本文讨论调整建议的零信任标识和设备访问策略,以允许具有Microsoft Entra企业到企业(B2B)帐户的来宾和外部用户进行访问。 本指南基于 通用标识和设备访问策略。
这些建议旨在应用于 保护的起点 层。 但是,还可以根据 企业 和 专用安全 保护的特定需求调整建议。
向您的 Microsoft Entra 组织提供 B2B 帐户进行身份验证的途径,并不会授予这些帐户访问整个环境的权限。 B2B 用户及其帐户有权访问条件访问策略指定的服务和资源(例如文件)。
更新通用策略以允许和保护来宾和外部用户访问
下表列出了创建和更新所需的策略。 通用策略链接到 通用标识和设备访问策略中的关联配置说明。
| 保护级别 | 策略 | 详细信息 |
|---|---|---|
| 起点 | 始终要求来宾和外部用户进行 MFA | 创建新的策略并配置以下设置:
|
| 登录风险为中或高时需要 MFA | 修改此策略以排除来宾和外部用户。 |
若要从条件访问策略中排除来宾和外部用户,请转到 “分配>用户>排除>选择用户和组:选择 来宾或外部用户”,然后选择所有可用的用户类型:
- B2B 协作访客用户
- B2B 协作成员用户
- B2B 直连用户
- 本地来宾用户
- 服务提供商用户
- 其他外部用户
详细信息
来宾和外部用户对Microsoft Teams的访问
Microsoft Teams定义以下用户:
- 访客访问使用 Microsoft Entra B2B 帐户,该帐户可以被添加为团队成员,并有权访问团队的通讯和资源。
- 外部访问 适用于没有 B2B 帐户的外部用户。 外部用户访问包括邀请、呼叫、聊天和会议,但不包括团队成员身份和对团队资源的访问权限。
有关详细信息,请参阅 比较 Teams 中的外部访问和来宾访问。
有关保护 Teams 的标识和设备访问策略的详细信息,请参阅 Microsoft Teams 的零信任注意事项。
要求来宾用户和外部用户始终启用 MFA
此策略要求来宾在组织中注册 MFA,而不管他们是否在主组织中注册 MFA。 组织中来宾和外部用户必须对访问资源的每个请求使用 MFA。
从基于风险的 MFA 中排除来宾和外部用户
虽然组织可以使用 Microsoft Entra ID 保护 为 B2B 用户强制实施基于风险的策略,但资源目录中存在限制,因为它们的标识存在于主目录中。 由于这些限制,我们建议将来宾排除在基于风险的 MFA 策略中,并要求这些用户始终使用 MFA。
有关详细信息,请参阅 B2B 协作用户的 ID 保护限制。
从设备管理中排除来宾和外部用户
只有一个组织可以管理设备。 如果不从需要设备符合性的策略中排除来宾和外部用户,这些策略会阻止这些用户。
后续步骤
为以下项配置其他策略: