Criteri per consentire l'accesso guest e l'accesso utente esterno B2B

  • Articolo

Questo articolo illustra la modifica dei criteri consigliati per l'identità e l'accesso ai dispositivi Zero Trust per consentire l'accesso per utenti guest ed esterni con un account business-to-business (B2B) Microsoft Entra. Queste linee guida si basano sui criteri comuni di identità e accesso ai dispositivi.

Queste raccomandazioni sono progettate per essere applicate al livello di protezione del punto iniziale . È anche possibile modificare le raccomandazioni in base alle esigenze specifiche per la protezione dellasicurezza aziendale e specializzata .

Fornire un percorso per l'autenticazione degli account B2B con il tenant Microsoft Entra non consente a questi account di accedere all'intero ambiente. Gli utenti B2B e i relativi account hanno accesso a servizi e risorse, ad esempio file, condivisi con loro dai criteri di accesso condizionale.

Aggiornamento dei criteri comuni per consentire e proteggere gli utenti guest e l'accesso degli utenti esterni

Questo diagramma mostra i criteri da aggiungere o aggiornare tra i criteri comuni di identità e accesso ai dispositivi, per l'accesso guest B2B e utente esterno.

Riepilogo degli aggiornamenti dei criteri per la protezione dell'accesso guest

Nella tabella seguente sono elencati i criteri che è necessario creare e aggiornare. I criteri comuni sono collegati alle istruzioni di configurazione associate nell'articolo Criteri comuni di identità e accesso ai dispositivi .

Livello di protezione Criteri Altre informazioni
Punto iniziale Richiedere l'autenticazione a più fattori sempre per utenti guest ed utenti esterni Create questo nuovo criterio e configurare:
  • Per Assegnazioni > Utenti e gruppi > Includi scegliere Seleziona utenti e gruppi e quindi selezionare Tutti gli utenti guest ed esterni.
  • Per Condizioni > di > assegnazione Rischio di accesso e selezionare tutti i livelli di rischio di accesso.
Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto Modificare questo criterio per escludere utenti guest ed utenti esterni.

Per includere o escludere guest e utenti esterni nei criteri di accesso condizionale, per Assegnazioni > Utenti e gruppi > Includi o Escludi, selezionare Tutti gli utenti guest ed esterni.

Controlli per l'esclusione di guest e utenti esterni

Ulteriori informazioni

Guest e accesso utente esterno con Microsoft Teams

Microsoft Teams definisce gli utenti seguenti:

  • L'accesso guest usa un Microsoft Entra account B2B che può essere aggiunto come membro di un team e avere accesso alle comunicazioni e alle risorse del team.

  • L'accesso esterno è per un utente esterno che non ha un account B2B. L'accesso utente esterno include inviti, chiamate, chat e riunioni, ma non include l'appartenenza al team e l'accesso alle risorse del team.

Per altre informazioni, vedere il confronto tra guest e l'accesso utente esterno per i team.

Per altre informazioni sulla protezione dei criteri di accesso alle identità e ai dispositivi per Teams, vedere Consigli sui criteri per la protezione di chat, gruppi e file di Teams.

Richiedere l'autenticazione a più fattori sempre per gli utenti guest ed esterni

Questo criterio richiede agli utenti guest di registrarsi per l'autenticazione a più fattori nel tenant, indipendentemente dal fatto che siano registrati per l'autenticazione a più fattori nel tenant principale. I guest e gli utenti esterni che accedono alle risorse nel tenant devono usare L'autenticazione a più fattori per ogni richiesta.

Esclusione di guest e utenti esterni da MFA basata sui rischi

Anche se le organizzazioni possono applicare criteri basati sui rischi per gli utenti B2B usando Microsoft Entra ID Protection, esistono limitazioni nell'implementazione di Microsoft Entra ID Protection per gli utenti di collaborazione B2B in una directory delle risorse perché la loro identità esiste nella home directory. A causa di queste limitazioni, Microsoft consiglia di escludere i guest dai criteri MFA basati sui rischi e di richiedere a questi utenti di usare sempre l'autenticazione a più fattori.

Per altre informazioni, vedere Limitazioni della protezione degli ID per gli utenti di collaborazione B2B.

Esclusione di guest e utenti esterni dalla gestione dei dispositivi

Solo un'organizzazione può gestire un dispositivo. Se non si escludono guest e utenti esterni dai criteri che richiedono la conformità del dispositivo, questi criteri bloccano questi utenti.

Passaggio successivo

Criteri per le app cloud di Microsoft 365 e Microsoft Defender for Cloud Apps

Configurare i criteri di accesso condizionale per: