Udostępnij za pośrednictwem

Zarządzanie dostępem zewnętrznym za pomocą zarządzania upoważnieniami firmy Microsoft

  • Artykuł

Użyj funkcji zarządzania upoważnieniami, aby zarządzać cyklem życia tożsamości i dostępu. Przepływy pracy żądań dostępu, przypisania dostępu, przeglądy i wygaśnięcie można zautomatyzować. Delegowani użytkownicy niebędący administratorami używają zarządzania upoważnieniami do tworzenia pakietów dostępu, do których użytkownicy zewnętrzni z innych organizacji mogą żądać dostępu. Jeden i wieloestądowy przepływ pracy zatwierdzania można konfigurować pod kątem oceny żądań i aprowizować użytkowników w celu uzyskania ograniczonego czasowo dostępu za pomocą cyklicznych przeglądów. Użyj zarządzania upoważnieniami na potrzeby aprowizacji opartej na zasadach i anulowania aprowizacji kont zewnętrznych.

Więcej informacji:

Zanim rozpoczniesz

Ten artykuł jest numerem 6 w serii 10 artykułów. Zalecamy przejrzenie artykułów w kolejności. Przejdź do sekcji Następne kroki , aby wyświetlić całą serię.

Włączanie zarządzania upoważnieniami

Poniższe kluczowe pojęcia są ważne, aby zrozumieć zarządzanie upoważnieniami.

Pakiety dostępu

Pakiet dostępu jest podstawą zarządzania upoważnieniami: grupowania zasobów podlegających zasadom w celu współpracy nad projektem lub wykonywania innych zadań. Na przykład pakiet dostępu może obejmować:

  • Dostęp do witryn programu SharePoint
  • Aplikacje dla przedsiębiorstw, w tym niestandardowe aplikacje wewnętrzne i oprogramowanie jako usługa (SaaS), takie jak Salesforce
  • Microsoft Teams
  • Microsoft 365 Groups

Katalogi

Pakiety dostępu znajdują się w katalogach. Jeśli chcesz grupować powiązane zasoby i uzyskiwać dostęp do pakietów i delegować ich zarządzanie, należy utworzyć wykaz. Najpierw należy dodać zasoby do katalogu, a następnie dodać zasoby w celu uzyskania dostępu do pakietów. Możesz na przykład utworzyć katalog finansowy i delegować jego zarządzanie do członka zespołu finansowego. Ta osoba może dodawać zasoby, tworzyć pakiety dostępu i zarządzać zatwierdzaniem dostępu.

Więcej informacji:

Na poniższym diagramie przedstawiono typowy cykl życia ładu użytkownika zewnętrznego uzyskującego dostęp do pakietu dostępu z wygaśnięciem.

A diagram of the external user governance cycle.

Samoobsługowy dostęp zewnętrzny

Pakiety dostępu można udostępnić za pośrednictwem portalu Microsoft Entra My Access, aby umożliwić użytkownikom zewnętrznym żądanie dostępu. Zasady określają, kto może zażądać pakietu dostępu. Zobacz Żądanie dostępu do pakietu dostępu w zarządzaniu upoważnieniami.

Określ, kto może zażądać pakietu dostępu:

Zatwierdzenia

Pakiety dostępu mogą obejmować obowiązkowe zatwierdzenie dostępu. Zatwierdzenia mogą być pojedyncze lub wieloestowe i są określane przez zasady. Jeśli użytkownicy wewnętrzni i zewnętrzni muszą uzyskać dostęp do tego samego pakietu, możesz skonfigurować zasady dostępu dla kategorii połączonych organizacji i dla użytkowników wewnętrznych.

Ważne

Implementowanie procesów zatwierdzania dla użytkowników zewnętrznych.

Wygaśnięcie

Pakiety dostępu mogą zawierać datę wygaśnięcia lub liczbę dni ustawionych na potrzeby dostępu. Po wygaśnięciu pakietu dostępu i zakończeniu dostępu obiekt użytkownika-gościa B2B reprezentujący użytkownika-gościa może zostać usunięty lub zablokowany podczas logowania. Zalecamy wymuszenie wygaśnięcia pakietów dostępu dla użytkowników zewnętrznych. Nie wszystkie pakiety dostępu mają wygaśnięcie.

Ważne

W przypadku pakietów bez wygaśnięcia wykonaj regularne przeglądy dostępu.

Przeglądy dostępu

Pakiety dostępu mogą wymagać okresowych przeglądów dostępu, które wymagają od właściciela pakietu lub projektanta, aby potwierdzić ciągłą potrzebę dostępu użytkowników. Zobacz Zarządzanie dostępem gościa za pomocą przeglądów dostępu.

Przed skonfigurowaniem przeglądu określ następujące kryteria:

  • KtoTo
    • Kryteria dalszego dostępu
    • Recenzenci
  • Jak często
    • Wbudowane opcje są miesięczne, kwartalne, analizy biznesowej rocznie lub rocznie
    • Zalecamy kwartalne lub częstsze przeglądy pakietów obsługujących dostęp zewnętrzny

Ważne

Przeglądy pakietów dostępu sprawdzają dostęp udzielany za pośrednictwem zarządzania upoważnieniami. Skonfiguruj inne procesy, aby przeglądać dostęp do użytkowników zewnętrznych poza zarządzaniem upoważnieniami.

Dowiedz się więcej: Planowanie wdrożenia przeglądów dostępu firmy Microsoft Entra.

Korzystanie z automatyzacji zarządzania upoważnieniami

Zalecenia dotyczące ładu dostępu zewnętrznego

Najlepsze rozwiązania

Zalecamy stosowanie poniższych rozwiązań w celu zarządzania dostępem zewnętrznym za pomocą zarządzania upoważnieniami.

Zarządzanie tożsamościami — Ustawienia

Użyj usługi Identity Governance — Ustawienia, aby usunąć użytkowników z katalogu po wygaśnięciu pakietów dostępu. Następujące ustawienia dotyczą użytkowników dołączonych do zarządzania upoważnieniami.

Screenshot of settings and entries for Manage the lifecycle of external users.

Delegowanie zarządzania katalogami i pakietami

Możesz delegować zarządzanie katalogami i pakietami do właścicieli firm, którzy mają więcej informacji na temat tego, kto powinien uzyskać dostęp. Zobacz Delegowanie i role w zarządzaniu upoważnieniami

Screenshot of options and entries under Roles and administrators.

Wymuszanie wygaśnięcia pakietu dostępu

Możesz wymusić wygaśnięcie dostępu dla użytkowników zewnętrznych. Zobacz Zmienianie ustawień cyklu życia pakietu dostępu w zarządzaniu upoważnieniami.

Screenshot of options and entries for Expiration.

  • Aby określić datę zakończenia pakietu dostępu opartego na projekcie, użyj opcji W dniu , aby ustawić datę.
    • W przeciwnym razie zalecamy wygaśnięcie nie dłużej niż 365 dni, chyba że jest to projekt wielokrotny
  • Zezwalaj użytkownikom na rozszerzanie dostępu
    • Wymagaj zatwierdzenia w celu udzielenia rozszerzenia

Wymuszanie przeglądów pakietów dostępu gościa

Możesz wymusić przeglądy pakietów dostępu gości, aby uniknąć nieodpowiedniego dostępu dla gości. Zobacz Zarządzanie dostępem gościa za pomocą przeglądów dostępu.

Screenshot of options and entries under New access package.

  • Wymuszanie kwartalnych przeglądów
  • W przypadku projektów związanych ze zgodnością ustaw recenzentów jako recenzentów, zamiast samodzielnie przeglądać użytkowników zewnętrznych.
    • Menedżerów pakietów dostępu można używać jako recenzentów
  • W przypadku mniej poufnych projektów użytkownicy samodzielnie przeglądający zmniejszają obciążenie w celu usunięcia dostępu z użytkowników, którzy nie mają już dostępu do organizacji.

Dowiedz się więcej: Zarządzanie dostępem użytkowników zewnętrznych w zarządzaniu upoważnieniami

Następne kroki

Skorzystaj z poniższej serii artykułów, aby dowiedzieć się więcej na temat zabezpieczania dostępu zewnętrznego do zasobów. Zalecamy przestrzeganie wymienionej kolejności.

  1. Określanie stanu zabezpieczeń na potrzeby dostępu zewnętrznego za pomocą identyfikatora Entra firmy Microsoft

  2. Odnajdywanie bieżącego stanu współpracy zewnętrznej w organizacji

  3. Tworzenie planu zabezpieczeń na potrzeby dostępu zewnętrznego do zasobów

  4. Zabezpieczanie dostępu zewnętrznego za pomocą grup w usłudze Microsoft Entra ID i Microsoft 365

  5. Przejście do zarządzanej współpracy z firmą Microsoft Entra B2B

  6. Zarządzanie dostępem zewnętrznym za pomocą zarządzania upoważnieniami firmy Microsoft (jesteś tutaj)

  7. Zarządzanie dostępem zewnętrznym do zasobów przy użyciu zasad dostępu warunkowego

  8. Kontrolowanie dostępu zewnętrznego do zasobów w identyfikatorze Entra firmy Microsoft przy użyciu etykiet poufności

  9. Zabezpieczanie dostępu zewnętrznego do aplikacji Microsoft Teams, SharePoint i OneDrive dla Firm przy użyciu identyfikatora Entra firmy Microsoft

  10. Konwertowanie lokalnych kont gości na konta gości Microsoft Entra B2B