Политики для разрешения гостевого доступа и доступа внешних пользователей B2B

  • Статья

В этой статье рассматривается настройка рекомендуемых политик доступа к устройствам и удостоверений "Никому не доверяй", чтобы разрешить доступ гостям и внешним пользователям с учетной записью Microsoft Entra "бизнес-бизнес" (B2B). Это руководство основывается на общих политиках доступа к удостоверениям и устройствам.

Эти рекомендации предназначены для применения к начальной точке уровня защиты. Но вы также можете настроить рекомендации в соответствии с конкретными потребностями в корпоративной и специализированной защите безопасности .

Предоставление пути для учетных записей B2B для проверки подлинности в клиенте Microsoft Entra не предоставляет этим учетным записям доступ ко всей вашей среде. Пользователи B2B и их учетные записи имеют доступ к службам и ресурсам, таким как файлы, к которым им предоставлен общий доступ с помощью политики условного доступа.

Обновление общих политик для разрешения и защиты доступа гостей и внешних пользователей

На этой схеме показаны политики для добавления или обновления общих политик доступа к удостоверениям и устройствам для гостевого и внешнего пользователей B2B.

Сводка обновлений политики для защиты гостевого доступа

В следующей таблице перечислены политики, необходимые для создания и обновления. Общие политики ссылаться на соответствующие инструкции по настройке, приведенные в статье Общие политики доступа к удостоверениям и устройствам .

Уровень защиты Политики Дополнительная информация
Отправная точка Всегда требовать MFA для гостей и внешних пользователей Create эту новую политику и настройте:
  • В поле Назначения Пользователи > и группы > Включить выберите Выбрать пользователей и группы, а затем выберите Все гостевые и внешние пользователи.
  • Для параметра Условия > назначения > Риск входа и выберите все уровни риска входа.
Требовать MFA, если риск входа средний или высокий Измените эту политику, чтобы исключить гостей и внешних пользователей.

Чтобы включить или исключить гостей и внешних пользователей в политиках условного доступа, в разделе Назначения Пользователи > и группы > Включение или исключение проверка Все гостевые и внешние пользователи.

Элементы управления для исключения гостей и внешних пользователей

Дополнительная информация

Доступ гостей и внешних пользователей с помощью Microsoft Teams

Microsoft Teams определяет следующих пользователей:

  • Для гостевого доступа используется учетная запись B2B Microsoft Entra, которую можно добавить в качестве члена команды и получить доступ к коммуникациям и ресурсам команды.

  • Внешний доступ предназначен для внешнего пользователя, у которых нет учетной записи B2B. Доступ внешних пользователей включает приглашения, звонки, чаты и собрания, но не включает членство в команде и доступ к ресурсам команды.

Дополнительные сведения см. в разделе Сравнение гостей и доступа внешних пользователей для команд.

Дополнительные сведения о защите политик доступа к удостоверениям и устройствам для Teams см. в статье Рекомендации по политике для защиты чатов, групп и файлов Teams.

Всегда требовать MFA для гостевых и внешних пользователей

Эта политика предлагает гостям зарегистрироваться для MFA в клиенте, независимо от того, зарегистрированы ли они для MFA в своем домашнем клиенте. Гости и внешние пользователи, обращаюющиеся к ресурсам в клиенте, должны использовать MFA для каждого запроса.

Исключение гостей и внешних пользователей из MFA на основе рисков

Хотя организации могут применять политики на основе рисков для пользователей B2B с помощью Защита Microsoft Entra ID, существуют ограничения на реализацию Защита Microsoft Entra ID для пользователей службы совместной работы B2B в каталоге ресурсов, так как их удостоверение существует в их домашнем каталоге. Из-за этих ограничений корпорация Майкрософт рекомендует исключить гостей из политик MFA на основе рисков и требовать, чтобы эти пользователи всегда использовали MFA.

Дополнительные сведения см. в разделе Ограничения защиты идентификаторов для пользователей службы совместной работы B2B.

Исключение гостей и внешних пользователей из управления устройствами

Управлять устройством может только одна организация. Если не исключить гостей и внешних пользователей из политик, требующих соответствия устройств, эти политики блокируют этих пользователей.

Следующее действие

Политики для облачных приложений Microsoft 365 и Microsoft Defender for Cloud Apps

Настройка политик условного доступа для: