Directivas para permitir el acceso de invitado y el acceso de usuarios externos B2B

  • Artículo

En este artículo se describe cómo ajustar las directivas recomendadas de acceso a dispositivos e identidades de Confianza cero para permitir el acceso de invitados y usuarios externos que tienen una cuenta Microsoft Entra de negocio a negocio (B2B). Esta guía se basa en las directivas comunes de acceso a dispositivos e identidades.

Estas recomendaciones están diseñadas para aplicarse al nivel de punto inicial de protección. Pero también puede ajustar las recomendaciones en función de sus necesidades específicas para la protección de seguridadempresarial y especializada.

Proporcionar una ruta de acceso para que las cuentas B2B se autentiquen con el inquilino de Microsoft Entra no proporciona a estas cuentas acceso a todo el entorno. Los usuarios B2B y sus cuentas tienen acceso a servicios y recursos, como archivos, compartidos con ellos mediante la directiva de acceso condicional.

Actualización de las directivas comunes para permitir y proteger el acceso de invitados y usuarios externos

En este diagrama se muestran las directivas que se van a agregar o actualizar entre las directivas comunes de acceso a dispositivos e identidades, para el acceso de usuario externo e invitado B2B.

Resumen de las actualizaciones de directivas para proteger el acceso de invitado

En la tabla siguiente se enumeran las directivas que debe crear y actualizar. Las directivas comunes se vinculan a las instrucciones de configuración asociadas en el artículo Directivas comunes de acceso a dispositivos e identidades .

Nivel de protección Directivas Más información
Punto de inicio Requerir MFA siempre para invitados y usuarios externos Cree esta nueva directiva y configure:
  • En Asignaciones > Los usuarios y grupos > incluyen, elija Seleccionar usuarios y grupos y, a continuación, seleccione Todos los usuarios invitados y externos.
  • En Condiciones > de asignaciones > Riesgo de inicio de sesión y seleccione todos los niveles de riesgo de inicio de sesión.
Requerir MFA cuando el riesgo de inicio de sesión es medio o alto Modifique esta directiva para excluir invitados y usuarios externos.

Para incluir o excluir invitados y usuarios externos en las directivas de acceso condicional, en Asignaciones > Los usuarios y grupos > incluyen o excluyen, active Todos los usuarios invitados y externos.

Controles para excluir invitados y usuarios externos

Más información

Acceso de invitados y usuarios externos con Microsoft Teams

Microsoft Teams define los siguientes usuarios:

  • El acceso de invitado usa una Microsoft Entra cuenta B2B que se puede agregar como miembro de un equipo y tener acceso a las comunicaciones y recursos del equipo.

  • El acceso externo es para un usuario externo que no tiene una cuenta B2B. El acceso de usuarios externos incluye invitaciones, llamadas, chats y reuniones, pero no incluye la pertenencia al equipo ni el acceso a los recursos del equipo.

Para obtener más información, consulte la comparación entre invitados y el acceso de usuarios externos para los equipos.

Para obtener más información sobre cómo proteger las directivas de acceso a dispositivos e identidades para Teams, consulte Recomendaciones de directivas para proteger chats, grupos y archivos de Teams.

Requerir MFA siempre para usuarios invitados y externos

Esta directiva solicita a los invitados que se registren para MFA en el inquilino, independientemente de si están registrados para MFA en su inquilino principal. Los invitados y los usuarios externos que acceden a los recursos del inquilino deben usar MFA para cada solicitud.

Exclusión de invitados y usuarios externos de MFA basada en riesgos

Aunque las organizaciones pueden aplicar directivas basadas en riesgos para los usuarios B2B mediante Protección de Microsoft Entra ID, existen limitaciones en la implementación de Protección de Microsoft Entra ID para los usuarios de colaboración B2B en un directorio de recursos porque su identidad existe en su directorio principal. Debido a estas limitaciones, Microsoft recomienda excluir a los invitados de las directivas de MFA basadas en riesgos y requerir que estos usuarios usen siempre MFA.

Para obtener más información, consulte Limitaciones de la protección de identificadores para los usuarios de colaboración B2B.

Exclusión de invitados y usuarios externos de la administración de dispositivos

Solo una organización puede administrar un dispositivo. Si no excluye a los invitados y usuarios externos de las directivas que requieren el cumplimiento del dispositivo, estas directivas bloquean a estos usuarios.

Paso siguiente

Directivas para aplicaciones en la nube de Microsoft 365 y Microsoft Defender for Cloud Apps

Configurar directivas de acceso condicional para: