Delen via


Beleid voor het toestaan van gasttoegang en B2B externe gebruikerstoegang

In dit artikel wordt beschreven hoe u het aanbevolen beleid voor Zero Trust-identiteit en apparaattoegang aanpast om toegang toe te staan voor gasten en externe gebruikers met een Microsoft Entra Business-to-Business-account (B2B). Deze richtlijnen zijn gebaseerd op het algemene beleid voor identiteiten en apparaattoegang.

Deze aanbevelingen zijn ontworpen om van toepassing te zijn op de beginpuntlaag van de beveiliging. Maar u kunt ook de aanbevelingen aanpassen op basis van uw specifieke behoeften voor bedrijfs- en gespecialiseerde beveiliging.

Als u een pad opgeeft voor B2B-accounts voor verificatie met uw Microsoft Entra-tenant, hebben deze accounts geen toegang tot uw hele omgeving. B2B-gebruikers en hun accounts hebben toegang tot services en resources, zoals bestanden, die met hen worden gedeeld door beleid voor voorwaardelijke toegang.

Het algemene beleid bijwerken om gasten en externe gebruikerstoegang toe te staan en te beveiligen

In dit diagram ziet u welke beleidsregels moeten worden toegevoegd of bijgewerkt tussen de algemene beleidsregels voor identiteit en apparaattoegang, voor B2B-gast- en externe gebruikerstoegang.

Diagram met de samenvatting van beleidsupdates voor het beveiligen van gasttoegang.

De volgende tabel bevat de beleidsregels die u moet maken en bijwerken. De algemene beleidsregels zijn gekoppeld aan de bijbehorende configuratie-instructies in het artikel Algemene beleidsregels voor identiteiten en apparaattoegang .

Beveiligingsniveau Beleidsregels Meer informatie
Uitgangspunt MFA altijd vereisen voor gasten en externe gebruikers Maak dit nieuwe beleid en configureer het volgende:
  • Kies Gebruikers en > groepen selecteren voor Toewijzingen>: gebruikers en groepen opnemen en selecteer vervolgens Alle gast- en externe gebruikers.
  • Voor aanmeldingsrisico's voor toewijzingen >> en selecteert u alle aanmeldingsrisiconiveaus.
MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is Wijzig dit beleid om gasten en externe gebruikers uit te sluiten.

Als u gasten en externe gebruikers wilt opnemen of uitsluiten in beleid voor voorwaardelijke toegang, controleert u alle gast- en externe gebruikers voor toewijzingen>: gebruikers en groepen > opnemen of uitsluiten.

Schermopname van de besturingselementen voor het uitsluiten van gasten en externe gebruikers.

Meer informatie

Gasten en externe gebruikerstoegang met Microsoft Teams

Microsoft Teams definieert de volgende gebruikers:

  • Gasttoegang maakt gebruik van een Microsoft Entra B2B-account dat kan worden toegevoegd als lid van een team en toegang heeft tot de communicatie en bronnen van het team.

  • Externe toegang is bedoeld voor een externe gebruiker die geen B2B-account heeft. Externe gebruikerstoegang omvat uitnodigingen, oproepen, chats en vergaderingen, maar bevat geen teamlidmaatschap en toegang tot de resources van het team.

Zie de vergelijking tussen gasten en externe gebruikerstoegang voor teams voor meer informatie.

Zie Beleidsaanaanmeldingen voor het beveiligen van Teams-chats, -groepen en -bestanden voor meer informatie over het beveiligen van identiteits- en apparaattoegangsbeleid voor Teams.

MFA altijd vereisen voor gast- en externe gebruikers

Dit beleid vraagt gasten om zich te registreren voor MFA in uw tenant, ongeacht of ze zijn geregistreerd voor MFA in hun thuistenant. Gasten en externe gebruikers die toegang hebben tot resources in uw tenant, zijn vereist voor het gebruik van MFA voor elke aanvraag.

Gasten en externe gebruikers uitsluiten van MFA op basis van risico's

Hoewel organisaties beleid op basis van risico's kunnen afdwingen voor B2B-gebruikers die Gebruikmaken van Microsoft Entra ID Protection, gelden er beperkingen voor de implementatie van Microsoft Entra ID Protection voor B2B-samenwerkingsgebruikers in een resourcemap omdat hun identiteit bestaat in hun basismap. Vanwege deze beperkingen raadt Microsoft u aan gasten uit te sluiten van MFA-beleid op basis van risico's en te vereisen dat deze gebruikers altijd MFA gebruiken.

Zie Beperkingen van id-beveiliging voor B2B-samenwerkingsgebruikers voor meer informatie.

Gasten en externe gebruikers uitsluiten van apparaatbeheer

Slechts één organisatie kan een apparaat beheren. Als u gasten en externe gebruikers niet uitsluit van beleid waarvoor apparaatnaleving is vereist, blokkeren deze beleidsregels deze gebruikers.

Volgende stap

Schermopname van het beleid voor Microsoft 365-cloud-apps en Microsoft Defender voor Cloud-apps.

Beleid voor voorwaardelijke toegang configureren voor: