Vytvoření plánu zabezpečení pro externí přístup k prostředkům
Než vytvoříte plán zabezpečení externího přístupu, projděte si následující dva články, které přidávají kontext a informace pro plán zabezpečení.
- Určení stavu zabezpečení pro externí přístup pomocí Microsoft Entra ID
- Zjištění aktuálního stavu externí spolupráce ve vaší organizaci
Než začnete
Tento článek je číslo 3 v řadě 10 článků. Doporučujeme, abyste si články prostudovali v pořadí. Pokud chcete zobrazit celou řadu, přejděte do části Další kroky .
Dokumentace k plánu zabezpečení
V případě plánu zabezpečení zdokumentujte následující informace:
- Aplikace a prostředky seskupené pro přístup
- Podmínky přihlášení pro externí uživatele
- Stav zařízení, umístění přihlášení, požadavky na klientskou aplikaci, riziko uživatelů atd.
- Zásady pro určení načasování kontrol a odebrání přístupu
- Skupiny uživatelů seskupené pro podobné prostředí
K implementaci plánu zabezpečení můžete použít zásady správy identit a přístupu Od Microsoftu nebo jiného zprostředkovatele identity (IDP).
Další informace: Přehled správy identit a přístupu
Použití skupin pro přístup
Projděte si následující odkazy na články o strategiích seskupení prostředků:
- Microsoft Teams seskupuje soubory, vlákna konverzací a další prostředky
- Formulace strategie externího přístupu pro Teams
- Viz, zabezpečení externího přístupu k Microsoft Teams, SharePointu a OneDrive pro firmy pomocí MICROSOFT Entra ID
- Pomocí přístupových balíčků pro správu nároků můžete vytvářet a delegovat správu balíčků aplikací, skupin, týmů, sharepointových webů atd.
- Použití zásad podmíněného přístupu až na 250 aplikací se stejnými požadavky na přístup
- Definování přístupu pro skupiny aplikací externích uživatelů
Zdokumentujte seskupené aplikace. Mezi důležité informace patří:
- Profil rizika – posouzení rizika v případě, že špatný aktér získá přístup k aplikaci
- Identifikujte aplikaci jako vysoké, střední nebo nízké riziko. Nedoporučujeme seskupovat vysoké riziko s nízkým rizikem.
- Dokumentovat aplikace, které nejde sdílet s externími uživateli
- Architektury dodržování předpisů – určení architektur dodržování předpisů pro aplikace
- Identifikace požadavků na přístup a kontrola požadavků
- Aplikace pro role nebo oddělení – posouzení aplikací seskupených pro roli nebo oddělení přístupu
- Aplikace pro spolupráci – identifikace aplikací pro spolupráci, ke které mají externí uživatelé přístup, jako jsou Teams nebo SharePoint
- V případě kancelářských aplikací můžou mít externí uživatelé licence nebo můžete poskytnout přístup.
Zdokumentujte následující informace pro přístup k aplikacím a skupinám prostředků externími uživateli.
- Popisný název skupiny, například High_Risk_External_Access_Finance
- Aplikace a prostředky ve skupině
- Vlastníci aplikací a prostředků a jejich kontaktní údaje
- IT tým řídí přístup nebo řízení je delegovaný na vlastníka firmy.
- Požadavky pro přístup: kontrola na pozadí, trénování atd.
- Požadavky na dodržování předpisů pro přístup k prostředkům
- Problémy, například vícefaktorové ověřování u některých prostředků
- Četnost kontrol, podle kterých a kde jsou výsledky zdokumentované
Tip
Tento typ plánu zásad správného řízení použijte pro interní přístup.
Podmínky přihlášení k dokumentu pro externí uživatele
Určete požadavky na přihlášení pro externí uživatele, kteří požadují přístup. Založte požadavky na profil rizika zdrojů a posouzení rizik uživatele během přihlašování. Nakonfigurujte podmínky přihlašování pomocí podmíněného přístupu: podmínku a výsledek. Můžete například vyžadovat vícefaktorové ověřování.
Další informace: Co je podmíněný přístup?
Podmínky přihlášení profilu rizika prostředků
Zvažte následující zásady založené na rizicích, které aktivují vícefaktorové ověřování.
- Nízká – vícefaktorové ověřování pro některé sady aplikací
- Střední – vícefaktorové ověřování, pokud existují jiná rizika
- Vysoká – externí uživatelé vždy používají vícefaktorové ověřování
Další informace:
- Kurz: Vynucení vícefaktorového ověřování pro uživatele typu host B2B
- Důvěřovat vícefaktorovým ověřováním z externích tenantů
Podmínky přihlašování uživatelů a zařízení
Následující tabulka vám pomůže vyhodnotit zásady, které řeší rizika.
| Riziko přihlášení nebo uživatele | Navrhované zásady |
|---|---|
| Zařízení | Vyžadování zařízení, které splňuje požadavky |
| Mobilní aplikace | Vyžadování schválených aplikací |
| Ochrana identit je vysoce riziková | Vyžadovat, aby uživatel změnil heslo |
| Umístění v síti | Pokud chcete získat přístup k důvěrným projektům, vyžadovat přihlášení z rozsahu IP adres |
Pokud chcete použít stav zařízení jako vstup zásad, zaregistrujte nebo připojte zařízení k vašemu tenantovi. Pokud chcete důvěřovat deklaracím identity zařízení z domovského tenanta, nakonfigurujte nastavení přístupu mezi tenanty. Viz úprava nastavení příchozího přístupu.
Můžete použít zásady rizik ochrany identit. Zmírníte ale problémy v domovském tenantovi uživatele. Viz běžné zásady podmíněného přístupu: Vícefaktorové ověřování založené na přihlášení.
U síťových umístění můžete omezit přístup k rozsahům IP adres, které vlastníte. Tuto metodu použijte, pokud externí partneři přistupuje k aplikacím v době, kdy se nacházíte. Viz, podmíněný přístup: Blokování přístupu podle umístění
Zásady kontroly přístupu k dokumentům
Zásady dokumentů, které určují, kdy kontrolovat přístup k prostředkům, a odebírat přístup k účtu externím uživatelům. Vstupy můžou zahrnovat:
- Požadavky na architektury dodržování předpisů
- Interní obchodní zásady a procesy
- Chování uživatele
Obecně platí, že organizace přizpůsobují zásady, ale zvažují následující parametry:
- Kontroly přístupu pro správu nároků:
- Změna nastavení životního cyklu přístupového balíčku ve správě nároků
- Vytvoření kontroly přístupu přístupového balíčku ve správě nároků
- Přidání připojené organizace ve správě nároků: Seskupte uživatele z partnera a naplánujte kontroly
- Skupiny Microsoft 365
- Možnosti:
- Pokud externí uživatelé nepoužívají přístupové balíčky nebo skupiny Microsoftu 365, určete, kdy se účty stanou neaktivními nebo odstraněné.
- Odebrání přihlášení pro účty, které se nepřihlašují po dobu 90 dnů
- Pravidelně vyhodnocujte přístup externích uživatelů.
Metody řízení přístupu
Některé funkce, například správa nároků, jsou k dispozici s licencí Microsoft Entra ID P1 nebo P2. Licence Microsoft 365 E5 a Office 365 E5 zahrnují licence Microsoft Entra ID P2. Další informace najdete v následující části správy nároků.
Poznámka:
Licence jsou určené pro jednoho uživatele. Uživatelé, správci a vlastníci firmy proto můžou mít delegovanou kontrolu přístupu. K tomuto scénáři může dojít u Microsoft Entra ID P2 nebo Microsoft 365 E5 a nemusíte povolovat licence pro všechny uživatele. Prvních 50 000 externích uživatelů je zdarma. Pokud nepovolíte licence P2 pro ostatní interní uživatele, nemůžou používat správu nároků.
Další kombinace Microsoft 365, Office 365 a Microsoft Entra ID mají funkce pro správu externích uživatelů. Přečtěte si pokyny k Microsoftu 365 pro zabezpečení a dodržování předpisů.
Řízení přístupu pomocí Microsoft Entra ID P2 a Microsoftu 365 nebo Office 365 E5
Microsoft Entra ID P2, který je součástí Microsoftu 365 E5, má další možnosti zabezpečení a zásad správného řízení.
Zřízení, přihlášení, kontrola přístupu a zrušení zřízení přístupu
Položky tučným písmem jsou doporučené akce.
| Funkce | Zřízení externích uživatelů | Vynucení požadavků na přihlášení | Kontrola přístupu | Zrušení zřízení přístupu |
|---|---|---|---|---|
| Spolupráce Microsoft Entra B2B | Pozvání prostřednictvím e-mailu, jednorázové heslo (OTP), samoobslužná služba | – | Pravidelná kontrola partnera | Odebrání účtu Omezení přihlášení |
| Správa nároků | Přidání uživatele podle přiřazení nebo samoobslužného přístupu | – | Kontroly přístupu | Vypršení platnosti přístupového balíčku nebo odebrání z přístupového balíčku |
| Skupiny Office 365 | – | N/A | Kontrola členství ve skupinách | Vypršení platnosti nebo odstranění skupiny Odebrání ze skupiny |
| Skupiny zabezpečení Microsoft Entra | – | Zásady podmíněného přístupu: Podle potřeby přidejte externí uživatele do skupin zabezpečení. | – | N/A |
Přístup k prostředkům
Položky tučným písmem jsou doporučené akce.
| Funkce | Přístup k aplikacím a prostředkům | Přístup k SharePointu a OneDrivu | Přístup k Teams | Zabezpečení e-mailů a dokumentů |
|---|---|---|---|---|
| Správa nároků | Přidání uživatele podle přiřazení nebo samoobslužného přístupu | Přístupové balíčky | Přístupové balíčky | – |
| Skupina Office 365 | – | Přístup k webům a obsahu skupiny | Přístup k týmům a obsahu skupiny | – |
| Štítky utajení | – | Ruční a automatická klasifikace a omezení přístupu | Ruční a automatická klasifikace a omezení přístupu | Ruční a automatická klasifikace a omezení přístupu |
| Skupiny zabezpečení Microsoft Entra | Zásady podmíněného přístupu pro přístup, které nejsou zahrnuté v přístupových balíčcích | – | – | N/A |
Správa nároků
Pomocí správy nároků zřiďte a zrušte zřízení přístupu ke skupinám a týmům, aplikacím a sharepointovými weby. Definujte propojené organizace udělený přístup, samoobslužné žádosti a pracovní postupy schvalování. Abyste zajistili, že přístup skončí správně, definujte zásady vypršení platnosti a kontroly přístupu pro balíčky.
Další informace: Vytvoření nového přístupového balíčku ve správě nároků
Správa přístupu pomocí Microsoft Entra ID P1, Microsoftu 365, Office 365 E3
Zřízení, přihlášení, kontrola přístupu a zrušení zřízení přístupu
Doporučené akce jsou položky tučného písma.
| Funkce | Zřízení externích uživatelů | Vynucení požadavků na přihlášení | Kontrola přístupu | Zrušení zřízení přístupu |
|---|---|---|---|---|
| Spolupráce Microsoft Entra B2B | Pozvání e-mailem, jednorázovým heslam, samoobslužnou službou | Přímá federace B2B | Pravidelná kontrola partnera | Odebrání účtu Omezení přihlášení |
| Skupiny Microsoft 365 nebo Office 365 | – | – | N/A | Vypršení platnosti nebo odstranění skupiny Odebrání ze skupiny |
| Skupiny zabezpečení | – | Přidání externích uživatelů do skupin zabezpečení (organizace, tým, projekt atd.) | – | N/A |
| Zásady podmíněného přístupu | – | Zásady podmíněného přístupu pro přihlášení pro externí uživatele | – | N/A |
Přístup k prostředkům
| Funkce | Přístup k aplikacím a prostředkům | Přístup k SharePointu a OneDrivu | Přístup k Teams | Zabezpečení e-mailů a dokumentů |
|---|---|---|---|---|
| Skupiny Microsoft 365 nebo Office 365 | – | Přístup k webům skupiny a přidruženému obsahu | Přístup k týmům skupin Microsoftu 365 a souvisejícímu obsahu | – |
| Štítky utajení | – | Ruční klasifikace a omezení přístupu | Ruční klasifikace a omezení přístupu | Ruční klasifikace pro omezení a šifrování |
| Zásady podmíněného přístupu | Zásady podmíněného přístupu pro řízení přístupu | – | – | N/A |
| Jiné metody | – | Omezení přístupu k sharepointovým webům pomocí skupin zabezpečení Zakázat přímé sdílení |
Omezení externích pozvánek od týmu | – |
Další kroky
V následujících sérii článků se dozvíte o zabezpečení externího přístupu k prostředkům. Doporučujeme postupovat podle uvedeného pořadí.
Určení stavu zabezpečení pro externí přístup pomocí Microsoft Entra ID
Zjištění aktuálního stavu externí spolupráce ve vaší organizaci
Vytvoření plánu zabezpečení pro externí přístup k prostředkům (tady jste)
Zabezpečení externího přístupu pomocí skupin v Microsoft Entra ID a Microsoftu 365
Přechod na řízenou spolupráci pomocí spolupráce Microsoft Entra B2B
Správa externího přístupu pomocí správy nároků Microsoft Entra
Správa externího přístupu k prostředkům pomocí zásad podmíněného přístupu
Řízení externího přístupu k prostředkům v Microsoft Entra ID pomocí popisků citlivosti
Převod místních účtů hostů na účty hosta Microsoft Entra B2B