你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

规划 Azure Active Directory B2B 协作部署

保护与外部合作伙伴之间的协作可确保合适的外部合作伙伴可以在合适的时间范围内适当访问内部资源。 通过全面的安全和治理方法,可以降低安全风险,满足合规性目标,并确保你了解具有访问权限的人员。

不受管理的协作将导致访问所有权不清晰,还可能会暴露敏感资源。 转向安全和受管理的协作可以确保明确外部用户访问的所有权和责任。 这包括:

  • 管理有权访问资源的外部组织和其中的用户。

  • 确保访问是恰当的、经过审核的、有时间限制的(视具体情况而定)。

  • 通过委派使业务负责人能够在 IT 搭建的防护栏内管理协作。

如果有合规性要求,则受治理的协作可以让你证明访问是否合理。

传统上,组织使用以下两种方法之一进行协作:

  1. 为外部用户创建本地管理的凭据,或
  2. 与合作伙伴标识提供者建立联合关系。

这两种方法本身都有明显的缺点。

关注区域 本地凭据 联合
安全性 - 外部用户终止后访问将继续
- 默认情况下,用户类型为“成员”,这会授予过多默认访问权限
- 无用户级别可见性
- 合作伙伴安全状况未知
费用 - 密码 + 多重身份验证管理
- 载入过程
- 标识清理
- 运行单独目录的开销
- 小型合作伙伴无法负担基础结构费用
- 小型合作伙伴不具备专业知识
- 小型合作伙伴可能只有使用者电子邮件(没有 IT)
复杂性 - 合作伙伴用户需要管理一组额外的凭据 - 复杂性随着每个新合作伙伴的加入而增加
- 合作伙伴方面的复杂性也会增加

Microsoft 提供了全面的工具套件来保护外部访问。 Azure Active Directory (Azure AD) B2B 协作是所有外部协作计划的核心。 Azure AD B2B 可以与 Azure AD 中的其他工具和 Microsoft 365 服务中的工具集成,帮助保护和管理外部访问。

与传统协作方法相比,Azure AD B2B 简化了协作、降低了费用并提高了安全性。 Azure AD B2B 的优势包括:

  • 如果禁用或删除主标识,外部用户将无法访问资源。

  • 身份验证和凭证管理由用户的主标识提供者处理。

  • 资源租户控制来宾用户的所有访问和授权。

  • 可以与任何拥有电子邮件地址的用户协作,而无需合作伙伴基础结构。

  • IT 部门无需通过带外连接来设置访问/联合。

  • 来宾用户访问受到与内部用户相同的企业级安全保护。

  • 无需额外凭据即可轻松获得最终用户体验。

  • 用户无需其 IT 部门参与即可轻松与合作伙伴协作。

  • 不需要能够限制或高度限制 Azure AD 目录中的来宾默认权限的功能。

此文档集旨在让你能够从临时或松散的外部协作转向更安全的状态。

后续步骤

请参阅以下文章,了解如何保护对资源的外部访问。 建议你按列出顺序执行这些操作。

  1. 确定外部访问的安全状况

  2. 了解当前状态

  3. 创建治理计划

  4. 使用组进行安全保护

  5. 转换到 Azure AD B2B

  6. 通过权利管理实现安全访问

  7. 通过条件访问策略实现安全访问

  8. 通过敏感度标签实现安全访问

  9. 实现对 Microsoft Teams、OneDrive 和 SharePoint 的安全访问

  10. 将本地来宾帐户转换为 B2B