Udostępnij za pośrednictwem

Zasady zezwalania na dostęp gościa i dostęp użytkowników zewnętrznych B2B

  • Artykuł

W tym artykule omówiono dostosowywanie zalecanych zasad dostępu do tożsamości Zero Trust i urządzeń w celu umożliwienia dostępu dla gości i użytkowników zewnętrznych, którzy mają konto firmy Microsoft Entra Business-to-Business (B2B). Te wskazówki opierają się na typowych zasadach tożsamości i dostępu do urządzeń.

Te zalecenia zostały zaprojektowane tak, aby były stosowane do warstwy punktu początkowego ochrony. Można jednak również dostosować zalecenia zgodnie z konkretnymi potrzebami przedsiębiorstwa i wyspecjalizowaną ochroną zabezpieczeń .

Podanie ścieżki dla kont B2B do uwierzytelniania w dzierżawie firmy Microsoft Entra nie daje tym kontom dostępu do całego środowiska. Użytkownicy B2B i ich konta mają dostęp do usług i zasobów, takich jak pliki, udostępnione im przez zasady dostępu warunkowego.

Aktualizowanie typowych zasad w celu zezwolenia na dostęp gości i użytkowników zewnętrznych oraz ich ochrony

Na tym diagramie przedstawiono zasady dodawania lub aktualizowania między typowymi zasadami tożsamości i dostępu do urządzeń w przypadku dostępu gościa B2B i użytkownika zewnętrznego.

Diagram przedstawiający podsumowanie aktualizacji zasad dotyczących ochrony dostępu gościa.

W poniższej tabeli wymieniono zasady, które należy utworzyć i zaktualizować. Typowe zasady łączą się ze skojarzonymi instrukcjami konfiguracji w artykule Common identity and device access policies (Typowe zasady dostępu do tożsamości i urządzeń).

Poziom ochrony Zasady Więcej informacji
Punkt początkowy Wymagaj uwierzytelniania wieloskładnikowego zawsze dla gości i użytkowników zewnętrznych Utwórz nowe zasady i skonfiguruj:
  • W obszarze Przypisania > Użytkownicy i grupy > Uwzględnij wybierz pozycję Wybierz użytkowników i grupy, a następnie wybierz pozycję Wszyscy goście i użytkownicy zewnętrzni.
  • W obszarze Warunki > przypisania > Ryzyko logowania i wybierz wszystkie poziomy ryzyka logowania.
Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie Zmodyfikuj te zasady, aby wykluczyć gości i użytkowników zewnętrznych.

Aby uwzględnić lub wykluczyć gości i użytkowników zewnętrznych w zasadach dostępu warunkowego, w obszarze Przypisania > Użytkownicy i grupy > Dołączają lub Wykluczają, zaznacz opcję Wszyscy goście i użytkownicy zewnętrzni.

Zrzut ekranu przedstawiający kontrolki wykluczające gości i użytkowników zewnętrznych.

Więcej informacji

Goście i dostęp użytkowników zewnętrznych za pomocą usługi Microsoft Teams

Usługa Microsoft Teams definiuje następujących użytkowników:

  • Dostęp gościa używa konta Microsoft Entra B2B, które można dodać jako członek zespołu i mieć dostęp do komunikacji i zasobów zespołu.

  • Dostęp zewnętrzny jest przeznaczony dla użytkownika zewnętrznego, który nie ma konta B2B. Dostęp użytkowników zewnętrznych obejmuje zaproszenia, połączenia, czaty i spotkania, ale nie obejmuje członkostwa w zespole i dostępu do zasobów zespołu.

Aby uzyskać więcej informacji, zobacz porównanie między gośćmi a dostępem użytkowników zewnętrznych dla zespołów.

Aby uzyskać więcej informacji na temat zabezpieczania zasad dostępu do tożsamości i urządzeń dla usługi Teams, zobacz Zalecenia dotyczące zasad dotyczące zabezpieczania czatów, grup i plików usługi Teams.

Wymagaj uwierzytelniania wieloskładnikowego zawsze dla użytkowników-gości i użytkowników zewnętrznych

Te zasady monitują gości o zarejestrowanie się w usłudze MFA w dzierżawie, niezależnie od tego, czy są zarejestrowani w usłudze MFA w dzierżawie macierzystej. Goście i użytkownicy zewnętrzni, którzy uzyskują dostęp do zasobów w dzierżawie, muszą używać uwierzytelniania wieloskładnikowego dla każdego żądania.

Wykluczanie gości i użytkowników zewnętrznych z uwierzytelniania wieloskładnikowego opartego na ryzyku

Chociaż organizacje mogą wymuszać zasady oparte na ryzyku dla użytkowników B2B przy użyciu Ochrona tożsamości Microsoft Entra, istnieją ograniczenia implementacji Ochrona tożsamości Microsoft Entra dla użytkowników współpracy B2B w katalogu zasobów, ponieważ ich tożsamość istnieje w katalogu macierzysnym. Ze względu na te ograniczenia firma Microsoft zaleca wykluczanie gości z zasad uwierzytelniania wieloskładnikowego opartego na ryzyku i wymaganie od tych użytkowników, aby zawsze używali uwierzytelniania wieloskładnikowego.

Aby uzyskać więcej informacji, zobacz Ograniczenia ochrony identyfikatorów dla użytkowników współpracy B2B.

Wykluczanie gości i użytkowników zewnętrznych z zarządzania urządzeniami

Tylko jedna organizacja może zarządzać urządzeniem. Jeśli nie wykluczysz gości i użytkowników zewnętrznych z zasad, które wymagają zgodności urządzeń, te zasady blokują tych użytkowników.

Następny krok

Zrzut ekranu przedstawiający zasady dla aplikacji w chmurze platformy Microsoft 365 i aplikacji Microsoft Defender dla Chmury.

Skonfiguruj zasady dostępu warunkowego dla: