Tworzenie planu zabezpieczeń na potrzeby dostępu zewnętrznego do zasobów
Przed utworzeniem planu zabezpieczeń dostępu zewnętrznego zapoznaj się z następującymi dwoma artykułami, które dodają kontekst i informacje dotyczące planu zabezpieczeń.
- Określanie stanu zabezpieczeń na potrzeby dostępu zewnętrznego za pomocą identyfikatora Entra firmy Microsoft
- Odnajdywanie bieżącego stanu współpracy zewnętrznej w organizacji
Zanim rozpoczniesz
Ten artykuł jest numerem 3 w serii 10 artykułów. Zalecamy przejrzenie artykułów w kolejności. Przejdź do sekcji Następne kroki , aby wyświetlić całą serię.
Dokumentacja planu zabezpieczeń
W przypadku planu zabezpieczeń należy udokumentować następujące informacje:
- Aplikacje i zasoby pogrupowane pod kątem dostępu
- Warunki logowania dla użytkowników zewnętrznych
- Stan urządzenia, lokalizacja logowania, wymagania aplikacji klienckiej, ryzyko użytkownika itd.
- Zasady określania chronometrażu przeglądów i usuwania dostępu
- Populacje użytkowników pogrupowane pod kątem podobnych środowisk
Aby zaimplementować plan zabezpieczeń, możesz użyć zasad zarządzania tożsamościami i dostępem firmy Microsoft lub innego dostawcy tożsamości.
Dowiedz się więcej: Omówienie zarządzania tożsamościami i dostępem
Używanie grup na potrzeby dostępu
Zobacz następujące linki do artykułów dotyczących strategii grupowania zasobów:
- Usługa Microsoft Teams grupuje pliki, wątki konwersacji i inne zasoby
- Formułowanie strategii dostępu zewnętrznego dla usługi Teams
- Zobacz Zabezpieczanie dostępu zewnętrznego do aplikacji Microsoft Teams, SharePoint i OneDrive dla Firm przy użyciu identyfikatora Entra firmy Microsoft
- Użyj pakietów dostępu do zarządzania upoważnieniami, aby tworzyć i delegować zarządzanie pakietami aplikacji, grup, zespołów, witryn programu SharePoint itd.
- Stosowanie zasad dostępu warunkowego do maksymalnie 250 aplikacji z tymi samymi wymaganiami dostępu
- Definiowanie dostępu dla zewnętrznych grup aplikacji użytkowników
Dokumentowanie pogrupowanych aplikacji. Zagadnienia obejmują:
- Profil ryzyka — ocenianie ryzyka, jeśli zły aktor uzyska dostęp do aplikacji
- Zidentyfikuj aplikację jako Wysoki, Średni lub Niski poziom ryzyka. Zalecamy, aby nie grupować wysokiego ryzyka z niskim ryzykiem.
- Dokumentowanie aplikacji, które nie mogą być udostępniane użytkownikom zewnętrznym
- Struktury zgodności — określanie struktur zgodności dla aplikacji
- Identyfikowanie wymagań dotyczących dostępu i przeglądu
- Aplikacje dla ról lub działów — ocenianie aplikacji pogrupowanych pod kątem roli lub działu, dostępu
- Aplikacje współpracy — identyfikowanie aplikacji współpracy, do których mogą uzyskiwać dostęp zewnętrzni użytkownicy, tacy jak Teams lub SharePoint
- W przypadku aplikacji zwiększających produktywność użytkownicy zewnętrzni mogą mieć licencje lub możesz zapewnić dostęp
Dokumentuj następujące informacje dotyczące dostępu do aplikacji i grupy zasobów przez użytkowników zewnętrznych.
- Nazwa grupy opisowej, na przykład High_Risk_External_Access_Finance
- Aplikacje i zasoby w grupie
- Właściciele aplikacji i zasobów oraz ich informacje kontaktowe
- Zespół IT kontroluje dostęp lub kontrolę jest delegowany do właściciela firmy
- Wymagania wstępne dotyczące dostępu: sprawdzanie w tle, szkolenie itd.
- Wymagania dotyczące zgodności dotyczące uzyskiwania dostępu do zasobów
- Wyzwania, na przykład uwierzytelnianie wieloskładnikowe dla niektórych zasobów
- Cykl przeglądów, przez kogo i gdzie są udokumentowane wyniki
Napiwek
Użyj tego typu planu ładu na potrzeby dostępu wewnętrznego.
Warunki logowania dokumentów dla użytkowników zewnętrznych
Określ wymagania dotyczące logowania dla użytkowników zewnętrznych, którzy żądają dostępu. Podstawowe wymagania dotyczące profilu ryzyka zasobu i oceny ryzyka użytkownika podczas logowania. Konfigurowanie warunków logowania przy użyciu dostępu warunkowego: warunku i wyniku. Na przykład można wymagać uwierzytelniania wieloskładnikowego.
Dowiedz się więcej: Co to jest dostęp warunkowy?
Warunki logowania profilu ryzyka zasobów
Rozważ następujące zasady oparte na ryzyku, aby wyzwolić uwierzytelnianie wieloskładnikowe.
- Niski — uwierzytelnianie wieloskładnikowe dla niektórych zestawów aplikacji
- Średni — uwierzytelnianie wieloskładnikowe, gdy występują inne zagrożenia
- Wysoki — użytkownicy zewnętrzni zawsze używają uwierzytelniania wieloskładnikowego
Więcej informacji:
- Samouczek: wymuszanie uwierzytelniania wieloskładnikowego dla użytkowników-gości B2B
- Ufaj uwierzytelnianiu wieloskładnikowemu z dzierżaw zewnętrznych
Warunki logowania użytkowników i urządzeń
Skorzystaj z poniższej tabeli, aby ocenić zasady w celu rozwiązania ryzyka.
| Ryzyko związane z logowaniem lub użytkownikiem | Proponowane zasady |
|---|---|
| Urządzenie | Wymaganie zgodnych urządzeń |
| Aplikacje mobilne | Wymagaj zatwierdzonych aplikacji |
| Ochrona tożsamości jest wysokim ryzykiem | Wymagaj od użytkownika zmiany hasła |
| Lokalizacja sieciowa | Aby uzyskać dostęp do poufnych projektów, wymagaj logowania z zakresu adresów IP |
Aby użyć stanu urządzenia jako danych wejściowych zasad, zarejestruj lub dołącz urządzenie do dzierżawy. Aby ufać oświadczeniam urządzenia z dzierżawy głównej, skonfiguruj ustawienia dostępu między dzierżawami. Zobacz Modyfikowanie ustawień dostępu przychodzącego.
Można użyć zasad ryzyka ochrony tożsamości. Należy jednak rozwiązać problemy z dzierżawą główną użytkownika. Zobacz Typowe zasady dostępu warunkowego: uwierzytelnianie wieloskładnikowe oparte na ryzyku logowania.
W przypadku lokalizacji sieciowych można ograniczyć dostęp do zakresów adresów IP, których jesteś właścicielem. Użyj tej metody, jeśli partnerzy zewnętrzni uzyskują dostęp do aplikacji w lokalizacji. Zobacz: Dostęp warunkowy: blokowanie dostępu według lokalizacji
Zasady przeglądu dostępu do dokumentów
Zasady dokumentów, które określają, kiedy przeglądać dostęp do zasobów i usuwać dostęp do kont dla użytkowników zewnętrznych. Dane wejściowe mogą obejmować:
- Wymagania dotyczące platform zgodności
- Wewnętrzne zasady biznesowe i procesy
- Zachowanie użytkownika
Ogólnie rzecz biorąc, organizacje dostosowują zasady, jednak należy wziąć pod uwagę następujące parametry:
- Przeglądy dostępu do zarządzania upoważnieniami:
- Zmienianie ustawień cyklu życia pakietu dostępu w zarządzaniu upoważnieniami
- Tworzenie przeglądu dostępu pakietu dostępu w zarządzaniu upoważnieniami
- Dodawanie połączonej organizacji w zarządzaniu upoważnieniami: grupuj użytkowników od partnera i zaplanuj przeglądy
- Grupy platformy Microsoft 365
- Opcje:
- Jeśli użytkownicy zewnętrzni nie korzystają z pakietów dostępu ani grup platformy Microsoft 365, określ, kiedy konta stają się nieaktywne lub usunięte
- Usuwanie logowania dla kont, które nie logują się przez 90 dni
- Regularne ocenianie dostępu dla użytkowników zewnętrznych
Metody kontroli dostępu
Niektóre funkcje, na przykład zarządzanie upoważnieniami, są dostępne z licencją Microsoft Entra ID P1 lub P2. Licencje platform Microsoft 365 E5 i Office 365 E5 obejmują licencje microsoft Entra ID P2. Dowiedz się więcej w poniższej sekcji zarządzania upoważnieniami.
Uwaga
Licencje są przeznaczone dla jednego użytkownika. W związku z tym użytkownicy, administratorzy i właściciele biznesowi mogą mieć delegowana kontrola dostępu. Ten scenariusz może wystąpić w przypadku usługi Microsoft Entra ID P2 lub Microsoft 365 E5 i nie musisz włączać licencji dla wszystkich użytkowników. Pierwsze 50 000 użytkowników zewnętrznych jest bezpłatnych. Jeśli nie włączysz licencji P2 dla innych użytkowników wewnętrznych, nie będą mogli korzystać z zarządzania upoważnieniami.
Inne kombinacje platform Microsoft 365, Office 365 i Microsoft Entra ID mają funkcje zarządzania użytkownikami zewnętrznymi. Zobacz Wskazówki dotyczące zabezpieczeń i zgodności platformy Microsoft 365.
Zarządzanie dostępem za pomocą identyfikatora P2 firmy Microsoft i rozwiązania Microsoft 365 lub Office 365 E5
Microsoft Entra ID P2, zawarty w rozwiązaniu Microsoft 365 E5, ma dodatkowe możliwości zabezpieczeń i ładu.
Aprowizuj, loguj się, przejrzyj dostęp i anuluj aprowizację
Wpisy pogrubione są zalecanymi akcjami.
| Funkcja | Aprowizuj użytkowników zewnętrznych | Wymuszanie wymagań dotyczących logowania | Przegląd dostępu | Anulowanie aprowizacji dostępu |
|---|---|---|---|---|
| Microsoft Entra B2B collaboration | Zaproś za pośrednictwem poczty e-mail, jednorazowego hasła (OTP), samoobsługi | Nie dotyczy | Przegląd okresowy partnera | Usuwanie konta Ograniczanie logowania |
| Zarządzanie upoważnieniami | Dodawanie użytkownika przez przypisanie lub dostęp samoobsługowy | Nie dotyczy | Przeglądy dostępu | Wygaśnięcie lub usunięcie pakietu dostępu |
| Grupy usługi Office 365 | Brak | Brak | Przeglądanie członkostwa w grupach | Wygaśnięcie lub usunięcie grupy Usuwanie z grupy |
| Grupy zabezpieczeń firmy Microsoft Entra | Nie dotyczy | Zasady dostępu warunkowego: dodaj użytkowników zewnętrznych do grup zabezpieczeń zgodnie z potrzebami | Brak | Brak |
Dostęp do zasobów
Wpisy pogrubione są zalecanymi akcjami.
| Funkcja | Dostęp do aplikacji i zasobów | Dostęp do programu SharePoint i usługi OneDrive | Dostęp do aplikacji Teams | Zabezpieczenia poczty e-mail i dokumentów |
|---|---|---|---|---|
| Zarządzanie upoważnieniami | Dodawanie użytkownika przez przypisanie lub dostęp samoobsługowy | Pakiety dostępu | Pakiety dostępu | Nie dotyczy |
| Grupa usługi Office 365 | Nie dotyczy | Dostęp do witryn i zawartości grupy | Dostęp do zespołów i zawartości grupowej | Nie dotyczy |
| Etykiety wrażliwości | Nie dotyczy | Ręczne i automatyczne klasyfikowanie i ograniczanie dostępu | Ręczne i automatyczne klasyfikowanie i ograniczanie dostępu | Ręczne i automatyczne klasyfikowanie i ograniczanie dostępu |
| Grupy zabezpieczeń firmy Microsoft Entra | Zasady dostępu warunkowego dla dostępu nieuwzględniane w pakietach dostępu | Brak | NIE DOTYCZY | Brak |
Zarządzanie upoważnieniami
Zarządzanie upoważnieniami umożliwia aprowizację i anulowanie aprowizacji dostępu do grup i zespołów, aplikacji i witryn programu SharePoint. Zdefiniuj połączone organizacje, którym udzielono dostępu, żądań samoobsługi i przepływów pracy zatwierdzania. Aby zapewnić prawidłowe zakończenie dostępu, zdefiniuj zasady wygasania i przeglądy dostępu dla pakietów.
Dowiedz się więcej: Tworzenie nowego pakietu dostępu w zarządzaniu upoważnieniami
Zarządzanie dostępem za pomocą usługi Microsoft Entra ID P1, Microsoft 365, Office 365 E3
Aprowizuj, loguj się, przejrzyj dostęp i anuluj aprowizację
Elementy pogrubione są zalecanymi akcjami.
| Funkcja | Aprowizuj użytkowników zewnętrznych | Wymuszanie wymagań dotyczących logowania | Przegląd dostępu | Anulowanie aprowizacji dostępu |
|---|---|---|---|---|
| Microsoft Entra B2B collaboration | Zaproś pocztą e-mail, OTP, samoobsługę | Bezpośrednia federacja B2B | Przegląd okresowy partnera | Usuwanie konta Ograniczanie logowania |
| Grupy usługi Microsoft 365 lub Office 365 | Brak | NIE DOTYCZY | Brak | Wygaśnięcie lub usunięcie grupy Usuwanie z grupy |
| Grupy zabezpieczeń | Nie dotyczy | Dodawanie użytkowników zewnętrznych do grup zabezpieczeń (organizacji, zespołu, projektu itd.) | Brak | Brak |
| Zasady dostępu warunkowego | Nie dotyczy | Zasady dostępu warunkowego logowania dla użytkowników zewnętrznych | Brak | Brak |
Dostęp do zasobów
| Funkcja | Dostęp do aplikacji i zasobów | Dostęp do programu SharePoint i usługi OneDrive | Dostęp do aplikacji Teams | Zabezpieczenia poczty e-mail i dokumentów |
|---|---|---|---|---|
| Grupy usługi Microsoft 365 lub Office 365 | Nie dotyczy | Dostęp do witryn grupy i skojarzonej zawartości | Dostęp do zespołów grup platformy Microsoft 365 i skojarzonej zawartości | Nie dotyczy |
| Etykiety wrażliwości | Nie dotyczy | Ręczne klasyfikowanie i ograniczanie dostępu | Ręczne klasyfikowanie i ograniczanie dostępu | Ręczne klasyfikowanie w celu ograniczenia i zaszyfrowania |
| Zasady dostępu warunkowego | Zasady dostępu warunkowego na potrzeby kontroli dostępu | Brak | NIE DOTYCZY | Brak |
| Inne metody | Nie dotyczy | Ograniczanie dostępu do witryny programu SharePoint przy użyciu grup zabezpieczeń Nie zezwalaj na bezpośrednie udostępnianie |
Ograniczanie zaproszeń zewnętrznych od zespołu | Nie dotyczy |
Następne kroki
Skorzystaj z poniższej serii artykułów, aby dowiedzieć się więcej na temat zabezpieczania dostępu zewnętrznego do zasobów. Zalecamy przestrzeganie wymienionej kolejności.
Odnajdywanie bieżącego stanu współpracy zewnętrznej w organizacji
Utwórz plan zabezpieczeń na potrzeby dostępu zewnętrznego do zasobów (jesteś tutaj)
Zabezpieczanie dostępu zewnętrznego za pomocą grup w usłudze Microsoft Entra ID i Microsoft 365
Przejście do zarządzanej współpracy z firmą Microsoft Entra B2B
Zarządzanie dostępem zewnętrznym za pomocą zarządzania upoważnieniami firmy Microsoft
Zarządzanie dostępem zewnętrznym do zasobów przy użyciu zasad dostępu warunkowego
Konwertowanie lokalnych kont gości na konta gości Microsoft Entra B2B
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla