Zásady správného řízení uživatelů typu host v Microsoft Teams

Tento ukázkový scénář pomáhá uživatelům spolupracovat s jinými organizacemi tím, že externím uživatelům poskytuje řízení identit a zásad správného řízení při používání spolupráce Microsoft Entra B2B.

Architektura

Stáhněte si soubor aplikace Visio s touto architekturou.

Workflow

1. Adresář prostředků – Jedná se o adresář Microsoft Entra, který obsahuje prostředky, což jsou skupiny a týmy Microsoftu 365. V tomto příkladu je zdroj projektovým týmem přidaným do přístupového balíčku, aby k němu mohli požádat externí uživatelé.

2. Externí adresář (Připojení ed organization) – jedná se o externí adresář Microsoft Entra, který obsahuje externí uživatele z připojené organizace. Tyto uživatele můžou zásady povolit, aby požádaly o přístup k projektovém týmu.

3. Katalog 1 – Katalog je kontejner pro související prostředky a přístupové balíčky. Katalog 1 obsahuje projektový tým a jeho přístupový balíček.

   Katalogy umožňují delegování, aby nesprávci mohli vytvářet přístupové balíčky. Vlastníci katalogu můžou přidávat prostředky, které vlastní do katalogu.

4. Prostředky – jedná se o prostředky, které se zobrazují v přístupových balíčcích. Můžou zahrnovat skupiny zabezpečení, aplikace a weby SharePointu Online. V tomto příkladu je to projektový tým.

5. Access 1 – Přístupový balíček je kolekce prostředků s typy přístupu pro každý z nich. Přístupové balíčky slouží k řízení přístupu interních a externích uživatelů. V tomto příkladu je projektový tým zdrojem s jednou zásadou, která externím uživatelům umožňuje požádat o přístup. Interní uživatelé v tomto příkladu nemusí používat správu nároků Microsoft Entra. Přidají se do projektového týmu pomocí Microsoft Teams.

6. Role prostředků skupiny 1 – Role prostředků jsou oprávnění přidružená a definovaná prostředkem. Skupina má dvě role – člena a vlastníka. Sharepointové weby mají obvykle tři role, ale můžou mít další vlastní role. Aplikace můžou mít vlastní role.

7. Zásady externího přístupu – jedná se o zásadu, která definuje pravidla pro přiřazení přístupového balíčku. V tomto příkladu se používá zásada, která zajistí, aby uživatelé z připojených organizací mohli požádat o přístup k projektovém týmu. Po provedení žádosti se schválení vyžaduje od schvalovatelů, jak je definováno v zásadách. Zásady také určují časové limity a nastavení prodloužení.

8. Schvalovatel – schvalovatel schválí žádost o přístup. Může to být interní nebo externí uživatel.

9. Žadatel – Jedná se o externího uživatele, který žádá o přístup prostřednictvím portálu Můj přístup. Portál zobrazuje pouze přístupové balíčky, které žadatel může požadovat.

Vyžádání přístupu k prostředku pro uživatele mimo tok organizace

Tady je pracovní postup vysoké úrovně, který ukazuje, jak se externím uživatelům uděluje přístup ke skupině Nebo týmu Microsoftu 365. Zahrnuje odebrání účtu hosta, pokud už není vyžadován přístup nebo je dosaženo časového limitu.

Součásti

• Microsoft Entra ID nabízí cloudové služby pro správu identit a přístupu, které uživatelům poskytují způsob přihlašování a přístupu k prostředkům. Má následující funkce a možnosti:
  • Správa nároků Microsoft Entra je funkce zásad správného řízení identit, která organizacím umožňuje spravovat životní cyklus identit a přístupu ve velkém měřítku prostřednictvím automatizace pracovních postupů žádostí o přístup, přiřazení přístupu, kontrol a vypršení platnosti.
  • Spolupráci Microsoft Entra business-to-business (B2B) používá správa nároků Microsoft Entra ke sdílení přístupu, aby interní uživatelé mohli spolupracovat s externími uživateli.
  • Kontroly přístupu Microsoft Entra umožňují organizacím efektivně spravovat členství ve skupinách, přístup k podnikovým aplikacím a přiřazení rolí. Uživatelský přístup je možné pravidelně kontrolovat, abyste měli jistotu, že k přístupu budou dál přistupovat jenom ti správní uživatelé.
  • Přístup hostů v Microsoft Teams umožňuje externím uživatelům přistupovat k týmům, kanálům, prostředkům, chatům a aplikacím a současně udržovat kontrolu nad firemními prostředky.
  • Podmíněný přístup Microsoft Entra spojuje signály k rozhodování a vynucování zásad organizace. Podmíněný přístup v tomto řešení se použil k vynucení podmínek použití a vícefaktorového ověřování a k nastavení časových limitů relací pro účty hostů.

Alternativy

Alternativním řešením pro správu nároků Microsoft Entra je umožnit interním uživatelům pozvat externí uživatele do týmu. Pozvaný uživatel pak může v adresáři prostředků vytvořit účet hosta.

Tato alternativa neposkytuje řízení identit a zásad správného řízení, které zákazník požaduje. Nedostatky ve srovnání se správou nároků AD jsou následující:

• Externí uživatelé nemůžou požádat o přístup – musí existovat pozvánka. Externí uživatel musí vědět, jak požádat o pozvánku, proces, který se může lišit podle týmu, a v průběhu času se může měnit.
• Neexistují žádné obchodní odůvodnění, e-mailová oznámení, procesy kontroly nebo schvalovací procesy, což je problém s auditem.
• Přístup ke konkrétním prostředkům nejde snadno spravovat, odebírat ani aktualizovat. Protože projektové zdroje se pravděpodobně změní, jedná se o problém s efektivitou.
• Pokud je externí uživatel pozvaný, ale organizace uživatele není povolená, je uživateli odepřen přístup, což způsobuje nejasnosti.
• Účty hostů se neodeberou automaticky a není nastavené žádné vypršení platnosti. Ruční zpracování vypršení platnosti je náchylné k chybám a je méně efektivní než automatický proces, který vyžaduje nastavení omezení při vytváření účtu. Jedná se o problém se zabezpečením a problém s efektivitou.

Vytvoření vlastního řešení pro řešení těchto problémů pravděpodobně nebude nákladově konkurenceschopné nebo konkurenceschopné s řízením nároků AD.

Podrobnosti scénáře

Tento ukázkový scénář byl vytvořen během epidemie COVID-19, kdy měl zákazník okamžitý požadavek na spolupráci s jinými organizacemi. To znamená, že externím uživatelům poskytuje řízení identit a zásad správného řízení.

Microsoft Teams byl primárním nástrojem zákazníka pro komunikaci společnosti. Uživatelé spolupracovali pomocí chatu, schůzek a hovorů v Teams. Kanály Teams jim poskytly přístup k souborům a konverzacím.

Schůzky v Teams poskytují efektivní způsob, jak se setkat s externími uživateli. Externí uživatelé ale nemohli získat přístup k týmům a kanálům, takže spolupráce s nimi byla komplikovaná a produktivita se bránila. Zákazník potřeboval něco lepšího.

Teams nabízí dvě možnosti komunikace a spolupráce s externími uživateli:

• Externí přístup – typ federace, která interním uživatelům umožňuje vyhledávat, volat a chatovat s externími uživateli. Uživatelé externího přístupu se nedají přidat do týmů, pokud nejsou pozvaní jako hosté pomocí přístupu hostů.
• Přístup hostů – Umožňuje interním uživatelům pozvat externí uživatele, aby se připojili k týmu. Pozvaní uživatelé získají účet hosta v MICROSOFT Entra ID. Přístup hostů umožňuje externím uživatelům pozvat do týmů a poskytuje přístup k dokumentům v kanálech a k prostředkům, chatům a aplikacím. Zákazník udržuje kontrolu nad podnikovými daty podle potřeby.

Přístup hostů splnil požadavky na spolupráci zákazníka, ale vzroste z hlediska zabezpečení a zásad správného řízení:

• Hosté musí mít přístup pouze ke konkrétním týmům podle potřeby a pouze po dobu potřebnou. Po dokončení projektu je nutné odebrat účet hosta.
• Pro vytváření účtů hostů, které splňují požadavky auditování, musí existovat schvalovací proces. Interní uživatelé musí kontrolovat žádosti a podle potřeby je schvalovat.
• Řešení musí být možné rychle sestavit a automatizovat. Dokud nebudou zavedeny odpovídající kontrolní mechanismy zabezpečení a zásad správného řízení, není možné vytvářet žádné účty hostů.

Správa nároků Microsoft Entra byla primárním nástrojem pro splnění požadavků na zabezpečení a zásady správného řízení:

• Pomáhá efektivně spravovat přístup ke skupinám Microsoftu 365, včetně týmů, aplikací a webů SharePointu Online pro interní i externí uživatele.
• Poskytuje možnost automatizovat pracovní postupy žádostí o přístup, přiřazení přístupu, kontroly a vypršení platnosti.

Přístup hostů a nárok na Microsoft Entra společně splňují požadavky na spolupráci zákazníka. Externí uživatelé se můžou připojit k vybraným týmům a přístup se spravuje. Správa nároků Microsoft Entra navíc nabízí funkce pro možné budoucí použití, například správu přístupu k jiným prostředkům než týmům.

Potenciální případy použití

Toto řešení platí pro všechny situace, které vyžadují správu přístupu – pro interní a externí uživatele, kteří ho potřebují, pro skupiny, aplikace a weby SharePointu Online. Správa nároků Microsoft Entra má tyto funkce a výhody:

• Pro přístup zaměstnanců k prostředkům, jako je například:
  • Skupiny zabezpečení Microsoft Entra
  • Skupiny Microsoft 365.
  • Microsoft 365 teams.
  • Aplikace, včetně aplikací SaaS
  • Vlastní aplikace, které implementují vhodná bezpečnostní opatření.
  • Weby SharePointu Online
• Existují zjednodušené postupy, jak externí uživatelé získat přístup k potřebným prostředkům.
• Můžete určit, které připojené organizace mají povoleno poskytovat externím uživatelům, kteří můžou požádat o přístup.
• Uživatel, který požádá o přístup a je schválen, se automaticky pozve do týmového adresáře a přiřadí přístup k prostředkům.
• Časový limit je možné nastavit pro přístup uživatele k prostředkům s automatickým odebráním při dosažení limitu.
• Když vyprší platnost přístupu externího uživatele, který nemá žádné další přiřazení přístupového balíčku, je možné účet uživatele automaticky odebrat.
• Můžete zajistit, aby uživatelé neměli více přístupu, než vyžadují.
• Pro žádosti o přístup existuje schvalovací proces, který zahrnuje schválení určenými osobami, jako jsou manažeři.
• Můžete spravovat přístup k dalším prostředkům, které využívají skupiny zabezpečení Microsoft Entra nebo skupiny Microsoft 365. Příkladem je udělení licencí uživatelům pomocí licencování na základě skupin.
• Můžete delegovat na uživatele, kteří nejsou správci, možnost vytvářet přístupové balíčky, které obsahují prostředky, které si uživatelé mohou vyžádat.

Požadavky

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Důležitým krokem implementace je konfigurace nastavení tenanta tak, aby umožňovala externím uživatelům.

1. Povolit katalog pro externí uživatele – Ujistěte se, že má katalog povolenou hodnotu Ano externím uživatelům. Když ve výchozím nastavení vytvoříte nový katalog ve správě nároků Microsoft Entra, povolí se externím uživatelům požádat o přístup k balíčkům v katalogu.
2. Nastavení externí spolupráce Microsoft Entra B2B – Nastavení externí spolupráce Azure B2B může ovlivnit, jestli můžete použít správu nároků Microsoft Entra k pozvání externích uživatelů k prostředkům. Ověřte tato nastavení:
   • Zkontrolujte, jestli mají hosté povoleno zvát další hosty do vašeho adresáře. Doporučujeme nastavit , aby hosté mohli pozvat na Ne , aby povolovali jenom řízené pozvánky.
   • Ujistěte se, že pozvánky povolujete nebo blokujete odpovídajícím způsobem. Další informace najdete v tématu Povolení nebo blokování pozvánek uživatelůM B2B z konkrétních organizací.
3. Zkontrolujte zásady podmíněného přístupu – Ověřte podmíněný přístup a ujistěte se, že jsou uživatelé typu host vyloučeni ze zásad podmíněného přístupu, které nesplňují. Jinak se nemůžou přihlásit k vašemu adresáři a nebudou mít přístup k prostředku.
4. Zkontrolujte nastavení externího sdílení SharePointu Online – pokud weby SharePointu Online zahrnete do přístupového balíčku pro externí uživatele, ujistěte se, že nakonfigurujete nastavení externího sdílení na úrovni organizace. Pokud se přihlášení nevyžaduje, nastavte jako kdokoli nebo stávající hosté pozvaných uživatelů. Další informace najdete v tématu Změna nastavení externího sdílení na úrovni organizace.
5. Zkontrolujte nastavení sdílení skupin Microsoftu 365 – Pokud do přístupového balíčku pro externí uživatele zahrnete skupiny Nebo týmy Microsoftu 365, ujistěte se, že je možnost Povolit uživatelům přidávat do organizace nové hosty, aby povolili přístup hostů.
6. Zkontrolujte nastavení sdílení v Teams – Pokud zahrnete týmy do přístupového balíčku pro externí uživatele, ujistěte se, že je možnost Povolit přístup hostů v Microsoft Teams nastavená na Zapnuto a povolit přístup hostů. Zkontrolujte také, jestli jsou nakonfigurovaná nastavení přístupu hosta Teams.
7. Správa životního cyklu externích uživatelů – Můžete vybrat, co se stane, když externí uživatel už nemá přiřazení přístupového balíčku. K tomu dochází v případě, že všechna přiřazení buď přejdou, nebo vyprší jeho platnost. Ve výchozím nastavení je uživateli zablokováno přihlášení k vašemu adresáři. Po 30 dnech se uživatelský účet typu host odebere z vašeho adresáře.

Další rozhodnutí:

• Přiřazení přístupu – Přístupové balíčky nenahrazovat jiné mechanismy přiřazení přístupu. Nejvhodnější jsou v situacích, jako jsou:
  • Zaměstnanci potřebují pro konkrétní úkol časově omezený přístup.
  • Access vyžaduje schválení manažera nebo jiného určeného jednotlivce.
  • Oddělení chtějí spravovat své prostředky bez zapojení IT.
  • Dvě nebo více organizací spolupracuje na projektu, takže k přístupu k prostředkům jiné organizace je potřeba pozvat více uživatelů z jedné organizace.
• Aktualizace prostředků – Se správou nároků Microsoft Entra můžete prostředky v přístupovém balíčku kdykoli změnit. Uživatelé balíčku mají přístup k prostředkům automaticky upravený tak, aby odpovídal změněný balíček.

Optimalizace nákladů

Optimalizace nákladů se zabývá způsoby, jak snížit zbytečné výdaje a zlepšit efektivitu provozu. Další informace najdete v tématu Přehled pilíře optimalizace nákladů.

• Použití správy nároků Microsoft Entra vyžaduje licenci Microsoft Entra ID P2.
• Přístup hostů je možné použít se všemi předplatnými Microsoft 365 Business Standard, Microsoft 365 Business Premium a Microsoft 365 Education. Není nutná žádná další licence Microsoftu 365.
• Fakturační model pro Microsoft Entra Externí ID platí pro hosty v Microsoftu 365. Jako hosty mohou být pozvaní jenom externí uživatelé.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autor:

• Martin Boam | Přidružení architekta

Další kroky

• Přehled týmů a kanálů v Microsoft Teams
• Principy týmů a kanálů v Microsoft Teams
• Ke spolupráci s lidmi mimo vaši organizaci použijte přístup pro hosty a externí přístup
• Vytvoření nového přístupového balíčku ve správě nároků Microsoft Entra
• Kurz: Správa přístupu k prostředkům ve správě nároků Microsoft Entra
• Co je správa nároků Microsoft Entra?
• Co je zásady správného řízení Microsoft Entra ID?
• Co jsou kontroly přístupu Microsoft Entra?
• Běžné scénáře správy nároků Microsoft Entra
• Řízení přístupu pro externí uživatele ve správě nároků Microsoft Entra
• Řízení přístupu pro uživatele mimo vaši organizaci
• Spolupráce s hosty v týmu
• Použití přístupu hostů a externího přístupu ke spolupráci s lidmi mimo vaši organizaci
• Spolupráce s lidmi mimo vaši organizaci
• Co je podmíněný přístup?

Související prostředky

• Vytvoření doménové struktury prostředků AD DS v Azure
• Nasazení služby AD DS ve virtuální síti Azure
• Hybridní identita
• Integrace místních domén AD s ID Microsoft Entra
• Správa identit Microsoft Entra a správa přístupu pro AWS