Přechod na řízenou spolupráci pomocí spolupráce Microsoft Entra B2B

  • Článek

Pochopení spolupráce pomáhá zabezpečit externí přístup k vašim prostředkům. Informace v tomto článku slouží k přesunutí externí spolupráce do spolupráce Microsoft Entra B2B.

Než začnete

Tento článek je číslo 5 v řadě 10 článků. Doporučujeme, abyste si články prostudovali v pořadí. Pokud chcete zobrazit celou řadu, přejděte do části Další kroky .

Řízení spolupráce

Organizace, se kterými uživatelé spolupracují (příchozí a odchozí), můžete omezit a kdo ve vaší organizaci může pozvat hosty. Většina organizací umožňuje obchodním jednotkám rozhodovat o spolupráci a delegovat schvalování a dohled. Například organizace ve státní správě, vzdělávání a financí často neumožňují otevřenou spolupráci. K řízení spolupráce můžete použít funkce Microsoft Entra.

Pokud chcete řídit přístup k tenantovi, nasaďte jedno nebo několik následujících řešení:

  • Nastavení externí spolupráce – omezení e-mailových domén, na které pozvánky přejdou
  • Nastavení přístupu mezi tenanty – řídí přístup k aplikacím hosty podle uživatele, skupiny nebo tenanta (příchozí). Řízení externího tenanta Microsoft Entra a přístupu k aplikacím pro uživatele (odchozí).
  • Připojení organizací – určení, které organizace můžou požádat o přístupové balíčky ve správě nároků

Určení partnerů pro spolupráci

V případě potřeby zdokumentujte organizace, se kterými spolupracujete, a domény uživatelů organizace. Omezení založená na doméně můžou být nepraktická. Jeden partner pro spolupráci může mít více domén a partner může přidávat domény. Například partner s více organizačními jednotkami s samostatnými doménami může při konfiguraci synchronizace přidat další domény.

Pokud vaši uživatelé používají Microsoft Entra B2B, můžete zjistit externí tenanty Microsoft Entra, se kterými spolupracují, pomocí protokolů přihlašování, PowerShellu nebo sešitu. Další informace:

Budoucí spolupráci můžete povolit s:

  • Externí organizace – nejvíce inkluzivní
  • Externí organizace, ale ne odepřené organizace
  • Konkrétní externí organizace – nejvíce omezující

Poznámka:

Pokud jsou nastavení spolupráce vysoce omezující, můžou uživatelé přejít mimo rámec spolupráce. Doporučujeme povolit širokou spolupráci, kterou vaše požadavky na zabezpečení umožňují.

Omezení jedné domény můžou zabránit autorizované spolupráci s organizacemi, které mají jiné nesouvisející domény. Například počáteční kontaktní bod se společností Contoso může být zaměstnanec založený na USA s e-mailem, který má .com doménu. Pokud ale povolíte jenom .com doménu, můžete vynechat kanadské zaměstnance, kteří mají .ca doménu.

Konkrétním partnerům pro spolupráci můžete povolit podmnožinu uživatelů. Univerzita může například omezit přístup k externím tenantům účtů studentů, ale může umožnit fakultě spolupracovat s externími organizacemi.

Seznam povolených a blokovaných položek s nastavením externí spolupráce

Pro organizace můžete použít seznam povolených nebo blokovaných položek. Můžete použít seznam povolených položek nebo seznam blokovaných položek, nikoli oba.

  • Seznam povolených položek – omezte spolupráci na seznam domén. Ostatní domény jsou na seznamu blokovaných domén.
  • Seznam blokovaných položek – Povolení spolupráce s doménami, které nejsou na seznamu blokovaných

Další informace: Povolení nebo blokování pozvánek pro uživatele B2B z konkrétních organizací

Důležité

Seznamy povolených a blokovaných seznamů se nevztahují na uživatele ve vašem adresáři. Ve výchozím nastavení se nevztahují na OneDrive pro firmy a seznam povolených nebo blokovaných seznamů SharePointu. Tyto seznamy jsou oddělené. Integraci SharePoint-OneDrive B2B ale můžete povolit.

Některé organizace mají seznam blokovaných domén bad actor od spravovaného poskytovatele zabezpečení. Pokud například organizace podniká se společností Contoso a používá .com doménu, může nesouvisející organizace doménu použít .org a pokusit se o útok phishing.

Nastavení přístupu mezi tenanty

Příchozí a odchozí přístup můžete řídit pomocí nastavení přístupu mezi tenanty. Kromě toho můžete důvěřovat vícefaktorovým ověřováním, vyhovujícím zařízením a deklaracem identity zařízení s hybridním připojeným systémem Microsoft Entra (HAAJD) z externích tenantů Microsoft Entra. Když nakonfigurujete zásady organizace, platí pro tenanta Microsoft Entra a platí pro uživatele v tomto tenantovi bez ohledu na příponu domény.

Můžete povolit spolupráci napříč cloudy Microsoftu, jako je Microsoft Azure provozovaný společností 21Vianet nebo Azure Government. Určete, jestli se partneři pro spolupráci nacházejí v jiném cloudu Microsoftu.

Další informace:

Můžete povolit příchozí přístup ke konkrétním tenantům (seznam povolených) a nastavit výchozí zásadu tak, aby blokovala přístup. Pak vytvořte zásady organizace, které umožňují přístup podle uživatele, skupiny nebo aplikace.

Přístup k tenantům (seznam blokovaných položek) můžete zablokovat. Nastavte výchozí zásadu na Povolit a pak vytvořte zásady organizace, které blokují přístup k některým tenantům.

Poznámka:

Nastavení přístupu mezi tenanty, příchozí přístup nezabrání uživatelům v odesílání pozvánek ani jim nebrání v uplatnění. Řídí ale přístup k aplikacím a určuje, jestli je token vystaven uživateli typu host. Pokud host může uplatnit pozvánku, zásady zablokuje přístup k aplikacím.

Pokud chcete řídit přístup externích organizací, nakonfigurujte zásady odchozího přístupu podobně jako příchozí přístup: seznam povolených a blokovaných. Nakonfigurujte výchozí zásady a zásady specifické pro organizaci.

Další informace: Konfigurace nastavení přístupu mezi tenanty pro spolupráci B2B

Poznámka:

Nastavení přístupu mezi tenanty platí pro tenanty Microsoft Entra. Pokud chcete řídit přístup pro partnery, kteří nepoužívají ID Microsoft Entra, použijte nastavení externí spolupráce.

Správa nároků a připojené organizace

Správa nároků slouží k zajištění automatického řízení životního cyklu hosta. Vytvářejte přístupové balíčky a publikujte je externím uživatelům nebo připojeným organizacím, které podporují tenanty Microsoft Entra a další domény. Při vytváření přístupového balíčku omezte přístup k připojeným organizacím.

Další informace: Co je správa nároků?

Řízení přístupu externího uživatele

Pokud chcete zahájit spolupráci, pozvěte nebo povolte partnerovi přístup k prostředkům. Uživatelé získají přístup pomocí:

Když povolíte Microsoft Entra B2B, můžete pozvat uživatele typu host pomocí odkazů a e-mailových pozvánek. Samoobslužná registrace a publikování přístupových balíčků na portálu Můj přístup vyžadují další konfiguraci.

Poznámka:

Samoobslužná registrace vynucuje v nastavení externí spolupráce žádný seznam povolených nebo blokovaných položek. Místo toho použijte nastavení přístupu mezi tenanty. Seznam povolených a blokovaných seznamů můžete integrovat se samoobslužnou registraci pomocí vlastních konektorů rozhraní API. Viz přidání konektoru rozhraní API do toku uživatele.

Pozvánky uživatelů typu host

Určete, kdo může pozvat uživatele typu host, aby přistupovali k prostředkům.

  • Nejvíce omezující: Povolit pouze správcům a uživatelům s rolí Pozvat hosta
  • Pokud požadavky na zabezpečení povolují, povolte všem členům userType pozvání hostů.
  • Určení, jestli typ uživatele typu host může pozvat hosty

    • Host je výchozí uživatelský účet Microsoft Entra B2B.

      Screenshot of guest invitation settings.

Informace o externím uživateli

Ke konfiguraci otázek, které odpovídají externí uživatelé, použijte správu nároků Microsoft Entra. Zdá se, že se schvalovatelům zobrazí otázky, které jim pomůžou při rozhodování. Pro každou zásadu přístupového balíčku můžete nakonfigurovat sady otázek, takže schvalovatelé mají relevantní informace pro přístup, který schvalují. Například požádejte dodavatele o číslo smlouvy dodavatele.

Další informace: Změna nastavení informací o schválení a žadateli pro přístupový balíček ve správě nároků

Pokud používáte samoobslužný portál, pomocí konektorů rozhraní API shromážděte atributy uživatelů během registrace. Pomocí atributů přiřaďte přístup. Na webu Azure Portal můžete vytvářet vlastní atributy a používat je v tocích uživatelů samoobslužné registrace. Tyto atributy můžete číst a zapisovat pomocí rozhraní Microsoft Graph API.

Další informace:

Řešení potíží s uplatněním pozvánky pro uživatele Microsoft Entra

Pozvaní uživatelé typu host z partnera pro spolupráci můžou mít potíže s uplatněním pozvánky. Zmírnění rizik najdete v následujícím seznamu.

  • Doména uživatele není na seznamu povolených
  • Omezení domovského tenanta partnera brání externí spolupráci.
  • Uživatel není v partnerském tenantovi Microsoft Entra. Například uživatelé v contoso.com jsou ve službě Active Directory.

Přístup externího uživatele

Obecně platí, že existují prostředky, které můžete sdílet s externími uživateli, a některé nemůžete. Můžete řídit, k jakým externím uživatelům mají přístup.

Další informace: Správa externího přístupu pomocí správy nároků

Ve výchozím nastavení vidí uživatelé typu host informace a atributy o členech tenanta a dalších partnerech, včetně členství ve skupinách. Zvažte omezení přístupu externích uživatelů k tomuto informacím.

Screenshot of Guest User access options on External collaboration settings.

Doporučujeme následující omezení pro uživatele typu host:

  • Omezení přístupu hostů ke skupinám procházení a dalším vlastnostem v adresáři
    • Použití nastavení externí spolupráce k omezení hostů ve skupinách čtení, které nejsou členy
  • Blokování přístupu k aplikacím jen pro zaměstnance
    • Vytvoření zásady podmíněného přístupu pro blokování přístupu k integrovaným aplikacím Microsoft Entra pro uživatele bez hosta
  • Blokování přístupu k webu Azure Portal
    • Můžete provést potřebné výjimky.
    • Vytvořte zásadu podmíněného přístupu se všemi hosty a externími uživateli. Implementujte zásadu pro blokování přístupu.

Další informace: Podmíněný přístup: Cloudové aplikace, akce a kontext ověřování

Odebrání uživatelů, kteří nepotřebují přístup

Vytvořte proces kontroly a odebrání uživatelů, kteří nepotřebují přístup. Zahrňte externí uživatele do vašeho tenanta jako hosty a uživatele s členskými účty.

Další informace: Kontrola a odebrání externích uživatelů, kteří už nemají přístup k prostředkům, použijte zásady správného řízení Microsoft Entra ID.

Některé organizace přidávají externí uživatele jako členy (dodavatelé, partneři a dodavatelé). Přiřazení atributu nebo uživatelského jména:

  • Dodavatelé – v-alias@contoso.com
  • Partneři – p-alias@contoso.com
  • Dodavatelé - c-alias@contoso.com

Vyhodnoťte externí uživatele s členskými účty a určete přístup. Můžete mít uživatele typu host, kteří nejsou pozváni prostřednictvím správy nároků nebo Microsoft Entra B2B.

Vyhledání těchto uživatelů:

Přechod aktuálních externích uživatelů na Microsoft Entra B2B

Pokud nepoužíváte Microsoft Entra B2B, pravděpodobně máte ve svém tenantovi uživatele, kteří nejsou zaměstnanci. Tyto účty doporučujeme převést na externí uživatelské účty Microsoft Entra B2B a pak změnit typ uživatele na Host. Ke zpracování externích uživatelů použijte Microsoft Entra ID a Microsoft 365.

Zahrnout nebo vyloučit:

  • Uživatelé typu host v zásadách podmíněného přístupu
  • Uživatelé typu host v přístupových balíčcích a kontrolách přístupu
  • Externí přístup k Microsoft Teams, SharePointu a dalším prostředkům

Tyto interní uživatele můžete přecházet při zachování aktuálního přístupu, hlavního názvu uživatele (UPN) a členství ve skupinách.

Další informace: Pozvání externích uživatelů ke spolupráci B2B

Vyřazení metod spolupráce z provozu

Pokud chcete dokončit přechod na řízenou spolupráci, vyřadíte z provozu nežádoucí metody spolupráce. Vyřazení z provozu je založeno na úrovni kontroly, která se má vyvíjet na spolupráci, a na stavu zabezpečení. Přečtěte si téma Určení stavu zabezpečení pro externí přístup.

Pozvánka k Microsoft Teams

Teams ve výchozím nastavení povoluje externí přístup. Organizace může komunikovat s externími doménami. Pokud chcete omezit nebo povolit domény pro Teams, použijte Centrum pro správu Teams.

Sdílení prostřednictvím SharePointu a OneDrivu

Sdílení prostřednictvím SharePointu a OneDrivu přidává uživatele, kteří nejsou v procesu správy nároků.

E-mailové dokumenty a popisky citlivosti

Uživatelé odesílají dokumenty externím uživatelům e-mailem. Popisky citlivosti můžete použít k omezení a šifrování přístupu k dokumentům.

Přečtěte si další informace o popiscích citlivosti.

Neschválené nástroje pro spolupráci

Někteří uživatelé pravděpodobně používají Google Docs, Dropbox, Slack nebo Zoom. Používání těchto nástrojů můžete blokovat z podnikové sítě, na úrovni brány firewall a pomocí správy mobilních aplikací pro zařízení spravovaná organizací. Tato akce ale blokuje schválené instance a neblokuje přístup z nespravovaných zařízení. Blokujte nástroje, které nechcete, a vytvořte zásady pro žádné neschválené využití.

Další informace o řízení aplikací najdete v tématech:

Další kroky

V následujících sérii článků se dozvíte o zabezpečení externího přístupu k prostředkům. Doporučujeme postupovat podle uvedeného pořadí.

  1. Určení stavu zabezpečení pro externí přístup pomocí Microsoft Entra ID

  2. Zjištění aktuálního stavu externí spolupráce ve vaší organizaci

  3. Vytvoření plánu zabezpečení pro externí přístup k prostředkům

  4. Zabezpečení externího přístupu pomocí skupin v Microsoft Entra ID a Microsoftu 365

  5. Přechod na řízenou spolupráci pomocí spolupráce Microsoft Entra B2B (tady jste)

  6. Správa externího přístupu pomocí správy nároků Microsoft Entra

  7. Správa externího přístupu k prostředkům pomocí zásad podmíněného přístupu

  8. Řízení externího přístupu k prostředkům v Microsoft Entra ID pomocí popisků citlivosti

  9. Zabezpečení externího přístupu k Microsoft Teams, SharePointu a OneDrive pro firmy pomocí Microsoft Entra ID

  10. Převod místních účtů hostů na účty hosta Microsoft Entra B2B