Directivas para permitir el acceso de invitado y el acceso de usuarios externos B2B

En este artículo se describe cómo ajustar las directivas recomendadas de acceso a dispositivos y identidad de confianza cero para permitir el acceso a invitados y usuarios externos que tienen una cuenta de Azure Active Directory (Azure AD) empresa a empresa (B2B). Esta guía se basa en las directivas comunes de acceso a dispositivos y identidades.

Estas recomendaciones están diseñadas para aplicarse al nivel de punto inicial de protección. Pero también puede ajustar las recomendaciones en función de sus necesidades específicas de protección de seguridad especializada y empresarial.

Proporcionar una ruta de acceso para que las cuentas B2B se autentiquen con su Azure AD inquilino no proporciona a estas cuentas acceso a todo el entorno. Los usuarios B2B y sus cuentas tienen acceso a servicios y recursos, como archivos, compartidos con ellos mediante la directiva de acceso condicional.

Actualizar las directivas comunes para permitir y proteger el acceso de invitados y usuarios externos

En este diagrama se muestran las directivas que se agregarán o actualizarán entre las directivas comunes de acceso a dispositivos y identidades, para el acceso de invitado b2B y de usuario externo.

En la tabla siguiente se enumeran las directivas que debe crear y actualizar. Las directivas comunes se vinculan a las instrucciones de configuración asociadas en el artículo Identidad común y directivas de acceso a dispositivos.

Para incluir o excluir invitados y usuarios externos en directivas de acceso condicional, para Asignaciones > Usuarios y grupos > Incluir o Excluir, compruebe Todos los usuarios invitados y externos.

Más información

Invitados y acceso de usuario externo con Microsoft Teams

Microsoft Teams define los siguientes usuarios:

• El acceso de invitado usa Azure AD cuenta B2B que se puede agregar como miembro de un equipo y tener acceso a las comunicaciones y recursos del equipo.

• El acceso externo es para un usuario externo que no tiene una cuenta B2B. El acceso de usuarios externos incluye invitaciones, llamadas, chats y reuniones, pero no incluye la pertenencia al equipo ni el acceso a los recursos del equipo.

Para obtener más información, vea la comparación entre invitados y el acceso de usuarios externos para teams.

Para obtener más información sobre cómo proteger las directivas de acceso a dispositivos y identidades para Teams, consulte Policy recommendations for securing Teams chats, groups, and files.

Requerir MFA siempre para usuarios invitados y externos

Esta directiva solicita a los invitados que se registren en MFA en el inquilino, independientemente de si están registrados para MFA en su inquilino principal. Al obtener acceso a recursos en el inquilino, los invitados y los usuarios externos deben usar MFA para cada solicitud.

Excluir invitados y usuarios externos de MFA basada en riesgos

Aunque las organizaciones pueden aplicar directivas basadas en riesgos para los usuarios de B2B mediante la protección de identidades de Azure AD, existen limitaciones en la implementación de la protección de identidades de Azure AD para los usuarios de colaboración B2B en un directorio de recursos debido a su identidad existente en su directorio principal. Debido a estas limitaciones, Microsoft recomienda excluir invitados de las directivas de MFA basadas en riesgos y requerir que estos usuarios usen siempre MFA.

Para obtener más información, vea Limitations of Identity Protection for B2B collaboration users.

Excluir invitados y usuarios externos de la administración de dispositivos

Solo una organización puede administrar un dispositivo. Si no excluyes a los invitados ni a los usuarios externos de las directivas que requieren el cumplimiento de dispositivos, estas directivas bloquearán a estos usuarios.

Paso siguiente

Configurar directivas de acceso condicional para:

• Microsoft Teams
• Exchange Online
• SharePoint
• Microsoft Defender for Cloud Apps