivieren, wenn ein Systemadministrator die Richtlinie „MFA verlangen“ auf Arbeitsbereichsebene aktiviert hat. Arbeitsbereichsadministratoren können die Richtlinie „Unternehmenskonto verlangen“ nicht konfigurieren.

Gibt es Domänen, die automatisch zur Liste der Ausnahmen hinzugefügt werden?

Ja. Alle verifizierten Domänen innerhalb des Plans werden automatisch von den beiden Richtlinien „Unternehmenskonto verlangen“ und „MFA verlangen“ ausgenommen, da Benutzer dieser Domänen als interne Benutzer des Plans behandelt werden.

Verwandte Inhalte

War dieser Artikel hilfreich?
JaNein