来宾帐户先决条件
Microsoft托管桌面需要Microsoft Entra组织中的以下设置来访问来宾帐户。 可以在“外部标识/外部协作”下的Azure 门户中调整这些设置:
- 具有来宾邀请者角色的管理员和用户可以将邀请设置为 “是”。
- 对于协作限制,请选择以下任一选项:
- 如果选择“ 允许将邀请发送到任何域 (最具包容性) ,则无需进行其他配置。
- 如果选择“ 拒绝对指定域的邀请”,请确保目标域中未列出 Microsoft.com。
- 如果选择仅允许对指定域发送邀请(最严格),请确保 Microsoft.com 在目标域中。
注册期间创建角色和组
租户注册到服务后,Microsoft Microsoft Entra组织中每个角色创建一个组。
来宾帐户访问过程示例
- Microsoft托管桌面安全操作中心 (SOC) 团队收到警报通知。
- SOC 工程师提交安全管理员角色的一次性访问请求。
- 根据任务要求,团队可能需要通过审批或自动批准请求一次性访问权限。
- 完成特定于角色的请求后,SOC 服务工程师将登录到租户的Microsoft Defender门户并调查警报。 典型警报调查期间的主要调查操作可能包括以下项:
- 查看 Defender 填充的特定于警报的详细信息。
- 对事件或警报进行分类、设置状态或注释。
- 查看设备时间线和事件页详细信息。
- 批准或拒绝修正操作。
- 启动自动调查。
- 使用 高级搜寻 功能。
- 完成特定于角色的请求后,SOC 服务工程师将登录到租户的Microsoft Defender门户并调查警报。 典型警报调查期间的主要调查操作可能包括以下项:
- 完成这些操作后,SOC 工程师会注销租户并关闭请求。
外部协作设置
Microsoft托管桌面建议在Microsoft Entra组织中使用以下配置来访问来宾帐户。 可以在 Azure 门户的外部标识/外部协作设置下调整这些设置:
Setting | 说明 |
---|---|
来宾访问权限 | 来宾对目录对象的属性和成员身份的访问权限有限。 |
来宾邀请设置 | 分配有特定管理员角色的成员用户和用户可以邀请来宾,包括具有成员权限的来宾 |
Microsoft托管桌面需要Microsoft Entra组织中的以下配置来访问来宾帐户。 可以在 Azure 门户的外部标识/外部协作设置下调整此设置:
Setting | 选项 |
---|---|
协作限制 | 选择以下任一选项:
|
如果设置与这些设置交互的限制,请确保排除新式工作区服务帐户Microsoft Entra ID。 例如,如果你有阻止来宾帐户访问 Intune 门户的条件访问策略,请从此策略中排除现代工作场所服务账户组。
有关详细信息,请参阅启用 B2B 外部协作并管理可邀请来宾的人员。
未授权的 Intune 管理员
允许未经授权的管理员访问设置必须启用。 如果不启用此设置,当我们尝试访问你的Microsoft Entra组织以获取服务时,可能会发生错误。 可以安全地启用此设置,无需担心安全隐患。 访问范围由分配给用户(包括我们的操作人员)的角色定义。
若要启用此设置:
- 转到Microsoft Intune管理中心。
- 导航到租户管理,选择角色。 然后,选择管理员授权。
- 在允许未经授权的管理员访问部分中,选择是。
重要
选择是后,无法撤消此设置。
有关详细信息,请参阅 Microsoft Intune 中未经授权的管理员。