来宾帐户先决条件

Microsoft托管桌面需要Microsoft Entra组织中的以下设置来访问来宾帐户。 可以在“外部标识/外部协作”下的Azure 门户中调整这些设置:

  • 具有来宾邀请者角色的管理员和用户可以将邀请设置为 “是”。
  • 对于协作限制,请选择以下任一选项:
    • 如果选择“ 允许将邀请发送到任何域 (最具包容性) ,则无需进行其他配置。
    • 如果选择“ 拒绝对指定域的邀请”,请确保目标域中未列出 Microsoft.com。
    • 如果选择仅允许对指定域发送邀请(最严格),请确保 Microsoft.com 在目标域中。

注册期间创建角色和组

租户注册到服务后,Microsoft Microsoft Entra组织中每个角色创建一个组。

来宾帐户访问过程示例

  1. Microsoft托管桌面安全操作中心 (SOC) 团队收到警报通知。
  2. SOC 工程师提交安全管理员角色的一次性访问请求。
  3. 根据任务要求,团队可能需要通过审批或自动批准请求一次性访问权限。
    1. 完成特定于角色的请求后,SOC 服务工程师将登录到租户的Microsoft Defender门户并调查警报。 典型警报调查期间的主要调查操作可能包括以下项:
      1. 查看 Defender 填充的特定于警报的详细信息。
      2. 对事件或警报进行分类、设置状态或注释。
      3. 查看设备时间线和事件页详细信息。
      4. 批准或拒绝修正操作。
      5. 启动自动调查。
    2. 使用 高级搜寻 功能。
  4. 完成这些操作后,SOC 工程师会注销租户并关闭请求。

外部协作设置

Microsoft托管桌面建议在Microsoft Entra组织中使用以下配置来访问来宾帐户。 可以在 Azure 门户外部标识/外部协作设置下调整这些设置:

Setting 说明
来宾访问权限 来宾对目录对象的属性和成员身份的访问权限有限。
来宾邀请设置 分配有特定管理员角色的成员用户和用户可以邀请来宾,包括具有成员权限的来宾

Microsoft托管桌面需要Microsoft Entra组织中的以下配置来访问来宾帐户。 可以在 Azure 门户外部标识/外部协作设置下调整此设置:

Setting 选项
协作限制 选择以下任一选项:
  • 如果选择允许将邀请发送到任何域(最包容),则无需其他配置。
  • 如果选择拒绝向指定域发送邀请,请确保 Microsoft.com 不在目标域中。
  • 如果选择仅允许对指定域发送邀请(最严格),请确保 Microsoft.com 目标域中。

    如果设置与这些设置交互的限制,请确保排除新式工作区服务帐户Microsoft Entra ID。 例如,如果你有阻止来宾帐户访问 Intune 门户的条件访问策略,请从此策略中排除现代工作场所服务账户组。

    有关详细信息,请参阅启用 B2B 外部协作并管理可邀请来宾的人员

    未授权的 Intune 管理员

    允许未经授权的管理员访问设置必须启用。 如果不启用此设置,当我们尝试访问你的Microsoft Entra组织以获取服务时,可能会发生错误。 可以安全地启用此设置,无需担心安全隐患。 访问范围由分配给用户(包括我们的操作人员)的角色定义。

    若要启用此设置:

    1. 转到Microsoft Intune管理中心
    2. 导航到租户管理,选择角色。 然后,选择管理员授权
    3. 允许未经授权的管理员访问部分中,选择

    重要

    选择后,无法撤消此设置。

    有关详细信息,请参阅 Microsoft Intune 中未经授权的管理员