Zásady pro povolení přístupu hostů a přístupu externích uživatelů B2B
Tento článek popisuje úpravu doporučených zásad nulová důvěra (Zero Trust) identit a přístupu zařízení tak, aby umožňovaly přístup hostům a externím uživatelům, kteří mají účet B2B (Business-to-Business) Služby Azure Active Directory (Azure AD). Tyto doprovodné materiály vycházejí z běžných zásad přístupu k identitám a zařízením.
Tato doporučení jsou navržená tak, aby se vztahovala na úroveň ochrany výchozího bodu . Můžete ale také upravit doporučení na základě vašich konkrétních potřeb pro podnikovou a specializovanou ochranu zabezpečení .
Poskytnutí cesty pro účty B2B k ověření u tenanta Azure AD neudělí těmto účtům přístup k celému vašemu prostředí. Uživatelé B2B a jejich účty mají přístup ke službám a prostředkům, jako jsou soubory, které s nimi sdílí zásady podmíněného přístupu.
Aktualizace běžných zásad pro povolení a ochranu přístupu hostů a externích uživatelů
Tento diagram znázorňuje, které zásady se mají přidat nebo aktualizovat mezi běžné zásady přístupu k identitám a zařízením pro přístup hostů B2B a externích uživatelů.
Následující tabulka uvádí zásady, které je potřeba vytvořit a aktualizovat. Běžné zásady odkazují na související pokyny ke konfiguraci v článku Běžné zásady přístupu k identitám a zařízením .
| Úroveň ochrany | Zásady | Další informace |
|---|---|---|
| Bodem | Vyžadovat vždy vícefaktorové ověřování pro hosty a externí uživatele | Vytvořte tuto novou zásadu a nakonfigurujte:
|
| Vyžadování vícefaktorového ověřování, pokud je riziko přihlášení střední nebo vysoké | Upravte tuto zásadu tak, aby vylučte hosty a externí uživatele. |
Pokud chcete zahrnout nebo vyloučit hosty a externí uživatele v zásadách > podmíněného přístupu, zaškrtněte v části Přiřazení Uživatelé a skupiny > Zahrnout nebo vyloučit všechny hostované a externí uživatele.
Další informace
Přístup hostů a externích uživatelů pomocí Microsoft Teams
Microsoft Teams definuje následující uživatele:
Přístup hosta používá účet Azure AD B2B, který je možné přidat jako člena týmu a mít přístup ke komunikaci a prostředkům týmu.
Externí přístup je pro externího uživatele, který nemá účet B2B. Přístup externích uživatelů zahrnuje pozvánky, hovory, chaty a schůzky, ale nezahrnuje členství v týmu a přístup k prostředkům týmu.
Další informace najdete v porovnání mezi hosty a externím uživatelským přístupem pro týmy.
Další informace o zabezpečení zásad přístupu k identitám a zařízením pro Teams najdete v tématu Doporučení zásad pro zabezpečení chatů, skupin a souborů Teams.
Vyžadovat vždy vícefaktorové ověřování pro hosta a externí uživatele
Tato zásada vyzve hosty k registraci vícefaktorového ověřování ve vašem tenantovi bez ohledu na to, jestli jsou ve svém domovském tenantovi zaregistrovaní pro vícefaktorové ověřování. Při přístupu k prostředkům ve vašem tenantovi musí hosté a externí uživatelé používat vícefaktorové ověřování pro každou žádost.
Vyloučení hostů a externích uživatelů z vícefaktorového ověřování založeného na rizicích
I když organizace můžou vynucovat zásady založené na riziku pro uživatele B2B pomocí služby Azure AD Identity Protection, existují omezení při implementaci služby Azure AD Identity Protection pro uživatele spolupráce B2B v adresáři prostředků kvůli tomu, že jejich identita existuje v jejich domovském adresáři. Vzhledem k těmto omezením Microsoft doporučuje vyloučit hosty ze zásad MFA na základě rizik a požadovat, aby tito uživatelé MFA vždy používali.
Další informace najdete v tématu Omezení služby Identity Protection pro uživatele spolupráce B2B.
Vyloučení hostů a externích uživatelů ze správy zařízení
Zařízení může spravovat jenom jedna organizace. Pokud ze zásad, které vyžadují dodržování předpisů zařízením, nevyloučíte hosty a externí uživatele, tyto zásady tyto uživatele zablokují.
Další krok
Nakonfigurujte zásady podmíněného přístupu pro: