Criteri per consentire l'accesso guest e l'accesso utente esterno B2B
Questo articolo illustra la modifica dei criteri di identità Zero Trust e di accesso ai dispositivi consigliati per consentire l'accesso per utenti guest ed esterni che dispongono di un account Microsoft Entra Business to Business (B2B). Queste linee guida si basa sui criteri comuni di identità e accesso ai dispositivi.
Queste raccomandazioni sono progettate per l'applicazione al livello di protezione del punto di partenza. Ma è anche possibile modificare le raccomandazioni in base alle esigenze specifiche per la protezione della sicurezza aziendale e specializzata.
Fornire un percorso per l'autenticazione degli account B2B con il tenant di Microsoft Entra non concede a questi account l'accesso all'intero ambiente. Gli utenti B2B e i relativi account hanno accesso a servizi e risorse, ad esempio file, condivisi con essi dai criteri di accesso condizionale.
Aggiornamento dei criteri comuni per consentire e proteggere gli utenti guest e l'accesso degli utenti esterni
Questo diagramma mostra i criteri da aggiungere o aggiornare tra i criteri di accesso comuni alle identità e ai dispositivi, per l'accesso utente guest B2B ed esterno.
Nella tabella seguente sono elencati i criteri che è necessario creare e aggiornare. I criteri comuni sono collegati alle istruzioni di configurazione associate nell'articolo Criteri di accesso comuni alle identità e ai dispositivi.
Livello di protezione | Criteri | Ulteriori informazioni |
---|---|---|
Punto di partenza | Richiedere sempre l'autenticazione a più fattori per utenti guest ed esterni | Creare questo nuovo criterio e configurare:
|
Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto | Modificare questo criterio per escludere utenti guest ed esterni. |
Per includere o escludere utenti guest ed esterni nei criteri di accesso condizionale, per Assegnazioni > Utenti e gruppi > Includi o Escludi, selezionare Tutti gli utenti guest ed esterni.
Ulteriori informazioni
Accesso utenti guest ed esterni con Microsoft Teams
Microsoft Teams definisce gli utenti seguenti:
L'accesso guest usa un account Microsoft Entra B2B che può essere aggiunto come membro di un team e ha accesso alle comunicazioni e alle risorse del team.
L'accesso esterno è destinato a un utente esterno che non ha un account B2B. L'accesso utente esterno include inviti, chiamate, chat e riunioni, ma non include l'appartenenza al team e l'accesso alle risorse del team.
Per altre informazioni, vedere il confronto tra utenti guest e accesso utente esterno per i team.
Per altre informazioni sulla protezione dei criteri di identità e di accesso dei dispositivi per Teams, vedere Raccomandazioni sui criteri per la protezione di chat, gruppi e file di Teams.
Richiedere sempre l'autenticazione a più fattori per gli utenti guest ed esterni
Questo criterio richiede agli utenti guest di registrarsi per l'autenticazione a più fattori nel tenant, indipendentemente dal fatto che siano registrati per l'autenticazione a più fattori nel tenant principale. Gli utenti guest ed esterni che accedono alle risorse nel tenant devono usare l'autenticazione a più fattori per ogni richiesta.
Esclusione di utenti guest ed esterni da MFA basata sul rischio
Sebbene le organizzazioni possano applicare criteri basati sul rischio per gli utenti B2B che usano Microsoft Entra ID Protection, esistono limitazioni nell'implementazione di Microsoft Entra ID Protection per gli utenti di Collaborazione B2B in una directory delle risorse perché l'identità esiste nella home directory. A causa di queste limitazioni, Microsoft consiglia di escludere gli utenti guest dai criteri di autenticazione a più fattori basati sul rischio e richiedere a questi utenti di usare sempre MFA.
Per altre informazioni, vedere Limitazioni della protezione ID per gli utenti di Collaborazione B2B.
Esclusione di utenti guest ed esterni dalla gestione dei dispositivi
Solo un'organizzazione può gestire un dispositivo. Se non si escludono utenti guest ed esterni da criteri che richiedono la conformità dei dispositivi, questi criteri bloccano questi utenti.
Passaggio successivo
Configurare i criteri di accesso condizionale per: