Zásady pro povolení přístupu hostů a přístupu externích uživatelů B2B

Tento článek popisuje úpravu doporučených zásad nulová důvěra (Zero Trust) identit a přístupu zařízení tak, aby umožňovaly přístup hostům a externím uživatelům, kteří mají Microsoft Entra účet B2B (Business-to-Business). Tyto doprovodné materiály vycházejí z běžných zásad přístupu k identitám a zařízením.

Tato doporučení jsou navržená tak, aby se vztahovala na úroveň ochrany výchozího bodu . Můžete ale také upravit doporučení na základě vašich konkrétních potřeb pro podnikovou a specializovanou ochranu zabezpečení .

Poskytnutí cesty pro účty B2B k ověření u vašeho tenanta Microsoft Entra neudělí těmto účtům přístup k celému vašemu prostředí. Uživatelé B2B a jejich účty mají přístup ke službám a prostředkům, jako jsou soubory, které s nimi sdílí zásady podmíněného přístupu.

Aktualizace běžných zásad pro povolení a ochranu přístupu hostů a externích uživatelů

Tento diagram znázorňuje, které zásady se mají přidat nebo aktualizovat mezi běžné zásady přístupu k identitám a zařízením pro přístup hostů B2B a externích uživatelů.

Souhrn aktualizací zásad pro ochranu přístupu hostů

Následující tabulka uvádí zásady, které je potřeba vytvořit a aktualizovat. Běžné zásady odkazují na související pokyny ke konfiguraci v článku Běžné zásady přístupu k identitám a zařízením .

Úroveň ochrany Zásady Další informace
Bodem Vyžadovat vždy vícefaktorové ověřování pro hosty a externí uživatele Vytvořte tuto novou zásadu a nakonfigurujte:
  • V části Přiřazení Uživatelé > a skupiny > Zahrnout zvolte Vybrat uživatele a skupiny a pak vyberte Všichni uživatelé typu host a externí uživatelé.
  • V části Podmínky > přiřazení > Riziko přihlášení a vyberte všechny úrovně rizika přihlášení.
Vyžadování vícefaktorového ověřování, pokud je riziko přihlášení střední nebo vysoké Upravte tuto zásadu tak, aby vylučte hosty a externí uživatele.

Pokud chcete zahrnout nebo vyloučit hosty a externí uživatele v zásadách > podmíněného přístupu, zaškrtněte v části Přiřazení Uživatelé a skupiny > Zahrnout nebo vyloučit všechny hostované a externí uživatele.

Ovládací prvky pro vyloučení hostů a externích uživatelů

Další informace

Přístup hostů a externích uživatelů pomocí Microsoft Teams

Microsoft Teams definuje následující uživatele:

  • Přístup hostů používá účet Microsoft Entra B2B, který je možné přidat jako člena týmu a mít přístup ke komunikaci a prostředkům týmu.

  • Externí přístup je pro externího uživatele, který nemá účet B2B. Přístup externích uživatelů zahrnuje pozvánky, hovory, chaty a schůzky, ale nezahrnuje členství v týmu a přístup k prostředkům týmu.

Další informace najdete v porovnání mezi hosty a externím uživatelským přístupem pro týmy.

Další informace o zabezpečení zásad přístupu k identitám a zařízením pro Teams najdete v tématu Doporučení zásad pro zabezpečení chatů, skupin a souborů Teams.

Vyžadovat vždy vícefaktorové ověřování pro hosta a externí uživatele

Tato zásada vyzve hosty k registraci vícefaktorového ověřování ve vašem tenantovi bez ohledu na to, jestli jsou ve svém domovském tenantovi zaregistrovaní pro vícefaktorové ověřování. Hosté a externí uživatelé, kteří přistupují k prostředkům ve vašem tenantovi, musí pro každou žádost používat vícefaktorové ověřování.

Vyloučení hostů a externích uživatelů z vícefaktorového ověřování založeného na rizicích

I když organizace můžou vynucovat zásady založené na rizicích pro uživatele B2B pomocí Microsoft Entra ID Protection, existují omezení při implementaci Microsoft Entra ID Protection pro uživatele spolupráce B2B v adresáři prostředků, protože jejich identita existuje v jejich domovském adresáři. Vzhledem k těmto omezením Microsoft doporučuje vyloučit hosty ze zásad MFA na základě rizik a požadovat, aby tito uživatelé MFA vždy používali.

Další informace najdete v tématu Omezení ochrany ID pro uživatele spolupráce B2B.

Vyloučení hostů a externích uživatelů ze správy zařízení

Zařízení může spravovat jenom jedna organizace. Pokud ze zásad, které vyžadují dodržování předpisů zařízením, nevyloučíte hosty a externí uživatele, tyto zásady tyto uživatele zablokují.

Další krok

Zásady pro cloudové aplikace a Microsoft Defender for Cloud Apps Microsoftu 365

Nakonfigurujte zásady podmíněného přístupu pro: