Ez a példaforgatókönyv segít a felhasználóknak más szervezetekkel együttműködni azáltal, hogy identitás- és szabályozási vezérlőket biztosítanak a külső felhasználók számára a Microsoft Entra B2B együttműködés használatakor.
Architektúra
Töltse le az architektúra Visio-fájlját.
Workflow
Erőforráskönyvtár – Ez az erőforrásokat tartalmazó Microsoft Entra könyvtár, amely a Microsoft 365-csoportokat és csapatokat tartalmazza. Ebben a példában az erőforrás egy projektcsapat, amely hozzá van adva a hozzáférési csomaghoz, így a szervezeten kívüli felhasználók hozzáférést kérhetnek hozzá.
Külső címtár (Csatlakozás szervezet) – Ez a külső Microsoft Entra könyvtár, amely a csatlakoztatott szervezet külső felhasználóit tartalmazza. Ezeket a felhasználókat a szabályzatok engedélyezhetik, hogy hozzáférést kérjenek a projektcsapathoz.
1 . katalógus – A katalógus a kapcsolódó erőforrások és hozzáférési csomagok tárolója. Az 1. katalógus tartalmazza a projektcsapatot és annak hozzáférési csomagját.
A katalógusok lehetővé teszik a delegálást, hogy a nem rendszergazdák hozzáférési csomagokat hozzanak létre. A katalógustulajdonosok hozzáadhatják a katalógushoz a tulajdonában lévő erőforrásokat.
Erőforrások – Ezek az erőforrások jelennek meg a hozzáférési csomagokban. Tartalmazhatnak biztonsági csoportokat, alkalmazásokat és SharePoint Online-webhelyeket. Ebben a példában ez a projektcsapat.
Access 1 – A hozzáférési csomagok olyan erőforrások gyűjteményei, amelyek mindegyikéhez hozzáférési típusok érhetők el. A hozzáférési csomagok a belső és külső felhasználók hozzáférésének szabályozására szolgálnak. Ebben a példában a projektcsapat az az erőforrás, amely egyetlen szabályzattal rendelkezik, amely lehetővé teszi a külső felhasználók számára a hozzáférés kérését. Ebben a példában a belső felhasználóknak nem kell a Microsoft Entra jogosultságkezelést használniuk. A microsoft teams használatával hozzáadjuk őket a projektcsapathoz.
1. csoportbeli erőforrásszerepkör – Az erőforrás-szerepkörök olyan engedélyek, amelyek egy erőforráshoz vannak társítva és definiálva. Egy csoport két szerepkörrel rendelkezik : tag és tulajdonos. A SharePoint-webhelyek általában három szerepkört használnak, de további egyéni szerepkörök is lehetnek. Az alkalmazások egyéni szerepkörökhöz is tartozhatnak.
Külső hozzáférési szabályzat – Ez a szabályzat határozza meg a hozzáférési csomaghoz való hozzárendelés szabályait. Ebben a példában egy szabályzatot használunk annak biztosítására, hogy a csatlakoztatott szervezetek felhasználói hozzáférést kérjenek a projektcsapathoz. A kérést követően jóváhagyásra van szükség a jóváhagyóktól a szabályzatban meghatározottak szerint. A szabályzat emellett időkorlátokat és megújítási beállításokat is meghatároz.
Jóváhagyó – A jóváhagyó jóváhagyja a hozzáférési kérelmet. Ez lehet belső vagy külső felhasználó.
Kérelmező – Ez az a külső felhasználó, aki hozzáférést kér a Saját hozzáférés portálon keresztül. A portál csak azokat a hozzáférési csomagokat jeleníti meg, amelyeket a kérelmező igényelhet.
Erőforráshoz való hozzáférés kérése a szervezeti folyamaton kívüli felhasználók számára
Íme egy magas szintű munkafolyamat, amely bemutatja, hogy a Microsoft 365-csoporthoz vagy csoporthoz hogyan biztosít hozzáférést a külső felhasználók számára. Ez magában foglalja a vendégfiók eltávolítását, ha a hozzáférés már nem szükséges, vagy ha elér egy határidőt.
Összetevők
- A Microsoft Entra ID felhőalapú identitás- és hozzáférés-kezelési szolgáltatásokat kínál, amelyek lehetővé teszik a felhasználók számára az erőforrások bejelentkezését és elérését. A következő funkciókkal és képességekkel rendelkezik:
- A Microsoft Entra jogosultságkezelés egy identitásszabályozási funkció, amellyel a szervezetek nagy léptékben kezelhetik az identitásokat és a hozzáférési életciklusokat, automatizálva a hozzáférési kérelmek munkafolyamatait, a hozzáférési hozzárendeléseket, a felülvizsgálatokat és a lejáratot.
- A Microsoft Entra vállalati (B2B) együttműködését a Microsoft Entra jogosultságkezelése használja a hozzáférés megosztásához, hogy a belső felhasználók együttműködhessenek a külső felhasználókkal.
- A Microsoft Entra hozzáférési felülvizsgálatokkal a szervezetek hatékonyan kezelhetik a csoporttagságokat, hozzáférhetnek a vállalati alkalmazásokhoz és szerepkör-hozzárendelésekhez. A felhasználói hozzáférés rendszeresen felülvizsgálható, hogy csak a megfelelő személyek rendelkezzenek folyamatos hozzáféréssel.
- A Microsoft Teams vendéghozzáférése lehetővé teszi a külső felhasználók számára, hogy hozzáférjenek a csapatokhoz, csatornákhoz, erőforrásokhoz, csevegésekhez és alkalmazásokhoz, miközben Ön felügyeli a vállalati erőforrásokat.
- A Microsoft Entra Feltételes hozzáférés jeleket hoz létre a döntések meghozatalához és a szervezeti szabályzatok kikényszerítéséhez. Ebben a megoldásban a feltételes hozzáférés a használati feltételekre vonatkozó szerződések és a többtényezős hitelesítés kényszerítésére, valamint a vendégfiókok munkamenet-időtúllépéseinek beállítására szolgál.
Alternatívák
A Microsoft Entra jogosultságkezelés alternatív megoldása, ha lehetővé teszi a belső felhasználók számára, hogy külső felhasználókat hívjanak meg egy csapatba. A meghívott felhasználók ezután létrehozhatnak egy vendégfiókot az erőforráskönyvtárban.
Ez az alternatíva nem biztosítja az ügyfél által igényelt identitás- és szabályozási vezérlőket. Az AD-jogosultságkezeléshez képest a hiányosságok a következők:
- A külső felhasználók nem kérhetnek hozzáférést – meghívónak kell lennie. A külső felhasználónak tudnia kell, hogyan kérhet meghívót, egy olyan folyamatot, amely csapatonként változhat, és idővel változhat.
- Nincsenek üzleti indokok, e-mail-értesítések, felülvizsgálati folyamatok vagy jóváhagyási folyamatok, ami naplózási probléma.
- Adott erőforrásokhoz való hozzáférés nem kezelhető, nem távolítható el és nem frissíthető könnyen. Mivel a projekterőforrások valószínűleg megváltoznak, ez egy hatékonysági probléma.
- Ha a rendszer meghív egy külső felhasználót, de a felhasználó szervezete nem engedélyezett, a rendszer megtagadja a hozzáférést, ami zavart okoz.
- A vendégfiókok nem törlődnek automatikusan, és nincs megadva a lejárati idő. A lejárat kezelésére szolgáló manuális folyamat hibalehetőséget jelent, és kevésbé hatékony, mint egy automatikus folyamat, amely korlátokat követel meg a fiók létrehozásakor. Ez biztonsági és hatékonysági probléma.
Az AD-jogosultságok kezelésével nem valószínű, hogy egy egyéni megoldás létrehozása ezeknek a problémáknak a kezelésére nem lesz költséghatékony vagy funkcióversenyszerű.
Forgatókönyv részletei
Ez a példaforgatókönyv a COVID-19 világjárvány idején készült, amikor az ügyfélnek azonnali követelménye volt más szervezetekkel való együttműködés. Ez identitás- és szabályozási vezérlők biztosítását jelentette a külső felhasználók számára.
A Microsoft Teams volt az ügyfél elsődleges eszköze a vállalati kommunikációhoz. A felhasználók Teams-csevegéssel, értekezletekkel és hívásokkal működtek együtt. A Teams csatornái hozzáférést biztosítottak számukra a fájlokhoz és a beszélgetésekhez.
A Teams-értekezletek hatékony módot biztosítottak a külső felhasználókkal való találkozásra. A külső felhasználók azonban nem fértek hozzá a csapatokhoz és csatornákhoz, ezért a velük való együttműködés ügyetlen volt, és a termelékenység akadályozva lett. Az ügyfélnek valami jobbra volt szüksége.
A Teams két lehetőséget kínál a külső felhasználókkal való kommunikációra és együttműködésre:
- Külső hozzáférés – Összevonási típus, amely lehetővé teszi a belső felhasználók számára a külső felhasználók keresését, hívását és csevegését. A külső hozzáférésű felhasználók csak akkor vehetők fel a csapatokba, ha vendéghozzáférés használatával meghívják őket vendégként.
- Vendéghozzáférés – Lehetővé teszi a belső felhasználók számára, hogy külső felhasználókat hívjanak meg egy csapathoz való csatlakozásra. A meghívott felhasználók egy vendégfiókot kapnak a Microsoft Entra-azonosítóban. A vendéghozzáférés lehetővé teszi a külső felhasználók meghívását a csapatokba, és hozzáférést biztosít a csatornákon lévő dokumentumokhoz, valamint az erőforrásokhoz, csevegésekhez és alkalmazásokhoz. Az ügyfél szükség szerint felügyeli a vállalati adatokat.
A vendéghozzáférés megfelelt az ügyfél együttműködési követelményeinek, de biztonsági és szabályozási problémákat eredményezett:
- A vendégek csak meghatározott csapatokhoz férhetnek hozzá, csak a szükséges ideig. Amikor egy projekt befejeződik, a vendégfiókot el kell távolítani.
- A naplózási követelményeknek megfelelő vendégfiókok létrehozásához jóváhagyási folyamatnak kell lennie. A belső felhasználóknak felül kell vizsgálniuk a kéréseket, és szükség szerint jóvá kell hagyniuk őket.
- A megoldásnak gyorsan létre kell hoznia és automatizálnia kell. Nem hozhatók létre vendégfiókok, amíg a megfelelő biztonsági és szabályozási vezérlők be nem állnak.
A Microsoft Entra jogosultságkezelés volt az elsődleges eszköz a biztonsági és szabályozási követelmények teljesítéséhez:
- Segít hatékonyan kezelni a Microsoft 365-csoportokhoz való hozzáférést, beleértve a csapatokat, az alkalmazásokat és a SharePoint online webhelyeket mind a belső, mind a külső felhasználók számára.
- Lehetővé teszi a hozzáférési kérelmek munkafolyamatainak, a hozzáférési hozzárendeléseknek, a felülvizsgálatoknak és a lejáratnak az automatizálását.
A vendéghozzáférés és a Microsoft Entra-jogosultság együttesen megfelelt az ügyfél együttműködési követelményeinek. A külső felhasználók csatlakozhatnak a kiválasztott csapatokhoz, és a hozzáférés kezelése történik. A Microsoft Entra jogosultságkezelés emellett olyan funkciókat is kínál, amelyek lehetséges jövőbeli használatra szolgálnak, például a csapatoktól eltérő erőforrásokhoz való hozzáférés kezelését.
Lehetséges használati esetek
Ez a megoldás minden olyan helyzetre vonatkozik, amely hozzáférést igényel – azoknak a belső és külső felhasználóknak, akiknek szükségük van rá, csoportokhoz, alkalmazásokhoz és SharePoint Online-webhelyekhez. A Microsoft Entra jogosultságkezelése az alábbi funkciókkal és előnyökkel rendelkezik:
- Az alkalmazottak egyszerűbben férhetnek hozzá az erőforrásokhoz, például a következőkhöz:
- Microsoft Entra biztonsági csoportok.
- Microsoft 365-csoportok.
- Microsoft 365-csapatok.
- Alkalmazások, beleértve az SaaS-alkalmazásokat is.
- A megfelelő biztonsági intézkedéseket megvalósító egyéni alkalmazások.
- SharePoint Online-webhelyek.
- A külső felhasználók egyszerűbb eljárásokkal férhetnek hozzá a szükséges erőforrásokhoz.
- Megadhatja, hogy mely kapcsolt szervezetek biztosíthatnak hozzáférést kérő külső felhasználókat.
- A hozzáférést kérő és jóváhagyott felhasználókat a rendszer automatikusan meghívja a csoportkönyvtárba, és hozzárendeli az erőforrásokhoz való hozzáférést.
- Időkorlátot állíthat be a felhasználó erőforrásokhoz való hozzáférésére, és automatikusan eltávolíthatja a korlátot.
- Ha a hozzáférés olyan külső felhasználó számára jár le, akinek nincs más hozzáférési csomag-hozzárendelése, a felhasználó fiókja automatikusan eltávolítható.
- Biztosíthatja, hogy a felhasználók ne rendelkezzenek több hozzáféréssel, mint amennyit igényelnek.
- A hozzáférési kérelmek jóváhagyási folyamata magában foglalja a kijelölt személyek, például a vezetők jóváhagyását.
- Kezelheti a Microsoft Entra biztonsági csoportokra vagy Microsoft 365-csoportokra támaszkodó egyéb erőforrásokhoz való hozzáférést. Ilyen például a licencek biztosítása a felhasználók számára csoportalapú licencelés használatával.
- Delegálhat nem rendszergazdáknak olyan hozzáférési csomagokat, amelyek a felhasználók által igényelhető erőforrásokat tartalmaznak.
Considerations
Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.
Fontos megvalósítási lépés a bérlői beállítások konfigurálása külső felhasználók számára.
- Katalógus engedélyezése külső felhasználók számára – Győződjön meg arról, hogy a katalógus engedélyezve van a külső felhasználók számára igen értékre. Ha új katalógust hoz létre a Microsoft Entra jogosultságkezelésében, alapértelmezés szerint engedélyezve van, hogy a külső felhasználók hozzáférést kérjenek a katalógusban lévő csomagokhoz.
- Microsoft Entra B2B külső együttműködési beállítások – Az Azure B2B külső együttműködési beállításai hatással lehetnek arra, hogy a Microsoft Entra jogosultságkezelésével meghívhat-e külső felhasználókat az erőforrásokra. Ellenőrizze az alábbi beállításokat:
- Ellenőrizze, hogy a vendégek meghívhatnak-e más vendégeket a címtárba. Javasoljuk, hogy a vendégek csak a szabályozott meghívások engedélyezéséhez hívjanak meg nemet.
- Győződjön meg arról, hogy megfelelő módon engedélyezi vagy blokkolja a meghívásokat. További információt a B2B-felhasználók meghívásának engedélyezése vagy letiltása adott szervezetekből című témakörben talál.
- Tekintse át a feltételes hozzáférési szabályzatokat – Ellenőrizze a feltételes hozzáférést, hogy a vendégfelhasználók ne legyenek kizárva a feltételes hozzáférési szabályzatokból, amelyeket nem tudnak kielégíteni. Ellenkező esetben nem tudnak bejelentkezni a címtárba, és nem férnek hozzá az erőforráshoz.
- Tekintse át a SharePoint Online külső megosztási beállításait – Ha a SharePoint Online-webhelyeket külső felhasználók számára készült hozzáférési csomagba foglalja, győződjön meg arról, hogy a szervezetszintű külső megosztási beállítást konfigurálja. Állítsa be bárkiként, ha nincs szükség bejelentkezésre, vagy meglévő vendégkénta meghívott felhasználók számára. További információ: Szervezeti szintű külső megosztási beállítás módosítása.
- Tekintse át a Microsoft 365-csoportmegosztási beállításokat – Ha külső felhasználók hozzáférési csomagjában Microsoft 365-csoportokat vagy csoportokat is tartalmaz, győződjön meg arról, hogy a felhasználók új vendégeket adhatnak a szervezethez, hogy engedélyezve legyen a vendéghozzáférés.
- Tekintse át a Teams megosztási beállítását – Ha külső felhasználók számára tartalmaz csoportokat egy hozzáférési csomagban, győződjön meg arról, hogy a Vendéghozzáférés engedélyezése a Microsoft Teamsben be van kapcsolva a vendéghozzáférés engedélyezéséhez. Ellenőrizze továbbá, hogy a Teams vendéghozzáférés beállításai konfigurálva vannak-e.
- Külső felhasználók életciklusának kezelése – Kiválaszthatja, mi történik, ha egy külső felhasználó már nem rendelkezik hozzáférési csomag-hozzárendelésekkel. Ez akkor fordul elő, ha az összes hozzárendelést a felhasználó lemondja, vagy lejárt. Alapértelmezés szerint a rendszer letiltja a felhasználó bejelentkezését a címtárba. 30 nap elteltével a vendég felhasználói fiók törlődik a címtárból.
További szempontok:
- Hozzáférés-hozzárendelés – A hozzáférési csomagok nem helyettesítik a hozzáférés-hozzárendelés más mechanizmusait. Ezek a legmegfelelőbbek az olyan helyzetekben, mint például:
- Az alkalmazottaknak korlátozott hozzáférésre van szükségük egy adott tevékenységhez.
- A hozzáféréshez vezető vagy más kijelölt személy jóváhagyása szükséges.
- A részlegek informatikai közreműködés nélkül szeretnék kezelni az erőforrásaikat.
- Két vagy több szervezet közösen dolgozik egy projekten, ezért egy szervezet több felhasználóját is meg kell hívni egy másik szervezet erőforrásainak eléréséhez.
- Erőforrások frissítése – A Microsoft Entra jogosultságkezelésével bármikor módosíthatja a hozzáférési csomag erőforrásait. A csomag felhasználói automatikusan módosítják az erőforrás-hozzáférésüket a módosított csomagnak megfelelően.
Költségoptimalizálás
A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.
- A Microsoft Entra jogosultságkezelés használatához Microsoft Entra-azonosítójú P2-licenc szükséges.
- A vendéghozzáférés minden Microsoft 365 Vállalati standard verzió, Microsoft 365 Vállalati prémium verzió és Microsoft 365 Oktatási verzió előfizetéshez használható. Nincs szükség további Microsoft 365-licencre.
- A Microsoft Entra Külső ID számlázási modellje a Microsoft 365 vendégeire vonatkozik. Vendégként csak külső felhasználók hívhatók meg.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Martin Boam | Tervező társítása
Következő lépések
- A Csapatok és csatornák áttekintése a Microsoft Teamsben
- A Microsoft Teamsben lévő csapatok és csatornák ismertetése
- A vendéghozzáférés és a külső hozzáférés segítségével a vállalaton kívüli emberekkel is együttműködhet
- Új hozzáférési csomag létrehozása a Microsoft Entra jogosultságkezelésében
- Oktatóanyag: Erőforrásokhoz való hozzáférés kezelése a Microsoft Entra jogosultságkezelésében
- Mi a Microsoft Entra jogosultságkezelése?
- Mi az a Microsoft Entra ID-kezelés?
- Mik a Microsoft Entra hozzáférési véleményei?
- A Microsoft Entra jogosultságkezelésének gyakori forgatókönyvei
- Külső felhasználók hozzáférésének szabályozása a Microsoft Entra jogosultságkezelésében
- A szervezeten kívüli felhasználók hozzáférésének szabályozása
- Együttműködés a csapat vendégeivel
- Vendéghozzáférés és külső hozzáférés használata a szervezeten kívüli személyekkel való együttműködéshez
- Együttműködés a szervezeten kívüli személyekkel
- Mi a feltételes hozzáférés?