Criteri per consentire l'accesso guest e l'accesso utente esterno B2B
Questo articolo illustra la modifica dei criteri consigliati per l'identità e l'accesso ai dispositivi Zero Trust per consentire l'accesso per utenti guest ed esterni con un account business-to-business (B2B) Microsoft Entra. Queste linee guida si basano sui criteri comuni di identità e accesso ai dispositivi.
Queste raccomandazioni sono progettate per essere applicate al livello di protezione del punto iniziale . È anche possibile modificare le raccomandazioni in base alle esigenze specifiche per la protezione dellasicurezza aziendale e specializzata .
Fornire un percorso per l'autenticazione degli account B2B con il tenant Microsoft Entra non consente a questi account di accedere all'intero ambiente. Gli utenti B2B e i relativi account hanno accesso a servizi e risorse, ad esempio file, condivisi con loro dai criteri di accesso condizionale.
Aggiornamento dei criteri comuni per consentire e proteggere gli utenti guest e l'accesso degli utenti esterni
Questo diagramma mostra i criteri da aggiungere o aggiornare tra i criteri comuni di identità e accesso ai dispositivi, per l'accesso guest B2B e utente esterno.
Nella tabella seguente sono elencati i criteri che è necessario creare e aggiornare. I criteri comuni sono collegati alle istruzioni di configurazione associate nell'articolo Criteri comuni di identità e accesso ai dispositivi .
Livello di protezione | Criteri | Altre informazioni |
---|---|---|
Punto iniziale | Richiedere l'autenticazione a più fattori sempre per utenti guest ed utenti esterni | Create questo nuovo criterio e configurare:
|
Richiedere l'autenticazione a più fattori quando il rischio di accesso è medio o alto | Modificare questo criterio per escludere utenti guest ed utenti esterni. |
Per includere o escludere guest e utenti esterni nei criteri di accesso condizionale, per Assegnazioni > Utenti e gruppi > Includi o Escludi, selezionare Tutti gli utenti guest ed esterni.
Ulteriori informazioni
Guest e accesso utente esterno con Microsoft Teams
Microsoft Teams definisce gli utenti seguenti:
L'accesso guest usa un Microsoft Entra account B2B che può essere aggiunto come membro di un team e avere accesso alle comunicazioni e alle risorse del team.
L'accesso esterno è per un utente esterno che non ha un account B2B. L'accesso utente esterno include inviti, chiamate, chat e riunioni, ma non include l'appartenenza al team e l'accesso alle risorse del team.
Per altre informazioni, vedere il confronto tra guest e l'accesso utente esterno per i team.
Per altre informazioni sulla protezione dei criteri di accesso alle identità e ai dispositivi per Teams, vedere Consigli sui criteri per la protezione di chat, gruppi e file di Teams.
Richiedere l'autenticazione a più fattori sempre per gli utenti guest ed esterni
Questo criterio richiede agli utenti guest di registrarsi per l'autenticazione a più fattori nel tenant, indipendentemente dal fatto che siano registrati per l'autenticazione a più fattori nel tenant principale. I guest e gli utenti esterni che accedono alle risorse nel tenant devono usare L'autenticazione a più fattori per ogni richiesta.
Esclusione di guest e utenti esterni da MFA basata sui rischi
Anche se le organizzazioni possono applicare criteri basati sui rischi per gli utenti B2B usando Microsoft Entra ID Protection, esistono limitazioni nell'implementazione di Microsoft Entra ID Protection per gli utenti di collaborazione B2B in una directory delle risorse perché la loro identità esiste nella home directory. A causa di queste limitazioni, Microsoft consiglia di escludere i guest dai criteri MFA basati sui rischi e di richiedere a questi utenti di usare sempre l'autenticazione a più fattori.
Per altre informazioni, vedere Limitazioni della protezione degli ID per gli utenti di collaborazione B2B.
Esclusione di guest e utenti esterni dalla gestione dei dispositivi
Solo un'organizzazione può gestire un dispositivo. Se non si escludono guest e utenti esterni dai criteri che richiedono la conformità del dispositivo, questi criteri bloccano questi utenti.
Passaggio successivo
Configurare i criteri di accesso condizionale per:
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per