Richtlinien zum Zulassen des Gastzugriffs und des B2B-Zugriffs durch externe B2B-Benutzer
In diesem Artikel wird das Anpassen der empfohlenen Zero Trust Identitäts- und Gerätezugriffsrichtlinien erläutert, um Den Zugriff für Gäste und externe Benutzer zu ermöglichen, die über ein Microsoft Entra B2B-Konto (Business-to-Business) verfügen. Dieser Leitfaden baut auf den allgemeinen Identitäts- und Gerätezugriffsrichtlinien auf.
Diese Empfehlungen sind so konzipiert, dass sie auf die Ausgangsebene des Schutzes angewendet werden. Sie können die Empfehlungen aber auch basierend auf Ihren spezifischen Anforderungen für unternehmensspezifischen und spezialisierten Sicherheitsschutz anpassen.
Wenn Sie einen Pfad für B2B-Konten für die Authentifizierung bei Ihrem Microsoft Entra Mandanten angeben, erhalten diese Konten keinen Zugriff auf Ihre gesamte Umgebung. B2B-Benutzer und ihre Konten haben Zugriff auf Dienste und Ressourcen wie Dateien, die für sie durch die Richtlinie für bedingten Zugriff freigegeben werden.
Aktualisieren der allgemeinen Richtlinien zum Zulassen und Schützen von Gästen und externen Benutzern
Dieses Diagramm zeigt, welche Richtlinien zwischen den allgemeinen Identitäts- und Gerätezugriffsrichtlinien für den B2B-Gast- und externen Benutzerzugriff hinzugefügt oder aktualisiert werden sollen.
In der folgenden Tabelle sind die Richtlinien aufgeführt, die Sie erstellen und aktualisieren müssen. Die allgemeinen Richtlinien sind mit den zugehörigen Konfigurationsanweisungen im Artikel Allgemeine Identitäts- und Gerätezugriffsrichtlinien verknüpft .
Schutzebene | Richtlinien | Weitere Informationen |
---|---|---|
Ausgangspunkt | MFA immer für Gäste und externe Benutzer anfordern | Create diese neue Richtlinie aus, und konfigurieren Sie Folgendes:
|
MFA erforderlich, wenn das Anmelderisiko mittel oder hoch ist | Ändern Sie diese Richtlinie, um Gäste und externe Benutzer auszuschließen. |
Um Gäste und externe Benutzer in Richtlinien für bedingten Zugriff einzuschließen oder auszuschließen, aktivieren Sie für Zuweisungen > Benutzer und Gruppen > Einschließen oder Ausschließendas Kontrollkästchen Alle Gastbenutzer und externen Benutzer.
Weitere Informationen
Gast- und Externer Benutzerzugriff mit Microsoft Teams
Microsoft Teams definiert die folgenden Benutzer:
Der Gastzugriff verwendet ein Microsoft Entra B2B-Konto, das als Mitglied eines Teams hinzugefügt werden kann und Zugriff auf die Kommunikation und die Ressourcen des Teams hat.
Der externe Zugriff ist für einen externen Benutzer ohne B2B-Konto vorgesehen. Der Zugriff externer Benutzer umfasst Einladungen, Anrufe, Chats und Besprechungen, umfasst jedoch keine Teammitgliedschaft und den Zugriff auf die Ressourcen des Teams.
Weitere Informationen finden Sie im Vergleich zwischen Gästen und externem Benutzerzugriff für Teams.
Weitere Informationen zum Schützen von Identitäts- und Gerätezugriffsrichtlinien für Teams finden Sie unter Richtlinienempfehlungen zum Schützen von Teams-Chats, -Gruppen und -Dateien.
MFA immer für Gastbenutzer und externe Benutzer anfordern
Diese Richtlinie fordert Gäste auf, sich für MFA in Ihrem Mandanten zu registrieren, unabhängig davon, ob sie in ihrem Basismandanten für MFA registriert sind. Gäste und externe Benutzer, die auf Ressourcen in Ihrem Mandanten zugreifen, müssen MFA für jede Anforderung verwenden.
Ausschließen von Gästen und externen Benutzern von risikobasierter MFA
Während Organisationen risikobasierte Richtlinien für B2B-Benutzer mit Microsoft Entra ID Protection erzwingen können, gibt es Einschränkungen bei der Implementierung von Microsoft Entra ID Protection für B2B-Zusammenarbeitsbenutzer in einem Ressourcenverzeichnis, da ihre Identität in ihrem Basisverzeichnis vorhanden ist. Aufgrund dieser Einschränkungen empfiehlt Microsoft, Gäste von risikobasierten MFA-Richtlinien auszuschließen und zu verlangen, dass diese Benutzer immer MFA verwenden.
Weitere Informationen finden Sie unter Einschränkungen des ID-Schutzes für Benutzer der B2B-Zusammenarbeit.
Ausschließen von Gästen und externen Benutzern aus der Geräteverwaltung
Nur ein organization kann ein Gerät verwalten. Wenn Sie Gäste und externe Benutzer nicht von Richtlinien ausschließen, die Gerätekonformität erfordern, blockieren diese Richtlinien diese Benutzer.
Nächster Schritt
Konfigurieren von Richtlinien für bedingten Zugriff für:
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für