Zásady pro povolení přístupu hostů a přístupu externího uživatele B2B
Tento článek popisuje úpravu doporučených zásad identit nulová důvěra (Zero Trust) a přístupu zařízení tak, aby umožňoval přístup hostům a externím uživatelům, kteří mají účet Microsoft Entra Business-to-Business (B2B). Tyto pokyny vycházejí z běžných zásad přístupu k identitám a zařízením.
Tato doporučení jsou navržená tak, aby platila pro výchozí úroveň ochrany. Doporučení ale můžete také upravit na základě vašich konkrétních potřeb pro podnikovou a specializovanou ochranu zabezpečení .
Poskytnutí cesty pro účty B2B k ověření u vašeho tenanta Microsoft Entra nedává těmto účtům přístup k celému prostředí. Uživatelé B2B a jejich účty mají přístup ke službám a prostředkům, jako jsou soubory, které s nimi sdílí zásady podmíněného přístupu.
Aktualizace běžných zásad pro povolení a ochranu hostů a přístupu externích uživatelů
Tento diagram znázorňuje, které zásady se mají přidat nebo aktualizovat mezi běžné zásady identit a přístupu zařízení pro hosta B2B a externího uživatele.
Následující tabulka uvádí zásady, které je potřeba vytvořit a aktualizovat. Společné zásady odkazují na přidružené pokyny ke konfiguraci v článku Společné zásady identit a přístupu zařízení.
Úroveň ochrany | Zásady | Více informací |
---|---|---|
Bodem | Vyžadovat vícefaktorové ověřování vždy pro hosty a externí uživatele | Vytvořte tuto novou zásadu a nakonfigurujte:
|
Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení střední nebo vysoké | Upravte tuto zásadu tak, aby se vyloučili hosté a externí uživatelé. |
Pokud chcete zahrnout nebo vyloučit hosty a externí uživatele v zásadách podmíněného přístupu, zaškrtněte u přiřazení Uživatelé a skupiny > Zahrnout nebo Vyloučit všechny uživatele typu host a externí uživatelé.>
Více informací
Přístup hostů a externích uživatelů v Microsoft Teams
Microsoft Teams definuje následující uživatele:
Přístup hostů používá účet Microsoft Entra B2B, který je možné přidat jako člen týmu a mít přístup ke komunikaci a prostředkům týmu.
Externí přístup je určený pro externího uživatele, který nemá účet B2B. Přístup externího uživatele zahrnuje pozvánky, hovory, chaty a schůzky, ale nezahrnuje členství v týmu a přístup k prostředkům týmu.
Další informace najdete v porovnání mezi hosty a přístupem externích uživatelů pro týmy.
Další informace o zabezpečení zásad přístupu k identitám a zařízením pro Teams najdete v tématu Doporučení zásad pro zabezpečení chatů, skupin a souborů Teams.
Vyžadovat vícefaktorové ověřování vždy pro hosta a externí uživatele
Tato zásada vyzve hosty k registraci vícefaktorového ověřování ve vašem tenantovi bez ohledu na to, jestli jsou zaregistrovaní pro vícefaktorové ověřování ve svém domovském tenantovi. Hosté a externí uživatelé, kteří přistupují k prostředkům ve vašem tenantovi, musí pro každou žádost použít vícefaktorové ověřování.
Vyloučení hostů a externích uživatelů z vícefaktorového ověřování založeného na riziku
Organizace sice můžou vynucovat zásady založené na rizicích pro uživatele B2B pomocí služby Microsoft Entra ID Protection, ale existují omezení při implementaci microsoft Entra ID Protection pro uživatele spolupráce B2B v adresáři prostředků, protože jejich identita existuje v domovském adresáři. Vzhledem k těmto omezením Microsoft doporučuje vyloučit hosty ze zásad vícefaktorového ověřování na základě rizik a vyžadovat, aby tito uživatelé vždy používali vícefaktorové ověřování.
Další informace najdete v tématu Omezení ochrany ID pro uživatele spolupráce B2B.
Vyloučení hostů a externích uživatelů ze správy zařízení
Zařízení může spravovat jenom jedna organizace. Pokud z zásad, které vyžadují dodržování předpisů zařízením, nevyloučíte hosty a externí uživatele, tyto zásady tyto uživatele zablokují.
Další krok
Konfigurace zásad podmíněného přístupu pro: