Zarządzanie dostępem zewnętrznym do zasobów przy użyciu zasad dostępu warunkowego
Dostęp warunkowy interpretuje sygnały, wymusza zasady i określa, czy użytkownik otrzymuje dostęp do zasobów. W tym artykule dowiesz się więcej na temat stosowania zasad dostępu warunkowego do użytkowników zewnętrznych. W tym artykule założono, że być może nie masz dostępu do zarządzania upoważnieniami— funkcji, której można używać z dostępem warunkowym.
Więcej informacji:
- Co to jest dostęp warunkowy?
- Planowanie wdrożenia dostępu warunkowego
- Co to jest zarządzanie upoważnieniami?
Na poniższym diagramie przedstawiono sygnały dostępu warunkowego wyzwalającego procesy dostępu.
Zanim rozpoczniesz
Ten artykuł jest numerem 7 w serii 10 artykułów. Zalecamy przejrzenie artykułów w kolejności. Przejdź do sekcji Następne kroki , aby wyświetlić całą serię.
Dopasowywanie planu zabezpieczeń do zasad dostępu warunkowego
W trzecim artykule, w zestawie 10 artykułów, znajdują się wskazówki dotyczące tworzenia planu zabezpieczeń. Użyj tego planu, aby ułatwić tworzenie zasad dostępu warunkowego na potrzeby dostępu zewnętrznego. Część planu zabezpieczeń obejmuje:
- Grupowane aplikacje i zasoby w celu uproszczenia dostępu
- Wymagania dotyczące logowania dla użytkowników zewnętrznych
Ważne
Utwórz wewnętrzne i zewnętrzne konta testowe użytkowników, aby przetestować zasady przed ich zastosowaniem.
Zobacz artykuł trzy: Tworzenie planu zabezpieczeń na potrzeby dostępu zewnętrznego do zasobów
Zasady dostępu warunkowego dla dostępu zewnętrznego
Poniższe sekcje to najlepsze rozwiązania dotyczące zarządzania dostępem zewnętrznym przy użyciu zasad dostępu warunkowego.
Zarządzanie upoważnieniami lub grupy
Jeśli nie możesz używać połączonych organizacji w zarządzaniu upoważnieniami, utwórz grupę zabezpieczeń Microsoft Entra lub grupę platformy Microsoft 365 dla organizacji partnerskich. Przypisz użytkowników z tego partnera do grupy. Grupy można używać w zasadach dostępu warunkowego.
Więcej informacji:
- Co to jest zarządzanie upoważnieniami?
- Zarządzanie grupami i członkostwem w grupach firmy Microsoft
- Omówienie Grupy Microsoft 365 dla administratorów
Tworzenie zasad dostępu warunkowego
Utwórz jak najmniej zasad dostępu warunkowego. W przypadku aplikacji, które mają te same wymagania dostępu, dodaj je do tych samych zasad.
Zasady dostępu warunkowego mają zastosowanie do maksymalnie 250 aplikacji. Jeśli więcej niż 250 aplikacji ma takie samo wymaganie dostępu, utwórz zduplikowane zasady. Na przykład zasady A dotyczą aplikacji 1–250, zasady B dotyczą aplikacji 251-500 itd.
Konwencja nazewnictwa
Użyj konwencji nazewnictwa, która wyjaśnia przeznaczenie zasad. Przykłady dostępu zewnętrznego to:
- ExternalAccess_actiontaken_AppGroup
- ExternalAccess_Block_FinanceApps
Zezwalaj na dostęp zewnętrzny do określonych użytkowników zewnętrznych
Istnieją scenariusze, w których konieczne jest zezwolenie na dostęp dla małej, konkretnej grupy.
Przed rozpoczęciem zalecamy utworzenie grupy zabezpieczeń zawierającej użytkowników zewnętrznych, którzy uzyskują dostęp do zasobów. Zobacz Szybki start: tworzenie grupy z członkami i wyświetlanie wszystkich grup i członków w identyfikatorze Entra firmy Microsoft.
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>dostępu warunkowego.
- Wybierz pozycję Utwórz nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Uwzględnij wybierz pozycję Wszyscy goście i użytkownicy zewnętrzni.
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta zabezpieczeń użytkowników zewnętrznych oraz konta użytkowników zewnętrznych.
- W obszarze Zasoby docelowe>(dawniej aplikacje w chmurze) wybierz następujące opcje:
- W obszarze Uwzględnij wybierz pozycję Wszystkie zasoby (dawniej "Wszystkie aplikacje w chmurze")
- W obszarze Wyklucz wybierz aplikacje, które chcesz wykluczyć.
- W obszarze Kontrola>dostępu Udziel wybierz pozycję Blokuj dostęp, a następnie wybierz pozycję Wybierz.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Uwaga
Po potwierdzeniu przez administratorów ustawień w trybie tylko do raportu mogą przenieść przełącznik Włącz zasady z obszaru Tylko raport do pozycji Włączone.
Dowiedz się więcej: Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID
Dostęp dostawcy usług
Zasady dostępu warunkowego dla użytkowników zewnętrznych mogą zakłócać dostęp dostawcy usług, na przykład szczegółowe uprawnienia administratora delegowanego.
Dowiedz się więcej: Wprowadzenie do szczegółowych delegowanych uprawnień administratora (GDAP)
Szablony dostępu warunkowego
Szablony dostępu warunkowego to wygodna metoda wdrażania nowych zasad dostosowanych do zaleceń firmy Microsoft. Te szablony zapewniają ochronę zgodną z powszechnie używanymi zasadami w różnych typach klientów i lokalizacjach.
Dowiedz się więcej: Szablony dostępu warunkowego (wersja zapoznawcza)
Następne kroki
Skorzystaj z poniższej serii artykułów, aby dowiedzieć się więcej na temat zabezpieczania dostępu zewnętrznego do zasobów. Zalecamy przestrzeganie wymienionej kolejności.
Odnajdywanie bieżącego stanu współpracy zewnętrznej w organizacji
Tworzenie planu zabezpieczeń na potrzeby dostępu zewnętrznego do zasobów
Zabezpieczanie dostępu zewnętrznego za pomocą grup w usłudze Microsoft Entra ID i Microsoft 365
Przejście do zarządzanej współpracy z firmą Microsoft Entra B2B
Zarządzanie dostępem zewnętrznym za pomocą zarządzania upoważnieniami firmy Microsoft
Zarządzanie dostępem zewnętrznym do zasobów przy użyciu zasad dostępu warunkowego (jesteś tutaj)
Konwertowanie lokalnych kont gości na konta gości Microsoft Entra B2B