Beleid voor het toestaan van gasttoegang en B2B-externe gebruikerstoegang
In dit artikel wordt beschreven hoe u het aanbevolen beleid voor identiteits- en apparaattoegang van Zero Trust aanpast om toegang te verlenen aan gasten en externe gebruikers met een Azure Active Directory B2B-account (Azure AD) (Azure AD). Deze richtlijnen zijn gebaseerd op het algemene beleid voor identiteits- en apparaattoegang.
Deze aanbevelingen zijn bedoeld om van toepassing te zijn op de beveiligingslaag van het beginpunt. Maar u kunt de aanbevelingen ook aanpassen op basis van uw specifieke behoeften voor bedrijfs- en gespecialiseerde beveiliging.
Als u een pad biedt voor B2B-accounts om te verifiëren met uw Azure AD-tenant, hebben deze accounts geen toegang tot uw hele omgeving. B2B-gebruikers en hun accounts hebben toegang tot services en resources, zoals bestanden, die met hen worden gedeeld via beleid voor voorwaardelijke toegang.
Het algemene beleid bijwerken om gasten en externe gebruikerstoegang toe te staan en te beveiligen
In dit diagram ziet u welk beleid moet worden toegevoegd of bijgewerkt tussen het algemene beleid voor identiteits- en apparaattoegang, voor B2B-gast- en externe gebruikerstoegang.
In de volgende tabel ziet u het beleid dat u moet maken en bijwerken. De algemene beleidsregels koppelen aan de bijbehorende configuratie-instructies in het artikel Algemene identiteits- en apparaattoegangsbeleid.
| Beveiligingsniveau | Beleid | Meer informatie |
|---|---|---|
| Beginpunt | MFA altijd vereisen voor gasten en externe gebruikers | Maak dit nieuwe beleid en configureer:
|
| MFA vereisen wanneer het aanmeldingsrisico gemiddeld of hoog is | Wijzig dit beleid om gasten en externe gebruikers uit te sluiten. |
Als u gasten en externe gebruikers wilt opnemen of uitsluiten in beleidsregels voor voorwaardelijke toegang, controleert u alle gast- en externe gebruikers voor Opdrachten > Gebruikers en groepen > Opnemen of Uitsluiten.
Meer informatie
Gasten en externe gebruikerstoegang met Microsoft Teams
Microsoft Teams definieert de volgende gebruikers:
Gasttoegang maakt gebruik van een Azure AD B2B-account dat kan worden toegevoegd als lid van een team en toegang heeft tot de communicatie en bronnen van het team.
Externe toegang is voor een externe gebruiker die geen B2B-account heeft. Externe gebruikerstoegang omvat uitnodigingen, oproepen, chats en vergaderingen, maar omvat geen teamlidmaatschap en toegang tot de resources van het team.
Zie de vergelijking tussen gasten en externe gebruikerstoegang voor teams voor meer informatie.
Zie Beleidsaanbevelingen voor het beveiligen van Teams chats,groepen en bestanden voor meer informatie over het beveiligen van identiteits- en apparaattoegangsbeleid voor Teams.
MFA altijd vereisen voor gast- en externe gebruikers
Met dit beleid worden gasten gevraagd zich te registreren voor MFA in uw tenant, ongeacht of ze zijn geregistreerd voor MFA in hun huisten tenant. Wanneer u toegang hebt tot resources in uw tenant, moeten gasten en externe gebruikers MFA voor elke aanvraag gebruiken.
Gasten en externe gebruikers uitsluiten van risicogebaseerde MFA
Hoewel organisaties op risico's gebaseerde beleidsregels kunnen afdwingen voor B2B-gebruikers die Azure AD Identity Protection gebruiken, gelden er beperkingen voor de implementatie van Azure AD Identity Protection voor B2B-samenwerkingsgebruikers in een resourcemap vanwege hun identiteit die in de thuismap staat. Vanwege deze beperkingen raadt Microsoft u aan gasten uit te sluiten van MFA-beleid op basis van risico's en deze gebruikers altijd MFA te laten gebruiken.
Zie Beperkingen van identiteitsbeveiliging voor B2B-samenwerkingsgebruikersvoor meer informatie.
Gasten en externe gebruikers uitsluiten van apparaatbeheer
Slechts één organisatie kan een apparaat beheren. Als u gasten en externe gebruikers niet uitsluit van beleidsregels waarvoor apparaat compliance vereist is, worden deze gebruikers geblokkeerd door dit beleid.
Volgende stap
Beleid voor voorwaardelijke toegang configureren voor: