Freigeben über

Voraussetzungen für Gastkonto

  • Artikel

Microsoft Managed Desktop erfordert die folgenden Einstellungen in Ihrem Microsoft Entra organization für den Gastkontozugriff. Sie können diese Einstellungen im Azure-Portal unter Externe Identitäten / Externe Zusammenarbeit anpassen:

  • Administratoren und Benutzer mit der Rolle "Gasteinladung" können die Einladung auf Ja festlegen.
  • Wählen Sie für Einschränkungen für die Zusammenarbeit eine der folgenden Optionen aus:
    • Wenn Sie Zulassen, dass Einladungen an eine beliebige Domäne gesendet werden (einschließlich) auswählen, ist keine andere Konfiguration erforderlich.
    • Wenn Sie Einladungen an die angegebenen Domänen verweigern auswählen, stellen Sie sicher, dass Microsoft.com nicht in den Zieldomänen aufgeführt ist.
    • Wenn Sie Nur für die angegebenen Domänen Einladungen zulassen (am restriktivsten) auswählen, stellen Sie sicher, dass Microsoft.com in den Zieldomänen aufgeführt ist.

Rollen- und Gruppenerstellung während der Registrierung

Wenn Ihr Mandant beim Dienst registriert ist, erstellt Microsoft eine Gruppe pro Rolle in Ihrem Microsoft Entra organization.

Beispiel für den Zugriffsprozess des Gastkontos

  1. Eine Warnung wird vom SoC-Team (Microsoft Managed Desktop Secure Operations Center) empfangen.
  2. Ein SOC-Techniker sendet eine einmalige Zugriffsanforderung für die Rolle "Sicherheitsadministrator".
  3. Je nach Aufgabenanforderung muss das Team möglicherweise einen einmaligen Zugriff mit Genehmigung oder automatischer Genehmigung anfordern.
    1. Nachdem die rollenspezifische Anforderung abgeschlossen wurde, meldet sich der SOC-Servicetechniker beim Microsoft Defender-Portal des Mandanten an und untersucht die Warnung. Primäre Ermittlungsaktionen während einer typischen Warnungsuntersuchung können Elemente wie die folgenden umfassen:
      1. Überprüfen Sie die warnungsspezifischen Details, die von Defender aufgefüllt werden.
      2. Klassifizieren, Festlegen des Zustands oder Kommentieren sie den Incident oder die Warnung.
      3. Überprüfen der Details der Geräte-Zeitleiste- und Incidentseite.
      4. Genehmigen oder Verweigern von Korrekturaktionen.
      5. Starten Sie automatisierte Untersuchungen.
    2. Verwenden Sie erweiterte Huntfunktionen .
  4. Wenn diese Aktionen abgeschlossen sind, meldet sich der SOC-Techniker vom Mandanten ab und schließt die Anforderung.

Einstellungen für die externe Zusammenarbeit

Microsoft Managed Desktop empfiehlt die folgende Konfiguration in Ihrem Microsoft Entra organization für den Gastkontozugriff. Sie können diese Einstellungen im Azure-Portal unter Externe Identitäten/Einstellungen für die externe Zusammenarbeit anpassen:

Einstellung Beschreibung
Gastzugriff Gäste haben eingeschränkten Zugriff auf Eigenschaften und Mitgliedschaften von Verzeichnisobjekten.
Gasteinladungseinstellungen Mitgliedsbenutzer und Benutzer, die bestimmten Administratorrollen zugewiesen sind, können Gastbenutzer einschließlich Gästen mit Mitgliedsberechtigungen einladen

Microsoft Managed Desktop erfordert die folgende Konfiguration in Ihrem Microsoft Entra organization für den Gastkontozugriff. Sie können diese Einstellung im Azure-Portal unter Externe Identitäten/Einstellungen für die externe Zusammenarbeit anpassen:

Setting Option
Einschränkungen für die Zusammenarbeit Wählen Sie eine der folgenden Optionen aus:
  • Wenn Sie Senden von Einladungen an beliebige Domäne zulassen (am umfassendsten) auswählen, ist keine weitere Konfiguration erforderlich.
  • Wenn Sie Verweigern von Einladungen für die angegebenen Domänen auswählen, stellen Sie sicher, dass Microsoft.com nicht in den Zieldomänen aufgeführt ist.
  • Wenn Sie Nur für die angegebenen Domänen Einladungen zulassen (am restriktivsten) auswählen, stellen Sie sicher, dass Microsoft.com in den Zieldomänen aufgeführt ist.

    Wenn Sie Einschränkungen festlegen, die mit diesen Einstellungen interagieren, stellen Sie sicher, dass Sie die Microsoft Entra ID Modern Workplace Service-Konten ausschließen. Wenn Sie beispielsweise über eine Richtlinie für bedingten Zugriff verfügen, die verhindert, dass Gastkonten auf das Intune-Portal zugreifen, schließen Sie die Gruppe Modern Workplace-Dienstkonten aus dieser Richtlinie aus.

    Weitere Informationen hierzu finden Sie unter Aktivieren der externen B2B-Zusammenarbeit und Verwalten, wer Gäste einladen kann.

    Nicht lizenzierter Intune-Administrator

    Die Einstellung Zugriff für Administratoren ohne Lizenz zulassen muss aktiviert sein. Wenn diese Einstellung nicht aktiviert ist, können Fehler auftreten, wenn wir versuchen, auf Ihre Microsoft Entra organization für den Dienst zuzugreifen. Sie können diese Einstellung aktivieren, ohne sich Gedanken über sicherheitsrelevante Auswirkungen machen zu müssen. Der Zugriffsbereich wird durch die Rollen definiert, die Benutzern zugewiesen sind, einschließlich unserer Mitarbeiter.

    So aktivieren Sie diese Einstellung:

    1. Wechseln Sie zum Microsoft Intune Admin Center.
    2. Navigieren Sie zur Mandantenverwaltung, und wählen Sie Rollen aus. Wählen Sie dann Administratorlizenzierung aus.
    3. Wählen Sie im Abschnitt Zugriff für Administratoren ohne Lizenz zulassen die Option Ja aus.

    Wichtig

    Sie können diese Einstellung nicht rückgängig machen, nachdem Sie Ja ausgewählt haben.

    Weitere Informationen finden Sie unter Nicht lizenzierte Administratoren in Microsoft Intune.