Richtlinien zum Zulassen des Gastzugriffs und des B2B-Zugriffs durch externe B2B-Benutzer

  • Artikel

In diesem Artikel wird das Anpassen der empfohlenen Zero Trust Identitäts- und Gerätezugriffsrichtlinien erläutert, um Den Zugriff für Gäste und externe Benutzer zu ermöglichen, die über ein Microsoft Entra B2B-Konto (Business-to-Business) verfügen. Dieser Leitfaden baut auf den allgemeinen Identitäts- und Gerätezugriffsrichtlinien auf.

Diese Empfehlungen sind so konzipiert, dass sie auf die Ausgangsebene des Schutzes angewendet werden. Sie können die Empfehlungen aber auch basierend auf Ihren spezifischen Anforderungen für unternehmensspezifischen und spezialisierten Sicherheitsschutz anpassen.

Wenn Sie einen Pfad für B2B-Konten für die Authentifizierung bei Ihrem Microsoft Entra Mandanten angeben, erhalten diese Konten keinen Zugriff auf Ihre gesamte Umgebung. B2B-Benutzer und ihre Konten haben Zugriff auf Dienste und Ressourcen wie Dateien, die für sie durch die Richtlinie für bedingten Zugriff freigegeben werden.

Aktualisieren der allgemeinen Richtlinien zum Zulassen und Schützen von Gästen und externen Benutzern

Dieses Diagramm zeigt, welche Richtlinien zwischen den allgemeinen Identitäts- und Gerätezugriffsrichtlinien für den B2B-Gast- und externen Benutzerzugriff hinzugefügt oder aktualisiert werden sollen.

Zusammenfassung der Richtlinienupdates zum Schutz des Gastzugriffs

In der folgenden Tabelle sind die Richtlinien aufgeführt, die Sie erstellen und aktualisieren müssen. Die allgemeinen Richtlinien sind mit den zugehörigen Konfigurationsanweisungen im Artikel Allgemeine Identitäts- und Gerätezugriffsrichtlinien verknüpft .

Schutzebene Richtlinien Weitere Informationen
Ausgangspunkt MFA immer für Gäste und externe Benutzer anfordern Create diese neue Richtlinie aus, und konfigurieren Sie Folgendes:
  • Wählen Sie unter Zuweisungen > Benutzer und Gruppen > einschließen die Option Benutzer und Gruppen auswählen und dann Alle Gast- und externen Benutzer aus.
  • Wählen Sie für Zuordnungsbedingungen >> Anmelderisiko aus, und wählen Sie alle Anmelderisikostufen aus.
MFA erforderlich, wenn das Anmelderisiko mittel oder hoch ist Ändern Sie diese Richtlinie, um Gäste und externe Benutzer auszuschließen.

Um Gäste und externe Benutzer in Richtlinien für bedingten Zugriff einzuschließen oder auszuschließen, aktivieren Sie für Zuweisungen > Benutzer und Gruppen > Einschließen oder Ausschließendas Kontrollkästchen Alle Gastbenutzer und externen Benutzer.

Die Steuerelemente zum Ausschließen von Gästen und externen Benutzern

Weitere Informationen

Gast- und Externer Benutzerzugriff mit Microsoft Teams

Microsoft Teams definiert die folgenden Benutzer:

  • Der Gastzugriff verwendet ein Microsoft Entra B2B-Konto, das als Mitglied eines Teams hinzugefügt werden kann und Zugriff auf die Kommunikation und die Ressourcen des Teams hat.

  • Der externe Zugriff ist für einen externen Benutzer ohne B2B-Konto vorgesehen. Der Zugriff externer Benutzer umfasst Einladungen, Anrufe, Chats und Besprechungen, umfasst jedoch keine Teammitgliedschaft und den Zugriff auf die Ressourcen des Teams.

Weitere Informationen finden Sie im Vergleich zwischen Gästen und externem Benutzerzugriff für Teams.

Weitere Informationen zum Schützen von Identitäts- und Gerätezugriffsrichtlinien für Teams finden Sie unter Richtlinienempfehlungen zum Schützen von Teams-Chats, -Gruppen und -Dateien.

MFA immer für Gastbenutzer und externe Benutzer anfordern

Diese Richtlinie fordert Gäste auf, sich für MFA in Ihrem Mandanten zu registrieren, unabhängig davon, ob sie in ihrem Basismandanten für MFA registriert sind. Gäste und externe Benutzer, die auf Ressourcen in Ihrem Mandanten zugreifen, müssen MFA für jede Anforderung verwenden.

Ausschließen von Gästen und externen Benutzern von risikobasierter MFA

Während Organisationen risikobasierte Richtlinien für B2B-Benutzer mit Microsoft Entra ID Protection erzwingen können, gibt es Einschränkungen bei der Implementierung von Microsoft Entra ID Protection für B2B-Zusammenarbeitsbenutzer in einem Ressourcenverzeichnis, da ihre Identität in ihrem Basisverzeichnis vorhanden ist. Aufgrund dieser Einschränkungen empfiehlt Microsoft, Gäste von risikobasierten MFA-Richtlinien auszuschließen und zu verlangen, dass diese Benutzer immer MFA verwenden.

Weitere Informationen finden Sie unter Einschränkungen des ID-Schutzes für Benutzer der B2B-Zusammenarbeit.

Ausschließen von Gästen und externen Benutzern aus der Geräteverwaltung

Nur ein organization kann ein Gerät verwalten. Wenn Sie Gäste und externe Benutzer nicht von Richtlinien ausschließen, die Gerätekonformität erfordern, blockieren diese Richtlinien diese Benutzer.

Nächster Schritt

Richtlinien für Microsoft 365-Cloud-Apps und Microsoft Defender for Cloud Apps

Konfigurieren von Richtlinien für bedingten Zugriff für: