建立外部資源存取的安全性計劃
建立外部存取安全性計劃之前,請先檢閱下列兩篇文章,以新增安全性計劃的內容和資訊。
開始之前
本文是一系列 10 篇文章中的第 3 個。 建議您依序檢閱文章。 移至 後續步驟 一節,以查看整個系列。
安全性計劃檔
針對您的安全性方案,記載下列資訊:
- 群組以供存取的應用程式和資源
- 外部使用者的登入條件
- 裝置狀態、登入位置、用戶端應用程式需求、用戶風險等等。
- 決定檢閱和移除存取時間的原則
- 針對類似體驗分組的用戶母體
若要實作安全性計劃,您可以使用 Microsoft 身分識別和存取管理原則,或另一個識別提供者 (IdP)。
深入瞭解: 身分識別和存取管理概觀
使用群組進行存取
請參閱下列資源群組策略相關文章的連結:
- Microsoft Teams 群組檔案、交談線程和其他資源
- 制定 Teams 的外部存取策略
- 請參閱使用 Microsoft Entra 識別符保護 Microsoft Teams、SharePoint 和 商務用 OneDrive 的外部存取
- 使用權利管理存取套件來建立和委派應用程式、群組、小組、SharePoint 網站的套件管理等等。
- 將條件式存取原則套用至最多 250 個應用程式,且具有相同的存取需求
- 定義外部使用者應用程式群組的存取權
記錄群組應用程式。 考慮包括:
- 風險配置檔 - 如果不良動作專案取得應用程式的存取權,請評估風險
- 將應用程式識別為高、中或低風險。 我們建議您不要將高風險與低風險分組。
- 無法與外部使用者共用的檔案應用程式
- 合規性架構 - 判斷應用程式的合規性架構
- 識別存取和檢閱需求
- 角色或部門 的應用程式 - 評估群組為角色或部門、存取的應用程式
- 共同作業應用程式 - 識別外部使用者可以存取的共同作業應用程式,例如 Teams 或 SharePoint
- 針對生產力應用程式,外部使用者可能會有授權,或者您可能會提供存取權
記載外部使用者存取應用程式和資源群組的下列資訊。
- 描述性組名,例如High_Risk_External_Access_Finance
- 群組中的應用程式和資源
- 應用程式和資源擁有者及其連絡資訊
- IT 小組會控制存取權,或將控制權委派給企業主
- 存取的必要條件:背景檢查、訓練等等。
- 存取資源的合規性需求
- 挑戰,例如某些資源的多重要素驗證
- 檢閱的頻率、依據者,以及記錄結果的位置
提示
使用這種類型的治理計劃進行內部存取。
外部使用者的檔登入條件
判斷要求存取權的外部使用者登入需求。 根據資源風險配置檔和登入期間用戶風險評估的需求。 使用條件式存取設定登入條件:條件和結果。 例如,您可以要求多重要素驗證。
深入了解: 什麼是條件式存取?
資源風險配置檔登入條件
請考慮下列風險型原則來觸發多重要素驗證。
- 低 - 某些應用程式集的多重要素驗證
- 中 - 存在其他風險時的多重要素驗證
- 高 - 外部使用者一律使用多重要素驗證
深入了解:
- 教學課程:為 B2B 來賓用戶強制執行多重要素驗證
- 信任來自外部租使用者的多重要素驗證
用戶和裝置登入條件
使用下表來協助評估原則以解決風險。
使用者或登入風險 | 建議的原則 |
---|---|
裝置 | 需要符合規範的裝置 |
行動應用程式 | 需要核准的應用程式 |
身分識別保護是高風險 | 要求使用者變更密碼 |
網路位置 | 若要存取機密專案,需要從IP位址範圍登入 |
若要使用裝置狀態作為原則輸入、註冊或將裝置加入您的租使用者。 若要信任來自主租用戶的裝置宣告,請設定跨租使用者存取設定。 請參閱修改 輸入存取設定。
您可以使用身分識別保護風險原則。 不過,減輕使用者主租用戶中的問題。 請參閱常見的 條件式存取原則:登入風險型多重要素驗證。
針對網路位置,您可以限制存取您擁有的IP位址範圍。 如果外部合作夥伴在您的位置存取應用程式,請使用此方法。 請參閱條件 式存取:依位置封鎖存取
檔存取權檢閱原則
文件原則,指出何時要檢閱資源存取權,並移除外部使用者的帳戶存取權。 輸入可能包括:
- 合規性架構需求
- 內部商務原則和程式
- 使用者行為
一般而言,組織會自定義原則,但請考慮下列參數:
- 權利管理存取權檢閱:
- 變更權利管理中存取套件的生命周期設定
- 在權利管理中建立存取套件的存取權檢閱
- 在權利管理中新增已連線的組織:從合作夥伴群組使用者和排程檢閱
- Microsoft 365 群組
- 選項:
- 如果外部使用者不使用存取套件或 Microsoft 365 群組,請判斷帳戶何時變成非使用中或刪除
- 拿掉未登入 90 天的帳戶登入
- 定期評估外部使用者的存取權
訪問控制方法
某些功能,例如權利管理,可透過 Microsoft Entra ID P1 或 P2 授權取得。 Microsoft 365 E5 和 Office 365 E5 授權包括 Microsoft Entra ID P2 授權。 在下列權利管理一節中深入瞭解。
注意
授權適用於一位使用者。 因此,使用者、系統管理員和企業擁有者可以擁有委派的訪問控制。 此案例可能會與 Microsoft Entra ID P2 或 Microsoft 365 E5 一起發生,而且您不需要為所有使用者啟用授權。 前 50,000 名外部用戶是免費的。 如果您未為其他內部使用者啟用 P2 授權,他們就無法使用權利管理。
Microsoft 365、Office 365 和 Microsoft Entra ID 的其他組合具有管理外部使用者的功能。 請參閱 Microsoft 365 安全性與合規性指引。
使用 Microsoft Entra ID P2 和 Microsoft 365 或 Office 365 E5 控管存取
Microsoft Entra ID P2 包含在 Microsoft 365 E5 中,具有額外的安全性和控管功能。
布建、登入、檢閱存取權和取消布建存取
粗體的項目是建議的動作。
功能 | 布建外部使用者 | 強制執行登入需求 | 檢閱存取 | 取消布建存取 |
---|---|---|---|---|
Microsoft Entra B2B 共同作業 | 透過電子郵件邀請,一次性密碼(OTP),自助式 | N/A | 定期合作夥伴檢閱 | 拿掉帳戶 限制登入 |
權利管理 | 藉由指派或自助式存取來新增使用者 | N/A | 存取權檢閱 | 存取套件的到期日或移除 |
Office 365 群組 | N/A | N/A | 檢閱群組成員資格 | 群組到期或刪除 從群組移除 |
Microsoft Entra 安全組 | N/A | 條件式存取原則:視需要將外部使用者新增至安全組 | N/A | N/A |
資源存取
粗體的項目是建議的動作。
功能 | 應用程式和資源存取 | SharePoint 和 OneDrive 存取 | Teams 存取 | 電子郵件和文件安全性 |
---|---|---|---|---|
權利管理 | 藉由指派或自助式存取來新增使用者 | 存取套件 | 存取套件 | N/A |
Office 365 群組 | N/A | 存取網站和群組內容 | 存取小組和群組內容 | N/A |
敏感度標籤 | N/A | 手動和自動分類和限制存取 | 手動和自動分類和限制存取 | 手動和自動分類和限制存取 |
Microsoft Entra 安全組 | 存取套件中未包含存取的條件式存取原則 | N/A | N/A | N/A |
權利管理
使用權利管理來布建和取消布建群組和小組、應用程式和 SharePoint 網站的存取權。 定義已連線的組織已授與存取權、自助式要求和核准工作流程。 若要確保存取正確結束,請定義套件的到期原則和存取權檢閱。
深入瞭解: 在權利管理中建立新的存取套件
使用 Microsoft Entra ID P1、Microsoft 365、Office 365 E3 管理存取權
布建、登入、檢閱存取權和取消布建存取
粗體的項目是建議的動作。
功能 | 布建外部使用者 | 強制執行登入需求 | 檢閱存取 | 取消布建存取 |
---|---|---|---|---|
Microsoft Entra B2B 共同作業 | 透過電子郵件邀請、OTP、自助式 | 直接 B2B 同盟 | 定期合作夥伴檢閱 | 拿掉帳戶 限制登入 |
Microsoft 365 或 Office 365 群組 | N/A | N/A | N/A | 群組到期或刪除 從群組移除 |
安全性群組 | N/A | 將外部使用者新增至安全組(組織、小組、專案等等) | N/A | N/A |
條件式存取原則 | N/A | 外部使用者的登入條件式存取原則 | N/A | N/A |
資源存取
功能 | 應用程式和資源存取 | SharePoint 和 OneDrive 存取 | Teams 存取 | 電子郵件和文件安全性 |
---|---|---|---|---|
Microsoft 365 或 Office 365 群組 | N/A | 存取群組網站和相關聯的內容 | 存取 Microsoft 365 群組小組和相關內容 | N/A |
敏感度標籤 | N/A | 手動分類和限制存取 | 手動分類和限制存取 | 手動分類以限制和加密 |
條件式存取原則 | 訪問控制的條件式存取原則 | N/A | N/A | N/A |
其他方法 | N/A | 使用安全組限制 SharePoint 網站存取 不允許直接共用 |
限制小組的外部邀請 | N/A |
下一步
使用下列一系列文章來瞭解如何保護資源的外部存取。 建議您遵循列出的順序。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應