Prerequisiti dell'account guest

  • Articolo

Microsoft Managed Desktop richiede le impostazioni seguenti nell'organizzazione Microsoft Entra per l'accesso all'account guest. È possibile modificare queste impostazioni nel portale di Azure in Identità esterne/Collaborazione esterna:

  • Gli amministratori e gli utenti con il ruolo di invitatore guest possono impostare invite su .
  • Per Le restrizioni di collaborazione scegliere una delle opzioni seguenti:
    • Se si seleziona Consenti l'invio di inviti a qualsiasi dominio (più inclusivo), non è necessaria alcuna altra configurazione.
    • Se si seleziona Nega inviti ai domini specificati, assicurarsi che Microsoft.com non sia elencato nei domini di destinazione.
    • Se si seleziona Consenti inviti solo ai domini specificati (più restrittivi), assicurarsi che Microsoft.com sia elencato nei domini di destinazione.

Creazione di ruoli e gruppi durante la registrazione

Quando il tenant viene registrato nel servizio, Microsoft crea un gruppo per ruolo nell'organizzazione Microsoft Entra.

Esempio del processo di accesso all'account guest

  1. La notifica di avviso viene ricevuta dal team di Microsoft Managed Desktop Secure Operations Center (SOC).
  2. Un tecnico soc invia una richiesta di accesso una tantum per il ruolo di amministratore della sicurezza.
  3. A seconda del requisito dell'attività, il team potrebbe dover richiedere l'accesso una tantum con approvazione o approvazione automatica.
    1. Dopo aver completato la richiesta specifica del ruolo, il tecnico del servizio SOC accede al portale di Microsoft Defender del tenant e analizza l'avviso. Le azioni investigative principali durante un'indagine di avviso tipica possono includere elementi come:
      1. Esaminare i dettagli specifici dell'avviso popolati da Defender.
      2. Classificare, impostare lo stato o commentare l'evento imprevisto o l'avviso.
      3. Esaminare i dettagli della sequenza temporale del dispositivo e della pagina degli eventi imprevisti.
      4. Approvare o negare le azioni correttive.
      5. Avviare indagini automatizzate.
    2. Usare le funzionalità di ricerca avanzata .
  4. Al termine di queste azioni, il tecnico SOC disconnette il tenant e chiude la richiesta.

Impostazioni di collaborazione esterna

Microsoft Managed Desktop consiglia la configurazione seguente nell'organizzazione Microsoft Entra per l'accesso all'account guest. È possibile modificare queste impostazioni nel portale di Azure in Identità esterne/Impostazioni di collaborazione esterna:

Impostazione Descrizione
Accesso guest I guest hanno accesso limitato alle proprietà e alle appartenenze degli oggetti directory.
Impostazioni per gli inviti degli utenti guest Gli utenti membri e gli utenti assegnati a ruoli di amministratore specifici possono invitare utenti guest, inclusi gli utenti guest con autorizzazioni di membro

Microsoft Managed Desktop richiede la configurazione seguente nell'organizzazione Microsoft Entra per l'accesso all'account guest. È possibile modificare questa impostazione nel portale di Azure in Identità esterne/Impostazioni di collaborazione esterna:

Impostazione Opzione
Restrizioni di collaborazione Selezionare una delle opzioni seguenti:
  • Se si seleziona Consenti l'invio di inviti a qualsiasi dominio (più inclusivo), non sono necessarie altre configurazioni.
  • Se si seleziona Nega inviti ai domini specificati, assicurarsi che Microsoft.com non sia elencato nei domini di destinazione.
  • Se si seleziona Consenti inviti solo ai domini specificati (più restrittivi), assicurarsi che Microsoft.com sia elencato nei domini di destinazione.

    Se si impostano restrizioni che interagiscono con queste impostazioni, assicurarsi di escludere l'ID Microsoft Entra Modern Workplace Service Accounts .If you set restrictions that interact with these settings, ensure to exclude the Microsoft Entra ID Modern Workplace Service Accounts.If you set restrictions that interact with these settings, ensure to exclude the Microsoft Entra ID Modern Workplace Service Accounts Ad esempio, se si dispone di un criterio di accesso condizionale che impedisce agli account guest di accedere al portale di Intune, escludere il gruppo account di servizio Modern Workplace da questo criterio.

    Per altre informazioni, vedere Abilitare la collaborazione esterna B2B e gestire gli utenti che possono invitare guest.

    Amministratore Intune senza licenza

    L'impostazione Consenti l'accesso agli amministratori senza licenza deve essere abilitata. Senza questa impostazione abilitata, è possibile che si verifichino errori quando si tenta di accedere all'organizzazione Microsoft Entra per il servizio. È possibile abilitare questa impostazione in modo sicuro senza preoccuparsi delle implicazioni per la sicurezza. L'ambito di accesso è definito dai ruoli assegnati agli utenti, incluso il personale operativo.

    Per abilitare questa impostazione:

    1. Passare all'interfaccia di amministrazione Microsoft Intune.
    2. Passare a Amministrazione tenant, selezionare Ruoli. Selezionare quindi Licenze amministratore.
    3. Nella sezione Consenti l'accesso agli amministratori senza licenza selezionare .

    Importante

    Non è possibile annullare questa impostazione dopo aver selezionato .

    Per altre informazioni, vedere Amministratori senza licenza in Microsoft Intune.