Partilhar via


Políticas para permitir o acesso de convidados e acesso de usuários externos B2B

Este artigo discute o ajuste da identidade Zero Trust recomendada e das políticas de acesso a dispositivos para permitir o acesso de convidados e usuários externos que tenham uma conta B2B (Business to Business) do Microsoft Entra. Estas orientações baseiam-se nas políticas comuns de identidade e acesso a dispositivos.

Estas recomendações destinam-se a aplicar-se ao nível de proteção do ponto de partida. Mas você também pode ajustar as recomendações com base em suas necessidades específicas de proteção de segurança corporativa e especializada.

Fornecer um caminho para que as contas B2B se autentiquem com seu locatário do Microsoft Entra não dá a essas contas acesso a todo o seu ambiente. Os usuários B2B e suas contas têm acesso a serviços e recursos, como arquivos, compartilhados com eles pela política de Acesso Condicional.

Atualização das políticas comuns para permitir e proteger o acesso de hóspedes e usuários externos

Este diagrama mostra quais políticas adicionar ou atualizar entre as políticas comuns de identidade e acesso a dispositivos, para acesso de convidado B2B e usuário externo.

Diagrama que mostra o resumo das atualizações de política para proteger o acesso de convidado.

A tabela a seguir lista as políticas que você precisa criar e atualizar. As políticas comuns estão vinculadas às instruções de configuração associadas no artigo Common identity and device access policies .

Nível de proteção Políticas Mais informações
Ponto de partida Exigir MFA sempre para convidados e usuários externos Crie esta nova política e configure:
  • Em Atribuições > Usuários e grupos > Incluem, escolha Selecionar usuários e grupos e, em seguida, selecione Todos os usuários convidados e externos.
  • Para Condições de Atribuições, Risco de início de sessão e selecione todos os níveis de >> risco de início de sessão.
Exigir MFA quando o risco de entrada for médio ou alto Modifique esta política para excluir convidados e usuários externos.

Para incluir ou excluir convidados e usuários externos nas políticas de > Acesso Condicional, para Atribuições Usuários e grupos > Incluir ou Excluir, marque Todos os usuários convidados e externos.

Captura de tela dos controles para excluir convidados e usuários externos.

Mais informações

Acesso de convidados e usuários externos com o Microsoft Teams

O Microsoft Teams define os seguintes usuários:

  • O acesso de convidado usa uma conta Microsoft Entra B2B que pode ser adicionada como membro de uma equipe e ter acesso às comunicações e recursos da equipe.

  • O acesso externo é para um usuário externo que não tem uma conta B2B. O acesso de usuários externos inclui convites, chamadas, bate-papos e reuniões, mas não inclui a associação à equipe e o acesso aos recursos da equipe.

Para obter mais informações, consulte a comparação entre convidados e acesso de usuários externos para equipes.

Para obter mais informações sobre como proteger políticas de identidade e acesso a dispositivos para o Teams, consulte Recomendações de políticas para proteger chats, grupos e arquivos do Teams.

Exigir MFA sempre para usuários convidados e externos

Esta política solicita que os hóspedes se registem para MFA no seu inquilino, independentemente de estarem registados para MFA no seu inquilino doméstico. Convidados e usuários externos que acessam recursos em seu locatário são obrigados a usar MFA para cada solicitação.

Excluindo convidados e usuários externos da MFA baseada em risco

Embora as organizações possam impor políticas baseadas em risco para usuários B2B usando a Proteção de ID do Microsoft Entra, há limitações na implementação da Proteção de ID do Microsoft Entra para usuários de colaboração B2B em um diretório de recursos porque sua identidade existe em seu diretório base. Devido a essas limitações, a Microsoft recomenda que você exclua convidados de políticas de MFA baseadas em risco e exija que esses usuários sempre usem MFA.

Para obter mais informações, consulte Limitações da proteção de ID para usuários de colaboração B2B.

Excluindo convidados e usuários externos do gerenciamento de dispositivos

Apenas uma organização pode gerenciar um dispositivo. Se você não excluir convidados e usuários externos das políticas que exigem conformidade do dispositivo, essas políticas bloquearão esses usuários.

Próximo passo

Captura de ecrã das políticas para aplicações na nuvem do Microsoft 365 e Microsoft Defender para aplicações na nuvem.

Configure políticas de Acesso Condicional para: