Политики для разрешения гостевого доступа и доступа внешних пользователей B2B
В этой статье рассматривается настройка рекомендуемых политик доступа к устройствам и удостоверений "Никому не доверяй", чтобы разрешить доступ гостям и внешним пользователям с учетной записью Microsoft Entra "бизнес-бизнес" (B2B). Это руководство основывается на общих политиках доступа к удостоверениям и устройствам.
Эти рекомендации предназначены для применения к начальной точке уровня защиты. Но вы также можете настроить рекомендации в соответствии с конкретными потребностями в корпоративной и специализированной защите безопасности .
Предоставление пути для учетных записей B2B для проверки подлинности в клиенте Microsoft Entra не предоставляет этим учетным записям доступ ко всей вашей среде. Пользователи B2B и их учетные записи имеют доступ к службам и ресурсам, таким как файлы, к которым им предоставлен общий доступ с помощью политики условного доступа.
Обновление общих политик для разрешения и защиты доступа гостей и внешних пользователей
На этой схеме показаны политики для добавления или обновления общих политик доступа к удостоверениям и устройствам для гостевого и внешнего пользователей B2B.
В следующей таблице перечислены политики, необходимые для создания и обновления. Общие политики ссылаться на соответствующие инструкции по настройке, приведенные в статье Общие политики доступа к удостоверениям и устройствам .
Уровень защиты | Политики | Дополнительная информация |
---|---|---|
Отправная точка | Всегда требовать MFA для гостей и внешних пользователей | Create эту новую политику и настройте:
|
Требовать MFA, если риск входа средний или высокий | Измените эту политику, чтобы исключить гостей и внешних пользователей. |
Чтобы включить или исключить гостей и внешних пользователей в политиках условного доступа, в разделе Назначения Пользователи > и группы > Включение или исключение проверка Все гостевые и внешние пользователи.
Дополнительная информация
Доступ гостей и внешних пользователей с помощью Microsoft Teams
Microsoft Teams определяет следующих пользователей:
Для гостевого доступа используется учетная запись B2B Microsoft Entra, которую можно добавить в качестве члена команды и получить доступ к коммуникациям и ресурсам команды.
Внешний доступ предназначен для внешнего пользователя, у которых нет учетной записи B2B. Доступ внешних пользователей включает приглашения, звонки, чаты и собрания, но не включает членство в команде и доступ к ресурсам команды.
Дополнительные сведения см. в разделе Сравнение гостей и доступа внешних пользователей для команд.
Дополнительные сведения о защите политик доступа к удостоверениям и устройствам для Teams см. в статье Рекомендации по политике для защиты чатов, групп и файлов Teams.
Всегда требовать MFA для гостевых и внешних пользователей
Эта политика предлагает гостям зарегистрироваться для MFA в клиенте, независимо от того, зарегистрированы ли они для MFA в своем домашнем клиенте. Гости и внешние пользователи, обращаюющиеся к ресурсам в клиенте, должны использовать MFA для каждого запроса.
Исключение гостей и внешних пользователей из MFA на основе рисков
Хотя организации могут применять политики на основе рисков для пользователей B2B с помощью Защита Microsoft Entra ID, существуют ограничения на реализацию Защита Microsoft Entra ID для пользователей службы совместной работы B2B в каталоге ресурсов, так как их удостоверение существует в их домашнем каталоге. Из-за этих ограничений корпорация Майкрософт рекомендует исключить гостей из политик MFA на основе рисков и требовать, чтобы эти пользователи всегда использовали MFA.
Дополнительные сведения см. в разделе Ограничения защиты идентификаторов для пользователей службы совместной работы B2B.
Исключение гостей и внешних пользователей из управления устройствами
Управлять устройством может только одна организация. Если не исключить гостей и внешних пользователей из политик, требующих соответствия устройств, эти политики блокируют этих пользователей.
Следующее действие
Настройка политик условного доступа для:
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по