Обнаружение текущего состояния внешнего взаимодействия в организации

Прежде чем узнать о текущем состоянии внешней совместной работы, определите состояние безопасности. Рассмотрите возможность централизованного и делегированного контроля, а также целевых показателей управления, нормативных требований и соответствия требованиям.

Дополнительные сведения. Определение состояния безопасности для внешнего доступа с помощью идентификатора Microsoft Entra

Пользователи в организации, скорее всего, сотрудничают с пользователями из других организаций. Совместная работа выполняется с приложениями для повышения производительности, такими как Microsoft 365, по электронной почте или совместное использование ресурсов внешними пользователями. К этим сценариям относятся пользователи:

• Инициирование внешней совместной работы
• Совместная работа с внешними пользователями и организациями
• Предоставление доступа внешним пользователям

Подготовка к работе

Эта статья является номером 2 в серии из 10 статей. Мы рекомендуем ознакомиться с статьями по порядку. Перейдите к разделу "Дальнейшие действия ", чтобы просмотреть всю серию.

Определение того, кто инициирует внешнюю совместную работу

Как правило, пользователи, ищущие внешнюю совместную работу, знают, что приложения используются и когда доступ заканчивается. Поэтому определите пользователей с делегированными разрешениями для приглашения внешних пользователей, создания пакетов доступа и завершения проверок доступа.

Чтобы найти пользователей для совместной работы, выполните приведенные действия.

• Действия журнала аудита Microsoft 365 — поиск событий и обнаружение действий, проверенных в Microsoft 365
• Аудит и отчетность пользователя совместной работы B2B — проверка доступа гостевых пользователей и просмотр записей о действиях системы и пользователей

Перечисление гостевых пользователей и организаций

Внешние пользователи могут быть пользователями Microsoft Entra B2B с учетными данными, управляемыми партнером, или внешними пользователями с локальными учетными данными. Как правило, эти пользователи являются гостевым userType. Дополнительные сведения о приглашении пользователей и совместном использовании ресурсов см. в обзоре совместной работы B2B.

Вы можете перечислить гостевых пользователей с помощью:

• API Microsoft Graph
• PowerShell
• Портал Azure

Используйте следующие средства для идентификации совместной работы Microsoft Entra B2B, внешних клиентов Microsoft Entra и пользователей, обращаюющихся к приложениям:

• Модуль PowerShell, Get MsIdCrossTenantAccessActivity
• Книга о действиях доступа между клиентами

Обнаружение доменов электронной почты и свойства companyName

Можно определить внешние организации с доменными именами адресов электронной почты внешних пользователей. Это обнаружение может быть невозможно с поставщиками удостоверений потребителей. Мы рекомендуем написать атрибут companyName для идентификации внешних организаций.

Использование списка разрешений, списка блоков и управления правами

Используйте список разрешений или список блокировок для совместной работы организации с организациями на уровне клиента. Управление приглашениями и активациями B2B независимо от источника (например, Microsoft Teams, SharePoint или портал Azure).

Просмотр, разрешение или блокировка приглашений для пользователей B2B из определенных организаций

Если вы используете управление правами, вы можете ограничить пакеты доступа подмножеством партнеров с параметром "Конкретные подключенные организации " в разделе "Новые пакеты доступа" в службе "Управление удостоверениями".

Определение доступа внешних пользователей

При инвентаризации внешних пользователей и организаций определите доступ для предоставления пользователям. Api Microsoft Graph можно использовать для определения членства в группе Microsoft Entra или назначения приложений.

• Работа с группами в Microsoft Graph
• Обзор API приложений

Перечисление разрешений приложения

Изучите доступ к конфиденциальным приложениям, чтобы узнать о внешнем доступе. Просмотр, предоставление или отмена разрешений API программным способом.

Обнаружение неформального общего доступа

Если включены планы электронной почты и сети, вы можете изучить общий доступ к содержимому с помощью приложений электронной почты или несанкционированного программного обеспечения как службы (SaaS).

• Определение, предотвращение и мониторинг случайного общего доступа
  • Сведения о защите от потери данных (DLP)
• Определение несанкционированных приложений
  • Общие сведения о Microsoft Defender for Cloud Apps

Следующие шаги

Используйте следующую серию статей, чтобы узнать о защите внешнего доступа к ресурсам. Рекомендуется следовать указанному заказу.

1. Определение состояния безопасности для внешнего доступа с помощью идентификатора Microsoft Entra

2. Обнаружение текущего состояния внешней совместной работы в вашей организации (здесь)

3. Создание плана безопасности для внешнего доступа к ресурсам

4. Безопасный внешний доступ с помощью групп в идентификаторе Microsoft Entra и Microsoft 365

5. Переход к управляемой совместной работе с Microsoft Entra B2B

6. Управление внешним доступом с помощью управления правами Microsoft Entra

7. Управление внешним доступом к ресурсам с помощью политик условного доступа

8. Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности

9. Защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive для бизнеса с помощью идентификатора Microsoft Entra

10. Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B