Compartilhar via


Políticas para permitir acesso de convidado e acesso de usuário externo B2B

Este artigo discute o ajuste das políticas recomendadas de acesso de dispositivo e identidade de Confiança Zero para permitir o acesso de convidados e usuários externos que têm uma conta B2B (Microsoft Entra Business-to-Business). Estas diretrizes se baseiam nas políticas comuns de acesso a identidades e dispositivos.

Estas recomendações foram projetadas para se aplicar à camada de proteção de ponto inicial. Mas você também pode ajustar as recomendações com base em suas necessidades específicas para proteção de segurança corporativa e especializada.

Fornecer um caminho para contas B2B se autenticarem com seu locatário do Microsoft Entra não fornece a essas contas acesso a todo o seu ambiente. Os usuários B2B e suas contas têm acesso a serviços e recursos, como arquivos, compartilhados com eles pela política de acesso condicional.

Atualizar as políticas comuns para permitir e proteger convidados e acesso de usuários externos

Este diagrama mostra quais políticas adicionar ou atualizar entre as políticas comuns de acesso de identidade e dispositivo, para acesso de usuários externos e convidados B2B.

Diagrama que mostra o resumo das atualizações de política para proteger o acesso de convidados.

A tabela a seguir lista as políticas necessárias para criar e atualizar. O link de políticas comuns para as instruções de configuração associadas no artigo Políticas comuns de acesso de identidades e dispositivos.

Nível de proteção Políticas Mais informações
Ponto inicial Exigir MFA sempre para convidados e usuários externos Crie esta nova política e configure:
  • Para Atribuições > Usuários e grupos > Incluir, escolha Selecionar usuários e grupos e selecione Todos os convidados e usuários externos.
  • Para Atribuições > Condições > Risco de entrada selecione todos os níveis de risco de entrada.
Exigir MFA quando o risco de iniciar sessão é médio ou alto Modifique esta política para excluir convidados e usuários externos.

Para incluir ou excluir convidados e usuários externos em políticas de acesso condicional, para Atribuições > Usuários e grupos > Incluir ou Excluir, selecione Todos os convidados e usuários externos.

Captura de tela dos controles para excluir convidados e usuários externos.

Mais informações

Convidados e acesso de usuário externo com o Microsoft Teams

O Microsoft Teams define os seguintes usuários:

  • O acesso de convidado usa uma conta do Microsoft Entra B2B que pode ser adicionada como membro de uma equipe e obter acesso às comunicações e recursos da equipe.

  • O acesso externo é para um usuário externo que não tem uma conta B2B. O acesso de usuário externo inclui convites, chamadas, chats e reuniões, mas não inclui a associação à equipe e o acesso aos recursos da equipe.

Para obter mais informações, confira a comparação entre acesso de convidados e usuários externos para equipes.

Para obter mais informações sobre como proteger políticas de acesso de identidade e dispositivo para o Teams, confira Recomendações de política para proteger chats, grupos e arquivos do Teams.

Exigir MFA sempre para usuários convidados e externos

Esta política solicita que os convidados se registrem para MFA em seu locatário, independentemente de estarem registrados para MFA em seu locatário inicial. Convidados e usuários externos que acessam recursos em seu locatário são obrigados a usar a MFA para cada solicitação.

Excluindo convidados e usuários externos da MFA baseada em risco

Embora as organizações possam impor políticas baseadas em risco para usuários B2B usando o Microsoft Entra ID Protection, há limitações na implementação do Microsoft Entra ID Protection para usuários de colaboração B2B em um diretório de recursos porque sua identidade existe em seu diretório inicial. Devido a essas limitações, a Microsoft recomenda que você exclua convidados de políticas de MFA baseadas em risco e exija que esses usuários sempre usem a MFA.

Para obter mais informações, confira Limitações do ID Protection para usuários de colaboração B2B.

Excluindo convidados e usuários externos do gerenciamento de dispositivos

Apenas uma organização pode gerenciar um dispositivo. Se você não excluir convidados e usuários externos de políticas que exijam a conformidade do dispositivo, essas políticas bloquearão esses usuários.

Próxima etapa

Captura de tela das políticas para aplicativos de nuvem do Microsoft 365 e Microsoft Defender para Aplicativos de Nuvem.

Configurar políticas de acesso condicional para: