編輯

Microsoft Teams 來賓使用者的治理

Microsoft Entra ID
Microsoft 365
Microsoft Teams

此範例案例可協助使用者在使用 Microsoft Entra B2B 共同作業時,為外部使用者提供身分識別和控管控制項,協助使用者與其他組織共同作業。

架構

Architecture for governance of Teams guest users.

下載此架構的 Visio 檔案

工作流程

  1. 資原始目錄 - 這是包含 Microsoft 365 群組和小組資源的 Microsoft Entra 目錄。 在此範例中,資源是新增至存取套件的專案小組,讓組織外部的使用者可以要求存取它。

  2. 外部目錄 (連線組織) -這是外部 Microsoft Entra 目錄,其中包含來自已連線組織的外部使用者。 原則可允許這些使用者要求存取專案小組。

  3. 目錄 1 - 目錄是相關資源和存取套件的容器。 目錄 1 包含專案小組及其存取套件。

    目錄允許委派,讓非系統管理員可以建立存取套件。 目錄擁有者可以將擁有的資源新增至目錄。

  4. 資源 - 這些是出現在存取套件中的資源。 它們可以包含安全性群組、應用程式和 SharePoint Online 網站。 在此範例中,它是專案小組。

  5. 存取 1 - 存取套件是每個存取類型的資源集合。 存取套件可用來控管內部和外部使用者的存取權。 在此範例中,專案小組是具有單一原則的資源,可讓外部使用者要求存取權。 此範例中的內部使用者不需要使用 Microsoft Entra 權利管理。 他們會使用 Microsoft Teams 新增至專案小組。

  6. 群組 1 資源角色 - 資源角色是與資源相關聯的許可權,並由資源定義。 群組有兩個角色:成員和擁有者。 SharePoint 網站通常有三個角色,但可以有額外的自訂角色。 應用程式可以有自訂角色。

  7. 外部存取原則 - 這是定義指派存取套件規則的原則。 此範例會使用原則來確保來自已連線組織的使用者可以要求存取專案小組。 提出要求之後,需要原則中所定義的核准者核准。 原則也會指定時間限制和更新設定。

  8. 核准者 - 核准者核准存取要求。 這可以是內部或外部使用者。

  9. 要求者 - 這是透過「我的存取」入口網站要求存取的外部使用者。 入口網站只會顯示要求者允許要求的存取套件。

要求組織流程外部使用者存取資源

以下是高階工作流程,示範如何將 Microsoft 365 群組或小組的存取權授與外部使用者。 它包含不再需要存取權或達到時間限制時,移除來賓帳戶。

Flow diagram with steps that shows how access works for external users.

元件

  • Microsoft Entra ID 提供雲端式身分識別和存取管理服務,為使用者提供登入和存取資源的方式。 它具有下列特性和功能:
    • Microsoft Entra 權利管理 是一項身分識別治理功能,可讓組織藉由自動化存取要求工作流程、存取指派、檢閱和到期,大規模管理身分識別和存取生命週期。
    • Microsoft Entra 企業對企業 (B2B) 共同 作業是由 Microsoft Entra 權利管理用來共用存取權,讓內部使用者可以與外部使用者共同作業。
    • Microsoft Entra 存取權檢閱 可讓組織有效率地管理群組成員資格、存取企業應用程式和角色指派。 您可以定期檢閱使用者存取權,以確保只有正確的人員可以繼續存取。
    • Microsoft Teams 來賓存取 可讓外部使用者存取小組、頻道、資源、聊天和應用程式,同時維持對公司資源的控制權。
    • Microsoft Entra 條件式存取 會將訊號結合在一起,以做出決策,並強制執行組織原則。 此解決方案中的條件式存取可用來強制執行使用規定合約和多重要素驗證,以及設定來賓帳戶的會話逾時。

替代項目

Microsoft Entra 權利管理的替代解決方案是允許內部使用者邀請外部使用者加入小組。 然後,受邀的使用者可以在資原始目錄中建立來賓帳戶。

此替代方案不提供客戶所需的身分識別和控管控制。 與 AD 權利管理相比的缺陷如下:

  • 外部使用者無法要求存取權—必須有邀請。 外部使用者必須知道如何要求邀請、小組可能會有所不同的程式,以及隨著時間而變更的程式。
  • 沒有任何業務理由、電子郵件通知、檢閱程式或核准程式,這是稽核問題。
  • 無法輕鬆管理、移除或更新特定資源的存取權。 因為專案資源可能會變更,因此這是效率問題。
  • 如果邀請外部使用者但不允許使用者組織,則會拒絕使用者存取,造成混淆。
  • 不會自動移除來賓帳戶,也不會設定到期日。 處理到期的手動程式容易發生錯誤,且效率低於需要帳戶建立時設定限制的自動程式。 這是安全性問題和效率問題。

建置自訂解決方案來處理這些問題不太可能具有成本競爭力或與 AD 權利管理的功能競爭。

案例詳細資料

此範例案例是在 COVID-19 疫情期間建立的,當時客戶需要立即與其他組織共同作業。 這表示為外部使用者提供身分識別和控管控制項。

Microsoft Teams 是客戶的主要公司通訊工具。 使用 Teams 聊天、會議和通話共同作業的使用者。 Teams 頻道提供他們檔案和交談的存取權。

Teams 會議提供了與外部使用者會面的有效方式。 不過,外部使用者無法存取小組和頻道,因此與他們共同作業很笨拙,生產力會受到影響。 客戶需要更好的東西。

Teams 提供兩個選項來與外部使用者通訊和共同作業:

  • 外部存取 - 一種同盟類型,可讓內部使用者尋找、通話和與外部使用者聊天。 除非外部存取使用者使用來賓存取邀請為來賓,否則無法新增至小組。
  • 來賓存取 - 允許內部使用者邀請外部使用者加入小組。 受邀的使用者會在 Microsoft Entra ID 中取得來賓帳戶。 來賓存取可讓外部使用者受邀加入小組,並提供頻道中的檔存取權,以及資源、聊天和應用程式。 客戶會視需要維護公司資料的控制權。

來賓存取符合客戶的共同作業需求,但導致安全性和控管考慮:

  • 來賓只能視需要存取特定小組,而且必須視需要存取。 專案完成時,必須移除來賓帳戶。
  • 必須有一個核准程式,才能建立符合稽核需求的來賓帳戶。 內部使用者必須檢閱要求,並視需要核准要求。
  • 必須能夠快速建置並自動化解決方案。 在適當的安全性和治理控制項就緒之前,無法建立任何來賓帳戶。

Microsoft Entra 權利管理是滿足安全性和控管需求的主要工具:

  • 它可協助有效管理內部和外部使用者的 Microsoft 365 群組存取權,包括小組、應用程式和 SharePoint 線上網站。
  • 它可讓您自動執行存取要求工作流程、存取指派、檢閱和到期。

來賓存取和 Microsoft Entra 權利一起符合客戶的共同作業需求。 外部使用者可以加入選取的小組,並管理存取權。 此外,Microsoft Entra 權利管理提供未來可能使用的功能,例如管理小組以外的資源存取權。

潛在的使用案例

此解決方案適用于任何需要管理存取權的情況,適用于需要存取權的內部和外部使用者、群組、應用程式和 SharePoint Online 網站。 Microsoft Entra 權利管理具有下列功能和優點:

  • 員工存取資源的簡化上線和管理,例如:
    • Microsoft Entra 安全性群組。
    • Microsoft 365 群組。
    • Microsoft 365 小組。
    • 應用程式,包括 SaaS 應用程式。
    • 實作適當安全性措施的自訂應用程式。
    • SharePoint Online 網站。
  • 有簡化的程式可讓外部使用者存取所需的資源。
  • 您可以指定允許哪些連線的組織提供可要求存取的外部使用者。
  • 要求存取權且已核准的使用者會自動受邀加入小組目錄,並獲指派資源的存取權。
  • 您可以設定使用者對資源的存取限制,並在達到限制時自動移除。
  • 當沒有其他存取套件指派的外部使用者存取到期時,可以自動移除使用者帳戶。
  • 您可以確保使用者沒有超過所需的存取權。
  • 存取要求的核准套裝程式括指定個人核准,例如管理員。
  • 您可以管理依賴 Microsoft Entra 安全性群組或 Microsoft 365 群組之其他資源的存取權。 例如,使用群組型授權將授權授與使用者。
  • 您可以委派給非系統管理員,以建立包含使用者可以要求之資源的存取套件。

考量

這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework

重要的實作步驟是設定租使用者設定以允許外部使用者。

A list of seven settings that require verification.

  1. 為外部使用者 啟用目錄 - 確定目錄已 針對外部使用者 設定為 [是 ]。 根據預設,當您在 Microsoft Entra 權利管理中建立新目錄時,會啟用它以允許外部使用者要求存取目錄中的套件。
  2. Microsoft Entra B2B 外部共同作業設定 - Azure B2B 外部共同作業設定 可能會影響您是否可以使用 Microsoft Entra 權利管理來邀請外部使用者加入資源。 確認這些設定:
    • 檢查來賓是否允許邀請其他來賓加入您的目錄。 建議將 [來賓可以邀請 ] 設定為只允許受控的邀請。
    • 請確定您已適當地允許或封鎖邀請。 如需詳細資訊,請參閱 允許或封鎖來自特定組織的 B2B 使用者邀請。
  3. 檢閱您的條件式存取原則 - 驗證條件式存取,以確定來賓使用者已從他們無法滿足的任何條件式存取原則中排除。 否則,他們無法登入您的目錄,而且無法存取資源。
  4. 檢閱 SharePoint Online 外部共用設定 - 如果您在外部使用者的存取套件中包含 SharePoint Online 網站,請確定您已設定組織層級的外部共用設定。 如果不需要登入,或 受邀使用者的現有來賓 ,請設定為 [任何人 ]。 如需詳細資訊,請參閱 變更組織層級的外部共用設定
  5. 檢閱您的 Microsoft 365 群組共用設定 - 如果您在外部使用者的存取套件中包含 Microsoft 365 群組或小組,請確定 [讓使用者將新來賓新增至組織 ] 設定為 [開啟 ] 以允許來賓存取。
  6. 檢閱 Teams 共用設定 - 如果您將 Teams 包含在外部使用者的存取套件中,請確定 [允許 Microsoft Teams 中的來賓存取] 設定為 [開啟 ] 以允許來賓存取。 此外,請檢查是否已設定 Teams 來賓存取設定
  7. 管理外部使用者的 生命週期 - 您可以選取當外部使用者不再有任何存取套件指派時會發生什麼情況。 當所有指派都由使用者放棄或過期時,就會發生這種情況。 根據預設,使用者無法登入您的目錄。 30 天后,來賓使用者帳戶會從您的目錄中移除。

其他考量:

  • 存取指派 - 存取套件不會取代存取指派的其他機制。 在下列情況下最適合使用:
    • 員工需要特定工作的有限時間存取權。
    • 存取需要管理員或其他指定的個人核准。
    • 部門想要管理其資源,而不需要 IT 參與。
    • 兩個以上的組織正在專案上共同作業,因此需要邀請來自一個組織的多個使用者來存取另一個組織的資源。
  • 更新資源 - 使用 Microsoft Entra 權利管理,您可以隨時變更存取套件中的資源。 套件的使用者會自動調整其資源存取權,以符合變更的套件。

成本最佳化

成本優化是考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱 成本優化要素 概觀。

  • 使用 Microsoft Entra 權利管理需要 Microsoft Entra ID P2 授權。
  • 來賓存取可以搭配所有Microsoft 365 商務標準版、Microsoft 365 商務進階版和Microsoft 365 教育版訂用帳戶使用。 不需要額外的 Microsoft 365 授權。
  • Microsoft Entra 外部 ID的計費模型適用于 Microsoft 365 中的來賓。 只能邀請外部使用者作為來賓。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者:

下一步