探索您目前組織中外部共同作業的狀態

在您了解外部共同作業目前的狀態之前，請先判斷安全性態勢。 請考慮集中式與委派控制的不同，以及治理、法規和合規性目標。

深入了解：使用 Microsoft Entra ID 判斷外部存取的安全性態勢

貴組織中的使用者可能會與其他組織的使用者共同作業。 使用例如 Microsoft 365 的生產力應用程式，透過電子郵件，或與外部使用者共用資源來進行共同作業。 這些案例包括使用者：

• 起始外部共同作業
• 與外部使用者和組織共同作業
• 授與外部使用者存取權

開始之前

本文是 10 篇文章系列中的第 2 篇。 建議您依序檢閱文章。 移至 [後續步驟] 一節，以查看整個系列。

判斷誰起始外部共同作業

一般而言，尋求外部共同作業的使用者會知道要使用的應用程式，以及存取結束的時間。 因此，判斷誰是有委派權限的使用者，以邀請外部使用者、建立存取套件，以及完成存取檢閱。

若要尋找共同作業的使用者：

• Microsoft 365 稽核記錄活動 - 搜尋事件，並探索在 Microsoft 365 中稽核的活動
• 稽核和報告 B2B 共同作業使用者 - 確認來賓使用者存取，並查看系統和用戶活動的記錄

列舉來賓使用者和組織

外部使用者可能是具有合作夥伴管理認證的Microsoft Entra B2B 使用者，或具有本機佈建認證的外部使用者。 這些使用者通常的 UserType 是 [來賓]。 若要了解如何邀請來賓使用者和共享資源，請參閱 B2B 共同作業概觀。

您可以使用下列方式列舉來賓使用者：

• Microsoft Graph API
• PowerShell
• Azure 入口網站

使用下列工具來識別 Microsoft Entra B2B 共同作業、外部 Microsoft Entra 租用戶，以及存取應用程式的使用者：

• PowerShell 模組， Get MsIdCrossTenantAccessActivity
• 跨租用戶存取活動活頁簿

使用電子郵件網域和 companyName 屬性

您可以根據外部使用者電子郵件地址的網域名稱來決定外部組織。 取用者識別提供者可能無法進行此探索。 建議您撰寫 companyName 屬性來識別外部組織。

使用允許清單、封鎖清單和權利管理

使用允許清單或封鎖清單，讓您的組織能夠與租用戶層級的組織共同作業或封鎖組織。 不論來源為何，控制 B2B 邀請和兌換 (例如Microsoft Teams、SharePoint 或 Azure 入口網站)。

查看，允許或封鎖對特定組織的 B2B 使用者邀請

如果您使用權利管理，您可以在 [身分識別治理] 的 [新存取套件] 下，將存取套件限制為具有 [特定連線組織] 選項的合作夥伴子集。

判斷外部使用者存取

透過外部使用者和組織清查，判斷授與使用者的存取權。 您可以使用 Microsoft Graph API 來判斷 Microsoft Entra 群組成員資格或應用程式指派。

• 在 Microsoft Graph 中使用群組
• 應用程式 API 概觀

列舉應用程式權限

調查敏感性應用程式的存取權，以了解外部存取。 查看，以程式設計方式授與或撤銷 API 權限。

偵測非正式共用

如果您的電子郵件和網路方案已啟用，您便可透過電子郵件，或透過未經授權軟體即服務 (SaaS) 應用程式來調查共用的內容。

• 識別、防止及監視意外共用
  • 深入了解資料外洩防護 (DLP)
• 識別未經授權的應用程式
  • Microsoft Defender for Cloud Apps 概觀

下一步

使用以下一系列文章來了解如何保護資源的外部存取。 建議您遵循列出的順序。

1. 使用 Microsoft Entra ID 判斷外部存取的安全性態勢

2. 探索您目前組織中外部共同作業的狀態 (您在這裡)

3. 建立外部資源存取的安全性方案

4. 使用 Microsoft Entra ID 和 Microsoft 365 中的群組保護外部存取

5. 使用 Microsoft Entra B2B 共同作業來轉換為受治理的共同作業

6. 使用 Microsoft Entra 權利管理來管理外部存取

7. 使用條件式存取原則來管理外部資源存取

8. 使用敏感度標籤控制對 Microsoft Entra ID 中的外部資源存取

9. 使用 Microsoft Entra ID 保護對 Microsoft Teams、SharePoint 和商務用 OneDrive 的外部存取

10. 將本機來賓帳戶轉換為 Microsoft Entra B2B 來賓帳戶