A Microsoft Teams vendégfelhasználóinak szabályozása

Ez a példaforgatókönyv segít a felhasználóknak más szervezetekkel együttműködni azáltal, hogy identitás- és szabályozási vezérlőket biztosítanak a külső felhasználók számára a Microsoft Entra B2B együttműködés használatakor.

Architektúra

Töltse le az architektúra Visio-fájlját.

Workflow

1. Erőforráskönyvtár – Ez az erőforrásokat tartalmazó Microsoft Entra könyvtár, amely a Microsoft 365-csoportokat és csapatokat tartalmazza. Ebben a példában az erőforrás egy projektcsapat, amely hozzá van adva a hozzáférési csomaghoz, így a szervezeten kívüli felhasználók hozzáférést kérhetnek hozzá.

2. Külső címtár (Csatlakozás szervezet) – Ez a külső Microsoft Entra könyvtár, amely a csatlakoztatott szervezet külső felhasználóit tartalmazza. Ezeket a felhasználókat a szabályzatok engedélyezhetik, hogy hozzáférést kérjenek a projektcsapathoz.

3. 1 . katalógus – A katalógus a kapcsolódó erőforrások és hozzáférési csomagok tárolója. Az 1. katalógus tartalmazza a projektcsapatot és annak hozzáférési csomagját.

   A katalógusok lehetővé teszik a delegálást, hogy a nem rendszergazdák hozzáférési csomagokat hozzanak létre. A katalógustulajdonosok hozzáadhatják a katalógushoz a tulajdonában lévő erőforrásokat.

4. Erőforrások – Ezek az erőforrások jelennek meg a hozzáférési csomagokban. Tartalmazhatnak biztonsági csoportokat, alkalmazásokat és SharePoint Online-webhelyeket. Ebben a példában ez a projektcsapat.

5. Access 1 – A hozzáférési csomagok olyan erőforrások gyűjteményei, amelyek mindegyikéhez hozzáférési típusok érhetők el. A hozzáférési csomagok a belső és külső felhasználók hozzáférésének szabályozására szolgálnak. Ebben a példában a projektcsapat az az erőforrás, amely egyetlen szabályzattal rendelkezik, amely lehetővé teszi a külső felhasználók számára a hozzáférés kérését. Ebben a példában a belső felhasználóknak nem kell a Microsoft Entra jogosultságkezelést használniuk. A microsoft teams használatával hozzáadjuk őket a projektcsapathoz.

6. 1. csoportbeli erőforrásszerepkör – Az erőforrás-szerepkörök olyan engedélyek, amelyek egy erőforráshoz vannak társítva és definiálva. Egy csoport két szerepkörrel rendelkezik : tag és tulajdonos. A SharePoint-webhelyek általában három szerepkört használnak, de további egyéni szerepkörök is lehetnek. Az alkalmazások egyéni szerepkörökhöz is tartozhatnak.

7. Külső hozzáférési szabályzat – Ez a szabályzat határozza meg a hozzáférési csomaghoz való hozzárendelés szabályait. Ebben a példában egy szabályzatot használunk annak biztosítására, hogy a csatlakoztatott szervezetek felhasználói hozzáférést kérjenek a projektcsapathoz. A kérést követően jóváhagyásra van szükség a jóváhagyóktól a szabályzatban meghatározottak szerint. A szabályzat emellett időkorlátokat és megújítási beállításokat is meghatároz.

8. Jóváhagyó – A jóváhagyó jóváhagyja a hozzáférési kérelmet. Ez lehet belső vagy külső felhasználó.

9. Kérelmező – Ez az a külső felhasználó, aki hozzáférést kér a Saját hozzáférés portálon keresztül. A portál csak azokat a hozzáférési csomagokat jeleníti meg, amelyeket a kérelmező igényelhet.

Erőforráshoz való hozzáférés kérése a szervezeti folyamaton kívüli felhasználók számára

Íme egy magas szintű munkafolyamat, amely bemutatja, hogy a Microsoft 365-csoporthoz vagy csoporthoz hogyan biztosít hozzáférést a külső felhasználók számára. Ez magában foglalja a vendégfiók eltávolítását, ha a hozzáférés már nem szükséges, vagy ha elér egy határidőt.

Összetevők

• A Microsoft Entra ID felhőalapú identitás- és hozzáférés-kezelési szolgáltatásokat kínál, amelyek lehetővé teszik a felhasználók számára az erőforrások bejelentkezését és elérését. A következő funkciókkal és képességekkel rendelkezik:
  • A Microsoft Entra jogosultságkezelés egy identitásszabályozási funkció, amellyel a szervezetek nagy léptékben kezelhetik az identitásokat és a hozzáférési életciklusokat, automatizálva a hozzáférési kérelmek munkafolyamatait, a hozzáférési hozzárendeléseket, a felülvizsgálatokat és a lejáratot.
  • A Microsoft Entra vállalati (B2B) együttműködését a Microsoft Entra jogosultságkezelése használja a hozzáférés megosztásához, hogy a belső felhasználók együttműködhessenek a külső felhasználókkal.
  • A Microsoft Entra hozzáférési felülvizsgálatokkal a szervezetek hatékonyan kezelhetik a csoporttagságokat, hozzáférhetnek a vállalati alkalmazásokhoz és szerepkör-hozzárendelésekhez. A felhasználói hozzáférés rendszeresen felülvizsgálható, hogy csak a megfelelő személyek rendelkezzenek folyamatos hozzáféréssel.
  • A Microsoft Teams vendéghozzáférése lehetővé teszi a külső felhasználók számára, hogy hozzáférjenek a csapatokhoz, csatornákhoz, erőforrásokhoz, csevegésekhez és alkalmazásokhoz, miközben Ön felügyeli a vállalati erőforrásokat.
  • A Microsoft Entra Feltételes hozzáférés jeleket hoz létre a döntések meghozatalához és a szervezeti szabályzatok kikényszerítéséhez. Ebben a megoldásban a feltételes hozzáférés a használati feltételekre vonatkozó szerződések és a többtényezős hitelesítés kényszerítésére, valamint a vendégfiókok munkamenet-időtúllépéseinek beállítására szolgál.

Alternatívák

A Microsoft Entra jogosultságkezelés alternatív megoldása, ha lehetővé teszi a belső felhasználók számára, hogy külső felhasználókat hívjanak meg egy csapatba. A meghívott felhasználók ezután létrehozhatnak egy vendégfiókot az erőforráskönyvtárban.

Ez az alternatíva nem biztosítja az ügyfél által igényelt identitás- és szabályozási vezérlőket. Az AD-jogosultságkezeléshez képest a hiányosságok a következők:

• A külső felhasználók nem kérhetnek hozzáférést – meghívónak kell lennie. A külső felhasználónak tudnia kell, hogyan kérhet meghívót, egy olyan folyamatot, amely csapatonként változhat, és idővel változhat.
• Nincsenek üzleti indokok, e-mail-értesítések, felülvizsgálati folyamatok vagy jóváhagyási folyamatok, ami naplózási probléma.
• Adott erőforrásokhoz való hozzáférés nem kezelhető, nem távolítható el és nem frissíthető könnyen. Mivel a projekterőforrások valószínűleg megváltoznak, ez egy hatékonysági probléma.
• Ha a rendszer meghív egy külső felhasználót, de a felhasználó szervezete nem engedélyezett, a rendszer megtagadja a hozzáférést, ami zavart okoz.
• A vendégfiókok nem törlődnek automatikusan, és nincs megadva a lejárati idő. A lejárat kezelésére szolgáló manuális folyamat hibalehetőséget jelent, és kevésbé hatékony, mint egy automatikus folyamat, amely korlátokat követel meg a fiók létrehozásakor. Ez biztonsági és hatékonysági probléma.

Az AD-jogosultságok kezelésével nem valószínű, hogy egy egyéni megoldás létrehozása ezeknek a problémáknak a kezelésére nem lesz költséghatékony vagy funkcióversenyszerű.

Forgatókönyv részletei

Ez a példaforgatókönyv a COVID-19 világjárvány idején készült, amikor az ügyfélnek azonnali követelménye volt más szervezetekkel való együttműködés. Ez identitás- és szabályozási vezérlők biztosítását jelentette a külső felhasználók számára.

A Microsoft Teams volt az ügyfél elsődleges eszköze a vállalati kommunikációhoz. A felhasználók Teams-csevegéssel, értekezletekkel és hívásokkal működtek együtt. A Teams csatornái hozzáférést biztosítottak számukra a fájlokhoz és a beszélgetésekhez.

A Teams-értekezletek hatékony módot biztosítottak a külső felhasználókkal való találkozásra. A külső felhasználók azonban nem fértek hozzá a csapatokhoz és csatornákhoz, ezért a velük való együttműködés ügyetlen volt, és a termelékenység akadályozva lett. Az ügyfélnek valami jobbra volt szüksége.

A Teams két lehetőséget kínál a külső felhasználókkal való kommunikációra és együttműködésre:

• Külső hozzáférés – Összevonási típus, amely lehetővé teszi a belső felhasználók számára a külső felhasználók keresését, hívását és csevegését. A külső hozzáférésű felhasználók csak akkor vehetők fel a csapatokba, ha vendéghozzáférés használatával meghívják őket vendégként.
• Vendéghozzáférés – Lehetővé teszi a belső felhasználók számára, hogy külső felhasználókat hívjanak meg egy csapathoz való csatlakozásra. A meghívott felhasználók egy vendégfiókot kapnak a Microsoft Entra-azonosítóban. A vendéghozzáférés lehetővé teszi a külső felhasználók meghívását a csapatokba, és hozzáférést biztosít a csatornákon lévő dokumentumokhoz, valamint az erőforrásokhoz, csevegésekhez és alkalmazásokhoz. Az ügyfél szükség szerint felügyeli a vállalati adatokat.

A vendéghozzáférés megfelelt az ügyfél együttműködési követelményeinek, de biztonsági és szabályozási problémákat eredményezett:

• A vendégek csak meghatározott csapatokhoz férhetnek hozzá, csak a szükséges ideig. Amikor egy projekt befejeződik, a vendégfiókot el kell távolítani.
• A naplózási követelményeknek megfelelő vendégfiókok létrehozásához jóváhagyási folyamatnak kell lennie. A belső felhasználóknak felül kell vizsgálniuk a kéréseket, és szükség szerint jóvá kell hagyniuk őket.
• A megoldásnak gyorsan létre kell hoznia és automatizálnia kell. Nem hozhatók létre vendégfiókok, amíg a megfelelő biztonsági és szabályozási vezérlők be nem állnak.

A Microsoft Entra jogosultságkezelés volt az elsődleges eszköz a biztonsági és szabályozási követelmények teljesítéséhez:

• Segít hatékonyan kezelni a Microsoft 365-csoportokhoz való hozzáférést, beleértve a csapatokat, az alkalmazásokat és a SharePoint online webhelyeket mind a belső, mind a külső felhasználók számára.
• Lehetővé teszi a hozzáférési kérelmek munkafolyamatainak, a hozzáférési hozzárendeléseknek, a felülvizsgálatoknak és a lejáratnak az automatizálását.

A vendéghozzáférés és a Microsoft Entra-jogosultság együttesen megfelelt az ügyfél együttműködési követelményeinek. A külső felhasználók csatlakozhatnak a kiválasztott csapatokhoz, és a hozzáférés kezelése történik. A Microsoft Entra jogosultságkezelés emellett olyan funkciókat is kínál, amelyek lehetséges jövőbeli használatra szolgálnak, például a csapatoktól eltérő erőforrásokhoz való hozzáférés kezelését.

Lehetséges használati esetek

Ez a megoldás minden olyan helyzetre vonatkozik, amely hozzáférést igényel – azoknak a belső és külső felhasználóknak, akiknek szükségük van rá, csoportokhoz, alkalmazásokhoz és SharePoint Online-webhelyekhez. A Microsoft Entra jogosultságkezelése az alábbi funkciókkal és előnyökkel rendelkezik:

• Az alkalmazottak egyszerűbben férhetnek hozzá az erőforrásokhoz, például a következőkhöz:
  • Microsoft Entra biztonsági csoportok.
  • Microsoft 365-csoportok.
  • Microsoft 365-csapatok.
  • Alkalmazások, beleértve az SaaS-alkalmazásokat is.
  • A megfelelő biztonsági intézkedéseket megvalósító egyéni alkalmazások.
  • SharePoint Online-webhelyek.
• A külső felhasználók egyszerűbb eljárásokkal férhetnek hozzá a szükséges erőforrásokhoz.
• Megadhatja, hogy mely kapcsolt szervezetek biztosíthatnak hozzáférést kérő külső felhasználókat.
• A hozzáférést kérő és jóváhagyott felhasználókat a rendszer automatikusan meghívja a csoportkönyvtárba, és hozzárendeli az erőforrásokhoz való hozzáférést.
• Időkorlátot állíthat be a felhasználó erőforrásokhoz való hozzáférésére, és automatikusan eltávolíthatja a korlátot.
• Ha a hozzáférés olyan külső felhasználó számára jár le, akinek nincs más hozzáférési csomag-hozzárendelése, a felhasználó fiókja automatikusan eltávolítható.
• Biztosíthatja, hogy a felhasználók ne rendelkezzenek több hozzáféréssel, mint amennyit igényelnek.
• A hozzáférési kérelmek jóváhagyási folyamata magában foglalja a kijelölt személyek, például a vezetők jóváhagyását.
• Kezelheti a Microsoft Entra biztonsági csoportokra vagy Microsoft 365-csoportokra támaszkodó egyéb erőforrásokhoz való hozzáférést. Ilyen például a licencek biztosítása a felhasználók számára csoportalapú licencelés használatával.
• Delegálhat nem rendszergazdáknak olyan hozzáférési csomagokat, amelyek a felhasználók által igényelhető erőforrásokat tartalmaznak.

Considerations

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

Fontos megvalósítási lépés a bérlői beállítások konfigurálása külső felhasználók számára.

1. Katalógus engedélyezése külső felhasználók számára – Győződjön meg arról, hogy a katalógus engedélyezve van a külső felhasználók számára igen értékre. Ha új katalógust hoz létre a Microsoft Entra jogosultságkezelésében, alapértelmezés szerint engedélyezve van, hogy a külső felhasználók hozzáférést kérjenek a katalógusban lévő csomagokhoz.
2. Microsoft Entra B2B külső együttműködési beállítások – Az Azure B2B külső együttműködési beállításai hatással lehetnek arra, hogy a Microsoft Entra jogosultságkezelésével meghívhat-e külső felhasználókat az erőforrásokra. Ellenőrizze az alábbi beállításokat:
   • Ellenőrizze, hogy a vendégek meghívhatnak-e más vendégeket a címtárba. Javasoljuk, hogy a vendégek csak a szabályozott meghívások engedélyezéséhez hívjanak meg nemet.
   • Győződjön meg arról, hogy megfelelő módon engedélyezi vagy blokkolja a meghívásokat. További információt a B2B-felhasználók meghívásának engedélyezése vagy letiltása adott szervezetekből című témakörben talál.
3. Tekintse át a feltételes hozzáférési szabályzatokat – Ellenőrizze a feltételes hozzáférést, hogy a vendégfelhasználók ne legyenek kizárva a feltételes hozzáférési szabályzatokból, amelyeket nem tudnak kielégíteni. Ellenkező esetben nem tudnak bejelentkezni a címtárba, és nem férnek hozzá az erőforráshoz.
4. Tekintse át a SharePoint Online külső megosztási beállításait – Ha a SharePoint Online-webhelyeket külső felhasználók számára készült hozzáférési csomagba foglalja, győződjön meg arról, hogy a szervezetszintű külső megosztási beállítást konfigurálja. Állítsa be bárkiként, ha nincs szükség bejelentkezésre, vagy meglévő vendégkénta meghívott felhasználók számára. További információ: Szervezeti szintű külső megosztási beállítás módosítása.
5. Tekintse át a Microsoft 365-csoportmegosztási beállításokat – Ha külső felhasználók hozzáférési csomagjában Microsoft 365-csoportokat vagy csoportokat is tartalmaz, győződjön meg arról, hogy a felhasználók új vendégeket adhatnak a szervezethez, hogy engedélyezve legyen a vendéghozzáférés.
6. Tekintse át a Teams megosztási beállítását – Ha külső felhasználók számára tartalmaz csoportokat egy hozzáférési csomagban, győződjön meg arról, hogy a Vendéghozzáférés engedélyezése a Microsoft Teamsben be van kapcsolva a vendéghozzáférés engedélyezéséhez. Ellenőrizze továbbá, hogy a Teams vendéghozzáférés beállításai konfigurálva vannak-e.
7. Külső felhasználók életciklusának kezelése – Kiválaszthatja, mi történik, ha egy külső felhasználó már nem rendelkezik hozzáférési csomag-hozzárendelésekkel. Ez akkor fordul elő, ha az összes hozzárendelést a felhasználó lemondja, vagy lejárt. Alapértelmezés szerint a rendszer letiltja a felhasználó bejelentkezését a címtárba. 30 nap elteltével a vendég felhasználói fiók törlődik a címtárból.

További szempontok:

• Hozzáférés-hozzárendelés – A hozzáférési csomagok nem helyettesítik a hozzáférés-hozzárendelés más mechanizmusait. Ezek a legmegfelelőbbek az olyan helyzetekben, mint például:
  • Az alkalmazottaknak korlátozott hozzáférésre van szükségük egy adott tevékenységhez.
  • A hozzáféréshez vezető vagy más kijelölt személy jóváhagyása szükséges.
  • A részlegek informatikai közreműködés nélkül szeretnék kezelni az erőforrásaikat.
  • Két vagy több szervezet közösen dolgozik egy projekten, ezért egy szervezet több felhasználóját is meg kell hívni egy másik szervezet erőforrásainak eléréséhez.
• Erőforrások frissítése – A Microsoft Entra jogosultságkezelésével bármikor módosíthatja a hozzáférési csomag erőforrásait. A csomag felhasználói automatikusan módosítják az erőforrás-hozzáférésüket a módosított csomagnak megfelelően.

Költségoptimalizálás

A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.

• A Microsoft Entra jogosultságkezelés használatához Microsoft Entra-azonosítójú P2-licenc szükséges.
• A vendéghozzáférés minden Microsoft 365 Vállalati standard verzió, Microsoft 365 Vállalati prémium verzió és Microsoft 365 Oktatási verzió előfizetéshez használható. Nincs szükség további Microsoft 365-licencre.
• A Microsoft Entra Külső ID számlázási modellje a Microsoft 365 vendégeire vonatkozik. Vendégként csak külső felhasználók hívhatók meg.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

• Martin Boam | Tervező társítása

Következő lépések

• A Csapatok és csatornák áttekintése a Microsoft Teamsben
• A Microsoft Teamsben lévő csapatok és csatornák ismertetése
• A vendéghozzáférés és a külső hozzáférés segítségével a vállalaton kívüli emberekkel is együttműködhet
• Új hozzáférési csomag létrehozása a Microsoft Entra jogosultságkezelésében
• Oktatóanyag: Erőforrásokhoz való hozzáférés kezelése a Microsoft Entra jogosultságkezelésében
• Mi a Microsoft Entra jogosultságkezelése?
• Mi az a Microsoft Entra ID-kezelés?
• Mik a Microsoft Entra hozzáférési véleményei?
• A Microsoft Entra jogosultságkezelésének gyakori forgatókönyvei
• Külső felhasználók hozzáférésének szabályozása a Microsoft Entra jogosultságkezelésében
• A szervezeten kívüli felhasználók hozzáférésének szabályozása
• Együttműködés a csapat vendégeivel
• Vendéghozzáférés és külső hozzáférés használata a szervezeten kívüli személyekkel való együttműködéshez
• Együttműködés a szervezeten kívüli személyekkel
• Mi a feltételes hozzáférés?

Kapcsolódó erőforrások

• AD DS-erőforráserdő létrehozása az Azure-ban
• AD DS üzembe helyezése Azure-beli virtuális hálózaton
• Hibrid identitás
• Helyszíni AD-tartományok integrálása a Microsoft Entra-azonosítóval
• Microsoft Entra identitáskezelés és hozzáférés-kezelés az AWS-hez