为外部资源访问创建安全性计划
在创建外部访问安全性计划之前,请查看以下两篇文章,它们为安全性计划补充了上下文和信息。
准备阶段
本文是 10 篇系列文章中的第 3 篇。 建议按顺序查看文章。 转到后续步骤部分可查看整个系列。
安全性计划文档
对于安全计划,请记录以下信息:
- 为访问而分组的应用程序和资源
- 外部用户的登录条件
- 设备状态、登录位置、客户端应用程序要求、用户风险等。
- 用于确定评审和删除访问权限的时间的策略
- 为类似体验分组的用户群体
若要实施性安全计划,可以使用 Microsoft 标识和访问管理策略,或使用另一个标识提供者 (IdP)。
了解详细信息:标识和访问管理概述
使用组处理访问
请参阅以下链接,它们包含了有关资源分组策略的文章:
- Microsoft Teams 将文件、对话线程和其他资源分组
- 使用权利管理访问包创建和委托应用程序、组、团队和 SharePoint 站点等的包管理。
- 将条件访问策略应用于最多 250 个应用程序,并满足相同的访问要求
- 定义外部用户应用程序组的访问权限
记录分组的应用程序。 考虑因素包括:
- 风险配置文件 - 如果不良参与者获得应用程序访问权限,则评估风险
- 将应用程序标识为高、中或低风险。 建议不要将“高风险”与“低风险”分在一组。
- 记录无法与外部用户共享的应用程序
- 合规性框架 - 确定应用的符合性框架
- 标识访问和评审要求
- 针对角色或部门的应用程序 - 评估针对角色或部门访问进行分组的应用程序
- 协作应用程序 - 识别外部用户可以访问的协作应用程序,例如 Teams 或 SharePoint
- 对于生产力应用程序,外部用户可能具有许可证,你也可以提供访问权限
记录以下有关外部用户访问应用程序和资源组的信息。
- 描述性组名称,例如 High_Risk_External_Access_Finance
- 组中的应用程序和资源
- 应用程序和资源所有者及其联系信息
- IT 团队控制访问权限,或将控制权委派给业务所有者
- 访问的先决条件:背景检查、培训等。
- 访问资源的合规性要求
- 挑战,例如某些资源的多重身份验证
- 评审节奏、评审人员以及结果记录位置
提示
使用此类型的治理计划进行内部访问。
记录外部用户的登录条件
确定针对请求访问权限的外部用户的登录要求。 使要求基于资源风险配置文件和用户登录期间的风险评估。 使用条件访问配置登录条件:条件和结果。 例如,可要求进行多重身份验证。
详细了解:什么是条件访问?
资源风险配置文件登录条件
请考虑使用以下基于风险的策略来触发多重身份验证。
- 低 - 对某些应用程序集进行多重身份验证
- 中等 - 存在其他风险时进行多重身份验证
- 高 - 外部用户始终进行多重身份验证
了解详细信息:
- 教程:对 B2B 来宾用户强制执行多重身份验证
- 信任来自外部租户的多重身份验证
用户和设备登录条件
使用下表来帮助评估策略以解决风险。
| 用户或登录风险 | 建议的策略 |
|---|---|
| 设备 | 要求符合的设备 |
| 移动应用 | 要求已批准的应用 |
| 标识保护为高风险 | 要求用户更改密码 |
| 网络位置 | 若要访问机密项目,需要从 IP 地址范围登录 |
若要将设备状态用作策略输入,请将设备注册或加入到你的租户。 若要信任来自主租户的设备声明,请配置跨租户访问设置。 请参阅修改入站访问设置。
可以使用标识保护风险策略。 不过,请缓解用户主租户中的问题。 请参阅常见条件访问策略:基于登录风险的多重身份验证。
对于网络位置,可以将访问限为你拥有的 IP 地址范围。 如果外部合作伙伴在你所在位置访问应用程序,请使用此方法。 请参阅条件访问:按位置阻止访问
记录访问评审策略
记录策略,规定何时评审资源访问权限,并移除外部用户的帐户访问权限。 输入可能包括:
- 合规性框架要求
- 内部业务策略和流程
- 用户行为
通常,组织会自定义策略,但请考虑以下参数:
- 权利管理访问评审:
- 在权利管理中更改访问包的生命周期设置
- 在权利管理中创建访问包的访问评审
- 在权利管理中添加连接的组织:将合作伙伴中的用户分组并安排评审
- Microsoft 365 组
- 选项:
- 如果外部用户不使用访问包或 Microsoft 365 组,请确定帐户何时变为非活动状态或删除
- 移除 90 天内未登录的帐户的登录信息
- 定期评估外部用户的访问权限
访问控制方法
某些功能(例如权利管理)可通过 Microsoft Entra ID P1 或 P2 许可证使用。 Microsoft 365 E5 和 Office 365 E5 许可证包括 Microsoft Entra ID P2 许可证。 有关详细信息,请参阅以下权利管理部分。
注意
许可证适用于一位用户。 因此,用户、管理员和企业所有者可以拥有委派访问控制。 Microsoft Entra ID P2 或 Microsoft 365 E5 可能会出现这种情况,你无需为所有用户启用许可证。 前 50,000 位外部用户免费。 如果未为其他内部用户启用 P2 许可证,则他们将无法使用权利管理。
Microsoft 365、Office 365 和 Microsoft Entra ID 的其他组合具备管理外部用户的功能。 请参阅 Microsoft 365 安全性与合规性指南。
使用 Microsoft Entra ID P2 和 Microsoft 365 或 Office 365 E5 管理访问权限
Microsoft Entra ID P2 包含在 Microsoft 365 E5 中,具有额外的安全性和治理功能。
预配、登录、查看访问权限和取消预配访问权限
对条目使用粗体是建议操作。
| 功能 | 预配外部用户 | 强制执行登录要求 | 评审访问权限 | 取消预配访问权限 |
|---|---|---|---|---|
| Microsoft Entra B2B 协作 | 通过电子邮件、一次性密码 (OTP)、自助服务进行邀请 | 不适用 | 定期合作伙伴评审 | 删除帐户 限制登录 |
| 权利管理 | 通过分配或自助服务访问添加用户 | 不适用 | 访问评审 | 访问包过期或从访问包中删除 |
| Office 365 组 | 不适用 | 不适用 | 评审组成员身份 | 组过期或删除组 从组中移除 |
| Microsoft Entra 安全组 | 不可用 | 条件访问策略:根据需要将外部用户添加到安全组 | 不适用 | 不适用 |
资源访问
对条目使用粗体是建议操作。
| 功能 | 应用和资源访问权限 | SharePoint 和 OneDrive 访问权限 | Teams 访问 | 电子邮件和文档安全性 |
|---|---|---|---|---|
| 权利管理 | 通过分配或自助服务访问添加用户 | 访问包 | 访问包 | 不适用 |
| Office 365 组 | 空值 | 访问站点和组内容 | 团队和组内容访问 | 不适用 |
| 敏感度标签 | 不适用 | 手动和自动对访问进行分类和限制 | 手动和自动对访问进行分类和限制 | 手动和自动对访问进行分类和限制 |
| Microsoft Entra 安全组 | 访问包中未包含用于访问的条件访问策略 | 不适用 | 不可用 | 不适用 |
权利管理
使用权利管理预配和取消预配对组和团队、应用程序以及 SharePoint 站点的访问。 定义连接的组织授予的访问、自助服务请求和审批工作流。 若要确保访问正确结束,请为包定义过期策略和访问评审。
详细了解:在权利管理中创建新访问包
使用 Microsoft Entra ID P1、Microsoft 365、Office 365 E3 管理访问权限
预配、登录、查看访问权限和取消预配访问权限
对项使用粗体是建议操作。
| 功能 | 预配外部用户 | 强制执行登录要求 | 评审访问权限 | 取消预配访问权限 |
|---|---|---|---|---|
| Microsoft Entra B2B 协作 | 通过电子邮件、OTP、自助服务邀请 | 直接 B2B 联合 | 定期合作伙伴评审 | 删除帐户 限制登录 |
| Microsoft 365 或 Office 365 组 | 不适用 | 不可用 | 不适用 | 组过期或删除组 从组中移除 |
| 安全组 | 空值 | 将外部用户添加到安全组(组织、团队、项目等) | 空值 | 不适用 |
| 条件访问策略 | 不适用 | 登录用于外部用户的条件访问策略 | 不适用 | 不适用 |
资源访问
| 功能 | 应用和资源访问权限 | SharePoint 和 OneDrive 访问权限 | Teams 访问 | 电子邮件和文档安全性 |
|---|---|---|---|---|
| Microsoft 365 或 Office 365 组 | 空值 | 访问组站点和相关内容 | Microsoft 365 组团队和相关内容访问 | 不适用 |
| 敏感度标签 | 不适用 | 手动分类和限制访问 | 手动分类和限制访问 | 手动分类以限制和加密 |
| 条件访问策略 | 用于访问控住的条件访问策略 | 不适用 | 不可用 | 不适用 |
| 其他方法 | 不适用 | 使用安全组限制 SharePoint 站点访问 禁止直接共享 |
限制团队的外部邀请 | 不适用 |
后续步骤
请参阅以下系列文章,了解如何保护对资源的外部访问。 建议遵循列出的顺序。