共用方式為

建立外部資源存取的安全性計劃

  • 發行項

建立外部存取安全性計劃之前,請先檢閱下列兩篇文章,以新增安全性計劃的內容和資訊。

開始之前

本文是一系列 10 篇文章中的第 3 個。 建議您依序檢閱文章。 移至 後續步驟 一節,以查看整個系列。

安全性計劃檔

針對您的安全性方案,記載下列資訊:

  • 群組以供存取的應用程式和資源
  • 外部使用者的登入條件
    • 裝置狀態、登入位置、用戶端應用程式需求、用戶風險等等。
  • 決定檢閱和移除存取時間的原則
  • 針對類似體驗分組的用戶母體

若要實作安全性計劃,您可以使用 Microsoft 身分識別和存取管理原則,或另一個識別提供者 (IdP)。

深入瞭解: 身分識別和存取管理概觀

使用群組進行存取

請參閱下列資源群組策略相關文章的連結:

記錄群組應用程式。 考慮包括:

  • 風險配置檔 - 如果不良動作專案取得應用程式的存取權,請評估風險
    • 將應用程式識別為高、中或低風險。 我們建議您不要將高風險與低風險分組。
    • 無法與外部使用者共用的檔案應用程式
  • 合規性架構 - 判斷應用程式的合規性架構
    • 識別存取和檢閱需求
  • 角色或部門 的應用程式 - 評估群組為角色或部門、存取的應用程式
  • 共同作業應用程式 - 識別外部使用者可以存取的共同作業應用程式,例如 Teams 或 SharePoint
    • 針對生產力應用程式,外部使用者可能會有授權,或者您可能會提供存取權

記載外部使用者存取應用程式和資源群組的下列資訊。

  • 描述性組名,例如High_Risk_External_Access_Finance
  • 群組中的應用程式和資源
  • 應用程式和資源擁有者及其連絡資訊
  • IT 小組會控制存取權,或將控制權委派給企業主
  • 存取的必要條件:背景檢查、訓練等等。
  • 存取資源的合規性需求
  • 挑戰,例如某些資源的多重要素驗證
  • 檢閱的頻率、依據者,以及記錄結果的位置

提示

使用這種類型的治理計劃進行內部存取。

外部使用者的檔登入條件

判斷要求存取權的外部使用者登入需求。 根據資源風險配置檔和登入期間用戶風險評估的需求。 使用條件式存取設定登入條件:條件和結果。 例如,您可以要求多重要素驗證。

深入了解: 什麼是條件式存取?

資源風險配置檔登入條件

請考慮下列風險型原則來觸發多重要素驗證。

  • - 某些應用程式集的多重要素驗證
  • - 存在其他風險時的多重要素驗證
  • - 外部使用者一律使用多重要素驗證

深入了解:

用戶和裝置登入條件

使用下表來協助評估原則以解決風險。

使用者或登入風險 建議的原則
裝置 需要符合規範的裝置
行動應用程式 需要核准的應用程式
身分識別保護是高風險 要求使用者變更密碼
網路位置 若要存取機密專案,需要從IP位址範圍登入

若要使用裝置狀態作為原則輸入、註冊或將裝置加入您的租使用者。 若要信任來自主租用戶的裝置宣告,請設定跨租使用者存取設定。 請參閱修改 輸入存取設定

您可以使用身分識別保護風險原則。 不過,減輕使用者主租用戶中的問題。 請參閱常見的 條件式存取原則:登入風險型多重要素驗證

針對網路位置,您可以限制存取您擁有的IP位址範圍。 如果外部合作夥伴在您的位置存取應用程式,請使用此方法。 請參閱條件 式存取:依位置封鎖存取

檔存取權檢閱原則

文件原則,指出何時要檢閱資源存取權,並移除外部使用者的帳戶存取權。 輸入可能包括:

  • 合規性架構需求
  • 內部商務原則和程式
  • 使用者行為

一般而言,組織會自定義原則,但請考慮下列參數:

訪問控制方法

某些功能,例如權利管理,可透過 Microsoft Entra ID P1 或 P2 授權取得。 Microsoft 365 E5 和 Office 365 E5 授權包括 Microsoft Entra ID P2 授權。 在下列權利管理一節中深入瞭解。

注意

授權適用於一位使用者。 因此,使用者、系統管理員和企業擁有者可以擁有委派的訪問控制。 此案例可能會與 Microsoft Entra ID P2 或 Microsoft 365 E5 一起發生,而且您不需要為所有使用者啟用授權。 前 50,000 名外部用戶是免費的。 如果您未為其他內部使用者啟用 P2 授權,他們就無法使用權利管理。

Microsoft 365、Office 365 和 Microsoft Entra ID 的其他組合具有管理外部使用者的功能。 請參閱 Microsoft 365 安全性與合規性指引。

使用 Microsoft Entra ID P2 和 Microsoft 365 或 Office 365 E5 控管存取

Microsoft Entra ID P2 包含在 Microsoft 365 E5 中,具有額外的安全性和控管功能。

布建、登入、檢閱存取權和取消布建存取

粗體的項目是建議的動作。

功能 布建外部使用者 強制執行登入需求 檢閱存取 取消布建存取
Microsoft Entra B2B 共同作業 透過電子郵件邀請,一次性密碼(OTP),自助式 N/A 定期合作夥伴檢閱 拿掉帳戶
限制登入
權利管理 藉由指派或自助式存取來新增使用者 N/A 存取權檢閱 存取套件的到期日或移除
Office 365 群組 N/A N/A 檢閱群組成員資格 群組到期或刪除
從群組移除
Microsoft Entra 安全組 N/A 條件式存取原則:視需要將外部使用者新增至安全組 N/A N/A

資源存取

粗體的項目是建議的動作。

功能 應用程式和資源存取 SharePoint 和 OneDrive 存取 Teams 存取 電子郵件和文件安全性
權利管理 藉由指派或自助式存取來新增使用者 存取套件 存取套件 N/A
Office 365 群組 N/A 存取網站和群組內容 存取小組和群組內容 N/A
敏感度標籤 N/A 手動和自動分類和限制存取 手動和自動分類和限制存取 手動和自動分類和限制存取
Microsoft Entra 安全組 存取套件中未包含存取的條件式存取原則 N/A N/A N/A

權利管理

使用權利管理來布建和取消布建群組和小組、應用程式和 SharePoint 網站的存取權。 定義已連線的組織已授與存取權、自助式要求和核准工作流程。 若要確保存取正確結束,請定義套件的到期原則和存取權檢閱。

深入瞭解: 在權利管理中建立新的存取套件

使用 Microsoft Entra ID P1、Microsoft 365、Office 365 E3 管理存取權

布建、登入、檢閱存取權和取消布建存取

粗體的項目是建議的動作。

功能 布建外部使用者 強制執行登入需求 檢閱存取 取消布建存取
Microsoft Entra B2B 共同作業 透過電子郵件邀請、OTP、自助式 直接 B2B 同盟 定期合作夥伴檢閱 拿掉帳戶
限制登入
Microsoft 365 或 Office 365 群組 N/A N/A N/A 群組到期或刪除
從群組移除
安全性群組 N/A 將外部使用者新增至安全組(組織、小組、專案等等) N/A N/A
條件式存取原則 N/A 外部使用者的登入條件式存取原則 N/A N/A

資源存取

功能 應用程式和資源存取 SharePoint 和 OneDrive 存取 Teams 存取 電子郵件和文件安全性
Microsoft 365 或 Office 365 群組 N/A 存取群組網站和相關聯的內容 存取 Microsoft 365 群組小組和相關內容 N/A
敏感度標籤 N/A 手動分類和限制存取 手動分類和限制存取 手動分類以限制和加密
條件式存取原則 訪問控制的條件式存取原則 N/A N/A N/A
其他方法 N/A 使用安全組限制 SharePoint 網站存取
不允許直接共用		 限制小組的外部邀請 N/A

下一步

使用下列一系列文章來瞭解如何保護資源的外部存取。 建議您遵循列出的順序。

  1. 使用 Microsoft Entra ID 判斷外部存取的安全性狀態

  2. 探索組織中外部共同作業的目前狀態

  3. 建立外部資源 存取的安全性計劃(您在這裡)

  4. 使用 Microsoft Entra ID 和 Microsoft 365 中的群組保護外部存取

  5. 使用 Microsoft Entra B2B 共同作業轉換至控管的共同作業

  6. 使用 Microsoft Entra 權利管理管理外部存取

  7. 使用條件式存取原則管理資源的外部存取

  8. 使用敏感度標籤控制 Microsoft Entra ID 中的資源外部存取

  9. 使用 Microsoft Entra 識別符保護對 Microsoft Teams、SharePoint 和 商務用 OneDrive 的外部存取

  10. 將本機來賓帳戶轉換為 Microsoft Entra B2B 來賓帳戶