分享方式:


建立外部資源存取的安全性方案

建立外部存取安全性計劃之前,請先檢閱下列兩篇文章,以新增安全性計劃的內容和資訊。

開始之前

本文是一系列 10 篇文章中的第 3 篇文章。 建議您依序檢閱文章。 移至後續步驟一節,以查看整個系列。

安全性計劃文件

針對您的安全性方案,記載下列資訊:

  • 分組以供存取的應用程式和資源
  • 適用於外部使用者的登入條件
    • 裝置狀態、登入位置、用戶端應用程式需求、使用者風險等等。
  • 決定檢閱和移除存取時間的原則
  • 針對類似體驗分組的使用者母體

若要實作安全性計劃,您可以使用 Microsoft 身分識別和存取權管理原則,或另一個識別提供者 (IdP)。

深入了解:身分識別和存取權管理概觀

使用群組進行存取

請參閱下列資源分組策略相關文章的連結:

記錄分組應用程式。 考量項目包括:

  • 風險設定檔 - 評估惡意執行者是否取得應用程式存取權的風險
    • 將應用程式識別為高、中或低風險。 我們建議您不要將高風險與低風險分組在一起。
    • 無法與外部使用者共用的文件應用程式
  • 合規性架構 - 判斷應用程式的合規性架構
    • 識別存取和檢閱需求
  • 角色或部門的應用程式 - 評估分組為角色或部門、存取的應用程式
  • 共同作業應用程式 - 識別外部使用者可以存取的共同作業應用程式,例如 Teams 或 SharePoint
    • 針對生產力應用程式,外部使用者可能會有授權,或者您可能會提供存取權

記載外部使用者所存取應用程式和資源群組的下列資訊。

  • 描述性群組名稱,例如 High_Risk_External_Access_Finance
  • 群組中的應用程式和資源
  • 應用程式和資源擁有者及其連絡人資訊
  • IT 小組會控制存取權,或將控制權委派給企業負責人
  • 存取的必要條件:背景調查、訓練等等。
  • 存取資源的合規性需求
  • 挑戰,例如某些資源的多重要素驗證
  • 檢閱的頻率、執行者,以及記錄結果的位置

提示

使用這種類型的治理計劃進行內部存取。

適用於外部使用者的文件登入條件

判斷要求存取權的外部使用者登入需求。 根據資源風險設定檔和登入期間使用者風險評量的需求。 使用條件式存取設定登入條件:條件和結果。 例如,您可以要求多重要素驗證。

深入了解:什麼是條件式存取?

資源風險設定檔登入條件

請考慮下列風險型原則來觸發多重要素驗證。

  • - 某些應用程式集的多重要素驗證
  • - 存在其他風險時的多重要素驗證
  • - 外部使用者一律使用多重要素驗證

深入了解:

使用者和裝置登入條件

使用下表來協助評估原則以解決風險。

使用者或登入風險 建議的原則
裝置 需要符合規範的裝置
行動應用程式 需要已核准的應用程式
Microsoft Entra ID Protection 使用者風險高 要求使用者變更密碼
網路位置 若要存取機密專案,需要從 IP 位址範圍登入

若要使用裝置狀態作為原則輸入、註冊或將裝置加入您的租用戶。 若要信任來自主租用戶的裝置宣告,請設定跨租用戶存取設定。 請參閱修改輸入存取設定

您可以使用身分識別保護風險原則。 不過,請緩解使用者主租用戶中的問題。 請參閱常見條件式存取原則:登入風險型多重要素驗證

針對網路位置,您可以限制存取您擁有的 IP 位址範圍。 如果外部合作夥伴在您的位置存取應用程式,請使用此方法。 請參閱條件式存取:依位置封鎖存取

文件存取權檢閱原則

文件原則,指出何時要檢閱資源存取權,並移除外部使用者的帳戶存取權。 輸入可能包括:

  • 合規性架構需求
  • 內部商務原則和流程
  • 使用者行為

一般而言,組織會自訂原則,但請考慮下列參數:

存取控制方法

某些功能,例如權利管理,可使用 Microsoft Entra ID P1 或 P2 授權。 Microsoft 365 E5 和 Office 365 E5 授權包含 Microsoft Entra ID P2 授權。 在下列權利管理一節中深入了解。

注意

授權適用於一位使用者。 因此,使用者、系統管理員和公司擁有者可以擁有委派的存取控制。 此案例可能會與 Microsoft Entra ID P2 或 Microsoft 365 E5 一起發生,且您不需要為所有使用者啟用授權。 前 50,000 位外部使用者是免費的。 如果您未為其他內部使用者啟用 P2 授權,他們就無法使用權利管理。

Microsoft 365、Office 365 和 Microsoft Entra ID 的其他組合具有管理外部使用者的功能。 請參閱 Microsoft 365 指導以取得安全性與合規性

使用 Microsoft Entra ID P2 和 Microsoft 365 或 Office 365 E5 控管存取

Microsoft Entra ID P2 包含在 Microsoft 365 E5 中,具有額外的安全性和控管功能。

佈建、登入、檢閱存取權和取消佈建存取權

粗體項目是建議的動作。

功能 佈建外部使用者 強制登入必要條件 檢閱存取 取消佈建存取權
Microsoft Entra B2B 共同作業 透過電子郵件邀請、一次性密碼(OTP)、自助式 N/A 定期合作夥伴檢閱 移除帳戶
限制登入
權利管理 透過指派或自助存取新增使用者 N/A 存取權檢閱 存取套件的到期或移除
Office 365 群組 N/A N/A 檢閱群組成員資格 群組到期或刪除
從群組移除
Microsoft Entra 安全性群組 N/A 條件式存取原則:視需要將外部使用者新增至安全性群組 N/A N/A

資源存取

粗體項目是建議的動作。

功能 應用程式和資源存取 SharePoint 與 OneDrive 存取 Teams 存取 電子郵件和文件安全性
權利管理 透過指派或自助存取新增使用者 存取套件 存取套件 N/A
Office 365 Group N/A 存取網站和群組內容 存取小組和群組內容 N/A
敏感度標籤 N/A 手動並自動分類和限制存取 手動並自動分類和限制存取 手動並自動分類和限制存取
Microsoft Entra 安全性群組 存取套件中未包含存取的條件式存取原則 N/A N/A N/A

權利管理

使用權利管理來佈建和取消佈建群組和小組、應用程式和 SharePoint 網站的存取權。 定義已連線的組織已授與存取權、自助式要求和核准工作流程。 若要確保存取正確結束,請定義套件的到期原則和存取權檢閱。

深入了解:在權利管理中建立新的存取套件

使用 Microsoft Entra ID P1、Microsoft 365、Office 365 E3 管理存取權

佈建、登入、檢閱存取權和取消佈建存取權

粗體項目是建議的動作。

功能 佈建外部使用者 強制登入必要條件 檢閱存取 取消佈建存取權
Microsoft Entra B2B 共同作業 透過電子郵件、OTP、自助服務邀請 直接 B2B 同盟 定期合作夥伴檢閱 移除帳戶
限制登入
Microsoft 365 或 Office 365 群組 N/A N/A N/A 群組到期或刪除
從群組移除
安全性群組 N/A 將外部使用者新增至安全性群組 (組織、小組、專案等) N/A N/A
條件式存取原則 N/A 外部使用者的登入條件式存取原則 N/A N/A

資源存取

功能 應用程式和資源存取 SharePoint 與 OneDrive 存取 Teams 存取 電子郵件和文件安全性
Microsoft 365 或 Office 365 群組 N/A 存取群組網站和相關聯的內容 存取 Microsoft 365 群組小組和相關聯的內容 N/A
敏感度標籤 N/A 手動分類和限制存取 手動分類和限制存取 手動分類以限制和加密
條件式存取原則 存取控制的條件式存取原則 N/A N/A N/A
其他方法 N/A 使用安全性群組限制 SharePoint 網站存取
不允許直接共用
限制來自小組的外部邀請 N/A

下一步

使用下列系列文章來了解如何保護對資源的外部存取。 建議您遵循列出的順序。

  1. 使用 Microsoft Entra ID 判斷外部存取的安全性態勢

  2. 探索您目前組織中外部共同作業的狀態

  3. 建立外部資源存取的安全性方案 (您位於此處)

  4. 使用 Microsoft Entra ID 和 Microsoft 365 中的群組保護外部存取的安全性

  5. 使用 Microsoft Entra B2B 共同作業來轉換為控管的共同作業

  6. 使用 Microsoft Entra 權利管理來管理外部存取

  7. 使用條件式存取原則來管理外部資源存取

  8. 使用敏感度標籤控制對 Microsoft Entra ID 中的外部資源存取

  9. 使用 Microsoft Entra ID 保護對 Microsoft Teams、SharePoint 和商務用 OneDrive 的外部存取

  10. 將本機來賓帳戶轉換為 Microsoft Entra B2B 來賓帳戶