此示例方案通过为使用 Microsoft Entra B2B 协作的外部用户提供标识和治理控制,帮助用户与其他组织协作。
体系结构
下载此体系结构的 Visio 文件。
工作流
资源目录 - 这是包含资源(Microsoft 365 组和团队)的 Microsoft Entra 目录。 对于此示例,资源是添加到访问包的项目团队,以便组织外部的用户可以请求访问该团队。
外部目录(连接的组织)- 这是包含来自连接组织的外部用户的外部 Microsoft Entra 目录。 策略可以允许这些用户请求访问项目团队。
目录 1 - 目录是相关资源和访问包的容器。 目录 1 包含项目团队及其访问包。
目录允许委托,以便非管理员可以创建访问包。 目录所有者可以将其拥有的资源添加到目录。
资源 - 显示在访问包中的资源。 它们可以包括安全组、应用程序和 SharePoint Online 站点。 在此示例中,资源是项目团队。
访问 1 - 访问包是资源的集合,每个资源具有访问类型。 访问包用于治理内部和外部用户的访问权限。 在此示例中,项目团队是具有允许外部用户请求访问权限的单个策略的资源。 此示例中的内部用户不需要使用 Microsoft Entra 权利管理。 使用 Microsoft Teams 将他们添加到项目团队。
组 1 资源角色 - 资源角色是与某个资源关联并由该资源定义的权限。 组具有两个角色 - 成员和所有者。 SharePoint 站点通常有三个角色,但也可以有其他自定义角色。 应用程序可以具有自定义角色。
外部访问策略 - 这是定义分配给访问包的规则的策略。 此示例中使用了一个策略来确保连接组织中的用户可以请求访问项目团队。 发出请求后,需要由策略中定义的审批者审批该请求。 策略还指定时间限制和续订设置。
审批者 - 审批者审批访问权限请求。 审批者可以是内部或外部用户。
请求者 - 这是通过“我的访问”门户请求访问权限的外部用户。 门户仅显示允许请求者请求的访问包。
组织外部用户请求资源访问权限的流程
这是一个概要工作流,显示如何向外部用户授予对 Microsoft 365 组或团队的访问权限。 这包括当不再需要访问权限或达到时间限制时删除来宾帐户。
组件
- Microsoft Entra ID 提供基于云的身份验证和访问控制管理服务,为用户提供登录和访问资源的方式。 它具有以下特性和功能:
- Microsoft Entra 权利管理是一种标识治理功能,通过自动执行访问请求工作流、访问分配、评审和过期,让组织能够大规模管理标识和访问生命周期。
- Microsoft Entra 权利管理使用 Microsoft Entra 企业到企业 (B2B) 协作来共享访问权限,使内部用户能够与外部用户协作。
- 使用 Microsoft Entra 访问评审,组织能够高效管理组成员身份、对企业应用程序的访问权限,以及角色分配。 可以定期评审用户的访问权限,确保相应人员持续拥有访问权限。
- Microsoft Teams 来宾访问使外部用户能够访问团队、通道、资源、聊天和应用程序,同时让你保持对企业资源的控制。
- Microsoft Entra 条件访问统合信号,以做出决策并强制实施组织策略。 此解决方案中的条件访问用于强制实施使用条款协议和多重身份验证,以及为来宾帐户设置会话超时。
替代方案
Microsoft Entra 权利管理的替代解决方案是允许内部用户邀请外部用户加入团队。 然后,受邀用户可以在资源目录中创建来宾帐户。
此替代方案不提供客户所需的标识和治理控制。 与 AD 权利管理相比,缺点在于:
- 外部用户无法请求访问权限 - 必须收到邀请。 外部用户必须知道如何请求邀请,此过程可能因团队而异,并可能随时变化。
- 没有业务理由、电子邮件通知、评审流程或审批流程,这会带来审核问题。
- 无法轻松管理、删除或更新对特定资源的访问权限。 由于项目资源可能有变化,因此这会带来效率方面的问题。
- 如果邀请了某个外部用户但不允许该用户所在的组织,则会拒绝该用户访问,从而造成困扰。
- 来宾帐户不会自动删除,也不会设置过期时间。 与要求在创建帐户时设置限制的自动化流程相比,手动处理过期设置的流程容易出错且效率不高。 这会带来安全问题和效率问题。
构建自定义解决方案来处理这些问题不太可能比使用 AD 权利管理更有成本优势或功能优势。
方案详细信息
此示例方案是在新冠疫情期间构建的,当时客户迫切需要与其他组织协作。 这意味着,必须针对外部用户提供标识和治理控制。
Microsoft Teams 是客户的主要公司沟通工具。 用户使用 Teams 聊天、会议和通话进行协作。 他们通过 Teams 通道访问文件和对话。
Teams 会议提供一种与外部用户举行会议的有效方式。 但是,外部用户无法访问 Teams 和通道,因此与他们协作很不方便,从而阻碍了工作效率。 客户需要一种更好的体验。
Teams 提供两个选项来与外部用户进行沟通和协作:
- 外部访问 - 一种联合类型,可让内部用户查找、呼叫外部用户并与他们聊天。 无法将外部访问用户添加到团队,除非使用来宾访问将他们邀请为来宾。
- 来宾访问 - 可让内部用户邀请外部用户加入团队。 受邀用户在 Microsoft Entra ID 中有一个来宾帐户。 使用来宾访问可以邀请外部用户加入团队,并提供对通道中的文档、资源、聊天和应用程序的访问。 客户根据需要保持对公司数据的控制。
来宾访问符合客户的协作要求,但同时也带来了安全和治理问题:
- 来宾只能根据需要访问特定的团队,并且只能访问必要的一段时间。 项目完成后,必须删除来宾帐户。
- 必须制定一个审批流程来创建符合审核要求的来宾帐户。 内部用户必须评审并酌情批准请求。
- 必须能够快速构建并自动化解决方案。 在实施适当的安全和治理控制措施之前不能创建来宾帐户。
Microsoft Entra 权利管理是用于确保符合安全和治理要求的主要工具:
- 它可以帮助有效管理内部和外部用户对 Microsoft 365 组(包括团队、应用程序和 SharePoint Online 站点)的访问。
- 它提供用于自动化访问请求工作流、访问分配、评审和过期设置的功能。
来宾访问和 Microsoft Entra 权利的组合满足了客户的协作要求。 外部用户可以加入选定的团队,并可以管理访问权限。 此外,Microsoft Entra 权利管理为将来的可能用途(例如管理对团队以外的资源的访问)提供功能。
可能的用例
此解决方案适用于任何需要管理内部和外部用户对组、应用程序和 SharePoint Online 站点的访问权限的情况。 Microsoft Entra 权利管理具有以下功能和优势:
- 简化了需要访问下述资源的员工的加入和管理:
- Microsoft Entra 安全组。
- Microsoft 365 组。
- Microsoft 365 团队。
- 应用程序,包括 SaaS 应用程序。
- 实施适当安全措施的自定义应用程序。
- SharePoint Online 站点。
- 简化了外部用户获取对所需资源的访问权限的过程。
- 可以指定允许哪些连接的组织提供能够请求访问权限的外部用户。
- 请求访问权限并获得批准的用户将被自动邀请加入团队目录,并为其分配资源访问权限。
- 可以设置用户访问资源的时间限制,达到限制后自动删除该访问权限。
- 当没有其他访问包分配的外部用户的访问权限过期时,可以自动删除该用户的帐户。
- 可以确保用户的访问权限不会高于他们所需的权限。
- 访问权限请求需要经历一个审批流程,其中包括由指定的个人(例如经理)审批。
- 你可以管理对依赖于 Microsoft Entra 安全组或 Microsoft 365 组的其他资源的访问权限。 一个示例是使用基于组的许可向用户授予许可证。
- 可以向非管理员委托创建包含用户可请求的资源的访问包的能力。
注意事项
这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改善工作负载质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架。
一个重要的实施步骤是配置允许外部用户的租户设置。
- 为外部用户启用目录 - 确保目录的“为外部用户启用”设置为“是”。 默认情况下,在 Microsoft Entra 权利管理中创建新目录时,会启用该目录以允许外部用户请求访问该目录中的包。
- Microsoft Entra B2B 外部协作设置 - Azure B2B 外部协作设置可能会影响到你能否使用 Microsoft Entra 权利管理来邀请外部用户访问资源。 验证以下设置:
- 检查是否允许来宾邀请其他来宾访问你的目录。 建议将“来宾可邀请”设置为“否”,以便只允许受治理的邀请。
- 确保适当地允许或阻止邀请。 有关详细信息,请参阅允许或阻止向特定组织中的 B2B 用户发送邀请。
- 检查条件访问策略 - 验证条件访问,确保将来宾用户排除在他们无法满足的任何条件访问策略之外。 否则,他们将无法登录到你的目录,且无法访问资源。
- 检查 SharePoint Online 外部共享设置 - 如果在外部用户的访问包中包含 SharePoint Online 站点,请确保配置组织级别的外部共享设置。 如果不需要登录,请设置为“任何人”,或者对于受邀用户设置为“现有来宾”。 有关详细信息,请参阅更改组织级别的外部共享设置。
- 检查 Microsoft 365 组共享设置 - 如果在外部用户的访问包中包含 Microsoft 365 组或团队,请确保将“让用户将新来宾添加到组织”设置为“打开”,以允许来宾访问。
- 检查 Teams 共享设置 - 如果在外部用户的访问包中包含团队,请确保将“在 Microsoft Teams 中允许来宾访问”设置为“打开”,以允许来宾访问。 此外,检查是否配置了 Teams 来宾访问设置。
- 管理外部用户的生命周期 - 可以选择当外部用户不再有任何访问包分配时会发生哪种情况。 当所有分配被用户放弃或过期时,就会发生这种情况。 默认情况下,会阻止用户登录到你的目录。 30 天后,系统会从你的目录中删除来宾用户帐户。
其他注意事项:
- 访问权限分配 - 访问包不会取代其他访问权限分配机制。 它们最适合用于如下所述的情况:
- 员工需要用于特定任务的受时间限制的访问权限。
- 访问权限需要经理或其他指定人员的审批。
- 部门希望在没有 IT 部门参与的情况下管理其资源。
- 两个或更多个组织正在就某个项目进行协作,因此需要邀请一个组织中的多个用户访问另一个组织的资源。
- 更新资源 - 使用 Microsoft Entra 权利管理可以随时更改访问包中的资源。 该包的用户的资源访问权限会自动调整,以匹配更改的包。
成本优化
成本优化是关于寻找减少不必要的费用和提高运营效率的方法。 有关详细信息,请参阅成本优化支柱概述。
- 使用 Microsoft Entra 权利管理需要 Microsoft Entra ID P2 许可证。
- 来宾访问可与所有 Microsoft 365 商业标准版、Microsoft 365 商业高级版和 Microsoft 365 教育版订阅配合使用。 不需要其他 Microsoft 365 许可证。
- Microsoft Entra 外部 ID 的计费模型适用于 Microsoft 365 中的来宾。 只能将外部用户邀请为来宾。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
主要作者:
- Martin Boam | 助理架构师
后续步骤
- Microsoft Teams 中的团队和通道概述
- 了解 Microsoft Teams 中的团队和通道
- 使用来宾访问和外部访问来与组织外部的人员协作
- 在 Microsoft Entra 权利管理中创建新的访问包
- 教程:管理对 Microsoft Entra 权利管理中的资源的访问
- 什么是 Microsoft Entra 权利管理?
- 什么是 Microsoft Entra ID 治理?
- 什么是 Microsoft Entra 访问评审?
- Microsoft Entra 权利管理中的常见方案
- 在 Microsoft Entra 权利管理中管理外部用户的访问权限
- 治理组织外部用户的访问权限
- 与团队中的来宾协作
- 使用来宾访问和外部访问来与组织外部的人员协作
- 与组织外部的人员协作
- 什么是条件访问?