Бөлісу құралы:

Управление внешним доступом с помощью управления правами Microsoft Entra

  • Мақала

Используйте функцию управления правами для управления жизненным циклом идентификации и доступа. Вы можете автоматизировать рабочие процессы запросов на доступ, назначения доступа, проверки и истечение срока действия. Делегированные неадминистры используют управление правами для создания пакетов доступа, к которым внешние пользователи, из других организаций, могут запрашивать доступ. Один и многоэтапный рабочий процесс утверждения настраиваются для оценки запросов и подготовки пользователей для ограниченного времени доступа с повторяющимися проверками. Используйте управление правами для подготовки на основе политик и отмены подготовки внешних учетных записей.

Подробнее:

Подготовка к работе

Эта статья является номером 6 в серии из 10 статей. Мы рекомендуем ознакомиться с статьями по порядку. Перейдите к разделу "Дальнейшие действия ", чтобы просмотреть всю серию.

Включение управления правами

Следующие ключевые понятия важны для понимания управления правами.

Пакеты доступа

Пакет доступа является основой управления правами: группировки ресурсов, управляемых политикой, для пользователей для совместной работы над проектом или выполнения других задач. Например, пакет для доступа может включать в себя:

  • Доступ к сайтам SharePoint
  • Корпоративные приложения, в том числе пользовательские собственные и программные приложения как услуга (SaaS), такие как Salesforce
  • Microsoft Teams
  • Группы Microsoft 365

Каталоги

Пакеты для доступа располагаются в каталогах. Если вы хотите группировать связанные ресурсы и получать доступ к пакетам и делегировать управление ими, создайте каталог. Сначала вы добавляете ресурсы в каталог, а затем можете добавлять ресурсы для доступа к пакетам. Например, можно создать финансовый каталог и делегировать его управлению членом финансовой группы. Этот пользователь может добавлять ресурсы, создавать пакеты доступа и управлять утверждением доступа.

Подробнее:

На следующей схеме показан типичный жизненный цикл управления внешнего пользователя, получающего доступ к пакету доступа, с истечением срока действия.

A diagram of the external user governance cycle.

Самостоятельный внешний доступ

Пакеты доступа можно сделать доступными на портале Microsoft Entra My Access, чтобы разрешить внешним пользователям запрашивать доступ. Политики определяют, кто может запрашивать пакет для доступа. См. запрос доступа к пакету доступа в управлении правами.

Следует указать, кому разрешено запрашивать пакет для доступа:

Утверждения

Пакеты для доступа могут включать обязательное утверждение для доступа. Утверждения может быть одним или несколькими и определяются политиками. Если внутренние и внешние пользователи должны получить доступ к одному пакету, можно настроить политики доступа для категорий подключенных организаций и внутренних пользователей.

Внимание

Реализуйте процессы утверждения для внешних пользователей.

Истечение срока действия

Пакеты доступа могут включать дату окончания срока действия или несколько дней, установленных для доступа. После истечения срока действия пакета доступа и окончания доступа объект гостевого пользователя B2B, представляющий пользователя, можно удалить или заблокировать вход. Рекомендуется применить срок действия пакетов доступа для внешних пользователей. Не у всех пакетов для доступа есть срок действия.

Внимание

Для пакетов без истечения срока действия выполните регулярные проверки доступа.

Проверки доступа

Пакеты доступа могут требовать периодических проверок доступа, которые требуют от владельца пакета или конструктора, чтобы подтвердить постоянную потребность в доступе пользователей. См. статью " Управление гостевым доступом с помощью проверок доступа".

Перед настройкой проверки определите следующие критерии:

  • Кто
    • Критерии непрерывного доступа
    • Рецензенты
  • Как часто
    • Встроенные варианты — ежемесячно, ежеквартально, бизнес-аналитика в год или ежегодно
    • Мы рекомендуем ежеквартально или более частые проверки для пакетов, поддерживающих внешний доступ.

Внимание

Проверка пакетов доступа проверяет доступ, предоставленный с помощью управления правами. Настройте другие процессы для просмотра доступа к внешним пользователям, вне управления правами.

Дополнительные сведения. Планирование развертывания проверок доступа Microsoft Entra.

Использование автоматизации управления правами

Рекомендации по управлению внешним доступом

Рекомендации

Мы рекомендуем использовать следующие методики для управления внешним доступом с помощью управления правами.

Управление удостоверениями — Параметры

Используйте систему управления удостоверениями— Параметры, чтобы удалить пользователей из каталога при истечении срока действия пакетов доступа. Следующие параметры применяются к пользователям, подключенным к управлению правами.

Screenshot of settings and entries for Manage the lifecycle of external users.

Делегирование каталога и управления пакетами

Вы можете делегировать управление каталогом и пакетами владельцам бизнеса, у которых есть дополнительные сведения о том, кто должен получить доступ. Просмотр, делегирование и роли в управлении правами

Screenshot of options and entries under Roles and administrators.

Принудительное истечение срока действия пакета доступа

Срок действия доступа для внешних пользователей можно применить. См. раздел " Изменение параметров жизненного цикла" пакета доступа в управлении правами.

Screenshot of options and entries for Expiration.

  • Для даты окончания пакета доступа на основе проекта используйте "Дата ", чтобы задать дату.
    • В противном случае мы рекомендуем не превышать 365 дней, если это не проект с несколькими годами.
  • Разрешить пользователям расширить доступ
    • Требовать утверждения для предоставления расширения

Принудительное применение проверок пакетов гостевого доступа

Вы можете применить проверки пакетов гостевого доступа, чтобы избежать недопустимого доступа для гостей. См. статью " Управление гостевым доступом с помощью проверок доступа".

Screenshot of options and entries under New access package.

  • Применение квартальных проверок
  • Для проектов, связанных с соответствием требованиям, установите рецензентов для рецензентов, а не самостоятельного просмотра для внешних пользователей.
    • Диспетчеры пакетов доступа можно использовать в качестве рецензентов
  • Для менее конфиденциальных проектов пользователи самостоятельно просматривают нагрузку, чтобы удалить доступ пользователей больше не с организацией.

Дополнительные сведения. Управление доступом для внешних пользователей в управлении правами

Следующие шаги

Используйте следующую серию статей, чтобы узнать о защите внешнего доступа к ресурсам. Рекомендуется следовать указанному заказу.

  1. Определение состояния безопасности для внешнего доступа с помощью идентификатора Microsoft Entra

  2. Обнаружение текущего состояния внешней совместной работы в организации

  3. Создание плана безопасности для внешнего доступа к ресурсам

  4. Безопасный внешний доступ с помощью групп в идентификаторе Microsoft Entra и Microsoft 365

  5. Переход к управляемой совместной работе с Microsoft Entra B2B

  6. Управление внешним доступом с помощью управления правами Microsoft Entra (здесь)

  7. Управление внешним доступом к ресурсам с помощью политик условного доступа

  8. Управление внешним доступом к ресурсам в идентификаторе Microsoft Entra с помощью меток конфиденциальности

  9. Защита внешнего доступа к Microsoft Teams, SharePoint и OneDrive для бизнеса с помощью идентификатора Microsoft Entra

  10. Преобразование локальных гостевых учетных записей в гостевые учетные записи Microsoft Entra B2B